[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Ich hatte nach dem Update erstmal keine Schwierigkeiten, war sauber durchgestartet und funktionierte auch. Heute Morgen ging dann nix mehr. DNS Dienst abgestürzt, IGMPproxy tot und noch irgendwas, was rot war. Neustart ließ sich nicht über's Webinterface machen, musste den Router hart ausschalten bzw neustarten. Und habe außer Wireguard, IGMPproxy und DynDNS nix weiter laufen.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hat schon jemand einen wireguard site 2 site implementiert?
Bekommt man das zwischen der sense und ner fritte zum laufen?
 
Da meine Gutschrift für meinen Speedport jetzt ausläuft, wollte ich mal das Thema Fritzbox als "Modem" angehen. Also 3390 genommen, Internetanbieter andere ohne Zugangsdaten eingerichtet und PPPoE Passthrough aktiviert. Entweder passt jetzt auf der *sense Seite was nicht, oder das klappt mit der FB einfach nicht. Der Haken für PPPoE Passthrough verschwindet jedenfalls zuverlässig bei jedem Übernehmen wieder aus der Ansicht.

Ist das n Anzeigefehler oder ist das einfach n Softwarebug in der FB? VLAN7 ist in der OPNsense eingetragen, ist auch ein Punkt der bei der FB sofort wieder verschwindet.

Screenshot_20230802_101010.pngScreenshot_20230802_100949.pngScreenshot_20230802_100942.pngScreenshot_20230802_101053.png

Hab jetzt wieder den Speedport dran, der offiziell nen Modem-Modus hat und schon läuft das ganze wieder.

Screenshot_20230802_102540.png
 
Ich wusste es gab im CB was dazu, ich habs nur irgendwie nicht gefunden :d Aber im Prinzip ist das ja auch das was ich gemacht hab. Bleibt der Haken in der FB bei dir dabei gesetzt?
 
KurantRubys schrieb:
Ich wusste es gab im CB was dazu, ich habs nur irgendwie nicht gefunden :d
Zum Vergrößern anklicken....
Früher gab's das auch hier.
KurantRubys schrieb:
Aber im Prinzip ist das ja auch das was ich gemacht hab. Bleibt der Haken in der FB bei dir dabei gesetzt?
Zum Vergrößern anklicken....
Welcher Haken? Ich weiß nur, dass ältere Fritten, vielleicht auch deine, das noch einfacher konnten. Orientiere dich am besten genau an meinen Bildchen.
Hab es mit dem ganz aktuellen Fritz-OS 7.5* nicht mehr getestet.
 
BobbyD schrieb:
Welcher Haken?
Zum Vergrößern anklicken....
Die Aktivierung von PPPoE Passthrough, den kann ich zwar setzen und übernehmen, bleibt aber nicht gesetzt wenn ich in der FB irgendwo anders hinwechsle und dann wieder zurück gehe
 
KurantRubys schrieb:
Die Aktivierung von PPPoE Passthrough, den kann ich zwar setzen und übernehmen, bleibt aber nicht gesetzt wenn ich in der FB irgendwo anders hinwechsle und dann wieder zurück gehe
Zum Vergrößern anklicken....
Die "Überprüfung" muss abgewählt werden. Ich sehe aber auch noch weitere Unterschiede...
 
Die hatte ich bei der Einrichtung auch draußen, kann ja eh nicht funtkionieren. Die VLAN ID setze ich in der sense, daher hab ich die bei der FB nicht eingetragen. Hat aber auch da gesetzt nicht funktioniert.
 
Ich suche aktuell nach einer OPNSense/VyOS Hardware für mein privates Netzwerk:
- 500/500 Bandbreite mit PPPoE
- dual stack mit NAT
- intern 1GBit/s
- traffic shaping
- 10 VLANs
- kein N-IPS oder sowas
- L3 "Core"-Switch hinter dem Router

Ich habe aktuell noch einen RPi mit AdGuard, PowerDNS Recursor, PowerDNS Authoritative und Wireguard im Netz. Wenn ich den (teilweise) in Rente schicken könnte, wäre auch super.

Bei der Hardware kann ich mich einfach nicht zwischen den ganzen China Boxen (HSIPC, Yanling, Qotom, Topton), importierten China Boxen mit tollen Stickern (Protectli, NitroWall, NRG) und Selbstbau bzw. alten MiniPC mit PCIe Karte entscheiden :/ Das einzige, was ich wegen beruflichem Trauma eigentlich gerne hätte, ist ECC RAM. Das gibt es aber quasi nicht... Ansonten, je sparsamer, desto besser.

Könnt ihr mir ein paar Vorschläge machen, bzw. mir die Entscheidung mit Erfahrungswerten leichter machen?
 
J4125 würde ich nicht mehr kaufen. Wenn China-Box, dann mit N100.

Früher nutze ich einen qotom q355g4 (i5 5250u). Den könntest Du abkaufen ;-)

Jetzt habe einen Lenovo m720q mit 9400T, PCIe riser und i350 NIC. Auch bestimmte HP thinclient oder Dell Wyse Extended lassen sich prima mit einer NIC erweitern.
 
BIOS Versorgung war für mich in der Tat der Grund, zum Lenovo zu greifen und nicht zur China Box.
 
Auf der anderen Seite, wozu ein Bios-Update, wenn alles läuft?

Ich hatte eher Bedenken, wie „sicher“ so ein „NoName-Bios“ ist - hab mir dann trotzdem eine China-Box besorgt.
 
BIOS updates dienen u.a. dazu, Sicherheitslücken zu schließen. Und ich halte ein Lenovo BIOS für sicherer als ein noname-China-BIOS. (ja, auch wenn Lenovo ebenfalls in China sitzt)
 
asche77 schrieb:
Ja (Konsole oder shell, dh. über ssh geht auch).

Generell nochmal der Hinweis: Ab 23.1.7 müssen im DHCP Server die DNS-Server entweder ausdrücklich angegeben werden oder der DNS-Dienst, der auf Port 53 lauscht, muss sich als solcher bei opnsense anmelden. Für Adguard Home heisst das: Neuestes plugin verwenden und unter Services -> Adguard Home -> beide Haken setzen (früher gabs nur einen).
Zum Vergrößern anklicken....


Hm, wenn man unbound + adguard nutzt, muss man dann bei adguard auch den 2. Haken (primary dns) setzen!?

Danke!


LG
Beitrag automatisch zusammengeführt:

asche77 schrieb:
BIOS updates dienen u.a. dazu, Sicherheitslücken zu schließen. Und ich halte ein Lenovo BIOS für sicherer als ein noname-China-BIOS. (ja, auch wenn Lenovo ebenfalls in China sitzt)
Zum Vergrößern anklicken....

Ja, ein Markenhersteller sollte da schon "sicherer" sein.

Bei Bios-Updates von stabil laufenden DIngen (HomeServer,...) bin ich immer etwas vorsichtig - na ja...
 
Wenn Du AGH auf Port 53 lauschen lässt, DANN den Haken bei "primary DNS" setzen.
 
asche77 schrieb:
Nein.


Nein, das verstehst Du falsch.

Richtig ist:

1. Unter "Opnsense - System - Settings - General" sollten keine DNS-Server eingetragen und der Haken bei "do not use local ..." sollte nicht gesetzt sein.

2. Dann scheiden sich die Wege - entweder a ODER b, aber nicht beides:

a) Willst Du unbound als "local resolver" nutzen (er fragt also stets die authoritativen DNS-Server direkt ab und keine dritten DNS-Server), trägst Du KEINE DoT DNS Server ein. Du lässt also step 6 weg.

b) Willst Du, dass unbound als "forwarder" arbeitet und Cloudflare/Google/Quad9/NextDNS/whatever DNS-Server um Auskunft fragt und dabei die Anfragen (zum vollen! domain-Namen) über DoT verschlüsselst, DANN trägst Du bei Unbound die gewünschten DoT DNS Server ein. Das schaltet unbound dann auch automatisch in den "forwarder" Modus. )

PS: Und wie viele Anleitungen ist auch die teilweise falsch, zB (wie dort schon jemand kommentiert) bitte (irgend)einen anderen port als 5353 für unbound verwenden da der schon von mDNS genutzt wird.
Zum Vergrößern anklicken....

asche77 schrieb:
Wenn Du AGH auf Port 53 lauschen lässt, DANN den Haken bei "primary DNS" setzen.
Zum Vergrößern anklicken....


So, erstmal danke für deine Hilfe!


Hab mich jetzt endlich mal "getraut" meine DNS-Einstellungen zu korrigieren => habe die jetzt mal die Variante A in Verwendung => DNS-Zuweisung in meinem Gastnetzwerk funktioniert jetzt wieder!!


AGH läuft bei mir auf 5335 - Haken habe ich also weggelassen.


LG
Beitrag automatisch zusammengeführt:

Zu früh gefreut!

Hat alles funktioniert - habe dann OPNSense aktualisiert => kein Internert mehr!
 
Zuletzt bearbeitet:
andrer250282 schrieb:
Ich hab das Update gestern eingespielt und heute mit Entsetzen festgestellt das Telefonie nicht mehr möglich ist, weder ein- noch ausgehend...
Beitrag automatisch zusammengeführt:

Nachtrag: ein
Code: 
opnsense-revert -r 23.1.6 opnsense
hat das Update rückgängig gemacht und nach einem Neustart (ich weiß gar nicht ob der Notwendig war, aber mein Berufsschullehrer hat immer gesagt "Jeder Boot tut gut")
geht die Telefonie wieder
@hs_warez das Rollback könntest du auch versuchen?
Zum Vergrößern anklicken....
rollback war nicht möglich „not found“?!

Toll, Freundin hat morgen HomeOffice und das Inet funktioniert nicht…
 
Beim Update auf 23.7 musste ich "nur" die Einstellungen von unbound unter unbound -> General neu setzen und unbound und Adguard Home neu starten. Seitdem keine Probleme.

Bitte eingrenzen was Dein Problem ist:
- keine WAN Adresse/Verbindung? Oder wird eine WAN Adresse angezeigt?
- geht Routing, daher Ping 8.8.8.8?
- DNS Einstellungen kontrollieren s.o.
- reboot
Beitrag automatisch zusammengeführt:

andrer250282 schrieb:
Das geht nur wenn du ZFS als Dateisystem nutzt, hast du das
Zum Vergrößern anklicken....
Opnsense-revert hat mW mit ZFS Rollback nichts zu tun
 
Sicher? Ich meine mal gelesen zu haben das es u.a. das Boot Environment zurück setzt. Und das gibt's unter UFS nicht?

Oder bin ich auf dem Holzweg?
 
asche77 schrieb:
Beim Update auf 23.7 musste ich "nur" die Einstellungen von unbound unter unbound -> General neu setzen und unbound und Adguard Home neu starten. Seitdem keine Probleme.

Bitte eingrenzen was Dein Problem ist:
- keine WAN Adresse/Verbindung? Oder wird eine WAN Adresse angezeigt?
- geht Routing, daher Ping 8.8.8.8?
- DNS Einstellungen kontrollieren s.o.
- reboot
Beitrag automatisch zusammengeführt:


Opnsense-revert hat mW mit ZFS Rollback nichts zu tun
Zum Vergrößern anklicken....

Wan Adresse wird angezeigt
Ping geht raus
Netzwerk intern funktioniert auch

Komne einfach mit keinem Endgerät ins Internet (google,…. - geht alles nicht)
FTP-Verbindung raus geht auch nicht


Bei unbound muss ja eigentlich nur der „richtige“ port rein - der steht drin - 5335

Die DNS-Einstellungen habe ich ja vorher korrigiert - dann das Update und es ging nix mehr.
Dann update auf 23.7 - geht trotzdem nix…
 
was sagt die Live Ansicht (unter Firewall Diagnostik)?
Da sieht man ja Recht gut was mit den Paketen passiert? Ggf die Protokollierung der Regeln (temporär) aktivieren
 
andrer250282 schrieb:
was sagt die Live Ansicht (unter Firewall Diagnostik)?
Da sieht man ja Recht gut was mit den Paketen passiert? Ggf die Protokollierung der Regeln (temporär) aktivieren
Zum Vergrößern anklicken....
Hm, das sieht für mich normal aus.
Einige blocks - vom geoip - und bei den anderen steht „let out anything..“
 
andrer250282 schrieb:
Das hatte ich auch schon mal, let Out anything und nix geht
Bei mir hat ein reboot geholfen
Zum Vergrößern anklicken....
Das habe ich schon x-mal gemacht!

Sollte bei der 1. Regel beim Port nicht 5335 (habe ich bei unbound hinterlegt) stehen?!
 

Anhänge

  • image.jpg
    image.jpg
    1,7 MB · Aufrufe: 43
Anmelden, um zu antworten.

Ähnliche Themen

F
Neuer PfSense / Opnsense Router bzw. Mainboard, stromsparend, ECC RAM fähig, PCiex für Connect-X 4 Netzerkkarte, gesucht
Antworten
12
Aufrufe
616
Zyxx
Z
O
PfSense, OPNsense Hardware - Eure Empfehlungen?
Antworten
9
Aufrufe
512
Almi_(R)
A
P
[Kaufberatung] Zwei Heimserver für OPNsense und Proxmox
Antworten
5
Aufrufe
720
Pixolantis
P
O
pfSense Hardware - Empfehlungen / Kaufberatung / Erfahrungen
Antworten
0
Aufrufe
117
OsiMosi
O
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh