[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Ich hatte nach dem Update erstmal keine Schwierigkeiten, war sauber durchgestartet und funktionierte auch. Heute Morgen ging dann nix mehr. DNS Dienst abgestürzt, IGMPproxy tot und noch irgendwas, was rot war. Neustart ließ sich nicht über's Webinterface machen, musste den Router hart ausschalten bzw neustarten. Und habe außer Wireguard, IGMPproxy und DynDNS nix weiter laufen.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hat schon jemand einen wireguard site 2 site implementiert?
Bekommt man das zwischen der sense und ner fritte zum laufen?
 
Da meine Gutschrift für meinen Speedport jetzt ausläuft, wollte ich mal das Thema Fritzbox als "Modem" angehen. Also 3390 genommen, Internetanbieter andere ohne Zugangsdaten eingerichtet und PPPoE Passthrough aktiviert. Entweder passt jetzt auf der *sense Seite was nicht, oder das klappt mit der FB einfach nicht. Der Haken für PPPoE Passthrough verschwindet jedenfalls zuverlässig bei jedem Übernehmen wieder aus der Ansicht.

Ist das n Anzeigefehler oder ist das einfach n Softwarebug in der FB? VLAN7 ist in der OPNsense eingetragen, ist auch ein Punkt der bei der FB sofort wieder verschwindet.

Screenshot_20230802_101010.pngScreenshot_20230802_100949.pngScreenshot_20230802_100942.pngScreenshot_20230802_101053.png

Hab jetzt wieder den Speedport dran, der offiziell nen Modem-Modus hat und schon läuft das ganze wieder.

Screenshot_20230802_102540.png
 
Ich wusste es gab im CB was dazu, ich habs nur irgendwie nicht gefunden :d Aber im Prinzip ist das ja auch das was ich gemacht hab. Bleibt der Haken in der FB bei dir dabei gesetzt?
 
Ich wusste es gab im CB was dazu, ich habs nur irgendwie nicht gefunden :d
Früher gab's das auch hier.
Aber im Prinzip ist das ja auch das was ich gemacht hab. Bleibt der Haken in der FB bei dir dabei gesetzt?
Welcher Haken? Ich weiß nur, dass ältere Fritten, vielleicht auch deine, das noch einfacher konnten. Orientiere dich am besten genau an meinen Bildchen.
Hab es mit dem ganz aktuellen Fritz-OS 7.5* nicht mehr getestet.
 
Die Aktivierung von PPPoE Passthrough, den kann ich zwar setzen und übernehmen, bleibt aber nicht gesetzt wenn ich in der FB irgendwo anders hinwechsle und dann wieder zurück gehe
 
Die Aktivierung von PPPoE Passthrough, den kann ich zwar setzen und übernehmen, bleibt aber nicht gesetzt wenn ich in der FB irgendwo anders hinwechsle und dann wieder zurück gehe
Die "Überprüfung" muss abgewählt werden. Ich sehe aber auch noch weitere Unterschiede...
 
Die hatte ich bei der Einrichtung auch draußen, kann ja eh nicht funtkionieren. Die VLAN ID setze ich in der sense, daher hab ich die bei der FB nicht eingetragen. Hat aber auch da gesetzt nicht funktioniert.
 
Ich suche aktuell nach einer OPNSense/VyOS Hardware für mein privates Netzwerk:
- 500/500 Bandbreite mit PPPoE
- dual stack mit NAT
- intern 1GBit/s
- traffic shaping
- 10 VLANs
- kein N-IPS oder sowas
- L3 "Core"-Switch hinter dem Router

Ich habe aktuell noch einen RPi mit AdGuard, PowerDNS Recursor, PowerDNS Authoritative und Wireguard im Netz. Wenn ich den (teilweise) in Rente schicken könnte, wäre auch super.

Bei der Hardware kann ich mich einfach nicht zwischen den ganzen China Boxen (HSIPC, Yanling, Qotom, Topton), importierten China Boxen mit tollen Stickern (Protectli, NitroWall, NRG) und Selbstbau bzw. alten MiniPC mit PCIe Karte entscheiden :/ Das einzige, was ich wegen beruflichem Trauma eigentlich gerne hätte, ist ECC RAM. Das gibt es aber quasi nicht... Ansonten, je sparsamer, desto besser.

Könnt ihr mir ein paar Vorschläge machen, bzw. mir die Entscheidung mit Erfahrungswerten leichter machen?
 
J4125 würde ich nicht mehr kaufen. Wenn China-Box, dann mit N100.

Früher nutze ich einen qotom q355g4 (i5 5250u). Den könntest Du abkaufen ;-)

Jetzt habe einen Lenovo m720q mit 9400T, PCIe riser und i350 NIC. Auch bestimmte HP thinclient oder Dell Wyse Extended lassen sich prima mit einer NIC erweitern.
 
BIOS Versorgung war für mich in der Tat der Grund, zum Lenovo zu greifen und nicht zur China Box.
 
Auf der anderen Seite, wozu ein Bios-Update, wenn alles läuft?

Ich hatte eher Bedenken, wie „sicher“ so ein „NoName-Bios“ ist - hab mir dann trotzdem eine China-Box besorgt.
 
BIOS updates dienen u.a. dazu, Sicherheitslücken zu schließen. Und ich halte ein Lenovo BIOS für sicherer als ein noname-China-BIOS. (ja, auch wenn Lenovo ebenfalls in China sitzt)
 
Ja (Konsole oder shell, dh. über ssh geht auch).

Generell nochmal der Hinweis: Ab 23.1.7 müssen im DHCP Server die DNS-Server entweder ausdrücklich angegeben werden oder der DNS-Dienst, der auf Port 53 lauscht, muss sich als solcher bei opnsense anmelden. Für Adguard Home heisst das: Neuestes plugin verwenden und unter Services -> Adguard Home -> beide Haken setzen (früher gabs nur einen).


Hm, wenn man unbound + adguard nutzt, muss man dann bei adguard auch den 2. Haken (primary dns) setzen!?

Danke!


LG
Beitrag automatisch zusammengeführt:

BIOS updates dienen u.a. dazu, Sicherheitslücken zu schließen. Und ich halte ein Lenovo BIOS für sicherer als ein noname-China-BIOS. (ja, auch wenn Lenovo ebenfalls in China sitzt)

Ja, ein Markenhersteller sollte da schon "sicherer" sein.

Bei Bios-Updates von stabil laufenden DIngen (HomeServer,...) bin ich immer etwas vorsichtig - na ja...
 
Wenn Du AGH auf Port 53 lauschen lässt, DANN den Haken bei "primary DNS" setzen.
 
Nein.


Nein, das verstehst Du falsch.

Richtig ist:

1. Unter "Opnsense - System - Settings - General" sollten keine DNS-Server eingetragen und der Haken bei "do not use local ..." sollte nicht gesetzt sein.

2. Dann scheiden sich die Wege - entweder a ODER b, aber nicht beides:

a) Willst Du unbound als "local resolver" nutzen (er fragt also stets die authoritativen DNS-Server direkt ab und keine dritten DNS-Server), trägst Du KEINE DoT DNS Server ein. Du lässt also step 6 weg.

b) Willst Du, dass unbound als "forwarder" arbeitet und Cloudflare/Google/Quad9/NextDNS/whatever DNS-Server um Auskunft fragt und dabei die Anfragen (zum vollen! domain-Namen) über DoT verschlüsselst, DANN trägst Du bei Unbound die gewünschten DoT DNS Server ein. Das schaltet unbound dann auch automatisch in den "forwarder" Modus. )

PS: Und wie viele Anleitungen ist auch die teilweise falsch, zB (wie dort schon jemand kommentiert) bitte (irgend)einen anderen port als 5353 für unbound verwenden da der schon von mDNS genutzt wird.

Wenn Du AGH auf Port 53 lauschen lässt, DANN den Haken bei "primary DNS" setzen.


So, erstmal danke für deine Hilfe!


Hab mich jetzt endlich mal "getraut" meine DNS-Einstellungen zu korrigieren => habe die jetzt mal die Variante A in Verwendung => DNS-Zuweisung in meinem Gastnetzwerk funktioniert jetzt wieder!!


AGH läuft bei mir auf 5335 - Haken habe ich also weggelassen.


LG
Beitrag automatisch zusammengeführt:

Zu früh gefreut!

Hat alles funktioniert - habe dann OPNSense aktualisiert => kein Internert mehr!
 
Zuletzt bearbeitet:
Ich hab das Update gestern eingespielt und heute mit Entsetzen festgestellt das Telefonie nicht mehr möglich ist, weder ein- noch ausgehend...
Beitrag automatisch zusammengeführt:

Nachtrag: ein
Code:
opnsense-revert -r 23.1.6 opnsense
hat das Update rückgängig gemacht und nach einem Neustart (ich weiß gar nicht ob der Notwendig war, aber mein Berufsschullehrer hat immer gesagt "Jeder Boot tut gut")
geht die Telefonie wieder
@hs_warez das Rollback könntest du auch versuchen?
rollback war nicht möglich „not found“?!

Toll, Freundin hat morgen HomeOffice und das Inet funktioniert nicht…
 
Beim Update auf 23.7 musste ich "nur" die Einstellungen von unbound unter unbound -> General neu setzen und unbound und Adguard Home neu starten. Seitdem keine Probleme.

Bitte eingrenzen was Dein Problem ist:
- keine WAN Adresse/Verbindung? Oder wird eine WAN Adresse angezeigt?
- geht Routing, daher Ping 8.8.8.8?
- DNS Einstellungen kontrollieren s.o.
- reboot
Beitrag automatisch zusammengeführt:

Das geht nur wenn du ZFS als Dateisystem nutzt, hast du das
Opnsense-revert hat mW mit ZFS Rollback nichts zu tun
 
Sicher? Ich meine mal gelesen zu haben das es u.a. das Boot Environment zurück setzt. Und das gibt's unter UFS nicht?

Oder bin ich auf dem Holzweg?
 
Beim Update auf 23.7 musste ich "nur" die Einstellungen von unbound unter unbound -> General neu setzen und unbound und Adguard Home neu starten. Seitdem keine Probleme.

Bitte eingrenzen was Dein Problem ist:
- keine WAN Adresse/Verbindung? Oder wird eine WAN Adresse angezeigt?
- geht Routing, daher Ping 8.8.8.8?
- DNS Einstellungen kontrollieren s.o.
- reboot
Beitrag automatisch zusammengeführt:


Opnsense-revert hat mW mit ZFS Rollback nichts zu tun

Wan Adresse wird angezeigt
Ping geht raus
Netzwerk intern funktioniert auch

Komne einfach mit keinem Endgerät ins Internet (google,…. - geht alles nicht)
FTP-Verbindung raus geht auch nicht


Bei unbound muss ja eigentlich nur der „richtige“ port rein - der steht drin - 5335

Die DNS-Einstellungen habe ich ja vorher korrigiert - dann das Update und es ging nix mehr.
Dann update auf 23.7 - geht trotzdem nix…
 
was sagt die Live Ansicht (unter Firewall Diagnostik)?
Da sieht man ja Recht gut was mit den Paketen passiert? Ggf die Protokollierung der Regeln (temporär) aktivieren
 
was sagt die Live Ansicht (unter Firewall Diagnostik)?
Da sieht man ja Recht gut was mit den Paketen passiert? Ggf die Protokollierung der Regeln (temporär) aktivieren
Hm, das sieht für mich normal aus.
Einige blocks - vom geoip - und bei den anderen steht „let out anything..“
 
Das hatte ich auch schon mal, let Out anything und nix geht
Bei mir hat ein reboot geholfen
Das habe ich schon x-mal gemacht!

Sollte bei der 1. Regel beim Port nicht 5335 (habe ich bei unbound hinterlegt) stehen?!
 

Anhänge

  • image.jpg
    image.jpg
    1,7 MB · Aufrufe: 65
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh