[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Naja, ich hab 2 opnSense im Failover. Wenn beide ausfallen, hab ich eh andere Probleme - und die relevante(n) IPs kann ich eh auswendig. Ich stecke meine Dinger nicht in andere Netzwerke - höchstens halt Clients - die stehe auf DHCP.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
DNS ohne feste (zumindest statische DHCP-) IPs stell ich mir sportlich vor...
Wenn man daheim nix mit DNS macht, mag das gehen, aber ich mag meine Domäne nix mehr weg denken... =)
Verständliche Rechnernamen sind imho besser als IPs...
 
Nur weil ich meine IPs gerne so zurodne das ich anhand der IP erkennen kann was genau es ist heißt das nicht das ich kein DNS hab - ganz im Gegenteil. Du ziehst hier gerade einen falschen Schluss, warum auch immer.
 
Ich hab mein ganzes Infrastrukturgeraffel (Server, IPMI, Coreswitch..) auch auf feste IPs - Ist aber natürlich auch alles im DNS eingetragen.
Geht mir nur darum auch mal Zugriff auf die Geräte zu haben, falls mir mein ganzes Netzwerk um die Ohren fliegen sollte. Ist aber auch eher historisch gewachsen, mittlerweile kann man ja auch viel mit IPv6 Link-locale Adressen arbeiten. Man muss sich nur vorher die MAC-Adressen oder gleich die LL irgendwo notieren 🙃

Alles andere "unkritische" (IoT, Access Points) hat statische Reservierungen, genauso wie Sonderkandidaten wie Nintendo Switch oder die XBox, welche für offenes NAT besondere Einstellungen brauchen. Der Rest macht einfach nur DHCP.
 
Hallo zusammen,

mein qotom Q550G6 ( 16G RAM 128G SSD, Q550G6 6200U NO WiFi ) aus dem Jahr 2018 spackt seit einiger Zeit rum, bis es nun garnichtmehr ging. Ich bekomme beim booten mehere Minuen diesen Fehler:

i_pci1-slot0: Controller timeout


Nun bin ich auf der Suche nach etwas soliderem für meine pfSense - d.h. einem Supermicro-Board mit genug ( mind. 6 ) 1GigE Ports. + 1HE Gehäuse. Gerne mit festverlötetem CPU oder einzeln, denke ab einem i3 oder Atom/Avaton sollte es genügen. AESNI usw sind sicherlich fein. Genug Leistung bei wenig Storm :)

Was könnt ihr mir da empfehlen?

Danke!!
 

Anhänge

  • qotomMiniPcError.jpg
    qotomMiniPcError.jpg
    1,7 MB · Aufrufe: 160
Zuletzt bearbeitet:
6 GBit-Ports wird schwer, aber die embedded Epyc Boards (M11-SD...) haben 4 + 1 IPMI.
Dazu noch ne Quad-NIC im Riser und gut is.
Wies der Zufall so will, hätte ich gerade genau sowas übrig. *fg* :fresse:
M11-SDV (kein RAM)
Quad-Port Gbit Intel NIC (oder ne beliebige Singleport SFP+ 10Gbit-CX3)
passende Riser- und Abstands-Riser-Karte
 
Kennt jemand dieses Video von networchuck?

Dort wird via Cloudflare und SSL Verschlüsselung der Port 443 zu einem LoadBalancer (https://freeloadbalancer.com/) gemappt, von dem aus man dann auf die einzelnen Services in seinem Home Network zugreifen kann.

Wenn ich eine OPNsense habe, müsste ich mir doch den LoadBalancer sparen können und das auf der Sense machen, oder? Ist das dann im Prinzip ein Reverse Proxy, oder was ist genau der Unterschied? Cloudflare bietet ja diverse Sicherheitsfeatures an, wenn da der Traffic drüber läuft.

Könnt ihr mich da ein wenig erhellen, bzw. mir sagen, was das Pendant dazu auf der Sense ist und wie ich es einrichte? Oder sollte ein anderer Weg bevorzugt werden?

Danke schonmal für eure Infos
 
Wenn nur Du zugreifen willst und nur von "Deinen" Geräten (Handy, Laptop, ....), dürfte ein VPN ins Heimnetz deutlich sicherer und leichter sein (ob nun wireguard, openVPN, ZeroTier, Tailscale oder whatever).
 
Mal ne blöde Frage zu meinem HA-Aufbau. Ich hab ne Fritzbox, an der hängen 2 OPNsense. In der Netzwerkübersicht der Fritzbox werden mir allerdings 3 Geräte angezeigt:
1673634620216.png

Wo kommt der dritte Eintrag her?
 
Das ist das failover Interface.
Wenn du HA hast, haben beide Sense eine IP und es gibt eine, über die ist der jeweilige gerade aktive Master erreichbar. Das ist die dritte IP (das CARP Interface)
 
Neee, wenn überhaupt ist es die VIP - das CARP Interface verbindet die beiden OPNsense ja miteinander und ist nicht mit der Fritzbox verbunden. Die VIP ist aber auch eine andere und wird hier garnicht angezeigt - daher meine Verwirrung.
 
Nabend zusammen,

gibt es eine möglichkeit Opnsense mit DHCP und Pflege der DNS-Namen zu nutzen wenn man gleichzeitig AdGuard mit Liste der DNS Abfragen per Host haben will?

Derzeit leite ich alle DNS Queries an Adguard weiter die die Sense nicht beantworten kann. Damit zeigt Adguard immer die Sense an.
Stelle ich als DNS Server meiner DHCP Clients Adguard ein, kennt Adguard die Namen meiner Clients logischerweise nicht.

Übersehe ich etwas?

Danke und Gruß
 
Genau. Adguard auf :53 lauschen lassen und die Anfragen an unbound :irgendeinandererport weiterleiten.

Ich leite von Adguard alles an unbound weiter, da ich lieber selbst den resolver betreibe als bei dritten anzufragen; aber Du kannst natürlich auch selektiv weiterleiten, zB


Code:
# local domain resolver
[//deineTLD.de/lan/workgroup/lokal/home/homenet/local/localhost/intranet/internal/private/]127.0.0.1:5553

Mit // sollten alle Anfragen ohne TLD weitergeleitet werden.
 
Wenn ich eine OPNsense habe, müsste ich mir doch den LoadBalancer sparen können und das auf der Sense machen, oder? Ist das dann im Prinzip ein Reverse Proxy, oder was ist genau der Unterschied? Cloudflare bietet ja diverse Sicherheitsfeatures an, wenn da der Traffic drüber läuft.

Könnt ihr mich da ein wenig erhellen, bzw. mir sagen, was das Pendant dazu auf der Sense ist und wie ich es einrichte? Oder sollte ein anderer Weg bevorzugt werden?

Danke schonmal für eure Infos
Schau dir HAProxy an.
 
Umzug auf andere Hardware?

Möchte/werde in den nächsten Tagen vom meinem "Fujitsu D538 PC" auf die Topton Box umziehen.
Die vorhandene SSD/Installation von OPNsense möchte ich hier 1:1 übernehmen.

Wie macht man das am Besten/Einfachsten?


Musste im Herbst mal bei meinem Fujitsu PC mal die zusätzlich verbaute Intel-NW tauschen - war ein Disaster, bis da dann wieder alles lief.


Irgendwie kapiere ich die Neuzuweisung der Interfaces nicht wirklich - damals war alles weg ...


Danke!


LG
 
Config exportieren und auf der neuen Box importieren. Ggfs interfaces neu zuweisen.
 
Na ja, das ist ja irgendwie mein Problem.

Irgendwas habe ich damals in der Konsole (DOS-Optik) falsch gemacht - die Zuweisung ging irgendwie in die Hose.


Kann man nicht die aktuelle Config herunterladen und dort manuell die neuen Interface Bezeichnungen eintragen?

LG
 
@hs_warez Bei der pfSense musst Du die config herunterladen und mit einem Text-Editor anpassen... damit das funktioniert musst Du die Bezeichnungen der neuen Geräte aber kennen, also vorher auf der neuen Hardware diese sich angucken, z.B. em0; igb0, etc. und dann z.B. em1 durch igb1 ersetzen und so weiter. 😉
 
@hs_warez Bei der pfSense musst Du die config herunterladen und mit einem Text-Editor anpassen... damit das funktioniert musst Du die Bezeichnungen der neuen Geräte aber kennen, also vorher auf der neuen Hardware diese sich angucken, z.B. em0; igb0, etc. und dann z.B. em1 durch igb1 ersetzen und so weiter. 😉

Ok, danke!

Hier ein Auszug.

WAN "igb3"+ LAN "igb0" - sind mir klar - hier muss ich dann die Bezeichnungen der neuen Box eintragen.

Wie siehts aber mit "opt2 / vlan01" und "opt1 / vlan02" aus!?


Kurz gesagt - derzeit:
1x Lan = WAN
1x Lan = Heimnetz
1x Lan = VLAN1+VLAN2 (=Drucker + HomeOffice/Gast)

<interfaces>
<wan>
<if>igb3</if>
<descr>4_WAN_LIWEST</descr>
<enable>1</enable>
<lock>1</lock>
<spoofmac/>
<blockpriv>1</blockpriv>
<blockbogons>1</blockbogons>
<ipaddr>dhcp</ipaddr>
<dhcphostname/>
<alias-address/>
<alias-subnet>32</alias-subnet>
<dhcprejectfrom/>
<adv_dhcp_pt_timeout/>
<adv_dhcp_pt_retry/>
<adv_dhcp_pt_select_timeout/>
<adv_dhcp_pt_reboot/>
<adv_dhcp_pt_backoff_cutoff/>
<adv_dhcp_pt_initial_interval/>
<adv_dhcp_pt_values>SavedCfg</adv_dhcp_pt_values>
<adv_dhcp_send_options/>
<adv_dhcp_request_options/>
<adv_dhcp_required_options/>
<adv_dhcp_option_modifiers/>
<adv_dhcp_config_advanced/>
<adv_dhcp_config_file_override/>
<adv_dhcp_config_file_override_path/>
</wan>
<lan>
<if>igb0</if>
<descr>1_LAN_Heimnetz</descr>
<enable>1</enable>
<lock>1</lock>
<spoofmac/>
<ipaddr>192.168.1.1</ipaddr>
<subnet>24</subnet>
</lan>
<lo0>
<internal_dynamic>1</internal_dynamic>
<descr>Loopback</descr>
<enable>1</enable>
<if>lo0</if>
<ipaddr>127.0.0.1</ipaddr>
<ipaddrv6>::1</ipaddrv6>
<subnet>8</subnet>
<subnetv6>128</subnetv6>
<type>none</type>
<virtual>1</virtual>
</lo0>
<opt2>
<if>vlan01</if>
<descr>1_VL_Drucker</descr>
<enable>1</enable>
<lock>1</lock>
<spoofmac/>
<ipaddr>192.168.20.1</ipaddr>
<subnet>24</subnet>
</opt2>
<opt1>
<if>vlan02</if>

<descr>2_VL_Gast_HomeOffice</descr>
<enable>1</enable>
<lock>1</lock>
<spoofmac/>
<ipaddr>192.168.30.1</ipaddr>
<subnet>24</subnet>
</opt1>
<wireguard>
<internal_dynamic>1</internal_dynamic>
<enable>1</enable>
<if>wireguard</if>
<descr>WireGuard (Group)</descr>
<type>group</type>
<virtual>1</virtual>
<networks/>
</wireguard>
<opt3>
<if>wg0</if>
<descr>WG</descr>
<enable>1</enable>
<lock>1</lock>
<spoofmac/>
</opt3>
</interfaces>
 
Na ja, das ist ja irgendwie mein Problem.

Irgendwas habe ich damals in der Konsole (DOS-Optik) falsch gemacht - die Zuweisung ging irgendwie in die Hose.


Kann man nicht die aktuelle Config herunterladen und dort manuell die neuen Interface Bezeichnungen eintragen?

LG
Du kannst
- die Interfaces jederzeit neu zuweisen, von der GUI oder von der Konsole
- alternativ auch die config.xml editieren (seeehr ähnliches Format zu pfsense)
 
@hs_warez Die Zuordnung der VLANs zu einzelnen NICs wird wohl an anderer Stelle in der Config gemacht?

So sieht das beispielhaft in pfSense aus:
XML:
        <opt7>
            <descr><![CDATA[vlan131_FTphone]]></descr>
            <if>hn0.131</if>
            <spoofmac></spoofmac>
            <enable></enable>
            <ipaddr>192.168.131.1</ipaddr>
            <subnet>24</subnet>
        </opt7>
 
Zuletzt bearbeitet:
Ggf. begrenzt die OPNsense aber die VLANs gar nicht auf einzelne Interface?
 
Das VLAN braucht ja ein Parent Interface... ka für mich sieht der Export fehlerhaft aus.
 
Gibt es eigentlich in OpnSense eine änhliche Funktion wie bei der Fritz box ala Exposed Host?

Problem ist folgendes:
Meine Freunde und ich spielen super gerne Snowrunner. Jedoch gibt es dort immer wieder unterschiedliche konstellationen das bei einem die Verbindung zu mir als Host funktioniert und bei einem anderen nicht. Das geht immer so reihum. Einer hat es auf Epic, und wir restliche 3 auf steam.

Jetzt kommt man natürlich erstmal auf PortForward und NAT.
Das sitzt von den Settings her. Das Problem ist das es zumindest nach unseren troubleshooting sessions, so aussieht als werden noch ganz andere ports genutzt welche aber nirgendwo
angegeben sind. Die die man findet habe ich alle drin. Aber dennoch kommt es zu diesen Phänomenen.

Daher jetzt die Frage, kann man quasi meinen daddelrechner, ist sonst nicht weiter drauf, so nach außen stellen das sich die Sense quasi nicht einmischt?
Und funktioniert dabei der Internetzugriff für alle weiteren Devices wie gehabt?

Oder habt ihr eine andere Idee wie man da noch vorgehen könnte?
Ich hatte schon überlegt die IPs meiner kumpels zu dem Zeitpunkt wann wir spielen wollen auf die Allowed liste zu setzen.
Allerdings passiert das Game Client Matching soweit wir das rausgelesen haben für die PC version über das PSN.
Da kommen dann vermeintlich noch ganz andere Sachen temporär an. Der Port dafür ist auch offen. Aber wie gesagt.
Wir haben häufig diese Probleme

Es muss nichtmal zwangsläufig an der Sense liegen. Da viele andere auch Probleme dieser und anderer Art haben.
Ich möchte das aber endlich mal aus der welt schaffen das die Sense daran angeblich "schuld" sein soll.

Vielen Dank vorab.
 
Die ersten Treffer von Google haben nicht geholfen?
Einen Portbereich freigeben sollte in OPNsense kein Problem darstellen...

Ein Glück, dass ich son Kram nicht mehr mache, früher(tm) haben ein, zwei Ports pro Spiel gereicht.
Jetzt bohrt man nicht mehr nur einzelne Löcher in die Feuerwand, nein, jetzt sprengt man direkt dicke 200er Brocken raus... :wall:
 
Das VLAN braucht ja ein Parent Interface... ka für mich sieht der Export fehlerhaft aus.
Das müsste hier ja leicht zu klären sein.
Braucht ein VLAN aber wirklich ein parent interface? Letztlich darf die selbe VLAN ID ja nur einmal vergeben werden, egal wie viele Interface angeschlossen sind. Von daher, warum nicht das VLAN als tatsächlich eigenes Interface behandeln? Ich hab aber keinen background in IT etc.
 
Die ersten Treffer von Google haben nicht geholfen?
Einen Portbereich freigeben sollte in OPNsense kein Problem darstellen...

Ein Glück, dass ich son Kram nicht mehr mache, früher(tm) haben ein, zwei Ports pro Spiel gereicht.
Jetzt bohrt man nicht mehr nur einzelne Löcher in die Feuerwand, nein, jetzt sprengt man direkt dicke 200er Brocken raus... :wall:

Jau das hab ich gemacht.
Ja ich find es auch affig. Aber was willst machen.
Seitdem alles mit allem und über alles ja reden muss und man sich nicht mehr auf standards einigen kann ist doch die kacke am dampfen...

das einzige was ich mir noch vorstellen kann ist das die Port Forwards mit dem Schalter / Associated Filter Rule (Pass) nicht richtig ziehen. Eventuell sollte ich die Fw regeln mal explizit erstellen.
Eventuell könnte das noch helfen. Aber wenn das halt nicht sauber funktioniert dann dürfte ja eigentlich gar keiner zu mir connecten können. Und so ist es ja nun auch nicht...
 
Gibt es eigentlich in OpnSense eine änhliche Funktion wie bei der Fritz box ala Exposed Host?
In der pfSense könntest Du wohl einen Port Forward auf deinen Host machen, wobei bei Ports dann "any" ausgewählt werden muss. Alternativ kann man wohl auch 1:1 NAT machen, aber dabei war noch irgendwas zu beachten...
 
In der pfSense könntest Du wohl einen Port Forward auf deinen Host machen, wobei bei Ports dann "any" ausgewählt werden muss. Alternativ kann man wohl auch 1:1 NAT machen, aber dabei war noch irgendwas zu beachten...
Danke dir! Die Features schau ich mir nochmal eingehender an. GEsehen hab ich die wohl, aber eher drübergeskippt.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh