[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Das ist ok. Irgendwo die Tage gesehen, daß die pfSense 2.4.5-p1 auf einem R210II mit einem E3-1220L v2 (Ivy) 16GB, mit BlockerNG und Suricata, knapp den ganzen 1Gbit hinbekommt. Das ist also schon ok, auch bei dir.

Ich bastel mir obiges grad auch zurecht (mit einer WDgreen).
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Was könnt Ihr mir so empfehlen wenn Ich eine alte FritzBox 7390 ersetzen will durch einen Custom Router mit OpenWRT der auch als Firewall agieren soll bei der Hardware ?

Angedacht währe bislang einer der folgenden


Kritik nicht über Amazon hier regulär verfügbar dafür günstig
Hardware natürlich nicht so Ultrakass wie beim unteren

https://www.amazon.de/seeed-studio-Re_Computer-Compatible-BeagleBone/dp/B086X42YR8/ref=sr_1_1?__mk_de_DE=ÅMÅŽÕÑ&dchild=1&keywords=seeed+studio+Odyssey&qid=1613573165&sr=8-1&th=1 hier müste man noch mal prüfen ob das vorhandene Wlan austauschbar ist was zwar Intel ist aber nur mit gesammt 1800 Mbit/s was nicht mehr State of the Art ist bsp. durch folgendes oder was anderes abhängig ob M2 2230 oder MiniPciE


Kritik mit 300 mit Case und anderer Wlan Karte relativ "Teuer"
Zwangsweise 64GB Internal was Overkill ist

Kriterien währen

1.) WPA3 beforzugt Enterprise (müste bei den Intel Wifi6 der Fall sein ab Werk)
2.) Sehr viel Ram und CPU mit AES-NI zwecks OpenVPN und Datenträger encryption
3.) Dual Band belassen wir es mal bei 1x 2,4 1x 5 Ghz das obere passen wenn Triband natürlich auch flexibler währe
4.) Chipsatz und Technik halt die von OpenWRT, Pfsense und Co unterstüzt wird glaub Broadcom fällt dann raus
5.) Dual LAN mindestens von je 1 Gbit/s bei Wifi halt 6 mit 2,4 Gbit/s +

Gehostet wird nix drauf dafür mach Ich seperat nen NAS.

Falls existent währ es auch mal intressant USB 3.1 + WIFI6 Sticks zu sehen da Ich bislang nix fand mit über 900 Mbit/s auf 5 Ghz mit WPA3 Support.
 
Wie sieht denn in der 2.5 die Realtek Treiber Stabilität aus?
Hab zwei ZOTAC Kistchen die mit der 2.4 Anfangs echt Probleme gemacht haben und ich händisch den Treiber ändern musste. Trifft mich das hier auch wieder?
 
Das nutzt schon lange AES-NI
 
Kam eigentlich schon was zur Preisgestaltung von PFSense Plus?

Angekündigt war ja, dass im frühen Februar dazu Informationen Publik werden sollen. Aber bis heute: NIX zu gefunden. Schon jemand woanders was gefunden?
 
Ja, weil das nix pfSense spezifisches ist. OpenSSL muss das unterstützen, strongSwan nutzt für Cryptooperationen ja auch nur OpenSSL (oder andere Crypto Libs).
 
Denke, das wird dauern, zuletzt hieß es ja:
Also haben sie noch ne Menge Zeit bzw. ich warte eh auf die kostenlose Version für Heimanwender.
Das stimmt schon, aber die Preise würden mich trotzdem mal interessieren. ;)
Wenn günstig, stütze ich gerne solche Projekte, aber sobald es dreistellig wird, würde ich wohl auch auf die kostenlose Version warten.
 
Bin jetzt auch auf 2.5.0
Aber noch jemand Probleme mit SNORT?

Kann das für manche Interfaces nicht starten (im Log taucht aber auch nix soweit auf, Service lässt sich für 2 von 4 Interfaces einfach nicht neustarten.

Und seit einer Stunde kann sich mein VOIP Telefon nicht mehr registrieren.
 
@Gen8 Runner Snort soll wohl Probleme machen. Generell gilt wohl, dass etwas warten nicht schaden kann, so dass die gröbsten Probleme gelöst und die Packages wirklich angepasst wurden.
Hatte überlegt dieses WE umzustellen, aber werde es mindestens um eine Woche verschieben.
Zurück zur 2.4.5 (dank Veeam innerhalb von zwei Minuten) und Probleme sind erledigt.

VOIP geht, SNORT ebenfalls...Nun wie du abwarten, bis alles stabil läuft und dann neuer Versuch.
 
1. Generell gilt doch suricata als performanter als Snort - wäre das eine Alternative? Snort Rules kann es ja verarbeiten.
2. Wenn IPS -> netmap -> NIC muss kompatibel sein (Intel) und darf keine Jumbo Frames haben, daher Interface MTU maximal 1500. Bei Opnsense war das meine ich auch für IDS nötig, damit es bei mir lief.
 
Zuletzt bearbeitet:
1. Generell gilt doch suricata als performanter als Snort - wäre das eine Alternative? Snort Rules kann es ja verarbeiten.
2. Wenn IPS -> netmap -> NIC muss kompatibel sein (Intel) und darf keine Jumbo Frames haben, daher Interface MTU maximal 1500.
Noch nie mit Suricata beschäftigt, muss ich mir mal ansehen.

Läuft bei mir alles virtualisiert auf ESXI (Server hat aber jeweils Intel NIC's). Aber in Version 2.4.5 und dem dazugehörigen Snort lies es bis jetzt auch immer unauffällig.
Denke daher, dass es wohl tatsächlich nur (derzeit noch) an Inkompatibilitäten zwischen 2.5.0 und der SNORT-Version liegt. Aber meist sind diese Problemchen ja innerhalb von Tagen gefixt.
 
@*******
Lag aber nicht zufaellig an der verwendeten Netzwerk HW, hatte aehnliches beobachtet mit dem mlxn_en4 Treiber von OSense, darum dann auch nach x Tagen debugging (hw offloading lies sich nicht deaktivieren) ne Intel X520 gekauft.
 
Bei mir ging alles easy, hab nur nen Bug mit WAN_DHCP6.
Hast du den Package Manager vor dem Update durchgeführt?
 
Weiß nicht, was Du damit meinst.
Ich hatte vor dem Upgrade alle Packages deinstalliert.

Da pfSense bei mir hinter einem anderen Router arbeitet, mögen meine oben erwähnten Probleme damit im Zusammenhang stehen.
Hinter was für einem Router?

Meine hängt hinter einer FritzBox, habe in der FritzBox als "Exposed Host" hinterlegt, somit nur 1x Portfreigaben etc. einrichten, nämlich in PFSense.
 
Heute mal wieder was neues gelernt, man kann mit pfSense (getestet mit 2.4.5) auch IPv6-Adressen (allerdings nur in Form von Aliasen) port forwarden.

Man kann sich also auf die WAN-IPv6-Adresse der pfSense verbinden und dann mit einem Port Forward auf einen internen Server weitergeleitet werden.
Wenn dieser eine private IPv6-Adresse (ULA) hat, kann dieser auch nicht selbst aus dem Internet angesprochen werden.

Damit erledigen sich Probleme wie DDNS mit dynamischem Prefix (DDNS ist nur noch für die pfSense WAN-Adresse nötig) und man kann einfach nach außen andere Ports anbieten und nach innen doch die Standard-Ports benutzen.

Ich war echt überrascht, dass das geht. Habe es erfolgreich mit einem TS-Server daheim probiert, dabei war der TS-Client auf einem VPS.
und erfindest genau die Probleme, die IPv6 im Kerngedanke versucht zu lösen...das ist NAT.
 
Hä ? Wieso macht man sich das Leben so kompliziert ? Reverse Forwarding des IPv6-Blocks auf den eigenen Nameserver + eigene Domain und schon kann jeder Server eine öffentliche IPv6 haben und ist durch den FQDN global erreichbar. Das ganze sichert man dann nur durch reine IPv6 FW-Rules.
 
@sch4kal Dabei geht es mehr um Homeuser mit dynamischem Prefix!
Ich wollte dagegen andere Ports verwenden, ohne diese auf dem jeweiligen Server selbst ändern zu müssen. Unbekannte Ports > weniger Gegrabbel. Das Ganze wird dann mit SRV-Records wieder einfach nutzbar gemacht.
Dafür gibts ja DynDNS. Und die paar Kröten mehr für einen Business-SoHo Anschluss sollten einem das Wert sein...
Und unbekannte High-Ports bieten auch keine erhöhte Sicherheit mehr, die Zeiten sind dank automatisierten Crawlern und speziellen Suchmaschinen wie shodan.io vorbei.
 
Leute gibt es eine möglichkeit in OPNsense ein zweiten Wan Port einzurichten mit der selben Gateway Adresse wie der erste Wan Port ?
Ich habe mehrere feste IP Adressen die alle die selbe Gateway Adresse haben. Möchte ich ein zweiten Wan erstellen mit einer anderen IP ins Internet und gebe die Gateway IP ein, sagt er: Diese Adresse wird schon verwendet. Erstellen fehlgeschlagen. Also so ähnlich. Kann die Gateway IP auch nur ein Port/IP Adresse zuweisen. Das muss doch noch irgendwie anders gehen. Habe keine Lust für jede Feste IP eine extra OPNsense instanz einzurichten.
 
Zuletzt bearbeitet:
Ich vermute Du hast einen Business Anschluss mit sagen wir 6 Adressen.
kannst du nicht die anderen Adressen als Alias einrichten? - so ist das bei uns in der Firewall - ist aber keine *Sense - die Zuweisung als IP für nach "draußen" läuft über Virtuelle IPs in der FW selber und im NAT, kann man das von außen auch bequem anpassen, das verschiedene IPs auf Port 80 eben auf verschiedene interne Server zeigen
 
i350 geht auch stressfrei und waere guenstiger ;)

HP 361T zb
 
Leute gibt es eine möglichkeit in OPNsense ein zweiten Wan Port einzurichten mit der selben Gateway Adresse wie der erste Wan Port ?
Ich habe mehrere feste IP Adressen die alle die selbe Gateway Adresse haben. Möchte ich ein zweiten Wan erstellen mit einer anderen IP ins Internet und gebe die Gateway IP ein, sagt er: Diese Adresse wird schon verwendet. Erstellen fehlgeschlagen. Also so ähnlich. Kann die Gateway IP auch nur ein Port/IP Adresse zuweisen. Das muss doch noch irgendwie anders gehen. Habe keine Lust für jede Feste IP eine extra OPNsense instanz einzurichten.
Wie soll das auch anders gehen ? Du kannst versuchen, eine zweite Defaultroute mit geringerer Metrik zu erstellen.
 
Ich hatte sie bisher nur nativ (netmap support) und in ner VM (qemu) via IOMMU. Die MLX-Cx3 hatte Probleme mit deaktiviertem HW Offloading.

Haste mal geschaut zwecks SRIOV so als alternative zum kompletten Passthrough?
 
Ich glaube, von OPNsense hab ich grad erstmal genug..
Zum Zweiten Mal hat es meine dahingerafft. Der Unbound verstrubbelt sich vollständig und es ist keine vernünftige Namensauflösung mehr möglich. Wenn ich am Rechner direkt einen externen DNS angebe geht noch alles.
Komischerweise hat sie jetzt auch angefangen alle externen Seiten mit dem Cert meines SWAG Reverse Proxy zu verschlüsseln... Keine Ahnung was da jetzt schief gelaufen ist...
 
Bin nun rundum zufrieden mit meiner 2.5, aber wie gesagt, habe diese ganz frisch aufgesetzt und nutze kein IPsec, darüber hört man die meisten Beschwerden.

IPv6 mittels HE brauche ich nicht mehr, da ich nun auch IPv6 port forwarde und die DDNS-Updates somit automatisiert von der Sense erledigen lassen kann.

Suricata werde ich demnächst mal wieder probieren, das hatte mir aber schon unter 2.4.5.p1 zuletzt Probleme gemacht. Vielleicht wird es jetzt mit anderer NIC besser, aber ist eh mehr Spielerei, denn pfBlocker macht nach wie vor nen guten Job.
Neu aufgesetzt = auch alle Einstellungen wieder per Hand eingetragen oder das dann doch per Config-File importiert?
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh