[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
In der pfSense könntest Du wohl einen Port Forward auf deinen Host machen, wobei bei Ports dann "any" ausgewählt werden muss. Alternativ kann man wohl auch 1:1 NAT machen, aber dabei war noch irgendwas zu beachten...
Bei einem 1:1 NAT kann nur diese eine Host ins Internet, da die WAN-IP fest auf eine bestimmte interne LAN-IP gemappt wird.
Macht eigentlich nur Sinn, wenn man per WAN ein Subnetz geroutet bekommt.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Bei einem 1:1 NAT kann nur diese eine Host ins Internet, da die WAN-IP fest auf eine bestimmte interne LAN-IP gemappt wird.
Ich meine nein, Outbound NAT wird immer noch wie gewohnt funktionieren, so wie bei anderen Routern auch ("DMZ").
 
Zuletzt bearbeitet:
Dann ist das, was pfSense aber macht, kein echtes 1:1 NAT. So funktioniert es bei Cisco und allen anderen Enterprise Routern.
In Cisco IOS-Sprech nennt sich der command dafür
Code:
ip nat inside source static <INNERE-IP> <OUTER-IP>
 
@hs_warez Die Zuordnung der VLANs zu einzelnen NICs wird wohl an anderer Stelle in der Config gemacht?

So sieht das beispielhaft in pfSense aus:
XML:
        <opt7>
            <descr><![CDATA[vlan131_FTphone]]></descr>
            <if>hn0.131</if>
            <spoofmac></spoofmac>
            <enable></enable>
            <ipaddr>192.168.131.1</ipaddr>
            <subnet>24</subnet>
        </opt7>

Das VLAN braucht ja ein Parent Interface... ka für mich sieht der Export fehlerhaft aus.

Das müsste hier ja leicht zu klären sein.
Braucht ein VLAN aber wirklich ein parent interface? Letztlich darf die selbe VLAN ID ja nur einmal vergeben werden, egal wie viele Interface angeschlossen sind. Von daher, warum nicht das VLAN als tatsächlich eigenes Interface behandeln? Ich hab aber keinen background in IT etc.


Hm, mal sehen - werde kommendes Wochenende den Hardwaretausch vollziehen.


LG
 
Mal so in die Runde gefragt..
Ich wollte demnächst nochmal meine Firewall etwas umstrukturieren bzw. Regeln etc. anpassen.
Evtl. sogar mal komplett alles neu aufsetzen.
Ist Opensense eigentlich besser/einfacher/innovativer oder sollte man bei Pfsense bleiben?
Würde sich der Umstieg lohnen?
 
Da kann man streiten bis die Sonne erlischt...

Im Endeffekt macht es nicht den großen Unterschied, da beides FreeBSD basiert. Du kannst sogar einen Großteil der config einfach rüberkopieren (.XML editieren), zB die static DHCP leases.

Ich bin vor ca 2-3 Jahren auf Opnsense umgestiegen und habe es nicht bereut. Gefällt mir besser und ich habe lieber häufigere kleinere Updates.

Pfblocker kann durch manuell eingerichtete IP blocklists und Adguard Home gut ersetzt werden.
 
Hm, mal sehen - werde kommendes Wochenende den Hardwaretausch vollziehen.


LG

So, habe den Wechsel soeben vollzogen.
Für eine vollständige Anpassung (inkl. VLAN's) in der Konsole bin ich zu dämlich.

Mein "Workaround":
  • Konfig. der alten Firewall manuell gesichert
  • SSD in die neue TopTon Box eingebaut und gebootet (mit Monitor)
  • neue Bezeichnung der Schnittstellen notiert
  • Konfig. mittels Wordpad geöffnet und mittels "suchen/ersetzen" sämtliche "interfaces" umgeschrieben (aus z.B. igb0 wurde dann igc0, usw.)
  • bei der neuen Box manuell die Schnittstelle "igc0" als mein "Heim-Netz" definiert => nach Neustart hatte ich dann Zugriff auf das GUI
  • mittels GUI dann die bearbeitete Konfig.-Datei "wiederhergestellt"
  • Neustart
  • fertig

Läuft wieder Alles wie vorher.


Einziger "Schwachpunkt" für mich - warum kann man die bearbeitete Konfigurationsdatei nicht gleich via Konsole von einem USB-Stick importieren!?
Würde die Sache einfacher machen.


Tja, egal - läuft.

Stromeinsparung hält sich in Grenzen.


LG
 
Hab nochmal ne Frage, habe grad ein Problem mit der IP Zuweisung.
Ich habe 3 Geräte, die eine andere IP bekommen haben, als ich ihnen zugewiesen habe. Ich weiß nicht genau wann die die andere IP bekommen habe, ich habe es nur gemerkt, weil ich die Geräte nicht mehr ansprechen kann.
Es handelt sich um meinen Batteriespeicher, den Wechselrichter und eine meiner zwei Reolink Kameras.
Das seltsame ist, dass die Geräte bei den Leases immer noch mit der zugewiesenen IP Adresse drin stehen, wenn der Batteriespeicher die IP nicht auf dem Display anzeigen würde, und die Reolink App mir nicht sagen würde, welche IP die Kamera gerade hat, wüsste ich gar nicht, mit welcher IP diese gerade verbunden sind. Beim Wechselrichter z.B. weiß ich es nicht, weil der kein Display hat.

Die Geräte sind alle in meinem IOT Vlan, es betrifft aber nur die 3 Geräte.
z.B. hat der Batteriespeicher die 10.0.0.126 obwohl ich ihm die 10.0.20.31 zugewiesen habe.
ähnlich bei der Kamera, die hat die 10.0.0.160, obwohl ich ihr die 10.0.20.21 zugewiesen habe
Wechselrichter sollte die 10.0.20.30 haben, ist unter der Adresse aber nicht erreichbar und taucht aber nicht unter seiner aktuell tatsächlichen Adresse in den Leases auf.

Ich bin verwirrt, vor allem weil ich an der OPNsense nichts gemacht habe und ich auch nicht weiß wann sich die Geräte eine neue IP geholt haben und warum sie nicht die zugewiesene bekommen haben und warum wenn sie sich schon eine andere IP holen, die nicht unter den Leases auftaucht.

Jemand ne Ahnung warum das überhaupt passieren kann?
 
Das lässt vermuten, dass die Geräte im falschen VLAN mit Subnetz 10.0.0.x eingehangen sind.
- WLAN SSID ist mit IOT Vlan verbunden?
- LAN Port ist dem VLAN zugeordnet?

Annahme: du hast keine fixen IP Adressen in den Einstellungen der Geräte eingegeben.
 
Für pfSense+ ist inzwischen ein Release Candidate erschienen, der auf FreeBSD 14 beruht und mit PHP 8.1 daherkommt. Gibt aber noch kleinere Probleme z.B. mit 100Mbit/s-NICs. Könnte sich also noch was hinziehen.
 
Das lässt vermuten, dass die Geräte im falschen VLAN mit Subnetz 10.0.0.x eingehangen sind.
- WLAN SSID ist mit IOT Vlan verbunden?
- LAN Port ist dem VLAN zugeordnet?

Annahme: du hast keine fixen IP Adressen in den Einstellungen der Geräte eingegeben.
Ne, nichts fixes eingetragen, hat ja bisher funktioniert.
Alle Geräte sind über LAN angebunden.
Ich kann mal noch an switch schauen, ob die ports richtig den vlans zugeordnet sind, das müsste sich dann aber auch durch einen Fehler geandert haben, ich hab auch den switch nicht angefasst.
Außerdem müsste dann ja zumindest die OPNsense die tatsächlichen IP Adressen anzeigen.
 
Überlege mir aktuell für einen Kunden ein PFSense Appliance als Ersatz für die Zywall 110 zu holen, deren Update Support ausgelaufen ist.

Dachte an eine Netgate 6100 oder kennt jemand vergleichbare HW (vor allem was die LAN Schnitstellen angeht) für einen günstigeren Preis ?
 
Zuletzt bearbeitet:
Überlege mir aktuell für einen Kunden ein PFSense Appliance als Ersatz für die Zywall 110 zu holen, deren Update Support ausgelaufen ist.

Dachte an eine Netgate 6100 oder kennt jemand vergleichbare HW (vor allem was die LAN Schnitstellen angeht) für einen günstigeren Preis ?
Ist ihm ne Fortigate zu teuer oder warum Gefrickel im Business ? 😅
60F und ab dafür.
 
Ist ihm ne Fortigate zu teuer oder warum Gefrickel im Business ? 😅
60F und ab dafür.

Was proprietäres haben wir jetzt seit Jahren, vorrangig Zyxel, da ist nach 5 Jahren Ende mit Support & Updates, vorausgesetzt man kauft zum Release, sonst auch schon eher.

Von daher eben der Gedanke auf ein PFSense Device zu setzen, das man zur Not auch noch selbst updaten kann, und das mit aktuellen Schnittstellen aufwarten kann.

Nebenbei ist das Gerät dann für eine 5-Mann Bude, daher sollte es auch von den Jährlichen Kosten etwas im Rahmen bleiben.
 
Zuletzt bearbeitet:
Ne, nichts fixes eingetragen, hat ja bisher funktioniert.
Alle Geräte sind über LAN angebunden.
Ich kann mal noch an switch schauen, ob die ports richtig den vlans zugeordnet sind, das müsste sich dann aber auch durch einen Fehler geandert haben, ich hab auch den switch nicht angefasst.
Außerdem müsste dann ja zumindest die OPNsense die tatsächlichen IP Adressen anzeigen.
Der Switch (Aruba InstantOn 1930) hat einfach die Tags für die zugehörigen Ports entfernt, sodass sie nicht mehr im VLAN 20 waren.
Warum weiß ich nicht, das ist schon sehr komisch.
 
Moin, ich fahre 2 opnsenses auf DELL i210+ servern. Für Redundanz sind 2 davon aber bei aktuellen Strompreisen etwas... OP. Ich habe außerdem einen proxmox host laufen und möchte daher OPNsense 2 (der "slave" im carp) in eine VM überführen. Gibts dazu einen guide oder ähnliches?
 
Moin, ich fahre 2 opnsenses auf DELL i210+ servern. Für Redundanz sind 2 davon aber bei aktuellen Strompreisen etwas... OP. Ich habe außerdem einen proxmox host laufen und möchte daher OPNsense 2 (der "slave" im carp) in eine VM überführen. Gibts dazu einen guide oder ähnliches?
Nicht wirklich.

Das heißt du möchtest von Hardware standalone zu einer VM wechseln?

Falls ja, habe das ganze 2x durch:
1. Von Hardware zu VM lief reibungslos. Backup in PFSense erstellt, sauberer Installation auf ESXI Host gemacht, Interfaces hinzugefügt, PFSense gestartet, Backup eingespielt, fertig war's.
2. Das andere mal war es zum Haare raufen. Da die ganzen MAC Adressen der Interfaces (WAN, LAN, IOT, Gast etc.) nicht frei anpassbar waren, bin ich dabei glaube ich drei Jahre gealtert und habe das kalte Ko... bekommen. Funktionierte nach ewigem hin- und her und auf der Shell mit Neuzuweisung der Interfaces irgendwann, aber schön war anders.
 
War das bei dir echt so ein Akt die Interfaces wieder zu ändern? Ich hab in meiner Installation nur WAN und LAN, aber ein Mac Wechsel auf der WAN Schnittstelle war über die Interface Zuordnung in der CLI quasi Instant erledigt. VLANs werden auch einfach mitgezogen.
 
Ich habe die letzten Wochen ein wenig mit verschiedenen Netzwerkkarten experimentiert und habe einfach ix0 z.B. durch cxgb0 im backup file ersetzt vor dem Einspielen über wiederherstellen.

Bin noch nicht bei 10 gbps angekommen, aber so konnte ich immerhin meine VLANs und Firewall rules erhalten.

Mit MAC wechseln hatte ich so über den Weg noch keine Probleme.
 
Joa, die MACwechsel stören sich tatsächlich nicht daran, kann ich bestätigen, da ich es gerade ausgetestet habe. CARP Failover und MultiWAN-Failover funktionieren auch beide, heute Abend werde ich dann mal VPN-Failover testen, aber das würde mich wudnern wenn das nicht geht, da es auf dem GW-Failover basiert. Dank euch!
 
War das bei dir echt so ein Akt die Interfaces wieder zu ändern? Ich hab in meiner Installation nur WAN und LAN, aber ein Mac Wechsel auf der WAN Schnittstelle war über die Interface Zuordnung in der CLI quasi Instant erledigt. VLANs werden auch einfach mitgezogen.
Ja, war es.
Schon einige Zeit her (3 Jahre?) wo das passiert war. Aber gab meine ich irgendwelche Probleme, dass meine eigentlichen MAC Adressen des Backups in einem Bereich lagen, der für ESXI reserviert war. War sehr sehr nervig.
Vor nem Jahr hatte ich mal von dem einen ESXI Host auf einen anderen ESXI Host meine PFSense umgezogen, die Sache war in 10 Minuten erledigt, ohne jeglichen Stress.
 
OPNSense - WireGuard

Habe da ein Problem.

Habe ja seit einem guten Jahr OPNSense laufen und habe irgendwann im letzten Herbst mal WireGuard in Betrieb genommen - hat dann auch ohne Probleme funktioniert.
Habe jetzt WireGuard ca. 2 Monate nicht gebraucht und habe in der Zwischenzeit alle OPNSense-Updates gemacht.

Wollte heute WireGuard wieder mal nutzen - tja, es kommt keine Verbindung mehr zu Stande.


Habe dann gelesen, dass der empfohlene Port auf "51820" geändert wurde und habe diesen in OPNSense und in den Endgeräten geändert - geht trotzdem nicht...


Hat da Jemand eine Idee?


Danke!

LG
 
Blind guess: irgendein Problem bei der Umstellung des wireguard Plugins von Go auf Kernel?
 
Wie ist denn die Meldung? Eventuell mal neuen Key auf Client erzeugen und dann nach einpflege versuchen?
 
Mahlzeit Leute,

ich hab gerade ein Problem mit meiner Opnsense und ich bekomme es nicht zum laufen :d
Kurz zur Erklärung:
Mein Router ist abgeraucht und ich habe mir kurzfristig einen Ersatz (Speedport Smart 4) geholt. Ich hatte gerade sowieso etwas drang zu basteln, also habe ich auf einer Testhardware Opnsense installiert.
Soweit funktioniert auch das Internet etc., aber ich bekomme zum verrecken die Firewall-Rules nicht ans laufen.
Aufbau:
Speedport läuft im Modemmodus. Die Opnsense ist per PPPoE mit dem Internet verbunden. Auf meinem Unraid-Server läuft Nginx Proxy Manager und darüber verbinde ich mit den einzelnen Docker/VM etc.

Bei meiner pfsense habe ich "einfach" bei NAT einen Port forward gemach, dazu wurde die passende Regel bei WAN erstellt und ich konnte die einzelnen Sachen hinterm NPM erreichen.
Port Forward:
1680460031520.png

Rules (WAN):
1680460060612.png


Jetzt habe ich quasi das gleiche bei Opnsense gemacht, aber ich komme nicht durch.
Port Forward:
1680460410522.png

Rules (WAN):
1680460489747.png


Was mache ich falsch bzw. was habe ich vergessen?
Danke euch!
 
Sieht gut aus und so müsste es auch funktionieren ... check nochmal ob das alias wirklich richtig gesetzt ist.

Uund ... im Zweifel noch einen reboot.
 
@asche77
Danke für die Antwort.
Beide Systeme haben schon mehrere reboots hinter sich.

Die Alias sind eigentlich richtig.
Ich mache später noch weitere Bilder.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh