[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Wie kommt's, dass ich die unteren zwei Bilder kaum sehen kann?
Was meinst du mit kaum sehen kann?
ich glaube das Snipping-Tool hat die in etwas schlechter Quali rausgezogen.
Oder meinst du wegen dem Format?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Genau genommen sieht man nicht Mal, ob die Regeln aktiv sind oder nicht (enabled/disabled) ...

Du müsstest auch checken, an welcher Stelle die WAN Regel steht - wenn vorher eine "quick" drop/block Regel stünde, käme man ja gar nicht zur Weiterleitung.
 
Ich reiche mal die ganzen Bilder nach, sobald ich zu Hause bin.
War gestern etwas verzweifelt und hab einfach die Regeln ausgeschnitten :)
 
du könntest auch direkt im forwarding den pass schalter nehmen, dann brauchst du dafür keine extra Rule.
Hält die sache initial kompakt
 
Die "extra rule" legt Opnsense doch automatisch an, wenn man den prot forward unter NAT einrichtet. Glaube nicht dass i-B4se da eine eigene gebastelt hat?
 
Mahlzeit Leute,

ich hab gerade ein Problem mit meiner Opnsense und ich bekomme es nicht zum laufen :d
Kurz zur Erklärung:
Mein Router ist abgeraucht und ich habe mir kurzfristig einen Ersatz (Speedport Smart 4) geholt. Ich hatte gerade sowieso etwas drang zu basteln, also habe ich auf einer Testhardware Opnsense installiert.
Soweit funktioniert auch das Internet etc., aber ich bekomme zum verrecken die Firewall-Rules nicht ans laufen.
Aufbau:
Speedport läuft im Modemmodus. Die Opnsense ist per PPPoE mit dem Internet verbunden. Auf meinem Unraid-Server läuft Nginx Proxy Manager und darüber verbinde ich mit den einzelnen Docker/VM etc.

Bei meiner pfsense habe ich "einfach" bei NAT einen Port forward gemach, dazu wurde die passende Regel bei WAN erstellt und ich konnte die einzelnen Sachen hinterm NPM erreichen.
Port Forward:
Anhang anzeigen 872415
Rules (WAN):
Anhang anzeigen 872416

Jetzt habe ich quasi das gleiche bei Opnsense gemacht, aber ich komme nicht durch.
Port Forward:
Anhang anzeigen 872420
Rules (WAN):
Anhang anzeigen 872421

Was mache ich falsch bzw. was habe ich vergessen?
Danke euch!
Ähm ich glaube hier liegt dein Fehler, schau mal du hast bei (Rules WAN) Destination den Nginx Alias eingetragen, da gehört aber "WAN address" rein.
Im Grunde bedeutet das, das du erlaubst das das Internet den Port auf deinem WAN Port erreichen darf. Das ist sozusagen die erste Stufe die passiert werden muss.

Danach kommt erst die zweite Regel mit dem Port Forward auf einen anderen Port.

Siehe bei mir:
WAN.png

Beitrag automatisch zusammengeführt:

Wenn du die Protokolierung eingeschaltet hast (Das i bei der Regel ist blau und nicht grau)(siehe mein screenshot vorher)
Dann kannst du dir im Live View anschauen, was die Firewall macht, also ob die blockiert oder durchlässt und sogar woher nach wohin:

live.png
 
So, nun etwas bessere Bilder und geht gehe auf eure Lösungsansätze ein.
Danke schon mal für eure Unterstützung.
check nochmal ob das alias wirklich richtig gesetzt ist.
Jap, diese sind korrekt. Sowohl die IP wie auch die Ports.
Genau genommen sieht man nicht Mal, ob die Regeln aktiv sind oder nicht (enabled/disabled) ...
Die Regel ist aktiv - siehe neue Bilder.
Du müsstest auch checken, an welcher Stelle die WAN Regel steht - wenn vorher eine "quick" drop/block Regel stünde, käme man ja gar nicht zur Weiterleitung.
Ich hab tatsächlich noch nichts weiter angelegt. Weil ich die ganze Zeit versuche das hinzubekommen :fresse2:
du könntest auch direkt im forwarding den pass schalter nehmen, dann brauchst du dafür keine extra Rule.
Hält die sache initial kompakt
Habe ich tatsächlich auch schon ausprobiert, aber ohne Erfolg.
Bin dann wieder zurück zu "Add associated filter rule". Ging ja vorher bei der pfsense auch.

Ähm ich glaube hier liegt dein Fehler, schau mal du hast bei (Rules WAN) Destination den Nginx Alias eingetragen, da gehört aber "WAN address" rein.
Im Grunde bedeutet das, das du erlaubst das das Internet den Port auf deinem WAN Port erreichen darf. Das ist sozusagen die erste Stufe die passiert werden muss.
Das habe ich jetzt noch nicht so ganz verstanden.
Das hatte ich ja vorher bei der pfsense auch nicht.

Mal etwas besser Bilder:
NAT
1680534470139.png

WAN Rules:
1680534499626.png


So sieht es auf der pfsense aus:
NAT:
1680534597953.png

WAN Rules:
1680534762066.png


Der NPM wird auch mit seiner IP unter ARP gelistet.

Es gibt eine Sache, das habe ich gestern vergessen, die zur pfsense anders ist.
Ich hab mich vorher nicht per PPPoE mit der sense eingewählt, sondern per StaticIP. Aber die Firewall war bei meinem alten Router deaktiviert. Sprich der hat alles durchgelassen.
Sollte ja eigentlich keinen unterschied machen, da es trotzdem das WAN-Interface war.
 
Das habe ich jetzt noch nicht so ganz verstanden.
Das hatte ich ja vorher bei der pfsense auch nicht.
Du musst ja erstmal den Zugriff aus dem Internet auf die WAN Schnittstelle deines opnsense Systems erlauben.
Das Port Forwarding passiert dann intern.

Keine Ahnung wie das bei pfsense ist, aber bei opnsense funktioniert das normalerweise so.
Bzw. wenn du das Port Forwarding einrichtest, wird die Firewall Regel automatisch erstellt.

Lösche am besten deine Regeln und manche das nach dieser Anleitung:
 
Danke für die Antwort.
Ich habe es eben hinbekommen. Ich poste morgen mal ein paar Bilder. Da fehlten tatsächlich noch Regeln, wobei ich diese nicht bei der pfsense hatte.
 
Blind guess: irgendein Problem bei der Umstellung des wireguard Plugins von Go auf Kernel?

Danke für den Hinweis.
War jetzt ein paar Tage nicht zu Hause - werde ich mir ev. heute noch ansehen.

Es wurde ja mit dem letzten großen Update von "normal" auf "go" umgestellt - und jetzt wieder?

LG
 
Danke für den Hinweis.
War jetzt ein paar Tage nicht zu Hause - werde ich mir ev. heute noch ansehen.

Es wurde ja mit dem letzten großen Update von "normal" auf "go" umgestellt - und jetzt wieder?

LG


Hm, hab das andere Plugin installiert und etwas herumgespielt - funktioniert nicht.
WG-Interface wird jetzt auch "rot" angezeigt.

Ich denke, ich deaktiviere/lösche alles, was mit WG zu tun hat und fange noch einmal von vorne an!?

LG
 
Hallo Leute.

Ich wollte mal pfSense ausprobieren.

Meine Leitung:
FritzBox 6591 Cable
1000 MBit Download
50 MBit Upload

Ich wollte auf meiner FritzBox den Bridge-Mode einschalten und folgendes Gerät als Router verwenden.


GIbt es eine gute Anleitung für Neueinsteiger?
 
Ich habe das Teil mal eingerichtet und der Bufferbloat ist nun höher als vorher. :fresse:
 
Ja genau.

Habe es so gemacht wie hier im Video.

 
Vielleicht ist mein Router (Mini-PC) total der Schrott oder meine Settings passen nicht, aber mit der FritzBox 6591 fühlen sich Online-Shooter besser an. :unsure:
 
Vielleicht ist mein Router (Mini-PC) total der Schrott oder meine Settings passen nicht, aber mit der FritzBox 6591 fühlen sich Online-Shooter besser an. :unsure:
Wenn du uns nicht sagst was genau und wie du es eingerichtet hast, dann tappen wir noch mehr im Dunkeln als du selbst.

Wenn du ne Single LAN/WAN Konfiguration hast würde ich dir den in pfSense integrierten Assistent nahelegen, der bringt entsprechende Möglichkeiten zur Prioritätensetzung mit, dann kannst du z. B. Gaming Traffic priorisieren.
 
Ich versuche es mal.

Netzwerk:
Ich habe LAN 4 meiner FritzBox 6591 Cable in den Bridge-Mode versetzt. Sämtliche Geräte laufen weiterhin über die Fritzbox. Den Mini-PC habe ich an LAN 4 meiner Fritzbox angeschlossen. Der Mini-PC ist direkt mit meinem Gaming-PC verbunden. Mehr soll da auch nicht ran.

Mini-PC (Router)
- Ich habe pfSense 2.6.0 installiert
- Ich habe die LAN-Schlüsse usw. ausgewählt
- Dann habe ich noch ein paar Ports freigeschaltet (nach einer Anleitung)
- Dann habe ich noch Limiters unter Traffic-Shaper eingestellt (CoDe und FQ_Codell)

Zum testen habe ich mit der Bandbreite (alles mögliche zwischen 100 und 1000 MBit) und der Queue Length (500 bis 10000) rumgespielt.

Mehr habe ich eigentlich nicht getan.

Zum testen habe ich eine Runde Battlefield 2042 gespielt, was sich aber nicht so gut angefühlt hat.
 
Zum testen habe ich eine Runde Battlefield 2042 gespielt, was sich aber nicht so gut angefühlt hat.
Nimm Mal die Limiter raus, damit du isolieren kannst ob das schlechte Gefühl an den Limitern liegt oder an einer Einstellung in der Default-Konfiguration.
 
Ich kann den Limiter nicht rausnehmen (At least one bw specification is necessary).
 
Ich fang hier mal neu an. :d

Da ich mit meinem Internet in Sachen "Gaming" unzufrieden bin, dachte ich mir, dass ich es mal mit einem "richtigen Router" (was überall empfohlen wird) ausprobieren sollte.

Mein Internet:
  • Vodafone Kabel
  • 1000 MBIt Download
  • 50 MBit Upload
  • FritzBox 6591 Cable
Als Router (pfSense) habe ich mir folgendes Teil gekauft: Klick

Mein Kabel geht von der Dose zur Fritzbox, dann zu meinem pfSense-Router und von dort aus zu meinem Gaming-PC. An meiner Fritzbox ist via LAN also nur der pfSense-Router und ein Apache-Server angeschlossen. Die restlichen Geräte (echt viele) sind via W-LAN verbunden. Für den pfSense-Router habe ich meinen LAN Port 4 (Fritzbox) in den Bridge-Mode versetzt.

Mögliche Einschränkungen: Es sind viele Geräte mit der FritzBox verbunden (Smart-TVs, Smartphones, W-LAN-Repeater, Konsolen, Computer, TV-Sticks, Smart-Geräte, Drucker usw.) und auch ständig Online.

Ausgangslage

#1 https://www.waveform.com/tools/bufferbloat?test-id=d5dc9b74-ec80-43fb-9e9f-28954f309b42 (ohne Priorisierung in der FritzBox)
#2 https://www.waveform.com/tools/bufferbloat?test-id=066f619d-6544-422c-a1d6-dc41db60fce0 (mit Priorisierung in der FritzBox)
#3 https://www.waveform.com/tools/bufferbloat?test-id=eaebfa88-f8d4-422a-9154-8d82c097b4bf (mit Priorisierung in der FritzBox)

Spielgefühl:


1.) Bufferbloat und Gaming Test
  • Factory-Reset durchgeführt
  • IPV6 deaktiviert
#1 https://www.waveform.com/tools/bufferbloat?test-id=e5baa836-089d-4841-bd75-f8e5f5d6ff0d
#2 https://www.waveform.com/tools/bufferbloat?test-id=de3f34c9-7a53-4469-8429-d066e283bd39

Spielgefühl: Spürbar schlechter als mit der FritzBox als Router

2.) Bufferbloat und Gaming Test
  • Factory-Reset durchgeführt
  • IPV6 deaktiviert
  • traffic_shaper_wizard_multi_all.xml durchgeführt (siehe Screenshots)


#1 https://www.waveform.com/tools/bufferbloat?test-id=96e6b4a4-77a0-40a4-9462-c0578767bcc7
#2 https://www.waveform.com/tools/bufferbloat?test-id=12ba726b-1cf6-4545-9c2c-10885a9a7cd9

Spielgefühl: Ich dachte erst, es wäre besser (Hitreg usw.) als beim 1. Test, aber es ist leider noch schlimmer (und ich hatte immer wieder starke Lags***)

*** als würden die UDP-Pakete ungleichmäßig ankommen (das merkt man in BF2042 sofort)

Anmerkung: Was meine ich mit schlechter? Es fühlt sich an (Test 1 und 2), als würde man mit 100ms spielen. Schüsse gehen nicht rein und man kratzt unglaublich schnell ab.

3.) Bufferbloat und Gaming Test
  • Factory-Reset durchgeführt
  • IPV6 deaktiviert
  • traffic_shaper_wizard_multi_all.xml durchgeführt (siehe Screenshots)
  • traffic_shaper_wizard_multi_all.xml rückgängig gemacht (gelöscht)
  • Limiter eingestellt und Floating hinzugefügt (siehe Screenshots)


#1 https://www.waveform.com/tools/bufferbloat?test-id=36c0cd67-d55d-43d2-b7d2-56cd7ae6f388
#2 https://www.waveform.com/tools/bufferbloat?test-id=ede4e86b-52d8-4bf0-87d4-46201a3761c9

Spielgefühl: Deutlich besser als bei den anderen Tests, aber leider nicht besser als mit der FritzBox. :unsure:

4.) Bufferbloat Test
  • Factory-Reset durchgeführt
  • IPV6 deaktiviert
  • traffic_shaper_wizard_multi_all.xml durchgeführt (siehe Screenshots)
  • traffic_shaper_wizard_multi_all.xml rückgängig gemacht (gelöscht)
  • Limiter eingestellt und Floating hinzugefügt (siehe Screenshots)
  • Queue length (Download und Upload) unter Limiters gelöscht (Empty)
  • Download auf 500 MBit (~50%) und Upload auf 25 MBit (~50%) gedrosselt
#1 https://www.waveform.com/tools/bufferbloat?test-id=e924205a-5ded-44dd-a3f1-023f93340d38

5.) Bufferbloat Test
  • Factory-Reset durchgeführt
  • IPV6 deaktiviert
  • traffic_shaper_wizard_multi_all.xml durchgeführt (siehe Screenshots)
  • traffic_shaper_wizard_multi_all.xml rückgängig gemacht (gelöscht)
  • Limiter eingestellt und Floating hinzugefügt (siehe Screenshots)
  • Queue length (Download und Upload) unter Limiters gelöscht (Empty)
  • Download auf 500 MBit und Upload auf 25 MBit gedrosselt
  • Download auf 100 MBit und Upload auf 20 MBit gedrosselt
#1 https://www.waveform.com/tools/bufferbloat?test-id=3244b8b5-0e80-4785-bba3-9e1578ba934d

Ich bin enttäuscht. Der Mini-PC hat mich knapp 300,00 Euro gekostet und ich sehe keinerlei Mehrwert.
  • Ist der Mini-PC einfach nur Schrott?
  • Taugt die FritzBox als Modem nichts?
  • Habe ich etwas falsch eingestellt oder vergessen?
  • Die FritzBox 6591 ist einfach ein guter Router? :fresse:
  • Man kann einfach nichts mehr aus der Leitung rausholen?
  • Die FritzBox ist mit 1126,4 Mbit/s und 52,5 Mbit/s verbunden, hat aber nur 1GBit LAN. Kann das ein Problem sein?
 
Dein Problem heißt Kabel Internet, da hilft kein Router der Welt den miesen Jitter bei DOCSIS auszugleichen.
 
Meine Optionen
- Auf Docsis 4.0 hoffen/warten (ungewisse Zeit)
- VDSL (max. 250MBit) von der Telekom besorgen (wenige Tage)
- Auf Glasfaser über DSL warten (1-2 Jahre laut Telekom)

Wenn ich die Paketbeschleunigung in meiner FritzBox deaktiviere, dann wird mein Internet zwar deutlich langsamer, aber das Spielgefühl steigt. Ich hatte erwartet (als Laie), dass pfSense das selbst beschleunigt. :fresse:
 
Was wäre denn zu empfehlen?

Verfügbar wären laut Check24
  • Vodafone
  • 1&1
  • O2
  • Maingau
  • easybell
  • fonial
 
Vom Netz her solide, aber die haben ne 24h Zwangstrennung, das gibt's bei der Telekom nicht.

Bei der Telekom sind halt die Peerings grottenschlecht, da kann es schon mal passieren, dass Websiten in ISDN Geschwindigkeit aufgebaut werden.
 
Vom Netz her solide
Netz ist ja i.d.R. das der Telekom.

Ich bin bei 1u1 und sehr zufrieden. Ich würde mir nur vorab vom Support in Textform bestätigen lassen, dass Du vollen Dual Stack bekommst und nicht DS-Lite, da Du ja auch einen Webserver hast und Leute in Foren teilweise behaupten, Gaming sei schlechter mit DS-Lite, was ich aber nicht beurteilen kann.
 
Netz ist ja i.d.R. das der Telekom.
Nur die TAL ist von der Telekom und Teile des Access Netzes, ansonsten betreibt 1und1 ihre eigene Netzinfrastruktur.

Diese ist auch signifikant besser als die der Telekom, weil die Telekom bekanntlich keine Open Peering Policy hat und Geld von den Netzbetreibern verlangt die eine Verbindung zu ihnen aufbauen wollen. Deshalb sind die meisten dieser Verbindungen chronisch überlastet.
 
Was wäre denn zu empfehlen?

Verfügbar wären laut Check24
  • Vodafone
  • 1&1
  • O2
  • Maingau
  • easybell
  • fonial
Hab o2 via L3BSA von der Telekom, hast halt aufjedenfall Dualstack weil Telefonica bzw das AS6805 mehr v4 Space übrig hat als 1&1. Peerings sind vergleichbar, jedenfalls hat man mit o2 noch den Vorteil, das dahinter mit Telxius (gehört wie o2 zur Telefonica Gruppe) einen Tier1 Provider in der Hinterhand hat. Mit Vodafone hat man den Vorteil theoretisch auch, aber ich glaube deren DSL Kopplungen zur DTAG sind häufiger mal chronisch überlastet, jedenfalls wollen die dir lieber DOCSIS und LTE andrehen als DSL.

Hab mit o2 stabile Pings und ein gutes Gamingfeeling in CSGO und Valorant, bei BF2042 ka, dürfte aber auch gut sein.

Easybell soll aber auch gut sein.

Fonial und Maingau hab ich keine Ahnung.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh