*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Ja, das kann ntop-ng oder bandwidthD. Mit Netflow muss man das halt in ne Clockhouse DB oder Influx schreiben, für historische Daten.
Speeddeamon
Urgestein
ISt denn die Client Config die gleiche?
Da steht ja auch nochmal drin wohin der client überhaupt darf bzw wohin die routen gehen...
Wenn wir schon beim Thema WireGuard sindVPN Verbindung funktioniert bei mir problemlos, DNS auch. Jetzt hab ich aber das Thema, dass ich in aktiver VPN Verbindung im gleichen LAN wie die Sense zwar auch externes DNS problemlos auflösen kann, aber keine Verbindung aufbauen kann. Ist das n NAT Thema oder wie bekomm ich das zum laufen?
Kann mich dunkel an das Thema erinnern, hab mich irgendwann aber einfach gezwungen, WG auf dem Phone zu deaktivieren, wenn ich zuhause bin. Wobei ich jetzt im selben LAN auch keine Ziele habe...
Anyways, hab gerade mal folgendes probiert und es hat funktioniert. Ich hab always-on VPN auf dem Phone aktiviert. Hab das WiFi deaktiviert, immer noch Konnektivität. Anschließend wieder ins WiFi, immer noch Konnektivität.
Zuvor hatte ich für den WireGuard-Port einen Forward auf dem LAN (des Phones) nach Localhost eingerichtet.
Keine Ahnung, ob das jetzt der Weisheit letzter Schluss ist.
Da die OPNsense ja inzwischen das Kernel-WG nutzt, sollte das auch dort funktionieren.
Zuletzt bearbeitet:
Hatte gestern keine Zeit mehr und heute komme ich auch spät heim - wird wohl erst morgen soweit werden.
Ja, Config ist 1:1 gleich - hab nur die IP-Adresse und den Public-Key geändert/angepasst.
KurantRubys
Legende
Der iOS Client kann ja VPN on Demand, da hatte ich eh nie Stress mit. SSIDs daheim als Ausnahme rein und gut. Nur am Laptop bin ich mir grade nicht sicher ob ich das da auch so "easy" hin bekomme unter Arch. Aber ich schau mir das mal mit der Regel an, danke
Ansonsten wird das da ein, ist an wenns gebraucht wird.Seit einiger Zeit (ein paar Wochen?) funktioniert bei mir Wireguard in Kombination mit Windows 11 nicht mehr richtig:
Per Browers unter Windows habe ich Zugriff auf die OPNsense und das Internet, aber nicht auf meine LAN-Dienste. Ein ping auf LAN-Adressen geht, SSH aber wieder nicht..
Das Android-Handy dagegen kann problemlos die internen server etc. ansprechen. Dabei ist es Windows egal, ob ich das aus einem fremden Netz probiere oder aus dem LAN.
Jemand eine Idee?
Mir scheint es, als sei es zunächst mal ein DNS-Problem:
Als DNS-Server ist aber allein meine OPNSense (wireguard endpoint) eingetragen. Externe Adressen lassen sich auflösen, interne teilweise nicht ...
Aus der WSL2 Linux-shell geht die Namensauflösung gar nicht, da er einen nicht vorhandenen DNS-server ansprechen will (die IP des Windows-Rechners ist 192.168.1.176):
Per Browers unter Windows habe ich Zugriff auf die OPNsense und das Internet, aber nicht auf meine LAN-Dienste. Ein ping auf LAN-Adressen geht, SSH aber wieder nicht..
Das Android-Handy dagegen kann problemlos die internen server etc. ansprechen. Dabei ist es Windows egal, ob ich das aus einem fremden Netz probiere oder aus dem LAN.
Jemand eine Idee?
Mir scheint es, als sei es zunächst mal ein DNS-Problem:
Code:
ssh: Could not resolve hostname <FQDN>: Temporary failure in name resolutionAls DNS-Server ist aber allein meine OPNSense (wireguard endpoint) eingetragen. Externe Adressen lassen sich auflösen, interne teilweise nicht ...
Code:
C:\Users\asche>nslookup FQDN
Server: UnKnown
Address: 10.10.100.1
Nicht autorisierende Antwort:
Name: FQDN
Address: 192.168.1.4
C:\Users\asche>ping FQDN
Ping wird ausgeführt für FQDN [192.168.1.4] mit 32 Bytes Daten:
Allgemeiner Fehler.
Allgemeiner Fehler.Aus der WSL2 Linux-shell geht die Namensauflösung gar nicht, da er einen nicht vorhandenen DNS-server ansprechen will (die IP des Windows-Rechners ist 192.168.1.176):
Code:
~$ dig www.heise.de
;; communications error to 192.168.64.1#53: timed out
;; communications error to 192.168.64.1#53: timed out
Zuletzt bearbeitet:
Hallo!
Ich habe ein recht kleines "Homelab" (1 PC, 1 MB Air, 1 Server) im Aufbau und auch nur eine Handvoll Wifi-Geräte (2x Smartphone, 2x Tablet, 1x Smart TV). Unternet kommt von der Telekom und ich nutze im Moment eine Fritzbox, habe aber auch noch einen Speedport.
Macht es für mich Sinn, pfSense oder OPNsense zu installieren? Brauche ich ein Modem oder kann ich das auf dem Server hinter der Fritzbox installieren? Ich plane, eine private Website und Nextcloud selber zu hosten, auf die ich dann auch von außerhalb Zugriff haben möchte.
Ich habe ein recht kleines "Homelab" (1 PC, 1 MB Air, 1 Server) im Aufbau und auch nur eine Handvoll Wifi-Geräte (2x Smartphone, 2x Tablet, 1x Smart TV). Unternet kommt von der Telekom und ich nutze im Moment eine Fritzbox, habe aber auch noch einen Speedport.
Macht es für mich Sinn, pfSense oder OPNsense zu installieren? Brauche ich ein Modem oder kann ich das auf dem Server hinter der Fritzbox installieren? Ich plane, eine private Website und Nextcloud selber zu hosten, auf die ich dann auch von außerhalb Zugriff haben möchte.
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 329
Wird denn der korrekte DNS Server genommen? Windows - nslookup zeigt den primären Server an.
Ist der pingbar über VPN?
Regel wireguard net to LAN?
KurantRubys
Legende
Ist immer n bisschen Ansichtssache. Ich wollte im Leben keine FB und hatte mit der pfSense am FTTH und damals noch VLANs gute Erfahrungen gemacht, deswegen ist es jetzt auch wieder ne OPNsense geworden. Für meine Usage aber durchaus etwas Overkill.
Hostingkram wird bei mir dann eh über einen NGINX geschoben, kann ich nur wärmstens empfehlen das auch so zu machen.
Wegen dem WireGuard DNS Thema, ich hab das jetzt schon öfter gesehen, dass Leute da die IP vom WireGuard Interface der Sense eintragen. Ich hab bei mir einfach die LAN IP genommen. Ist das jetzt n grundlegender Config Fehler, mit irgendwelchen Nachteilen? Ich konnte zumindest noch keine finden
So macht man das halt als Anfänger.Ich hab bei mir einfach die LAN IP genommen. Ist das jetzt n grundlegender Config Fehler, mit irgendwelchen Nachteilen? Ich konnte zumindest noch keine finden
Eigentlich will man mit einer Firewall separieren, nutzt also immer das Interface der Sense, in dessem Subnet man sich gerade befindet.
KurantRubys
Legende
Ja macht aus dem Standpunkt gesehen durchaus Sinn Bei VLANs hatte ich das auch noch so am laufen, aber nachdems jetzt hier eh nur WAN und LAN gibt..
Bei VLANs hatte ich das auch noch so am laufen, aber nachdems jetzt hier eh nur WAN und LAN gibt..Anbei ein kleiner Auszug.
192.168.100.20 - wäre ein Laptop via Wireguard verbunden - und ich versuche das "Netzwerk" zu durchsuchen.
Anhänge
DNS: ja, wird der richtige genommen - identisch mit dem endpoint des wireguard-Tunnels (10.10.100.1).
Pingbar: nein, auch per IP nicht.
Firewall-seitig passt auch alles - Android kann es ja.
Habe Wireguard neu installiert, aber weiterhin kein Zugriff auf interne Dienste (DNS-Auflösung geht aber):
Code:
Ping wird ausgeführt für esxi.XXX.de [192.168.1.4] mit 32 Bytes Daten:
Allgemeiner Fehler.
Allgemeiner Fehler.Auch ping auf 192.168.1.1 oder 192.168.1.4 scheitern.
Nur pings "nach draußen" (zB 1.1.1.1) gehen.
Abhilfe schafft erstmal das Not-Aus zu deaktivieren ("Blockiere Verkehr außerhalb des Tunnels (Not-Aus)".
Zuletzt bearbeitet:
Ähnlich wie bei mir - mit dem iPhone habe ich vollen Zugriff; mit dem Laptop (Win11) finde ich mein TrueNAS nicht - surfen kann ich aber.
So falsch können ja OPNSense+Wireguard nicht konfiguriert sein, ansonsten würde ja nicht alles "normal" funktionieren mit dem Handy, oder?
Wäre interessant, ob es ev. an Windows liegt - sprich, ob es z.B. mit Win10 geht!?
So falsch können ja OPNSense+Wireguard nicht konfiguriert sein, ansonsten würde ja nicht alles "normal" funktionieren mit dem Handy, oder?
Wäre interessant, ob es ev. an Windows liegt - sprich, ob es z.B. mit Win10 geht!?
Zuletzt bearbeitet:
OPNsense 23.7.5 veröffentlicht:
- PPoE MTU changes
- change in far gateway handling
- Also fixed was the problematic migration of the Unbound interfaces settings
- Other reliability improvements and third party security updates are included as well.
Kein reboot erforderlich.
- PPoE MTU changes
- change in far gateway handling
- Also fixed was the problematic migration of the Unbound interfaces settings
- Other reliability improvements and third party security updates are included as well.
Kein reboot erforderlich.
Zuletzt bearbeitet:
Speeddeamon
Urgestein
Ist denn der vlan Bug bei broadcom nics inzwischen behoben und da mit drin?
KurantRubys
Legende
Fand ich jetzt optisch auch sehr cool, dann hab ich die RAM Anforderungen gelesen 
Das erste Foto sieht sehr stark für mich nach Elastiflow aus.hat von euch jemand erfahrung mit pfelk & opensense ?
ich finde so vom logging/design macht das schon echt was her :
toscdesign
Enthusiast
- Mitglied seit
- 17.02.2022
- Beiträge
- 5.551
Sieht zwar cool aus, aber ich wü+sste nicht für was ich das brauchen sollte 
xST4R
Enthusiast
- Mitglied seit
- 22.10.2017
- Beiträge
- 3.633
Fand ich jetzt optisch auch sehr cool, dann hab ich die RAM Anforderungen gelesen
joa 8gb min und 32gb recomand sind schon hart
wie sieht es denn bei euch mit zenarmor aus nutzt ihr sowas ?
toscdesign
Enthusiast
- Mitglied seit
- 17.02.2022
- Beiträge
- 5.551
Sagt mal,
meine opnsense blockiert folgende IP die mein Pixel 6 aufrufen möchte.
Diese IP ist aber in keiner Block Regel definiert!
PS: Die IP gehört Google
Weiß da jemand mehr?
meine opnsense blockiert folgende IP die mein Pixel 6 aufrufen möchte.
Diese IP ist aber in keiner Block Regel definiert!
PS: Die IP gehört Google
Weiß da jemand mehr?
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 812
Steht doch da: State Violation.
Könnte das von nem Paket kommen, das den TCP-Prozess (SYN, ACK, etc.) nicht korrekt durchlaufen hat?
TCP-Sequenz fehlerhaft?
Könnte das von nem Paket kommen, das den TCP-Prozess (SYN, ACK, etc.) nicht korrekt durchlaufen hat?
TCP-Sequenz fehlerhaft?
toscdesign
Enthusiast
- Mitglied seit
- 17.02.2022
- Beiträge
- 5.551
Gestern kam ein Update für das Pixel 6
Tritt seitdem nicht mehr auf.
Tritt seitdem nicht mehr auf.
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.910
Ich wollte dieses pfelk mal testen - mal abgesehen davon das die Anleitung unglaublich schlecht ist - selbst für eine github open source anleitung - funktioniert sie auch nicht, bzw. lässt wichtige Dinge einfach mal komplett weg. Und wenn man sie dann gefunden hat nach dem man ein Youtube Video geschaut hat, stellt man fest das das runtergeladene Script einen Error wirft. Hiach. Also wieder weg mit dem Dreck, schade.
Nicht mal das Docker von denen funktioniert auf Anhieb, und ich hatte noch keine Muße nachzusehen, was da überhaupt das Problem ist. Lust hätte ich ja schon. Aber sollte Docker eigentlich nicht die Lösung für Faule sein?