[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Als VDSL Modem bin ich mit meinem Draytek Vigor 130 sehr zufrieden. Gibt's gebraucht bei Kleinanzeigen für um die 50€.
Das Nachfolgermodell Vigor 165 könnte sogar Super Vectoring.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Darf man hier auch Fragen zu Wireguard stellen, wenn's OPNsense betrifft?

Nach ein paar "blutigen" Stunden/Tagen läuft OPNsense nun so, wie ich will/wie es für mich passt.

Die letzte Stufe wäre jetzt noch eine VPN-Verbindung, damit ich von unterwegs (Hauptsächlich um im Urlaub die iPhone-Fotos auf's TrueNAS sichern zu können) auf mein Heimnetzwerk zugreifen kann.


Ein paar Anleitungen habe ich schon überflogen - was aber noch nicht so ganz klar ist wäre:

- Client-Peer - muss man dies für jedes Endgerät separat anlegen, oder nur pro Benutzer?
- Tunnel-Adresse - ist dies dann einfach der gesamte IP-Bereich meines Heimnetzwerks?


Mehr Fragen kommen sicher noch, wenn ich das Einrichten "versuche"!
;-)


Danke!


LG
 
Danke für die Antwort. Die Fritzbox Bleibt aber in der alten Wohnung. Ich brauch sowieso ein neues Modem, deswegen stellt sich für mich die Frage, was der beste Weg ist.
Ok. also reicht sowas wie ein Celeron locker aus. Gut zu wissen :)
Soo, just in dem Moment ist auch mein Glasfaseranschluss (500 Mbit down, 100 Mbit Upload) geschaltet worden. Ich betreibe meine OPNSense auf einer Sophos XG 105 (Intel Atom E3930).
PPPoE und Trafficshaping gehen bis so ca 480 MBit, könnte mir aber auch vorstellen dass da mehr geht.

Wireguard kann ich leider schlecht testen, aber aus Erfahrung sollte es da kein großartiges Bottleneck geben, zumindest mit wireguard-kmod. Siehe: https://forum.opnsense.org/index.php?topic=20978.msg106200#msg106200
 
Wie sieht es an dem Anschluss mit dem Bufferbloat jeweils mit und ohne Trafficshaping aus?
Wie @******* schon sagt, scheinbar haben die Webseiten Probleme mit den Geschwindigkeiten mitzuhalten. Z. B. sind die 329 bis 391 MBit von Waveform nicht real, da fehlt ein ordentliches Stück. DSLReport ist da ein wenig näher dran, aber da fehlt immer noch was. Habe die Tests auch mehrfach ausgeführt, keine großartigen Schwankungen. Kann aber natürlich auch das Peering der Telekom sein.
Wenn ich ohne Shaping ein Download starte (Usenet z. B.) zieh ich bis zu 540 Mbit aus der Leitung.

Hab aber trotzdem mal das Waveform Tool und DSLReports laufen lassen:

Mit Trafficshaping (500/100Mbit, fq_codel)
mit_2022-06-08 09_26_40-Bufferbloat Test by Waveform.png


mit_2022-06-08 09_20_32-Window.png



Ohne:
ohne_2022-06-08 09_24_51-Window.png



ohne_2022-06-08 09_22_08-Window.png




Hol dir doch einfach für ein paar Stunden einen Hetzner CPX11 und installiert dort WireGuard und iperf3, dann kannst du nach Herzenslust benchen. So ein Teil kostet unter 1 Cent pro Stunde.
Ich miete mir für ein Test doch nicht extra einen kostenpflichten Server an. Ich hab aber mal schnell was gebaut und bekomme mit meinen Laptop über WLAN (Aber immerhin WLAN 6) um die 300 Mbit durch, da ist die Firewall aber von der CPU Auslastung her aber auch am Anschlag.
Der Intel E3930 ist halt nicht mehr das neueste. Bin aber erstaunt wie gut er PPPoE unter BSD handelt, das soll ja notorisch langsam sein, da singlethreaded. Ich hab aber auch die Spectre und Meltdown Mitigation bei mir abgeschaltet und ein paar andere Optimierungen durchgeführt, hauptsächlich Anpassungen der RX/TX Queues und ein paar andere Sachen die mir nicht mehr einfallen :shot:
 
Fällt sogar noch weiter:
1654691459521.png


fq_codel setze ich aber schon länger mit meiner DSL Leitung ein, da funktionierts auch perfekt.
Beitrag automatisch zusammengeführt:

Ach guck mal einer an, aus jux nochmal ein Test mit den alten Einstellungen gemacht und das sieht (abgesehen vom Uploadspeed) doch gut aus:
1654691714695.png



Das deckt sich auch mit meinen Erfahrungen von gestern Abend, Fullspeed Download und Latenz ist im Teamspeak um maximal 4ms gestiegen.
 
Fq_codel scheint bei mir eine etwas geringere Latenz zu haben als fq_PIE, letzteres aber einen etwas höheren Durchsatz.

Habt Ihr dazu weitere Vergleichswerte?
 
@asche77, umso mehr Bandbreite man opfert umso niedriger wird die Latenz unter Last:
rrul_be_100streams_box_totals.png

FQ-PIE hab ich zwar noch nicht selbst ausprobiert, aber ich hab meine Zweifel, ob es tatsächlich mit FQ-CoDel oder CAKE mithalten kann. Der augenscheinlich höhere Durchsatz wird einfach anderen Standardeinstellungen geschuldet sein.
 
CAKE (vor allem "Layer of cake" in OpenWRT) rules them all. Gibt es in BSD leider nicht.
 
So ihr lieben, nun steht meine grobe netzkonfiguration.

Stand jetzt:

OPNSense ist per Kupfer Richtung Internet (WAN)
dann 2mal per Fiber an Core Switch per LAGG
Unda darauf laufen jetzt die VLANs drüber
VLAN 01 (LAN)
VLAN 02 (Guest)
VLAN 03 (Smart Home)
VLAN 04 (Devices)
VLAN 05 (DMZ)

Jetzt soll es dann an die Regeln gehen.
Die funktionieren hier wohl offensichtlich etwas anders?

Normalerweise ist es doch so das ich anfange und sage
Ich wähle das quell interface aus, (also von wo soll ein packet)
dann quell ip/gruppe/whatever (welches gerät genau)
quell protokoll
quell port (über welchen port ausgehend)
dann Ziel IP/gruppe/whatever (wohin soll es gehen)
ziel Port (über welchen port eingehend)

Nun OPNSense,
es scheint als dass ich IMMER aus sicht des Interfaces konfigurieren welches ich auswähle.
Und dann "wohl" hauptsächlich eingehend?

Also zum beispiel LAN Richtung OPNSense?
- Wie lege ich denn dann regeln an in denen ich zum beispiel sage ich möchte vom LAN nur bestimmte geräte zu bestimmten geräten in der DMZ lassen
- oder Smart Home soll gar nicht raustelefonieren dürfen.
- nur LAN darf richtung Smart Home

usw usf.

Hat da jemand mal ein paar beispiele wie man das jetzt hier anlegt? Ich werd nicht ganz schlau aus der Syntax ^^

Und wie definiere ich hier eigene Objekte oder Gruppen die ich dann in die Regeln einbauen kann um nicht immer alles händisch einzugeben.
Sprich gerät a aus LAN soll zu diversen geräten in DMZ (in dem fall also eine gruppe an hosts oder wie auch immer es hier dann heißt)

Danke schonmal vorab xD

Oh und hat jemand sich näher mti dem HArdware offloading auseinandergesetzt?
Es gibt wohl die direkte Settings Seite, man kann wohl aber auch einiges über Tunables erreichen?
Wie würdet ihr es machen? Kann man über Tunables dann vielleicht dennoch IDS nutzen? (soll ja vor einschalten alles deaktiviert werden)
- Vor allem das VLAN Offloading würde mich schon interessieren, macht es doch sinn das die Physik das gleich auseinanderzwirbelt und nicht erst die Software das außeinanderhalten muss...
 
Traffic wird immer aus Sicht der Firewall eingehend gefilter, je Interface. Der Rückweg ist, da statefull, nicht mehr anzufassen. Startpost mal etwas angepasst.

Für den Rest dürfen dann ein paar OPNsense User ran. 😉
Okay Cool, das ist eine ziemliche kurze aber gut Verständliche erklärung. Damit kann ich was anfangen :)
Danke Dir!
 
Hallo, ich hab auch nochmal ein OPNSense Thema, man findet zwar ganz gut viele ANleitungen/Erklärungen/Tutorials für IPv6 am WAN Anschluss, jedoch sind diese alle (zumindest gefühlt) darauf ausgelegt, dass ich am WAN Interface eine IPv6 per DHCPv6 bekomme und dann per TRACK Interface am LAN verteilen kann.

Jedoch habe ich hier an meinem ANschluss einen fixen IPv6 /64 Prefix und eine Gatewayadresse. Am WAN habe ich es nun am laufen ich habe mir die ::2 aus dem Prefix genommen ( ::1 ist der Gateway) und kann vom WAN aus die ::1 erreichen und von einem anderen Anschluss aus nach Erstellen einer ALLOW Regel von ICMPv6 auch die ::2.
Soweit funktioniert das jetzt alles. Aber wie kriege ich dieses PRefix nun ins LAN?
Lt. Tutorials soll man am LAN Interface TRACK als IPv6 Adressart auswählen - TRACK steht aber bei static IPv6 am WAN nicht zur Verfügung....

Ich glaube ich habe nur irgendwo einen Denkfehler, aber ich komm nicht drauf wo?
 
Zuletzt bearbeitet:
Drecks IPv6, ich fühl mich zu alt für sowas 😅

Was mache ich denn mit einem 64er Prefix? Lt. Unterlagen habe ich auch nur dieses 64er.
Ziel war eigentlich DualStack am WAN zu bauen
 
Track Interface geht nur mit DHCPv6, da sich die Sense darüber die IP Adresse und zusätzliche Präfixe holt. Das geht bei einer statischen Zuweisung natürlich nicht.
mein RZ Setup sieht so ähnlich aus. Nur 1x 64er standardmäßig zugewiesen. Hab dann beim Support ein zusätzliches /48 angefragt um Routing zu ermöglichen. Wurde mir dann auch eingerichtet, das /48 ist auf die ::2 vom ursprünglichen /64 geroutet. Funktioniert so seit Jahren einwandfrei.
 
Ich hoff die Releasen die Plus endlich mal als Standalone Download, CE installieren, Key reinhauen, dann Plus Upgrade ist alles andere als userfriendly.
 
Zuletzt bearbeitet:
Ich mein das mal irgendwo gelesen zu haben, aber ka. Ich bin halt bei sowas schon ein Freund von Clean Install. Bzw. die Tage sollte sofern die Paketgötter freundlich gestimmt sind, feine NetzwerkHW eintreffen. Review folgt dann ;D
 
Habt ihr den Stromverbrauch von euren Firewalls mal überprüft?
Micht würde das einfach mal interessieren.
Hier mal von meinem Dell R210II mit Xeon E1220 und 8GB RAM - zwischen 30 - 40 W
1657042122349.png

Aktuell sind keine VLANs aktiv, da einiges umgebaut werden soll.
Aber ich lade gerade (ab ca 19:20 Uhr) eine Testfile inkl. VPN (OpenVPN-Protokoll) mit 21MB/s

Ich überlege mir gerade neue Hardware für die Firewall anzuschaffen, aber senkt sich der Verbrauch merklich?
 
Kommt wohl auf die Hardware an. Da ich virtualisiere, kann ich nichts beisteuern.
Das stimmt, aber ich wollte das ein wenig vergleichen.
Wenn das unterm Strich nur ±5W auswacht, dann kann ich es auch lassen :)
 
GIGABYTE GA-N3160TN
Intel Celeron N3160
4Gb Ram
120gb ssd
zusätzliche NIC für LTE Backup (USB)

~17 Watt

1657043850247.png
 
Fujitsu D3643-H
Intel Core i7 9700K
2x8GB RAM
120GB SSD
Intel X520 DA2 10G NIC
2x Noctua 40mm Lüfter
160W Pico PSU

~16-17 Watt

ohne 10G NIC: ~9 Watt (nur aus Gedankenprotokoll, kann auch bisschen mehr sein, aber die 10G Karte braucht 6-8 Watt)
 
Zuletzt bearbeitet:
Ich war über die 30-40 Watt beim R210II irgendwie positiv überrascht, aber wenn man diese Werte sieht....
Evtl. finde ich ja ein paar Teile bei ebay Kleinanzeigen. 19" Gehäuse habe ich hier noch rumfliegen.
 
Zuletzt bearbeitet:
Sneak Peak, noch nicht Final, ich schreib ausführlich darüber sobald Zeit.

Von virtualisiert zurück auf bare metal.
 

Anhänge

  • IMG_20220707_005528.jpg
    IMG_20220707_005528.jpg
    120 KB · Aufrufe: 175
Zuletzt bearbeitet:
@oNyX`
Magst du nur mal ein paar Eckdaten nennen? :)
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh