[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Demgegenüber, ist dein letzter Beitrag natürlich zu 100% richtig.

Ah so. Kurze Durchsage von neben an: Wenn man da nichts selbst hinterher hineinprimmelt, gibt es kein sudo auf einer pfSense Kiste.

Für OPN hoffe ich, daß sie ebenfalls nicht so blöde waren...
Wie das mit der IPFire Distri ist weiß ich grad nicht... >:-)
Okay, immerhin :)

Zum sudo: das dürfte eigentlich auch nur ein Problem werden können wenn man entweder erlaubt, das sich normale User auf der Firewall anmelden dürfen (wieso sollte man das ?), oder man sich unter Zuhilfenahme weiterer Sicherheitslücken im Webinterface selbst Zugang verschaffen kann. Bei Letzterem bräuchte man unter Umständen (Nutzer gehört der Gruppe admin an) nicht einmal die sudo Lücke, da man ohnehin dann über Root-Rechte verfügt. Ich seh da jetzt nicht unbedingt sofortigen Handlungsbedarf.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich hätte mal ne Frage zu dem Adguard:
Wieso stellt mir die Statistik Abfragen doppelt dar?
Also einmal "server.example.com" und einmal "server.example.com.example.com"?
Das finde ich verstörend und war in pihole nicht so.
 
Das liegt mE nicht an adguard (Home), sondern am Client - der bekommt auf XYZ.abc eine Antwort, die er als Auflösungsfehler interpretiert, und fragt dann nochmal mit vermeintlich voller FQDN nach, dh. XYZ.abc.example.com. hatte das gleiche Phänomen bei nextdns.

Schau Mal was Du bei DNS antworten in adguard eingestellt hast:
Settings -> DNS settings -> blocking mode, am besten auf Default.
 
Danke für die Info.
Blocking Mode steht auf default.
Es lag - glaub ich - am nicht eingetragenen upstream DNS der opnSense, der meine ganzen Services im Heimnetz auflöst.
Seitdem der in der Liste ganz oben steht *und* ich parallel queries aktiviert hab, rutschen die doppelten Domains in der Statistik runter. =)
 
Hab mich kürzlich erst über die alte Hardware für OPNsense beschwert:
Deciso hat just ein neues Routerboard rausgebracht: A20.

Damit einher natürlich auch 5 neue Geräte:
- DEC840/DEC3840 (QuadCore mit 8 GB RAM und 256 GB SSD)
- DEC850/DEC3850 (OktaCore mit 16 GB RAM und 256 GB SSD)
- DEC3860 (OktaCore mit 32 GB RAM und 512 GB SSD)
 
ich hab die Tage günstig einen Dell R210 II geschossen :)

gestern angekommen, eben eine 850 EVO 250GB reingeschmissen. Raid Controller raus und SSD direkt an die SATA Ports am MB angeschlossen

Dann erstmal BIOS und iDrac auf die neuste verfügbare Version gebracht... :) Sprung von 1.x auf 2.x


Opnsense Installer Sticker gebaut und ruff damit.... was soll ich sagen tolle Hardware mit guter Power!

1613126889686.png
 
ne der hängt so im Keller im Rack :) vielleicht mit der Zeit noch nen bissl mehr RAM wenn nötig ;) das ganze ersetzt einen Unifi UDM-Pro
 
Mich würde interessieren, ob jemand Erfahrung mit der OPNSense auf den Thin-Clients a la T610 Plus oder Futro S720/S920 hat und ob die kleinen Dinger genug Leistung für 1GBit/s haben.
In meiner VM (weil ich neben OPNSense noch PiHole auf dem Rechner laufen lasse) kann ich den CableMax nicht wirklich ausnutzen (ca. 400Mbit/s, bei 90% CPU, is halt alte i3-Hardware), obwohl ich außer Firewall, vnstat und Unbound nichts laufen lasse.
 
Ich hab diesjahr auch einen "vollen" 210II über Kleinanzeigen abstauben können.
Man kann im Bios die CPU auf OS, die Lüfter auf Min und den Speicher auf Max stellen. Dann läuft das schon recht leise.
Vor allem wie hier mit einem E3-1220L v2. Das ist dann auch wirklich leise, wenn es durchgebootet hat und ist immernoch eine SEHR schnelle Hw-Fw. Die Stromstrippe zum Netzteil könnte dann auch 0.25mm2 haben :drool:
Eine WDgreen für 23€ tuts aber auch.

Für privat ist es natürlich trotzdem nervig, daß man im Bios nicht selbst die Drehzahlschwellen für die Lüfter anpassen kann und erst rumzaubern muss, damit man es z.B. mit Noctuas fahren kann. Also Gehäuse + Netzteil. Manchml denke ich, Admins und sonstigen Berufs-ITs traut man viel weniger zu als irgendwleche Forenheinis :LOL:

Der CPU-Kühler ist 1x mit MastergelMaker drauf super. Da braucht man eigentlich nichts tun. Boden ist aus Kupfer. Dacher hab ich auch keine Kryonaut genommen (beinhaltet Alupartikel).

Zweite Empfehlung wäre ein E3-1265L v2. Aber der ist schon gleich ganz extrem rar, falls man sich nicht auf die Chinesen einlassen möchte.
 
VM: wenn ESXi, MSI-X eingeschaltet durch setzen von hw.pci.honor_msi_blacklist=0 ?

Hardware offload alles ABgeschaltet?

Ein i3 sollte Gigabit schon Routen und NATen können, wenn kein IDS/IPS und kein Traffic shaping/smart queue management läuft.

Am piHole kann das mE jedenfalls nicht liegen.
 
@asche77
Es ist wirklich ein SEHR alter i3-540. Drauf läuft Proxmox VE (OPNSense in KVM, PiHole als LXC). Das Ding hat kein AES-NI und nicht mal IOMMU, damit ich die Netzwerkkarten durchschleifen kann.
 
Ok :-). Habe den 520M noch im alten Laptop, läuft aber eben wirklich nicht sehr schnell... Die billigen Celeron/Atom Laptops schien er aber immer noch übertrumpfen zu können.
 
Hauptsächlich will ich eine kleinere und stromsparendere Kiste, weil sie ja 24/7 rennt. Zur Not hole ich mir zwei solcher Boxen und habe dann beides getrennt.
 
Gut, ich hab aktuell nur ein VDSL100, aber die VM ist nicht die Bremse - beim kopieren zwischen meinen Netzen (Lokal auf den Gameserver in der DMZ) komm ich voll auf Wirespeed im Gigabit-Bereich, direkt im Netz der VMs hab ich das noch nicht getestet, was da noch mehr möglich wäre.
 
1. @What9000 , Du könntest auch opnsense und (statt pihole) als Community Plugin adguard Home "bare metal" probieren.
2. Aber opnsense ist bei mir meist etwas langsamer gewesen als pfsense oder openwrt.
3. Wie misst Du den Speed - meine Speedtests (www und speedtest-cli) bei Vodafone zeigen oft nur um die 500Mbit, auch wenn ein iperf3 Test bis zu 9xx Mbit zeigt.
4. Quasi jedes neue System dürfte stromsparender sein. Beim Neukauf aber auf AES-NI achten, daher keine der J1900 Kisten, wenn Du irgendwann VPN / sonstige Verschlüsselung brauchst.
 
Moin,

Wie baut ihr eure Firewall Regeln? Lasst ihr von innen einfach alles raus? Erlaubt ihr bestimmte Ports? Welche Regellisten nutzt ihr so für Malware Erkennung?
 
@asche77
Danke für deinen Input! Werde ich gleich mal bare metal probieren. Egal, ob ich dann erst mal wieder alles auf alt umbasteln muss.
Berichte dann, wenn ich fertig bin :fresse:
 
Einfach opnsense auf USB Stick installieren und von dort testen. Dann kannst du notfalls wieder leicht zu proxmox zurück.

Adguard Home für opnsense:
1. Community Repo installieren: https://www.routerperformance.net/opnsense-repo/
2. Opnsense update und dann Adguard Home Plugin installieren
3. Adguard Home "enable" und dann über Port 3000 aufrufen und konfigurieren
4. Unbound auf anderen Port (statt 53) legen und als upstream DNS bei adguard eintragen, so dass Deine DHCP Namen aufgelöst werden
5. SSL Certificate zu Adguard Home hinzufügen.
 
Ich glaub da gibt es für pfSense auch entsprechende "Addons"... ;)
 
Bei pfsense ist mit pfblockerNG in der Tat sowohl IP Blocklist als auch DNS blacklisting sehr gut zugänglich. Aber manchen gefällt halt opnsense besser.
 
Ich meine ja nur, weil er ja schon davon schrieb, daß er pfSense schon drauf hat… 😉 Nun ja.
 
@Uhrzeit
Ich hatte OPNSense in einer KVM in Proxmox. Da ging die CPU selbst bei einfachen Download-Lasten recht schnell rauf. Da ich aber einen DNS-Blocker mit auf der Maschine haben wollte und nur PiHole kannte, musste ich die Pille halt schlucken.
Nun läuft OPNSense bare metal drauf und AdGuard mit den zurückgelegten Listen vom PiHole ist auch eingerichtet.
Gefühlt flutscht es schon nochmal ein wenig schneller. Genauere Tests kommen dann noch.
 
Ja... Ok.
Schmeiss erstmal pfBlockerNG, Squid, (SquidGard) und Snort/Suricata an. Vielleicht auch Darkstat...
Klick da mal ein Tag drin rum und melde dich wieder ;)
 
Bin soweit mit der Kombo OPNSense/AdGuard erstmal zufrieden. Wie ich gelesen habe, soll pfBlockerNG schwieriger im Setup sein. Da ist AdGuard schon etwas "schöner".
 
Ganz ehrlich? Ich hab's heute nicht hinbekommen. 🤪
Aber auch das Thread Protection hat nicht geklappt...
Eigentlich hat heute nix geklappt, der Nextcloud Dicker auf meinem Unraid wollte auch nicht... Ich geh jetzt ins Bett...
 
Bin soweit mit der Kombo OPNSense/AdGuard erstmal zufrieden. Wie ich gelesen habe, soll pfBlockerNG schwieriger im Setup sein. Da ist AdGuard schon etwas "schöner".
Die Leute sagen, das Menü an der Seite (OPN) ist einfacher als oben bei pf. Das und die Suche innerhalb dessen, ist meist das Killerargument.
Ich versuch noch zu begreifen wie das dermassen entscheidend sein kann. Die Suche, sind Strings ;) Man muss also schon wissen was man eintippt, ergo muss man das schon kennen. Wenn ich das kenne, kenne ich die Soft schon. Genauso, wie ich pf kennen müsste. Und dann find ich das ebenfalls schon. Nun... ok. Ich bin aber auch kein Fanboy. Von mir aus soll es das sein.

Ich habs leider nicht zu 100% gepeilt zuerst. Ich dachte du hast pfSense in der VM gefahren und jetzt schaust du dir OPN in einer VM. Um sich zu persönlich zu entscheiden. Wenn ich wusste du nutzt bereits OPN und es ist alles gut damit für dich, hätt ich das natrlich nicht geschrieben.
Da, wie gesagt, kein Fanboy :)
 
Nene.. Da PiHole ja auf Linux und OPNSense auf BSD basiert, musste ich sozusagen entweder zwei Maschinen oder eben mit Virtualisierung arbeiten. Habe dann mit Proxmox gearbeitet und beides virtualisiert.
Das hat dann dazu geführt, dass in meiner GBit-Leitung bei ca. 400Mbit/s Schluss war, weil die OPNSense-KVM zu 100% ausgelastet war (ist halt n uralter i3-540). Durch den Tip mit der AdGuard-Erweiterung direkt in OPNSense konnte ich nun bare metal installieren.
Ergebnis:

Unbenannt.JPG


Und das bei ca. 15% Last auf der CPU. Je nach Test-Server mal mehr Upload, mal mehr Download.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh