[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Naja, die Frage ist doch, wo ist das groß "Name" oder "No-Name" - am Ende wird vieles in ähnlichen Fabriken gefertigt.
Die kleinen Teile erinnern sehr stark an die früher üblichen IPCs...

Mein FW-Mainboard als "no-name" mit dem 4x Intel und dem D2550 drauf tut heute noch, wenn ich es laufen lasse, aber da virtualisiert ist es seit 2 Jahren zu 90% der Zeit leider aus...
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wie vertrauenswürdig/zuverlässig sind denn solche "No-Name-China-Boxen"!?

Ich nutze einen Fujitsu D538/E94+ (Pentium G5600) für OPNSense - muss mal den echten Verbraucht messen.


LG
Ich habe auch eine China-Box, die baugleich zu Protectli ist (es ist wahrscheinlich sogar das gleiche Gerät). Ich habe coreboot von Protectli geflashed.

Leider scheint es coreboot nur von bzw. für Protectli zu geben (bzw. baugleiche Geräte).
 
Ich habe auch eine China-Box, die baugleich zu Protectli ist (es ist wahrscheinlich sogar das gleiche Gerät). Ich habe coreboot von Protectli geflashed.

Leider scheint es coreboot nur von bzw. für Protectli zu geben (bzw. baugleiche Geräte).

Muss ich mir mal ansehen.
Welche Box hast du in Verwendung?

LG
 
Muss ich mir mal ansehen.
Welche Box hast du in Verwendung?

LG
Meine Box entspricht der FW4B.

Es handelt sich glaube ich um dieses Gerät, auf das ich dann coreboot von Protectli geflashed habe: XSK NUC Mini

Die Hardware ist natürlich "veraltet". Allgemein werden (nicht nur bei Protectli) viele der Geräte mit "alten" CPUs verkauft bzw. erhalten häufig nicht die aktuellen CPU.
Aus der Sicht ist das Gerät, um das es hier vorher ging, schon interessanter (inkl. 2.5 GBe). Leider findet man abseits Protectli kaum/kein CoreBoot.
 
Ob „J oder N“ Intel Prozessoren sollte ja bei den Boxen egal sein, oder?
 
OPNsense 22.7.3 hatte wohl doch ein paar bugs: https://forum.opnsense.org/index.php?topic=30145.msg145541#msg145541

Dürfte dann die nächsten Tage veröffentlicht werden.
Gibt es da eigentlich eine sichere Herangehensweise bei OPNsense, also z.B. nur Point Release mit geraden Zahlen oder so... 😜
Weil für meinen Geschmack ist das doch echt arg experimentell.

Was mich bei pfSense wiederum nervt, den "Bug" mit Hyper-V hatte OPNsense Anfang des Jahres sehr schnell gefixt, in pfSense CE ist dieser immer noch vorhanden... wäre ich kein kostenloser +User wäre ich ansonsten inzwischen auch gewechselt.
 
Zuletzt bearbeitet:
Gibt es da eigentlich eine sichere Herangehensweise bei OPNsense, also z.B. nur Point Release mit geraden Zahlen oder so... 😜
Weil für meinen Geschmack ist das doch echt arg experimentell.
Klar. Die Business Edition ist gut abgehangen (aber immer noch häufiger aktualisiert als pfsense).

Oder Du bleibst einfach ein, zwei Versionen hinter der aktuellen - daher erst auf die vorletzte Version updaten, wenn eine neue rauskommt.

Immerhin hast Du hier die Wahl; bei pfsense gibt's nur "gut abgehangen". ;)
Beitrag automatisch zusammengeführt:

Das ging schnell:

"A hotfix release was issued as 22.7.3_2:

o system: work around phpseclib 3 flagging RSA-PSS as an invalid key alogrithm
o system: check for existing X509 class before doing CRL update"

 
Zuletzt bearbeitet:
Hi zusammen,

hab die Frage schon im Unraid Forum gestellt, ich glaub aber es ist eher Firewall relevant, vielleicht wisst ihr dazu eine Antwort.
Ich habe im 10.0.0.xx Subnet die Sense (1), Switch (2), APs (3-6) und meinen Unraid Server (100).

Wenn ich mit meinen Laptop auf Unraid zugreifen möchte und der sich im 10.0.0.xx Subnet (also das Gleiche wie der Server) befindet, funktioniert alles wie es soll.

Wenn ich jedoch meinen Laptop in eines meiner VLANs hänge (10 Home, 20 IoT, 100 Guest), dann komme ich zwar auf die Weboberfläche von Unraid, dort funktioniert auch alles, wenn ich jedoch z.B. auf einen Docker oder eine VM via VNC zugreifen möchte, dann kann ich das tun, es funktioniert erstmal alles, wie es soll, jedoch friert nach 30-40 Sekunden alles ein. Wenn ich den Tab dann beende oder neu lade, dann funktioniert wieder alles für etwa 30 Sekunden. Das ist natürlich total unpraktikabel.

Ich habe (noch) keine besonderen Firewall Rules zwischen den einzelnen VLANs, ich bin immer noch mit der Struktur beschäftigt und solche Dinge bremsen einen halt immer aus.

Mein erster Versuch/Vermutung war, da dies ja bei Telefon mit den Sipdaten auch passiert ist, dass die Ports regelmäßig remapped werden und ich dann die Verbindung verliere. Habe dann versucht eine Outbound NAT Rule (ähnlich der Rule fürs Telefon) zu erstellen, mit z.B. dem Home (10) VLAN als Source, dem Server (10.0.0.100) als Destination, any Ports und dann auf static Port gestellt. Das hat aber nichts gebracht.

Bin ich da generell auf dem richtigen Weg und hab nur bei der Rule was falsch gemacht, oder woher kann mein Problem kommen?

Danke euch schonmal
vg Wirman
 
Klar. Die Business Edition ist gut abgehangen (aber immer noch häufiger aktualisiert als pfsense).

Oder Du bleibst einfach ein, zwei Versionen hinter der aktuellen - daher erst auf die vorletzte Version updaten, wenn eine neue rauskommt.

Ist der zweite Satz ernst gemeint? Ich nutze zwar (noch) kein OPNsense aber in den neuen Versionen werden doch auch Security-Lücken beseitigt. Und wenn dann mal eine kritische Lücke darunter ist, würde man mit der obigen Empfehlung mit einem ggf. anfälligen System online bleiben. Daher aus meiner Sicht eine schlechte Empfehlung (sofern es eine Empfehlung ist). Dann wohl eher die Business Edition einsetzen, die bzgl. Security-Updates gepflegt wird (davon gehe ich zumindest aus).
 
Ich habe (noch) keine besonderen Firewall Rules zwischen den einzelnen VLANs,
NAT kommt mE nicht ins Spiel, da ja zwischen privaten Netzen geroutet wird.

Firewall rule brauchst Du für Zugriff von einem VLAN in irgendwas anderes. Also irgendeine Regel musst du da schon eingestellt haben

Probier Mal die Firewall optimization auf "conservative" zu stellen. Aber auch das wird's vermutlich nicht sein.
 
@Wirman:
Schwierig zu verstehen der Post ist.
Wie ist die IP-Verteilung in den anderen VLANs?
Hoffentlich nicht dieselbe (10.0.0.x)?
Was für ne *sense?

Die grundsätzliche Konfiguration eines VLANs lässt erst mal generell keine Kommunikation zw. den VLANs zu.
D.h. du brauchst eine Regel, die entweder das gesamte VLAN oder einzelne IPs / Ports zwischen den VLANs freischaltet.
Poste doch bitte mal deine Regeln.

//Edith:
30..40s hört sich wirr an.
Bei 60 s hätte ich ja auf async. VLAN-Routing im Switch getippt...
 
Danke schonmal für eure Antworten!

@Weltherrscher
Ja, die Nummern waren für die Subnets gedacht, das war nicht vollständig, also Home ist z.B. im Subnet 10.0.10.xx.
Es geht um eine OPNsense.

Ich habe bisher nur überall Allow all Regeln, diese wollte ich dann (wenn eben alles mal mit den allow all Regeln funktioniert) mit vorher ausgeführten Regeln sukzessive blocken. Also in jedem VLAN exisitiert eine allow all Regel von diesem VLAN von allen Ports zu allen Ports überall. Eine Remotedesktopverbindung VLAN übergreifend funktioniert z.B..

@asche77
Tatsächlich ist es das. Firewall optimization auf conservative und es klappt VLAN übergreifend ohne connection loss.
"conservative Tries to avoid dropping any legitimate idle connections at the expense of increased memory usage and CPU utilization."
Warum droppt die sense denn eine legitime idle connection? Vor allem idlen die connections ja nicht. Auch wenn ich durchgehend die 30-40s etwas tippe oder tue, bricht die Verbindung stets ab.
Hat die Einstellung andere Nachteile, außer der erhöhten CPU und Memory Usage?
 
@Wirman Die Firewall ist ja statefull, d.h. Du fragst etwas an und die Firewall lässt die Antwort der Gegenseite automatisch zu. Wie lange aber die Firewall auf eine Antwort warten soll, also der State bestehen soll, das kann keiner wissen, deswegen gibt es die Timeouts, die Du durch die unterschiedlichen Profile wie "conservative" beeinflussen kannst. Je länger der Timeout desto mehr Speicherverbrauch, weil die einzelnen States länger "leben". Du kannst ja in der Übersicht sehen, wie es um den Speicherverbrauch etc. bestellt ist. Vermute mal, das dürfte kein Problem sein.
Wenn Du aber eh überall "allow" drin stehen hast, dann dürfte es hier eigentlich kein Problem geben, weil ja generell eh alles erlaubt ist, ob nun Antwort oder nicht. Und hier kommt sicher Docker ins Spiel mit seinen unterschiedlichen Netzwerk-Arten. Manche sind vermutlich ein eigener Router. D.h. u.U. könnte man auch Docker besser einstellen, damit es erst garnicht zu solchen Problemen kommt, aber dafür muss man sich halt auch mit Docker auskennen.
 
Zuletzt bearbeitet:
Ist der zweite Satz ernst gemeint?
Wenn ich nicht scharf auf Wireguard gewesen wäre, dann wäre ich heute noch auf 2.4.5-p1 und hätte 20 Stunden Lebenszeit - aufgrund von Bugs, die bis heute nicht ordentlich gefixt sind - gespart.
in den neuen Versionen werden doch auch Security-Lücken beseitigt
Ja, aber nenn mir mal eine aus den letzten paar Jahren, die - solange man selber keine groben Dummheiten begeht - eine echte Gefahr darstellt, wenn man sie nicht stopft.
 
Zuletzt bearbeitet:
Wenn ich nicht scharf auf Wireguard gewesen wäre, dann wäre ich heute noch auf 2.4.5-p1 und hätte 20 Stunden Lebenszeit - aufgrund von Bugs, die bis heute nicht ordentlich gefixt sind - gespart.
Also eine Security-Appliance, die man aus Angst aus Stabilität (bzw. Angst vor Problemen) möglicherweise unsicher betreibt? Kann es doch irgendwie auch nicht sein.

Ja, aber nenn mir mal eine aus den letzten paar Jahren, die - solange man selber keine groben Dummheiten begeht - eine echte Gefahr darstellt, wenn man sie nicht stopft.
Ich kenne die konkreten Bugs und Probleme nicht von OPNsense und bin kein Pentester. Es gab und gibt aber in kommerziellen Firewalls immer mal wieder Security Lücken mit sehr hohem CVSS, die ausgenutzt werden können (von Angreifern). Wieso sollte es so etwas nicht für OPNsense geben? Klar, ob man als Privatanwender angegriffen wird, ist wieder eine andere Geschichte.
 
Kann es doch irgendwie auch nicht sein.
Doch und wenn man dem Netgate Forum glauben schenkt, dann ist die Verwendung älterer Versionen (ggf. mit nachinstallierten Patches) unter professionellen Nutzern eher noch verbreiteter als unter Privatanwendern.
möglicherweise unsicher
Solange im Changelog nichts auftaucht, was mich dazu veranlasst, mir in die Hose zu machen, seh ich persönlich keinen Grund für "Updateritis".
Wieso sollte es so etwas nicht für OPNsense geben?
Das schließ ich ja nicht aus, nur würde man, wenn es welche gäbe, die gefixt wurden, ja etwas darüber finden können.
 
Mal zwei Fragen an die OPNsense-Gemeinde, ob dort folgendes zu Privacy-VPNs besser gelöst ist.
  1. Bei mehreren OVPN-Tunneln kommt es immer wieder vor, dass Tunnel die selbe IP (und das selbe Gateway) vom Anbieter zugeordnet bekommen. Die pfSense interessiert das nicht, trotz Gateway Monitoring. Letzteres signalisiert, dass alles ok sein, geroutet wird aber immer nur zu einem Tunnel, der andere kann nicht genutzt werden und muss erst händisch neugestartet werden.
  2. Einige Anbieter geben bei Wireguard von vorne herein nur noch eine einzige Tunnel-IP aus, Problem wie bei 1. Gibt es da einen möglichen Lösungsansatz? Einer wäre wohl VRF, dieses wird von pfSense aber nicht unterstützt.
Gibt es hier nennenswerte Unterschiede?
 
Zuletzt bearbeitet:
Hab dieses Teil mal beim Hersteller (Topton - Shop bei Alibaba) bestellt.
Box
 
@hs_warez
Ich hab damals extra meine Bestellung storniert, da sich ewig nichts getan hat. Nur als Info.
Hab dann so eine Box bei Amazon bestellt. War kaum teurer und falls mal etwas sein soll, dann schlag ich mich lieber mit dem großen A rum.
 
@hs_warez
Ich hab damals extra meine Bestellung storniert, da sich ewig nichts getan hat. Nur als Info.
Hab dann so eine Box bei Amazon bestellt. War kaum teurer und falls mal etwas sein soll, dann schlag ich mich lieber mit dem großen A rum.

Bei Amazon hab ich nur die alten Modelle gefunden.
Mal sehen, solange mein Fujitsu läuft habe ich keinen Stress.
 
Hab dieses Teil mal beim Hersteller (Topton - Shop bei Alibaba) bestellt.
Box
Hab mir auch so eine Kiste von TopTon bestellt.
Kam ohne Zoll an und läuft super mit PFSense.

Einzig, alle paar Tage ein Crash der PFSense VM, was ich aber eher an einem RAM Defekt vermute (und derzeit teste).
Oder aber an den Community Treibern von ESXI, für die Intel I225 Netzwerkkarten.
 
Hab mir auch so eine Kiste von TopTon bestellt.
Kam ohne Zoll an und läuft super mit PFSense.

Einzig, alle paar Tage ein Crash der PFSense VM, was ich aber eher an einem RAM Defekt vermute (und derzeit teste).
Oder aber an den Community Treibern von ESXI, für die Intel I225 Netzwerkkarten.
Hm, dieses Problem „brauche“ ich nicht.

Hab aber eine aktuellere Box (akt. CPU + 226er NW-Karte) bestellt und OPNSense wird „direkt“ darauf laufen – mal sehen …

LG
 
Umzug OPNsense auf neue Hardware?

Wie funktioniert denn der Umzug am Besten?
Einfach Datenträger umbauen, LAN-Schnittstellen neu zuweisen und fertig?

Oder, lieber neu installieren?
Falls man neu installiert, wie wäre dann der richtige Ablauf?
OS installieren, nötige Plugins installieren, Konfiguration einspielen, oder werden die Plugins automatisch „nachgezogen“ sobald man die Konfiguration einspielt?

Danke!
 
Falls man neu installiert, wie wäre dann der richtige Ablauf?
Also bei pfsense installierst du neu, importierst die Konfig und Plugins etc. werden dann automatisch installiert und eingerichtet.

Nach dem Importieren der Konfiguration müssen dann eventuell noch die Interfaces in der UI angepasst werden.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh