[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Wegen meinen Internetproblemen, hab ich von Vodafone so einen Mobile WiFi Router bekommen. (https://www.ebay.de/itm/225758639327?hash=item34904374df:g:NQoAAOSwjtlk9eug)
Dafür hab ich eine SIM Karte bekommen. Jetzt bringt mir das in meinem Netz aber recht wenig, weil vieles via LAN Kabel angeschlossen ist.

Wenn ich die SIM-Karte jetzt dafür verwenden wollen würde, ein Failover Netz aufzuspannen, wie müsste ich dafür vorgehen?
Ich hab an der OPNsense nur einen RJ45 Port am Mainboard, Output zum Switch geht dann über die 10G DAC Karte.

Ich würde mir vorstellen, dass ich mir ein 4G Modem hole, das über RJ45 to USB Adapter per USB an die OPNSense hänge und das dann als Failover einrichte.
1. Ist das so möglich, wie ich mir das vorstelle?
2. Was gäbe es da für geeignete 4G Modems, die bezahlbar sind? Soll ja wie gesagt nur ein einfaches Modem sein.
3. Ist das möglich das über USB zu betreiben, oder klappt das mit der Sense nicht?
4. Mach ich generell einen Denkfehler?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Multiwan ist mit OPNsense kein Hexenwerk. Ist halt die Frage ob BSD das Netzwerk zu USB Konstrukt unterstützt. Was ich so gesehen habe und weiß: Don't. Just don't. Und ganz ehrlich: Etwas mit nur einem LAN-Anschluss ist explizit NICHT gut geeignet als sense Unterbau.
Klar, man kann mit VLANs arbeiten, dafür brauchts dann aber wieder nen L3 Switch. Mir sind meine 4 Ports ja schon zuwenig :ugly:
 
OPNsense Update auf 23.7.4:

So Wireguard und auch der Cronjob "Renew DNS for Wireguard in stale Connections" funktioniert (y)

Zu beachten gilt, selbst wenn der Cronjob jede Minute (zu empfehlen) ausgeführt wird, wird die Endpoint IP erst aktualiert wenn der Tunnel unterbrochen ist.
Also nicht wundern, wenn die dyndns url in der Unbound Stats nicht jede Minute aufgeführt wird. Die Adresse wird nur reresolved, wenn wie schon gesagt der Tunnel unterbrochen ist.

Damit wird unnötiger DNS Traffic vermieden.
 
WireGuard - echt frustrierend.

Habe im Herbst 2022 WireGurad zum ersten Mal eingerichtet - abgesehen von einer Kleinigkeit lief es gleich ohne Probleme.

Im Frühjahr 2023 gabs dann einige Updates/Änderungen => da hatte ich dann auch Probleme mit meinen VLAN's - da sich bei der Vorgabe/Einstellung der DNS-Server etwas geändert hat.
Dieses Problem habe ich dann vor einiger Zeit mal behoben => VLAN's laufen wieder normal.


Heute dachte ich, richtest du halt WireGuard von vorne neu ein - tja, jetzt sitze ich seit 3 Stunden, habe div. Anleitungen durch und bekommen keine Verbindung zwischen z.B. iPhone und WireGuard...
 
Was ich so gesehen habe und weiß: Don't. Just don't.
Muss ich tatsächlich das Gegenteil sagen, wichtig ist hauptsächlich der korrekte Chipsatz. Hab ich jetzt seit nem Jahr so laufen, die USB NIC hat einen AX88772A Chipsatz und hängt als WAN dran. Mit ner Realtek (testweise, ist ja known not working) fällt das WAN Interface alle paar Minuten einfach komplett aus. Mit der AX absolut 0 Probleme in der Richtung in dem letzten Jahr. Früher hatte ich auch n Fujitsu Thinclient mit PCIe Intel NIC für pfSense dafür, das ist jetzt genauso stabil
 
und bekommen keine Verbindung zwischen z.B. iPhone und WireGuard...
Na dann zeig mal, was Du bis jetzt so verbockt hast. :d
Screenshot_20230917-155723_WireGuard.png Capture.PNG
 
Zuletzt bearbeitet:
Genau zeig mal her.
Und idealerweise was extern lt. Live Daten (Firewall - Logs- Love Daten) auf dem wireguard Port ankommt und wie es behandelt wird.

Hab mit wireguard tatsächlich keine wirklichen Probleme auf der Sense
 
Na dann zeig mal, was Du bis jetzt so verbockt hast. :d
Anhang anzeigen 921848 Anhang anzeigen 921864

Genau zeig mal her.
Und idealerweise was extern lt. Live Daten (Firewall - Logs- Love Daten) auf dem wireguard Port ankommt und wie es behandelt wird.

Hab mit wireguard tatsächlich keine wirklichen Probleme auf der Sense


So, habe den Fehler gefunden!

Habe GeoIP in Verwendung und musste die "erlaube WireGuard Traffic" Regel nicht im WAN-Interface anlegen, sondern bei den "fließenden" Regeln und dort vor die GeoIP-Regeln schieben!
:wall:


Prinzipiell funktioniert VPN jetzt zwischen iPhone und OPNSense/Wireguard.

2 Dinge verstehen noch nicht so ganz!


1. Wenn ich am iPhone als DNS-Server meinen WireGuard-Server, oder die OPNSense eintrage, dann bekomme ich keine Verbindung? Habe da jetzt mal den Quad9-DNS-Server drin.
2. Ist VPN aktiv und ich übertrage Fotos vom iPhone auf mein NAS, dann ist dies nicht unbedingt performant.


Kann/sollte man am Tunnel noch etwas ergänzen!?


Danke!
 

Anhänge

  • Tunnel.jpg
    Tunnel.jpg
    23,6 KB · Aufrufe: 55
1. Wenn ich am iPhone als DNS-Server meinen WireGuard-Server, oder die OPNSense eintrage, dann bekomme ich keine Verbindung? Habe da jetzt mal den Quad9-DNS-Server drin.
Du meinst aber nicht unter WireGuard, richtig? In WireGuard selbst kannst Du den WireGuard-Server als DNS-Server eintragen.
Außerhalb von WireGuard nutzt Du am besten die DNS-Server, die Du über DHCP zugeteilt bekommst. Das kann im eigenen LAN durchaus die OPNsense sein, aber außerhalb natürlich nie.
Hab in meiner oben gezeigten Config auf dem Phone mal den einen DNS Server entfernt, der hat da eigentlich nichts zu suchen gehabt.
 
Du meinst aber nicht unter WireGuard, richtig? In WireGuard selbst kannst Du den WireGuard-Server als DNS-Server eintragen.
Außerhalb von WireGuard nutzt Du am besten die DNS-Server, die Du über DHCP zugeteilt bekommst. Das kann im eigenen LAN durchaus die OPNsense sein, aber außerhalb natürlich nie.
Hab in meiner oben gezeigten Config auf dem Phone mal den einen DNS Server entfernt, der hat da eigentlich nichts zu suchen gehabt.

Meinte, wenn ich am iPhone (in der WireGuard-App) bei den Tunnel-Einstellungen als DNS-Server den WireGuard-Server (welcher ja auf OPNSense läuft) eintrage, dann bekomme ich keine Verbindung.

Habe ich da einen Denkfehler und man braucht ohnehin einen öffentlich erreichbaren DNS-Server!?
 
Meinte, wenn ich am iPhone (in der WireGuard-App) bei den Tunnel-Einstellungen als DNS-Server den WireGuard-Server (welcher ja auf OPNSense läuft) eintrage, dann bekomme ich keine Verbindung.
Das sollte so nicht sein. Kann mich aber daran erinnern, das Problem auch schon mal auf Windows gehabt zu haben, später aber nicht mehr... Auf Android läuft es auf jeden Fall auch nur mit dem WG-Server als DNS-Server. Gerade mal gegengeprüft indem ich WiFi deaktiviert habe und dann das Phone neugestartet habe, die WG Verbindung konnte dennoch aufgebaut werden.
Edit: Hatte aber "always-on VPN" nicht aktiv, mal sehen, ob das einen Unterschied macht.
Edit2: Ging hier unter Android trotzdem. Vielleicht also eine iOS Eigenheit.
 
Zuletzt bearbeitet:
Das sollte so nicht sein. Kann mich aber daran erinnern, das Problem auch schon mal auf Windows gehabt zu haben, später aber nicht mehr... Auf Android läuft es auf jeden Fall auch nur mit dem WG-Server als DNS-Server. Gerade mal gegengeprüft indem ich WiFi deaktiviert habe und dann das Phone neugestartet habe, die WG Verbindung konnte dennoch aufgebaut werden.
Edit: Hatte aber "always-on VPN" nicht aktiv, mal sehen, ob das einen Unterschied macht.
Edit2: Ging hier unter Android trotzdem. Vielleicht also eine iOS Eigenheit.


Hm, habe wohl am iPhone die falsche IP-Adresse für den DNS-Server eingetragen!
:wall:


Wenn man auf der OPNSense bei WireGuard-Server die "192.168.100.0/24" eingetragen hat, dann muss man beim iPhone auch die "192.168.100.0" nehmen - warum auch immer, hab ich da "192.168.100.1" eingetragen!?


Unbound "lauscht" auf allen Schnittstellen - sollte dann also somit via VPN am iPhone aktiv, also dann über Unbound+Adguard der OPNSense laufen.
 

Anhänge

  • WG-Tunnel.jpg
    WG-Tunnel.jpg
    12,8 KB · Aufrufe: 43
Wenn man auf der OPNSense bei WireGuard-Server die "192.168.100.0/24" eingetragen hat, dann muss man beim iPhone auch die "192.168.100.0" nehmen - warum auch immer, hab ich da "192.168.100.1" eingetragen!?
Würde nicht etwas mit .0 am Ende nehmen, außer das Netz ist /31. Also lieber bei beiden die .1 am Ende.
 
Würde nicht etwas mit .0 am Ende nehmen, außer das Netz ist /31. Also lieber bei beiden die .1 am Ende.

Ok, danke für die Info - habe ich geändert.


Was auch noch interessant ist - VPN am iPhone aktiv => ich kann auf mein Heimnetzwerk (TrueNAS, ...) zugreifen.
Gleiche Einstellungen für mein Notebook (nur die zugewiesene IP + Keys angepasst) => kann dann zwar via VPN surfen, aber auf mein TrueNAS habe ich keinen Zugriff!?
 
So, habe den Fehler gefunden!

Habe GeoIP in Verwendung und musste die "erlaube WireGuard Traffic" Regel nicht im WAN-Interface anlegen, sondern bei den "fließenden" Regeln und dort vor die GeoIP-Regeln schieben!
:wall:


Prinzipiell funktioniert VPN jetzt zwischen iPhone und OPNSense/Wireguard.

2 Dinge verstehen noch nicht so ganz!


1. Wenn ich am iPhone als DNS-Server meinen WireGuard-Server, oder die OPNSense eintrage, dann bekomme ich keine Verbindung? Habe da jetzt mal den Quad9-DNS-Server drin.
2. Ist VPN aktiv und ich übertrage Fotos vom iPhone auf mein NAS, dann ist dies nicht unbedingt performant.


Kann/sollte man am Tunnel noch etwas ergänzen!?


Danke!

Ok, danke für die Info - habe ich geändert.


Was auch noch interessant ist - VPN am iPhone aktiv => ich kann auf mein Heimnetzwerk (TrueNAS, ...) zugreifen.
Gleiche Einstellungen für mein Notebook (nur die zugewiesene IP + Keys angepasst) => kann dann zwar via VPN surfen, aber auf mein TrueNAS habe ich keinen Zugriff!?


Muss immer wieder feststellen, dass ich in Bezug auf Firewall/Regeln/etc. blutiger Anfänger bin.

😉

Je mehr man auf der OPNSense umsetzt, umso weniger kann man sich anscheinend nach Anleitungen richten (siehe meine gestrige Misere mit Wireguard).

Woran kann es denn jetzt liegen, das mit dem iPhone alles läuft (Surfen über VPN, Zugriff auf TrueNAS), aber mit dem Notebook (nur Surfen möglich – aber kein Zugriff auf TrueNAS) nicht?


Danke!



LG
 
Ich verweise nochmal auf die Live Daten Ansicht.

Idealerweise also alle Protokollierungen bei den Regeln an und dann filtern auf DST = TrueNAS IP.

Dann siehst du ob Pakete in die Richtung gehen und wenn verworfen, dann aufgrund welcher Regel
 
Ich verweise nochmal auf die Live Daten Ansicht.

Idealerweise also alle Protokollierungen bei den Regeln an und dann filtern auf DST = TrueNAS IP.

Dann siehst du ob Pakete in die Richtung gehen und wenn verworfen, dann aufgrund welcher Regel
Ok, muss ich am Abend mal testen.

LG
 
Multiwan ist mit OPNsense kein Hexenwerk. Ist halt die Frage ob BSD das Netzwerk zu USB Konstrukt unterstützt. Was ich so gesehen habe und weiß: Don't. Just don't. Und ganz ehrlich: Etwas mit nur einem LAN-Anschluss ist explizit NICHT gut geeignet als sense Unterbau.
Klar, man kann mit VLANs arbeiten, dafür brauchts dann aber wieder nen L3 Switch. Mir sind meine 4 Ports ja schon zuwenig :ugly:
Nja, ich brauch ja eigentlich nur einen LAN Anschluss, der vom Modem zur OPNSense. Danach gehts über die 10G Karte über DAC zum Switch, der verteilt dann alles. Mit den VLANs klappt das eigentlich ganz gut.

@KurantRubys, finde da nicht wirklich was zu dem Chipsatz, alles was ich finde ist auch max 10/100 Ethernet. Was hat du da für ein Gerät? Ansonsten soll ja laut https://forum.opnsense.org/index.php?topic=6130.0 noch der Realtek RTL8153 funktionieren. Benutzt du ein LTE Modem und ja welches?
 
Ich würde das halt trotzdem nicht so machen in einem MultiWAN Szenario. Bei mir hängen eine Fritzbox, ein Mikrotik LTE Router, eine CARP Leitung und eben der Switch an meinen 2 OPNsenses. Hätte gerne noch ein dediziertes physisches DMZ-Netz, kein Port frei, schade. Suche gerade nach günstigen guten 6port Gigabit NICs ;)
 
Ja ich hab tastächlich nur n 10/100 Adapter, liegt aber auch einfach daran, das ich mehr als 100 Mbit DSL schon aus Kostengründen nicht buche. LTE Modem hab ich keins dran, wenn ich wirklich mal Arbeitstechnisch n Komplettaufsall hab, ist dafür das Firmenhandy da. Anderweitiges Fallback müsste ich da selber bezahlen und dann greif ich im Notfall auf mein Privathandy zurück.

Was Chipsatz angeht hab ich mich da allgemein nur nach BSD gerichtet, da ist ASIX afaik besser supported als Realtek https://man.freebsd.org/cgi/man.cgi?query=axge&sektion=4

Soooo hochverfügbar muss das hier dann ehrlich gesagt doch nicht sein, das mir das den Aufwand wert ist. Da hab ich andere Projekte und Baustellen :d
 
Wenn wir schon beim Thema WireGuard sind :d VPN Verbindung funktioniert bei mir problemlos, DNS auch. Jetzt hab ich aber das Thema, dass ich in aktiver VPN Verbindung im gleichen LAN wie die Sense zwar auch externes DNS problemlos auflösen kann, aber keine Verbindung aufbauen kann. Ist das n NAT Thema oder wie bekomm ich das zum laufen?
 
Ja, das Wireguard Net hat ne any-any. Bin ich außerhalb vom LAN klappt das auch, nur sobald der Client im gleiche LAN ist ist es ein Problem
 
Ah, ach so, das hab ich überlesen, sorry.
Das hab ich auch,will es aber auch so, damit kriege ich meine Nutzer dazu wireguard aktiv zu deaktivieren..

Aber eigentlich ist das wirklich doof und man müsste dem mal nachgehen....
 
Frage zu opnsense und multiGW: Ich hab ein Failoverszenario mit 2 GWs. Eines ist der normale DSL-Anschluss, das andere ein LTE Modem. In diesem steckt eine 2t Karte meines Mobilfontarifs. Dieser überraschte mich mit "Ihr Datenvolumen ist aufgebraucht". Dafuq? Irgendwas (ich hab schon meine Vermutung was) hat in der Nacht 40GB an Traffic verursacht. Der VErursacher war Clientseitig schnell identifiziert, aber warum ist das aufgetreten, und wie kann ich das verhindern? Kann ich bestimmten NEtzen verbieten das Failover Gateway zu nutzen? Kann ich irgendwo sehen wer den Traffic (aus opnsense Sicht) verursacht hat?
 
Du kannst Regeln aus dem LAN ein spezifisches Gateway zuweisen, diese Regeln dann nach Clients aufteilen

Also "wichtiges" an den Failover Gateway und den Rest ans normale.

Heißt aber dann im Failover Fall haben diese Clients dann kein Internet
 
Jo, so habe ich das jetzt auch gemacht - in der Firewall Rule die als letztes "Allow All" macht kein "default" als Gateway gelassen, sondern das explizite DSL Gateway eingetragen.
Beitrag automatisch zusammengeführt:

Das funktioniert auch, so eben getestet. Zur anderen Frage: Wo kann ich sehen wer und warum? Eine Statistik darüber wäre wunderbar. Ich hab halt in den Graph meines Mikrotikswitches geschaut...
 
Wo kann ich sehen wer und warum? Eine Statistik darüber wäre wunderbar. Ich hab halt in den Graph meines Mikrotikswitches geschaut...
ntop, bandwithd, Netflow, usw. pfSense hat für Erstere ein Plugin, bei OPNSense weiß ich es nicht.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh