*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Okay, immerhinDemgegenüber, ist dein letzter Beitrag natürlich zu 100% richtig.
Ah so. Kurze Durchsage von neben an: Wenn man da nichts selbst hinterher hineinprimmelt, gibt es kein sudo auf einer pfSense Kiste.
Für OPN hoffe ich, daß sie ebenfalls nicht so blöde waren...
Wie das mit der IPFire Distri ist weiß ich grad nicht... >
Zum sudo: das dürfte eigentlich auch nur ein Problem werden können wenn man entweder erlaubt, das sich normale User auf der Firewall anmelden dürfen (wieso sollte man das ?), oder man sich unter Zuhilfenahme weiterer Sicherheitslücken im Webinterface selbst Zugang verschaffen kann. Bei Letzterem bräuchte man unter Umständen (Nutzer gehört der Gruppe admin an) nicht einmal die sudo Lücke, da man ohnehin dann über Root-Rechte verfügt. Ich seh da jetzt nicht unbedingt sofortigen Handlungsbedarf.
sashXP
Enthusiast
21.1. läuft seit gestern problemlos und unauffällig @home.
WOW... Was für ein... Massaker 
Wobei ich damit nicht die beiden senses in "vs." meine, sondern eher den Teil der Diskussion über solche Lösungen an sich. Könnt ihr was dazu sagen? Noch bin ich zu blöde bei dem Thema um mir da selbst ein Bild machen zu können.
news.ycombinator.com
Was für ein... Massaker Wobei ich damit nicht die beiden senses in "vs." meine, sondern eher den Teil der Diskussion über solche Lösungen an sich. Könnt ihr was dazu sagen? Noch bin ich zu blöde bei dem Thema um mir da selbst ein Bild machen zu können.
PfSense vs OPNsense: technical comparison | Hacker News
news.ycombinator.com
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 852
Ich hätte mal ne Frage zu dem Adguard:
Wieso stellt mir die Statistik Abfragen doppelt dar?
Also einmal "server.example.com" und einmal "server.example.com.example.com"?
Das finde ich verstörend und war in pihole nicht so.
Wieso stellt mir die Statistik Abfragen doppelt dar?
Also einmal "server.example.com" und einmal "server.example.com.example.com"?
Das finde ich verstörend und war in pihole nicht so.
Das liegt mE nicht an adguard (Home), sondern am Client - der bekommt auf XYZ.abc eine Antwort, die er als Auflösungsfehler interpretiert, und fragt dann nochmal mit vermeintlich voller FQDN nach, dh. XYZ.abc.example.com. hatte das gleiche Phänomen bei nextdns.
Schau Mal was Du bei DNS antworten in adguard eingestellt hast:
Settings -> DNS settings -> blocking mode, am besten auf Default.
Schau Mal was Du bei DNS antworten in adguard eingestellt hast:
Settings -> DNS settings -> blocking mode, am besten auf Default.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 852
Danke für die Info.
Blocking Mode steht auf default.
Es lag - glaub ich - am nicht eingetragenen upstream DNS der opnSense, der meine ganzen Services im Heimnetz auflöst.
Seitdem der in der Liste ganz oben steht *und* ich parallel queries aktiviert hab, rutschen die doppelten Domains in der Statistik runter. =)
Blocking Mode steht auf default.
Es lag - glaub ich - am nicht eingetragenen upstream DNS der opnSense, der meine ganzen Services im Heimnetz auflöst.
Seitdem der in der Liste ganz oben steht *und* ich parallel queries aktiviert hab, rutschen die doppelten Domains in der Statistik runter. =)
smoothwater
Enthusiast
Hab mich kürzlich erst über die alte Hardware für OPNsense beschwert:
Deciso hat just ein neues Routerboard rausgebracht: A20.
Damit einher natürlich auch 5 neue Geräte:
- DEC840/DEC3840 (QuadCore mit 8 GB RAM und 256 GB SSD)
- DEC850/DEC3850 (OktaCore mit 16 GB RAM und 256 GB SSD)
- DEC3860 (OktaCore mit 32 GB RAM und 512 GB SSD)
Deciso hat just ein neues Routerboard rausgebracht: A20.
Damit einher natürlich auch 5 neue Geräte:
- DEC840/DEC3840 (QuadCore mit 8 GB RAM und 256 GB SSD)
- DEC850/DEC3850 (OktaCore mit 16 GB RAM und 256 GB SSD)
- DEC3860 (OktaCore mit 32 GB RAM und 512 GB SSD)
ich hab die Tage günstig einen Dell R210 II geschossen
gestern angekommen, eben eine 850 EVO 250GB reingeschmissen. Raid Controller raus und SSD direkt an die SATA Ports am MB angeschlossen
Dann erstmal BIOS und iDrac auf die neuste verfügbare Version gebracht... Sprung von 1.x auf 2.x
Opnsense Installer Sticker gebaut und ruff damit.... was soll ich sagen tolle Hardware mit guter Power!
gestern angekommen, eben eine 850 EVO 250GB reingeschmissen. Raid Controller raus und SSD direkt an die SATA Ports am MB angeschlossen
Dann erstmal BIOS und iDrac auf die neuste verfügbare Version gebracht...
Sprung von 1.x auf 2.xOpnsense Installer Sticker gebaut und ruff damit.... was soll ich sagen tolle Hardware mit guter Power!
What9000
Urgestein
- Mitglied seit
- 15.01.2011
- Beiträge
- 4.415
Mich würde interessieren, ob jemand Erfahrung mit der OPNSense auf den Thin-Clients a la T610 Plus oder Futro S720/S920 hat und ob die kleinen Dinger genug Leistung für 1GBit/s haben.
In meiner VM (weil ich neben OPNSense noch PiHole auf dem Rechner laufen lasse) kann ich den CableMax nicht wirklich ausnutzen (ca. 400Mbit/s, bei 90% CPU, is halt alte i3-Hardware), obwohl ich außer Firewall, vnstat und Unbound nichts laufen lasse.
In meiner VM (weil ich neben OPNSense noch PiHole auf dem Rechner laufen lasse) kann ich den CableMax nicht wirklich ausnutzen (ca. 400Mbit/s, bei 90% CPU, is halt alte i3-Hardware), obwohl ich außer Firewall, vnstat und Unbound nichts laufen lasse.
Ich hab diesjahr auch einen "vollen" 210II über Kleinanzeigen abstauben können.
Man kann im Bios die CPU auf OS, die Lüfter auf Min und den Speicher auf Max stellen. Dann läuft das schon recht leise.
Vor allem wie hier mit einem E3-1220L v2. Das ist dann auch wirklich leise, wenn es durchgebootet hat und ist immernoch eine SEHR schnelle Hw-Fw. Die Stromstrippe zum Netzteil könnte dann auch 0.25mm2 haben
Eine WDgreen für 23€ tuts aber auch.
Für privat ist es natürlich trotzdem nervig, daß man im Bios nicht selbst die Drehzahlschwellen für die Lüfter anpassen kann und erst rumzaubern muss, damit man es z.B. mit Noctuas fahren kann. Also Gehäuse + Netzteil. Manchml denke ich, Admins und sonstigen Berufs-ITs traut man viel weniger zu als irgendwleche Forenheinis
Der CPU-Kühler ist 1x mit MastergelMaker drauf super. Da braucht man eigentlich nichts tun. Boden ist aus Kupfer. Dacher hab ich auch keine Kryonaut genommen (beinhaltet Alupartikel).
Zweite Empfehlung wäre ein E3-1265L v2. Aber der ist schon gleich ganz extrem rar, falls man sich nicht auf die Chinesen einlassen möchte.
Man kann im Bios die CPU auf OS, die Lüfter auf Min und den Speicher auf Max stellen. Dann läuft das schon recht leise.
Vor allem wie hier mit einem E3-1220L v2. Das ist dann auch wirklich leise, wenn es durchgebootet hat und ist immernoch eine SEHR schnelle Hw-Fw. Die Stromstrippe zum Netzteil könnte dann auch 0.25mm2 haben
Eine WDgreen für 23€ tuts aber auch.
Für privat ist es natürlich trotzdem nervig, daß man im Bios nicht selbst die Drehzahlschwellen für die Lüfter anpassen kann und erst rumzaubern muss, damit man es z.B. mit Noctuas fahren kann. Also Gehäuse + Netzteil. Manchml denke ich, Admins und sonstigen Berufs-ITs traut man viel weniger zu als irgendwleche Forenheinis
Der CPU-Kühler ist 1x mit MastergelMaker drauf super. Da braucht man eigentlich nichts tun. Boden ist aus Kupfer. Dacher hab ich auch keine Kryonaut genommen (beinhaltet Alupartikel).
Zweite Empfehlung wäre ein E3-1265L v2. Aber der ist schon gleich ganz extrem rar, falls man sich nicht auf die Chinesen einlassen möchte.
VM: wenn ESXi, MSI-X eingeschaltet durch setzen von hw.pci.honor_msi_blacklist=0 ?
Hardware offload alles ABgeschaltet?
Ein i3 sollte Gigabit schon Routen und NATen können, wenn kein IDS/IPS und kein Traffic shaping/smart queue management läuft.
Am piHole kann das mE jedenfalls nicht liegen.
Hardware offload alles ABgeschaltet?
Ein i3 sollte Gigabit schon Routen und NATen können, wenn kein IDS/IPS und kein Traffic shaping/smart queue management läuft.
Am piHole kann das mE jedenfalls nicht liegen.
konfetti
Urgestein
Gut, ich hab aktuell nur ein VDSL100, aber die VM ist nicht die Bremse - beim kopieren zwischen meinen Netzen (Lokal auf den Gameserver in der DMZ) komm ich voll auf Wirespeed im Gigabit-Bereich, direkt im Netz der VMs hab ich das noch nicht getestet, was da noch mehr möglich wäre.
1. @What9000 , Du könntest auch opnsense und (statt pihole) als Community Plugin adguard Home "bare metal" probieren.
2. Aber opnsense ist bei mir meist etwas langsamer gewesen als pfsense oder openwrt.
3. Wie misst Du den Speed - meine Speedtests (www und speedtest-cli) bei Vodafone zeigen oft nur um die 500Mbit, auch wenn ein iperf3 Test bis zu 9xx Mbit zeigt.
4. Quasi jedes neue System dürfte stromsparender sein. Beim Neukauf aber auf AES-NI achten, daher keine der J1900 Kisten, wenn Du irgendwann VPN / sonstige Verschlüsselung brauchst.
2. Aber opnsense ist bei mir meist etwas langsamer gewesen als pfsense oder openwrt.
3. Wie misst Du den Speed - meine Speedtests (www und speedtest-cli) bei Vodafone zeigen oft nur um die 500Mbit, auch wenn ein iperf3 Test bis zu 9xx Mbit zeigt.
4. Quasi jedes neue System dürfte stromsparender sein. Beim Neukauf aber auf AES-NI achten, daher keine der J1900 Kisten, wenn Du irgendwann VPN / sonstige Verschlüsselung brauchst.
Snuskhammer
Enthusiast
- Mitglied seit
- 25.09.2005
- Beiträge
- 1.111
Moin,
Wie baut ihr eure Firewall Regeln? Lasst ihr von innen einfach alles raus? Erlaubt ihr bestimmte Ports? Welche Regellisten nutzt ihr so für Malware Erkennung?
Wie baut ihr eure Firewall Regeln? Lasst ihr von innen einfach alles raus? Erlaubt ihr bestimmte Ports? Welche Regellisten nutzt ihr so für Malware Erkennung?
Einfach opnsense auf USB Stick installieren und von dort testen. Dann kannst du notfalls wieder leicht zu proxmox zurück.
Adguard Home für opnsense:
1. Community Repo installieren: https://www.routerperformance.net/opnsense-repo/
2. Opnsense update und dann Adguard Home Plugin installieren
3. Adguard Home "enable" und dann über Port 3000 aufrufen und konfigurieren
4. Unbound auf anderen Port (statt 53) legen und als upstream DNS bei adguard eintragen, so dass Deine DHCP Namen aufgelöst werden
5. SSL Certificate zu Adguard Home hinzufügen.
Adguard Home für opnsense:
1. Community Repo installieren: https://www.routerperformance.net/opnsense-repo/
2. Opnsense update und dann Adguard Home Plugin installieren
3. Adguard Home "enable" und dann über Port 3000 aufrufen und konfigurieren
4. Unbound auf anderen Port (statt 53) legen und als upstream DNS bei adguard eintragen, so dass Deine DHCP Namen aufgelöst werden
5. SSL Certificate zu Adguard Home hinzufügen.
What9000
Urgestein
- Mitglied seit
- 15.01.2011
- Beiträge
- 4.415
@Uhrzeit
Ich hatte OPNSense in einer KVM in Proxmox. Da ging die CPU selbst bei einfachen Download-Lasten recht schnell rauf. Da ich aber einen DNS-Blocker mit auf der Maschine haben wollte und nur PiHole kannte, musste ich die Pille halt schlucken.
Nun läuft OPNSense bare metal drauf und AdGuard mit den zurückgelegten Listen vom PiHole ist auch eingerichtet.
Gefühlt flutscht es schon nochmal ein wenig schneller. Genauere Tests kommen dann noch.
Ich hatte OPNSense in einer KVM in Proxmox. Da ging die CPU selbst bei einfachen Download-Lasten recht schnell rauf. Da ich aber einen DNS-Blocker mit auf der Maschine haben wollte und nur PiHole kannte, musste ich die Pille halt schlucken.
Nun läuft OPNSense bare metal drauf und AdGuard mit den zurückgelegten Listen vom PiHole ist auch eingerichtet.
Gefühlt flutscht es schon nochmal ein wenig schneller. Genauere Tests kommen dann noch.
fard dwalling
Experte
- Mitglied seit
- 22.10.2017
- Beiträge
- 889
Ganz ehrlich? Ich hab's heute nicht hinbekommen. 🤪
Aber auch das Thread Protection hat nicht geklappt...
Eigentlich hat heute nix geklappt, der Nextcloud Dicker auf meinem Unraid wollte auch nicht... Ich geh jetzt ins Bett...
Aber auch das Thread Protection hat nicht geklappt...
Eigentlich hat heute nix geklappt, der Nextcloud Dicker auf meinem Unraid wollte auch nicht... Ich geh jetzt ins Bett...
Die Leute sagen, das Menü an der Seite (OPN) ist einfacher als oben bei pf. Das und die Suche innerhalb dessen, ist meist das Killerargument.
Ich versuch noch zu begreifen wie das dermassen entscheidend sein kann. Die Suche, sind Strings
Man muss also schon wissen was man eintippt, ergo muss man das schon kennen. Wenn ich das kenne, kenne ich die Soft schon. Genauso, wie ich pf kennen müsste. Und dann find ich das ebenfalls schon. Nun... ok. Ich bin aber auch kein Fanboy. Von mir aus soll es das sein.Ich habs leider nicht zu 100% gepeilt zuerst. Ich dachte du hast pfSense in der VM gefahren und jetzt schaust du dir OPN in einer VM. Um sich zu persönlich zu entscheiden. Wenn ich wusste du nutzt bereits OPN und es ist alles gut damit für dich, hätt ich das natrlich nicht geschrieben.
Da, wie gesagt, kein Fanboy
What9000
Urgestein
- Mitglied seit
- 15.01.2011
- Beiträge
- 4.415
Nene.. Da PiHole ja auf Linux und OPNSense auf BSD basiert, musste ich sozusagen entweder zwei Maschinen oder eben mit Virtualisierung arbeiten. Habe dann mit Proxmox gearbeitet und beides virtualisiert.
Das hat dann dazu geführt, dass in meiner GBit-Leitung bei ca. 400Mbit/s Schluss war, weil die OPNSense-KVM zu 100% ausgelastet war (ist halt n uralter i3-540). Durch den Tip mit der AdGuard-Erweiterung direkt in OPNSense konnte ich nun bare metal installieren.
Ergebnis:
Und das bei ca. 15% Last auf der CPU. Je nach Test-Server mal mehr Upload, mal mehr Download.
Das hat dann dazu geführt, dass in meiner GBit-Leitung bei ca. 400Mbit/s Schluss war, weil die OPNSense-KVM zu 100% ausgelastet war (ist halt n uralter i3-540). Durch den Tip mit der AdGuard-Erweiterung direkt in OPNSense konnte ich nun bare metal installieren.
Ergebnis:
Und das bei ca. 15% Last auf der CPU. Je nach Test-Server mal mehr Upload, mal mehr Download.
Ähnliche Themen
- Artikel