[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Es geht mir nicht um Echtzeit, sondern Loggingfunktion oder ähnliches.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Shihatsu schrieb:
Es geht mir nicht um Echtzeit, sondern Loggingfunktion oder ähnliches.
Zum Vergrößern anklicken....
Ja, das kann ntop-ng oder bandwidthD. Mit Netflow muss man das halt in ne Clockhouse DB oder Influx schreiben, für historische Daten.
 
hs_warez schrieb:
Woran kann es denn jetzt liegen, das mit dem iPhone alles läuft (Surfen über VPN, Zugriff auf TrueNAS), aber mit dem Notebook (nur Surfen möglich – aber kein Zugriff auf TrueNAS) nicht?


Danke!



LG
Zum Vergrößern anklicken....

ISt denn die Client Config die gleiche?
Da steht ja auch nochmal drin wohin der client überhaupt darf bzw wohin die routen gehen...
 
KurantRubys schrieb:
Wenn wir schon beim Thema WireGuard sind :d VPN Verbindung funktioniert bei mir problemlos, DNS auch. Jetzt hab ich aber das Thema, dass ich in aktiver VPN Verbindung im gleichen LAN wie die Sense zwar auch externes DNS problemlos auflösen kann, aber keine Verbindung aufbauen kann. Ist das n NAT Thema oder wie bekomm ich das zum laufen?
Zum Vergrößern anklicken....
andrer250282 schrieb:
Aber eigentlich ist das wirklich doof und man müsste dem mal nachgehen....
Zum Vergrößern anklicken....
Kann mich dunkel an das Thema erinnern, hab mich irgendwann aber einfach gezwungen, WG auf dem Phone zu deaktivieren, wenn ich zuhause bin. Wobei ich jetzt im selben LAN auch keine Ziele habe...

Anyways, hab gerade mal folgendes probiert und es hat funktioniert. Ich hab always-on VPN auf dem Phone aktiviert. Hab das WiFi deaktiviert, immer noch Konnektivität. Anschließend wieder ins WiFi, immer noch Konnektivität.

Zuvor hatte ich für den WireGuard-Port einen Forward auf dem LAN (des Phones) nach Localhost eingerichtet.
Capture.PNG

Keine Ahnung, ob das jetzt der Weisheit letzter Schluss ist.
Da die OPNsense ja inzwischen das Kernel-WG nutzt, sollte das auch dort funktionieren.
 
Zuletzt bearbeitet:
BobbyD schrieb:
Kann mich dunkel an das Thema erinnern, hab mich irgendwann aber einfach gezwungen, WG auf dem Phone zu deaktivieren, wenn ich zuhause bin.
Zum Vergrößern anklicken....
Der iOS Client kann ja VPN on Demand, da hatte ich eh nie Stress mit. SSIDs daheim als Ausnahme rein und gut. Nur am Laptop bin ich mir grade nicht sicher ob ich das da auch so "easy" hin bekomme unter Arch. Aber ich schau mir das mal mit der Regel an, danke :) Ansonsten wird das da ein, ist an wenns gebraucht wird.
 
Seit einiger Zeit (ein paar Wochen?) funktioniert bei mir Wireguard in Kombination mit Windows 11 nicht mehr richtig:

Per Browers unter Windows habe ich Zugriff auf die OPNsense und das Internet, aber nicht auf meine LAN-Dienste. Ein ping auf LAN-Adressen geht, SSH aber wieder nicht..

Das Android-Handy dagegen kann problemlos die internen server etc. ansprechen. Dabei ist es Windows egal, ob ich das aus einem fremden Netz probiere oder aus dem LAN.

Jemand eine Idee?

Mir scheint es, als sei es zunächst mal ein DNS-Problem:
Code: 
ssh: Could not resolve hostname <FQDN>: Temporary failure in name resolution

Als DNS-Server ist aber allein meine OPNSense (wireguard endpoint) eingetragen. Externe Adressen lassen sich auflösen, interne teilweise nicht ...

Code: 
C:\Users\asche>nslookup FQDN
Server:  UnKnown
Address:  10.10.100.1

Nicht autorisierende Antwort:
Name:    FQDN
Address:  192.168.1.4

C:\Users\asche>ping FQDN

Ping wird ausgeführt für FQDN [192.168.1.4] mit 32 Bytes Daten:
Allgemeiner Fehler.
Allgemeiner Fehler.

Aus der WSL2 Linux-shell geht die Namensauflösung gar nicht, da er einen nicht vorhandenen DNS-server ansprechen will (die IP des Windows-Rechners ist 192.168.1.176):
Code: 
~$ dig www.heise.de
;; communications error to 192.168.64.1#53: timed out
;; communications error to 192.168.64.1#53: timed out
 
Zuletzt bearbeitet:
Hallo!

Ich habe ein recht kleines "Homelab" (1 PC, 1 MB Air, 1 Server) im Aufbau und auch nur eine Handvoll Wifi-Geräte (2x Smartphone, 2x Tablet, 1x Smart TV). Unternet kommt von der Telekom und ich nutze im Moment eine Fritzbox, habe aber auch noch einen Speedport.

Macht es für mich Sinn, pfSense oder OPNsense zu installieren? Brauche ich ein Modem oder kann ich das auf dem Server hinter der Fritzbox installieren? Ich plane, eine private Website und Nextcloud selber zu hosten, auf die ich dann auch von außerhalb Zugriff haben möchte.
 
asche77 schrieb:
Seit einiger Zeit (ein paar Wochen?) funktioniert bei mir Wireguard in Kombination mit Windows 11 nicht mehr richtig:

Per Browers unter Windows habe ich Zugriff auf die OPNsense und das Internet, aber nicht auf meine LAN-Dienste. Ein ping auf LAN-Adressen geht, SSH aber wieder nicht..

Das Android-Handy dagegen kann problemlos die internen server etc. ansprechen. Dabei ist es Windows egal, ob ich das aus einem fremden Netz probiere oder aus dem LAN.

Jemand eine Idee?

Mir scheint es, als sei es zunächst mal ein DNS-Problem:
Code: 
ssh: Could not resolve hostname <FQDN>: Temporary failure in name resolution

Als DNS-Server ist aber allein meine OPNSense (wireguard endpoint) eingetragen. Externe Adressen lassen sich auflösen, interne nicht ...
Zum Vergrößern anklicken....
Wird denn der korrekte DNS Server genommen? Windows - nslookup zeigt den primären Server an.
Ist der pingbar über VPN?
Regel wireguard net to LAN?
 
Fliwatut schrieb:
Macht es für mich Sinn, pfSense oder OPNsense zu installieren?
Zum Vergrößern anklicken....
Ist immer n bisschen Ansichtssache. Ich wollte im Leben keine FB und hatte mit der pfSense am FTTH und damals noch VLANs gute Erfahrungen gemacht, deswegen ist es jetzt auch wieder ne OPNsense geworden. Für meine Usage aber durchaus etwas Overkill.

Hostingkram wird bei mir dann eh über einen NGINX geschoben, kann ich nur wärmstens empfehlen das auch so zu machen.


Wegen dem WireGuard DNS Thema, ich hab das jetzt schon öfter gesehen, dass Leute da die IP vom WireGuard Interface der Sense eintragen. Ich hab bei mir einfach die LAN IP genommen. Ist das jetzt n grundlegender Config Fehler, mit irgendwelchen Nachteilen? Ich konnte zumindest noch keine finden :d
 
KurantRubys schrieb:
Ich hab bei mir einfach die LAN IP genommen. Ist das jetzt n grundlegender Config Fehler, mit irgendwelchen Nachteilen? Ich konnte zumindest noch keine finden :d
Zum Vergrößern anklicken....
So macht man das halt als Anfänger. :shot:
Eigentlich will man mit einer Firewall separieren, nutzt also immer das Interface der Sense, in dessem Subnet man sich gerade befindet.
 
Ja macht aus dem Standpunkt gesehen durchaus Sinn :d Bei VLANs hatte ich das auch noch so am laufen, aber nachdems jetzt hier eh nur WAN und LAN gibt..:d
 

Anhänge

  • Screenshot 2023-09-20 192640.jpg
    Screenshot 2023-09-20 192640.jpg
    54 KB · Aufrufe: 65
andrer250282 schrieb:
Wird denn der korrekte DNS Server genommen? Windows - nslookup zeigt den primären Server an.
Ist der pingbar über VPN?
Regel wireguard net to LAN?
Zum Vergrößern anklicken....
DNS: ja, wird der richtige genommen - identisch mit dem endpoint des wireguard-Tunnels (10.10.100.1).
Pingbar: nein, auch per IP nicht.
Firewall-seitig passt auch alles - Android kann es ja.

Habe Wireguard neu installiert, aber weiterhin kein Zugriff auf interne Dienste (DNS-Auflösung geht aber):
Code: 
Ping wird ausgeführt für esxi.XXX.de [192.168.1.4] mit 32 Bytes Daten:
Allgemeiner Fehler.
Allgemeiner Fehler.

Auch ping auf 192.168.1.1 oder 192.168.1.4 scheitern.

Nur pings "nach draußen" (zB 1.1.1.1) gehen.

Abhilfe schafft erstmal das Not-Aus zu deaktivieren ("Blockiere Verkehr außerhalb des Tunnels (Not-Aus)".
 
Zuletzt bearbeitet:
Ähnlich wie bei mir - mit dem iPhone habe ich vollen Zugriff; mit dem Laptop (Win11) finde ich mein TrueNAS nicht - surfen kann ich aber.

So falsch können ja OPNSense+Wireguard nicht konfiguriert sein, ansonsten würde ja nicht alles "normal" funktionieren mit dem Handy, oder?
Wäre interessant, ob es ev. an Windows liegt - sprich, ob es z.B. mit Win10 geht!?
 
Zuletzt bearbeitet:
OPNsense 23.7.5 veröffentlicht:

OPNsense 23.7.5 released

OPNsense 23.7.5 released
forum.opnsense.org forum.opnsense.org

- PPoE MTU changes
- change in far gateway handling
- Also fixed was the problematic migration of the Unbound interfaces settings
- Other reliability improvements and third party security updates are included as well.

Kein reboot erforderlich.
 
Zuletzt bearbeitet:
Ist denn der vlan Bug bei broadcom nics inzwischen behoben und da mit drin?
 
hat von euch jemand erfahrung mit pfelk & opensense ?

ich finde so vom logging/design macht das schon echt was her :

BSDbBwL.png

ggkqbd9.png
4oTFMc3.png
 
Fand ich jetzt optisch auch sehr cool, dann hab ich die RAM Anforderungen gelesen :fresse:
 
xST4R schrieb:
hat von euch jemand erfahrung mit pfelk & opensense ?

ich finde so vom logging/design macht das schon echt was her :

BSDbBwL.png

ggkqbd9.png
4oTFMc3.png
Zum Vergrößern anklicken....
Das erste Foto sieht sehr stark für mich nach Elastiflow aus.
 
Sagt mal,
meine opnsense blockiert folgende IP die mein Pixel 6 aufrufen möchte.
Diese IP ist aber in keiner Block Regel definiert!

Screenshot_20230929_153344.png

PS: Die IP gehört Google

Weiß da jemand mehr?
 
Steht doch da: State Violation.
Könnte das von nem Paket kommen, das den TCP-Prozess (SYN, ACK, etc.) nicht korrekt durchlaufen hat?
TCP-Sequenz fehlerhaft?
 
Ich wollte dieses pfelk mal testen - mal abgesehen davon das die Anleitung unglaublich schlecht ist - selbst für eine github open source anleitung - funktioniert sie auch nicht, bzw. lässt wichtige Dinge einfach mal komplett weg. Und wenn man sie dann gefunden hat nach dem man ein Youtube Video geschaut hat, stellt man fest das das runtergeladene Script einen Error wirft. Hiach. Also wieder weg mit dem Dreck, schade.
 
Shihatsu schrieb:
Ich wollte dieses pfelk mal testen - mal abgesehen davon das die Anleitung unglaublich schlecht ist - selbst für eine github open source anleitung - funktioniert sie auch nicht, bzw. lässt wichtige Dinge einfach mal komplett weg. Und wenn man sie dann gefunden hat nach dem man ein Youtube Video geschaut hat, stellt man fest das das runtergeladene Script einen Error wirft. Hiach. Also wieder weg mit dem Dreck, schade.
Zum Vergrößern anklicken....
Nicht mal das Docker von denen funktioniert auf Anhieb, und ich hatte noch keine Muße nachzusehen, was da überhaupt das Problem ist. Lust hätte ich ja schon. Aber sollte Docker eigentlich nicht die Lösung für Faule sein? :d :d
 
Naja, ich mach um nicht selbst gebaute Docker Container eh einen großen Bogen, dafür machen die viel zu viele Dinge intransparent - uralte Dependencies, irgendwelches Kram das viel zu viele REchte hat, und und und.
 
Wäre ein Test gewesen. :d Nächste Woche versuche ich es mal auf einer Debian VM, mal sehen ob das dann lauffähig ist.
 
Ich habs jetzt im zweiten Anlauf zwar zum laufen gebracht, aber witzigerweise nur das unbound dashboard, nicht das (viel relevantere) firewall dashboard...
 
Anmelden, um zu antworten.

Ähnliche Themen

F
Neuer PfSense / Opnsense Router bzw. Mainboard, stromsparend, ECC RAM fähig, PCiex für Connect-X 4 Netzerkkarte, gesucht
Antworten
12
Aufrufe
801
Zyxx
Z
O
PfSense, OPNsense Hardware - Eure Empfehlungen?
Antworten
9
Aufrufe
928
Almi_(R)
A
P
[Kaufberatung] Zwei Heimserver für OPNsense und Proxmox
Antworten
5
Aufrufe
887
Pixolantis
P
O
pfSense Hardware - Empfehlungen / Kaufberatung / Erfahrungen
Antworten
0
Aufrufe
590
OsiMosi
O
ebniv
  • Artikel
[Sammelthread] Gigabyte MC12-LE0 (AM4, B550, servertauglich: IPMI, Dual Lan, ECC)
95 96 97
Antworten
3K
Aufrufe
261K
sch4kal
S
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh