[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Ein "normalen" Router habe ich leider nicht.
Könnte nur vom Kabelanbieter mein Modem von "bridge" auf "normal" zurücksetzen lassen und damit dann testen!?


"shared" - na ja, so ganz glaube ich nicht daran.

Bin seit 2016 bei diesem Anbieter - hatte anfangs 100/10MBit und ab ca. 2017 200/20Mbit.
Abgesehen von einem Speedproblem vor ein paar Jahren (da wurde dann irgendwas "neu kalibriert"!?) wurde der Speed immer konstant eingehalten - eher sogar immer knapp drüber.
Schwankungen nach unten gab es nie!
Habe das Ganze über die Jahre natürlich immer wieder mal regelmäßig kontrolliert - beim 200/20-Paket lag ich immer (egal zu welcher Zeit) über 200/20!

Habe dann vor ca. 3 Wochen auf das 400/40Mbit Paket gewechselt - meine Probleme gab es aber schon vor diesem Wechsel.
Wenn Alles normal läuft, dann bin ich da auch immer über 400/40.

Seit ca. Anfang Juli gibt es aber immer wieder Probleme.
  • stockende/nicht nutzbare Teams-Video-Besprechungen
  • in nicht definierbaren "Zeiteinheiten" sehr schwankender Speed - gestern von z.B. 100-350Mbit!
  • hängt man mit dem iPHone im WLAN - fangen dann irgendwann mal plötzlich die Videos in z.B. Facebook zu stocken an
  • ....

Da die letzten Jahre in meinem Gebiet der Glasfaserausbau (anderer Anbieter) ziemlich vorangetrieben wurde, hängen jetzt sicher eher wenige Leute beim Kabelanbieter drauf als vorher!
Da in meiner Straße (leider) Kabelinternet vorhanden ist, liege ich derzeit nicht im staatlichen Fördergebiet => ca. 50 Meter von meinem Haus weg wäre ein Glasfaserverteiler => würde mich aber derzeit um die € 8000 kosten!!
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Da steckt viel Spekulation dahinter, am Ende kannst du als Endverbraucher nicht mit Gewissheit sagen, wie viele Haushalte ebenfalls deine Leitung teilen.
Was sind denn die Mindestwerte, die dir dein Provider bieten muss?
 
268/26,8 wären das Minimum

Da war ich die letzten Tage oft (deutlich) drunter.

Heute läuft es den ganzen Tag völlig normal!

>400/40

?!


„Beste“ Möglichkeit wäre vermutlich eirklich, wenn ich vom Helpdesk das Kabelmodem von „bridge“ auf „normal/Router“ umstellen lasse - dann gibt es keine „Ausreden“ mehr.
 
Evtl mal pfSense draufwerfen?
 
Mit neuer Software von vorne - eher nicht.

Beste Lsg. wird sein, das Kabelmodem auf „Router“ zurück setzen zu lassen - dann gibt es keine Ausreden mehr, falls das Problem dann noch immer auftritt.
 
So, habe heute vermutlich einen fähigeren Techniker bei der Kabel-Hotline erwischt (als letzten Freitag) - er sieht, dass es Unstimmigkeiten bei Signal meiner Zuleitung gibt - am 05.09. kommt ein Techniker.

Dürfte also am "Kabel" und nicht an der Firewall liegen - mal sehen.
 
Ich drück dir auf jeden Fall die Daumen @hs_warez , bitte erzähl mal wie es weitergeht.


Jetzt mal etwas das mir den Kopf zerbricht. Ich habe eine OPNSense auf Blech mit 5 NICs, 2x WAN, 1x LAN, 1x DMZ und 1x Gästenetz.
Die WAN Seiten sind 2x Glasfaser mit einem /29 und einem /28 Netz IPv4 Netz und einem /64 und einem /48 IPv6 Netz.
Ich habe eine 2te virtualisierte OPNSense mit den gleichen NICs (nur halt virtualisiert) auf Hyper-V (falls das wichtig ist)

Das ganze konfiguriert als HA Cluster mit CARP Adressen. Das funktioniert soweit, auch mit ausgehendem NAT, so dass meine externe IP immer die CARP Adresse eines der WAN Anschlüsse ist (je nachdem welcher aktiv ist) und auch eingehende Dienste, die auf den CARP Adressen liegen. Soweit so gut

Im Netz ist eine Telefonanlage, die sich mit einem SIP Trunk verbindet, sie nutzt dafür ein- und ausgehend eine einzelne CARP IP aus dem /28er IPv4 Netz. Auf dieser IP ein- und ausgehend sind keine anderen Dienste, eingehend ist aber nur die NAT Ports, die lt. Hersteller notwendig sind (also kein 1:1 NAT)

Grundsätzlich funktioniert die Anlage, solange die primäre Firewall aktiv ist. Übernimmt die sekundäre (also die virtualisierte), so verliert die Telefonanlage die Konnektivität. Sie hat Internetzugang und alles, aber es dauert ungefähr 20-25min bis sie sich wieder am SIP Trunk anmelden kann - ich nehme an, das ist aber vom SIP Trunk Anbieter (Vodafone, falls das wichtig ist, Glasfaseranschlüsse (beide) ebenfalls Vodafone) so gewollt ist, da sich am WAN Anschluss ja die MAC Adresse ändert.

Wie kann man das umgehen? also OPNSense seitig meine ich. Ich hab mal aus Spaß an der Freude die MAC Adresse des WAN Interfaces auf die MAC des WAN Interfaces der primären Firewall gestellt mit dem Ergebnis das dann gar nichts mehr ging, ich nehme an, weil beide Firewalls in das gleiche Modem führen.
Hat da jemand eine Idee? Oder bin ich auf dem falschen Weg?
 
@hs_warez - Kabelanbieter heist wirklich Koax - also wo auch TV und so rum kommt?
damit sind die Schwankungen vorallem zu Zeiten, von denen man ausgehen kann, das mehr Konsumenten im Netz unterwegs sind relativ normal.

Wir haben und hatten das Problem bei KD quasi als normal zu verbuchen, weil eben Kabel ein shared Medium ist, das liegt schon in der Struktur des Netzes.
Auch wenn z.B. neue Updates oder so rauskamen, hat man das auf der Leitung gemerkt.
-
Beim Klassischen Telefonkabel ist das ganze ein wenig anders - aber selbst da kann es zu minimalen Schwankungen kommen - meist hab ich die Probleme hier aber auf der Serverseite, das z.B. wie heute mit dem neuen BF-Update die EA Server einfach ausgelastet sind und dann nicht mehr als ein paar MB gehn...
 
Blöde Frage, aber ggf. kann mir jemand hier helfen bzw. hat das selbst schonmal gemacht.
Ich versuche eine IPsec Site2Site VPN Verbindung zwischen einer Sophos XG und einer OPNsense Appliance herzustellen. Phase 1 der IPsec Verbindung ist auch (laut Sophos) verbunden, Phase 2 aber nicht.
 
Ich kann dir auf alle sagen, dass es funktioniert, weil ich so meine Verbindung (OPNsense) in die Firma (Sophos XG) aufbaue.
An der Sophos XG das DefaultHeadOffice Profil genommen.
An der Sophos keine Remote ID konfigurieren, damit hatte ich auch keinen Erfolg.
 
Schmeißt das Log irgendwelche Hinweise raus woran es scheitert?
leider nicht. Aber ich sehe gerade, dass sowohl die Sophos XG auch OVPN Site2Site kann.

Aber jetzt hab ich gerade eh meine OPNSense Appliance auf 23.7 upgedatet und meine ganzen Einstellungen sind jetzt im Legacy bereich. Hab jetzt nen ungutes Gefühl, wenn ich auf veraltete Funktionen setze.
Ich glaube ich fange an der OPNSense morgen frisch von Vorne an.

Ggf. setzte ich jetzt an der Sophos auch auf "SSL VPN", nachdem ich jetzt erst gecheckt habe, dass des auch nur in Sophos Sprachen ein anderen Begriff für openVPN ist. Und des ist auf den ersten Blick einfacher zu konfigurieren, weil ich hier eine *.apc Config Datei bekomme (die ich auf ner anderen Sophos einfach einlesen könnte), es für diese APC Files aber Konverter gibt, die es in OpenVPN lesbare Einzeldateien zerlegt.
 
@hs_warez - Kabelanbieter heist wirklich Koax - also wo auch TV und so rum kommt?
damit sind die Schwankungen vorallem zu Zeiten, von denen man ausgehen kann, das mehr Konsumenten im Netz unterwegs sind relativ normal.

Wir haben und hatten das Problem bei KD quasi als normal zu verbuchen, weil eben Kabel ein shared Medium ist, das liegt schon in der Struktur des Netzes.
Auch wenn z.B. neue Updates oder so rauskamen, hat man das auf der Leitung gemerkt.
-
Beim Klassischen Telefonkabel ist das ganze ein wenig anders - aber selbst da kann es zu minimalen Schwankungen kommen - meist hab ich die Probleme hier aber auf der Serverseite, das z.B. wie heute mit dem neuen BF-Update die EA Server einfach ausgelastet sind und dann nicht mehr als ein paar MB gehn...

Ja, Kabelinternet über Koax-Kabel.
Wie gesagt, bin seit 2016 bei diesem Anbieter und der Speed war immer konstant gut. Minimalste Schwankungen ja, blieb aber immer über dem gebuchten Speed!

z.B. gebucht: 200/20 => im Normalfall um die 220/22 - und ein schlechter Speedtest lag nie unter 200/20!

2020 gab es mal ein technisches Problem => wurde irgendwas in deren Verteilerkasten getauscht und eben jetzt seit ca. Juli wieder.


Mal sehen, was der Techniker am DI dann finden wird!?


LG
 
Ja, Kabelinternet über Koax-Kabel.
Wie gesagt, bin seit 2016 bei diesem Anbieter und der Speed war immer konstant gut. Minimalste Schwankungen ja, blieb aber immer über dem gebuchten Speed!

z.B. gebucht: 200/20 => im Normalfall um die 220/22 - und ein schlechter Speedtest lag nie unter 200/20!

2020 gab es mal ein technisches Problem => wurde irgendwas in deren Verteilerkasten getauscht und eben jetzt seit ca. Juli wieder.


Mal sehen, was der Techniker am DI dann finden wird!?


LG
Ich habe am Samstag auch mal eine Anfrage an Vodafone gestellt. Ich habe auch seit ca. Juni/Juli das Problem von ständig schlechter Geschwindigkeit und dauerhaften Ausfällen. Hatte dann mal ein Testprotokoll mit der App der Bundesnetzagentur erstellt und eben am Samstag an Vodafone gesendet. Bin mal gespannt, was dabei rauskommt.

Ich habe seit ca. 2018 CableMaxx 1000/50 bei Vodafone und bevor ich 2021 umgezogen bin, lief das absolut super. Ich hatte glaube 1x im Jahr Connection Probleme und dauerhaft 1000/50 Speed.
Nach dem Umzug war der Speed zwar da, aber oft instabil, auch häufiger Connection Probleme. Seit ca. Juni/Juli ist es nicht mehr auszuhalten. Ich habe regelmäßige Connection Probleme (teilweise über mehrere Stunden) und immer wieder Speedtests, die 70/0,5 mit >300ms Ping zeigen. HomeOffice ist eine absolute Katastrophe damit.

Bin mal gespannt auf die Rückmeldung, ich hab aber schon wieder Angst vor den Diskussionen a la: "Bitte stecken Sie unsere Vodafone Station an, sonst können wir Ihnen nicht helfen". Ich verwende ein Technicolor TC4400 Modem, da die Vodafone Station aufgrund von Package Loss unbrauchbar war und dahinter eine OPNSense. @hs_warez, hast du eine Idee, wie man die Diskussionen im Keim ersticken kann? Wenn ich nämlich die Vodafone Station anschließe, läuft bei mir im Haus nichts mehr, da dann die ganzen VLAN Konfigurationen ja nicht mehr gehen. Und ist ja nicht so, dass ich die nur kurz mal für ne halbe Stunde anschließen muss, die muss dann ja schon mal mehrere Tage laufen.
 
Vodafone Station im bridge mode macht doch das gleiche wie die Technicolor, dh auf deine VLANs sollte das keinen Einfluss haben? Und selbst wenn Vodafone Station im Router Modus, solltest Du doch deinen Router dahinter mit VLAN weiter laufen lassen können (dann ggfs mit Double NAT)?
 
Die Technicolor gibt mir Dual Stack IPv4/v6. Die Vodafone Station im Bridge Modus nur DS-Lite. Macht das ein Problem, wenn ich keinen Zugriff von außen benötige? Wenn nicht, dann hast du Recht.
 
Hm, keine Ahnung 😕, ich bekomme per bridge mode DHCP eine Public IPv4.
 
Neues OPNsense update 23.7.3:


Of note is also the largely rewritten backend for the WireGuard kernel module plugin which offers separate services for each instance much like OpenVPN offers it. The requirement of the wireguard-tools and bash packages were removed. This also means the plugin will be moved to the core for 24.1 along with Wireguard go plugin being removed completely since on FreeBSD 13.2 no external package is needed to enjoy WireGuard and the permanent existence of a kernel module renders the Go fallback defunct through wireguard-tools/wg-quick implementation quirks.

P.S.: kleiner hotfix für WireGuard veröffentlicht.
 
Zuletzt bearbeitet:
Hello, meine OPNsense hat gerade neugebootet, ohne Vorwarnung. Läuft auf einem Dell R210 II. Als HA mit einer virtualiserten OPNsense als Slave. Es fand keine Übergabe via Carp statt, so das es einen kompletten (kurzen) Netzwerkausfall gab. Was kann ich hier checken warum das passiert ist?

Edit sagt: Frage ist geklärt, ganzes Rack war ohne Strom...
 
Zuletzt bearbeitet:
Hm, keine Ahnung 😕, ich bekomme per bridge mode DHCP eine Public IPv4.

Da das Vodafone mal wieder wolllte, hab ich die Vodafone Station in den Bridge Mode und angesteckt. An der OPNSense hab ich dann aber am WAN Interface keine IP Adresse bekommen, da stand immer 0.0.0.0/8.

Problem: Ich habe wieder umgesteckt, das Technicolor TC 4400 bei Vodafone registriert, es wieder an die Sense angesteckt (das Technicolor zeigt mir im Portal eine IPv6 Adresse), dort zeigt es mir aber weiterhin bei WAN 0.0.0.0/8 an.

Ich habe in den Einstellungen der Sense nichts verändert. Warum findet sie jetzt die IPv6 am WAN Port nicht mehr? Und warum hat sie die IPv4 von der Vodafone Station auch nicht gefunden?

DHCP ist bei IPv4 bei Type eingestellt, bei IPv6 ist DHCPv6 eingestellt.

Edit: Geht wieder, hat aber nen dritten Neustart gbraucht
Bei der Vodafone Station ging es aber definitv nicht.
 
Braucht einfach Zeit - Vodafone vergibt nur 1 IP und merkt sich die angeschlossene MAC für eine gewisse Zeit (15min?).
 
Ja, das meine ich!
Beitrag automatisch zusammengeführt:

NTS = ptbtime1.ptb.de
und Sync der Client mit Chrony auf Port 123

Man muss aber wohl noch mehr machen, damit local OPNSense weiter funktioniert. Unter Network Time habe ich komplett deaktiviert. Rund ist das konfigurationsthema so aber noch nicht?!
 
Mal eine evtl. „Bescheuerte“ Frage:

Wenn ich einen Mini PC mit Proxmox haben möchte mit OPNSense als VM (und HA, PiHole, Omada)

Reichen 2x NICs (WAN & LAN), oder benötige ich 3x NIC (WAN & LAN + Mgmt Port für Proxmox)?

Aktuell (ThinClient mit Proxmox und OPNSense und 4x Intel i350 NIC) geht mein LAN in den Switch und von dort geht ein Netzwerkkabel in meinen Hypervisor um auf Proxmox und die anderen VMs zuzugreifen.

WAN und LAN NICs sind exklusiv für die OPNSense VM (so wie empfohlen).
 
Reicht, hab ich bei mir auch so laufen. Interne NIC für Proxmox und WAN ist bei mir ne USB NIC Lösung mit entsprechendem Chipsatz für die Sense.
 
Ja, Kabelinternet über Koax-Kabel.
Wie gesagt, bin seit 2016 bei diesem Anbieter und der Speed war immer konstant gut. Minimalste Schwankungen ja, blieb aber immer über dem gebuchten Speed!

z.B. gebucht: 200/20 => im Normalfall um die 220/22 - und ein schlechter Speedtest lag nie unter 200/20!

2020 gab es mal ein technisches Problem => wurde irgendwas in deren Verteilerkasten getauscht und eben jetzt seit ca. Juli wieder.


Mal sehen, was der Techniker am DI dann finden wird!?


LG

So, Techniker war am DI da - seither läuft es wieder richtig!

Techniker hat etappenweise alles vom Verteiler (ca. 40 Meter vom Haus weg) bis zum Modemkabel durchgemessen.
Minimal nach unten abweichend, von den Sollwerten, da ja das Kabel schon seit 1993 liegt - für dieses Alter liefert es aber perfekte Werte.

Letztendlich hat der im Verteilerkasten verbaute Dämpfer nicht mehr gepasst - wurde entfernt - Signale waren dann wieder besser im gewünschten Sollbereich.


Die wirkliche Abhilfe war aber der Modemtausch!

Dann auf Anhieb bei jedem Speedtest mit ca. 360 MBit/s gestartet und dann gleich auf ca. 420MBit/s hoch.
Seither habe ich bei jedem Speedtest - egal zu welcher Zeit - wieder so um die 420/42MBit/s!

Der Seitenaufbau einer Mediathek via Apple-TV geht wieder deutlich schneller/besser; keine HomeOffice-Probleme bei meiner Freundin mehr, - läuft also wieder!


LG
 
Mal eine evtl. „Bescheuerte“ Frage:

Wenn ich einen Mini PC mit Proxmox haben möchte mit OPNSense als VM (und HA, PiHole, Omada)

Reichen 2x NICs (WAN & LAN), oder benötige ich 3x NIC (WAN & LAN + Mgmt Port für Proxmox)?

Aktuell (ThinClient mit Proxmox und OPNSense und 4x Intel i350 NIC) geht mein LAN in den Switch und von dort geht ein Netzwerkkabel in meinen Hypervisor um auf Proxmox und die anderen VMs zuzugreifen.

WAN und LAN NICs sind exklusiv für die OPNSense VM (so wie empfohlen).
Nur mal so: Die OPNsense ist dein Gateway und dein Router - ist der Host down, hast du kein Internet und nischt. Das ist nur was für erfahrene Leute die wissen was sie wann in welcher Reihenfolge tun. Ich persönlich hab das ne Zeitlang gefahren und es hat dann doch zu hart angenervt. Bin daher auf ein OPNsense HA cluster aus 2 Instanzen gewechselt, eine physisch, eine als VM. Dafür brauchst du dann aber einen weiteren Netzwerkanschluss.
 
Nur mal so: Die OPNsense ist dein Gateway und dein Router - ist der Host down, hast du kein Internet und nischt. Das ist nur was für erfahrene Leute die wissen was sie wann in welcher Reihenfolge tun. Ich persönlich hab das ne Zeitlang gefahren und es hat dann doch zu hart angenervt. Bin daher auf ein OPNsense HA cluster aus 2 Instanzen gewechselt, eine physisch, eine als VM. Dafür brauchst du dann aber einen weiteren Netzwerkanschluss.
Absolut korrekt…

Der Thin Client MUSS 24/7 laufen - das ist auch der Grund warum OPNSense und Home Assistant nicht auf meinem TrueNAS Server laufen habe.

Prinzipiell bin ich recht zufrieden mit der Stabilität - das ganze hängt hinter einem 4G Modem (mit prepaid SIM mit unlimited data) und ich hatte mit einem Anbieter Probleme, da alle 24h irgendein Lease erneuert wurde, welcher einen Restart von OPNSense erfordert hat… anderer Anbieter = keine Probleme.

Der HP T620+ mit 4 Jaguar Cores ist schon recht am Anschlag von der Leistung - daher schaue ich gerade nach Alternativen :) die neuen Mini PCs mit 2x 2.5Gbit Intel NICs sehen sehr nett aus.

Daher die Frage: reichen 2x NIC für mein Setup?
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh