[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Guten Morgen allesamt,

ich glaub das Thema hatte ich hier mal angeschnitten als ToDo... jetzt wird es mal relevant.
Erstmal muss ich jetzt herausfinden, an welcher Stelle ich ansetzen muss

IST: OPNsense mit WireGuard Server. Die OPNSense hat LAN-seitig die IP 192.168.206.253/24 und routet alles was nicht in der Routing Tabelle ist an das WAN.
Ich habe ein AD, der PDC ist die 192.168.206.37.
Für alles relevante in der Routing Tabelle habe ich einen Core-Router für alles LAN seitige, dort sind u.a. die (für das Thema relevante) Netze
172.23.1.0/24
10.113.7.0/24
10.8.118.0/24

Das WireGuard Interface hat die IP 10.10.10.1/24, die Endpoints haben dann die 10.10.10.2/32, 10.10.10.3/32 usw. Die Endpoints sollen nicht miteinander kommunizieren.
Eine Beispielconfig eines Peers sieht so aus:
Code:
[Interface]
PrivateKey = IchBinEinPrivateKey
Address = 10.10.10.2/32
DNS = 192.168.206.37

[Peer]
PublicKey = IchBinDerPublicKeyDerWireGuardInstanz
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1
Endpoint = ExternerFQDNDesWireGuardHosts:51820
Das funktioniert soweit auch alles. Geschwindigkeit passt für den Anwendungsfall, ich kann alles erreichen.
Zur Info: die Endpoints sind alles Laptops mit Windows 10/11, falls das relevant ist
ABER:
Wenn ein Client verbunden ist von außen (alles geht), den Laptop zuklappt oder herunterfährt OHNE WireGuard zu deaktivieren und dann im Netz 172.23.1.0/24 Netz sich wieder anschaltet (Docking Station z.B. oder sowas) dann ist die Netzwerkverbindung tot. Deaktiviere ich WireGuard ist alles wieder da.

Wie löse ich das? Ist das mit OPNSense/WireGuard überhaupt lösbar? Oder muss ich an den Client ran? Hat jemand einen Schubs in die richtige Richtung?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Neues maintenance update für OPNsense:


This update is a maintenance release improving the DS-Lite use via separate
GIF tunnels on top of IPv6-only connectivity. We are still continuing the
efforts to provide better MVC integration for the gateways abstraction as
well as working towards better MVC model consistency.

We would like to thank GitHub user Monviech for his special contributions
in the documentation on the subject of reflection and hairpin NAT[1].

Kein reboot erforderlich.
 
Anyways, hab gerade mal folgendes probiert und es hat funktioniert. Ich hab always-on VPN auf dem Phone aktiviert. Hab das WiFi deaktiviert, immer noch Konnektivität. Anschließend wieder ins WiFi, immer noch Konnektivität.
...
Zuvor hatte ich für den WireGuard-Port einen Forward auf dem LAN (des Phones) nach Localhost eingerichtet.
...
Keine Ahnung, ob das jetzt der Weisheit letzter Schluss ist.
Ist es nicht, gibt trotzdem Probleme.
 
Wenn ein Client verbunden ist von außen (alles geht), den Laptop zuklappt oder herunterfährt OHNE WireGuard zu deaktivieren und dann im Netz 172.23.1.0/24 Netz sich wieder anschaltet (Docking Station z.B. oder sowas) dann ist die Netzwerkverbindung tot. Deaktiviere ich WireGuard ist alles wieder da.
Wie ist denn das LAN geregelt, darf die WAN-Adresse weiterhin erreicht werden? Da würde ich mal ansetzen. Keinen Portforward, kein Split-DNS für die Endpoint-Adresse nutzen.

Was mir unabhängig davon wieder aufgefallen ist, dass die WireGuard Apps ja definitiv kein DDNS unterstützen. Die Namensadresse wird einmal aufgelöst und dann nicht wieder, solange der Tunnel besteht und nicht an den Netzwerkeinstellungen rumgespielt wird. Da hilft wohl nur eine statische IP, notfalls auf einem externen Host, und dann den leichten Traffic da durchzuleiten.

Netgate macht weiter, dass die pfSense Plus "ständig" Updates bekommt, während die CE eher in Ruhe gelassen wird, denn es gibt eine neue Beta für die Plus. Weiterhin doof ist, dass man seine (für den Heimgebrauch kostenlose) Plus-Aktivierung verliert, wenn man die (virtuelle) Hardware verändert. Das zeigt sich dann immer erst nach einem Upgrade.
 
Zuletzt bearbeitet:
Ich hab n neues Thema mit meiner Wireguard Verbindung, das klappt jetzt nicht mehr vom iOS Client aus. Ist der Tunnel deaktiviert habe ich als Endpoint domain.de:51820 da stehen, was bisher auch wunderbar funktioniert hat. Sobald ich jetzt anfange, die Verbindung aufzubauen, wechselt das ganze auf 64:ff9b::.....:51820. Ich hab aber auf der OPNsense keine IPv6 von Seiten Telekom DSL anliegen. In der Sense sehe ich entsprechend auch keinen neuen Handshake des Clients, auch wenn der der Meinung ist, er wäre verbunden. Hat da jemand ne Idee zu?

Edit: Auszug aus dem Client Log dazu, da steht auch das NAT64 drin

Code:
2023-10-21 12:44:11.736458: [NET] Network change detected with satisfied route and interface order [pdp_ip0, utun6]
2023-10-21 12:44:11.738384: [NET] DNS64: mapped myPublicIP to 64:ff9b::d956:69d6
2023-10-21 12:44:11.738532: [NET] peer(fki2…pYDI) - UAPI: Updating endpoint
2023-10-21 12:44:11.739163: [NET] Routine: receive incoming v4 - stopped
2023-10-21 12:44:11.739537: [NET] Routine: receive incoming v6 - stopped
2023-10-21 12:44:11.739757: [NET] UDP bind has been updated
2023-10-21 12:44:11.739832: [NET] Routine: receive incoming v6 - started
2023-10-21 12:44:11.739888: [NET] Routine: receive incoming v4 - started
2023-10-21 12:44:13.496224: [NET] peer(fki2…pYDI) - Handshake did not complete after 5 seconds, retrying (try 2)
2023-10-21 12:44:13.496500: [NET] peer(fki2…pYDI) - Sending handshake initiation
2023-10-21 12:44:18.692093: [NET] peer(fki2…pYDI) - Sending handshake initiation
2023-10-21 12:44:23.760760: [NET] peer(fki2…pYDI) - Sending handshake initiation
2023-10-21 12:44:28.825641: [NET] peer(fki2…pYDI) - Handshake did not complete after 5 seconds, retrying (try 2)
2023-10-21 12:44:28.826015: [NET] peer(fki2…pYDI) - Sending handshake initiation
2023-10-21 12:44:33.918437: [NET] peer(fki2…pYDI) - Sending handshake initiation
2023-10-21 12:44:39.027461: [NET] peer(fki2…pYDI) - Handshake did not complete after 5 seconds, retrying (try 2)
2023-10-21 12:44:39.027854: [NET] peer(fki2…pYDI) - Sending handshake initiation
2023-10-21 12:44:44.228209: [NET] peer(fki2…pYDI) - Handshake did not complete after 5 seconds, retrying (try 2)
2023-10-21 12:44:44.228611: [NET] peer(fki2…pYDI) - Sending handshake initiation
2023-10-21 12:44:49.475954: [NET] peer(fki2…pYDI) - Handshake did not complete after 5 seconds, retrying (try 2)
2023-10-21 12:44:49.476318: [NET] peer(fki2…pYDI) - Sending handshake initiation

Edit: Ich hab eben mal einen Blick in das FW Log geworfen, die Anfrage kommt auf jeden Fall an.

1697901964102.png
 
Zuletzt bearbeitet:
Was mir unabhängig davon wieder aufgefallen ist, dass die WireGuard Apps ja definitiv kein DDNS unterstützen. Die Namensadresse wird einmal aufgelöst und dann nicht wieder, solange der Tunnel besteht und nicht an den Netzwerkeinstellungen rumgespielt wird
Hier schrieb ich Unfug.
 
Zuletzt bearbeitet:
Heya, ich versuche gerade zum xten Mal Wireguard bei mir zum Laufen zu bringen.
Folgendes Setup: 2*OPNsense im HA-Cluster via Carp, 2 WAN Gateways (mit beiden OPNsense verbunden). Ein WAN-GW ist eine Fritzbox, eines ist ein Mikrotik LTE Router. Klappt wunderbar, tut was es tun soll.
Jetzt wollte ich als ersten Schritt erst einmal "hinter" den GWs Wireguard fürs LAN zum Laufen bringen (und mich danach um das doppelte DoppelNAT kümmern), aber ich scheitere schon beim Setup: In jedem Guide den ich so finde soll ich nach der Installation des Plugins in den Reiter "local" wechseln und hier den Tunnel an sich einrichten - jedoch gibt es diesen Reiter auf keiner meiner beiden OPNsense. Beide sind auf Version 23.7.6, das Wireguard Plugin ist gerade erst installiert. Ich bin gelinde gesagt verwirrt. Ich hatte Wireguard schon einmal installiert und damals nicht gleich zu Anfang solche Probleme...
 
Hi

Bin gerade pfsense und sophos am testen. Wollte mal fragen, warum ihr im Homebereich auf die sense setzt. Mir sagt da nach meinen Tests die Sophos deutlich mehr zu. Die UTM Features sind ja ganz cool. Im Vergleich sieht die sense dazu kein Land, so was ich bislang gesehen habe.

Hab mir da gleich mal eine Sperre für Adult Material eingerichtet. Zum Glück läuft das nur in einer Test VM.
 
Wollte mal fragen, warum ihr im Homebereich auf die sense setzt
Also ich nutze eine OPNsense hauptsächlich deswegen weil ich die Sophos nicht auf meiner Büchse installiert bekam..kp warum..
Da wir in der Firma mehrere Sophos Cluster haben (noch die SG)..liegt das ja nahe...wenn man die SG kennt wirkt die Sense.."etwas" unstrukturiert vom Aufbau..aber so ist das mit dem was man kennt und was noch nicht ^^

Und sonst dürften für viele die Punkte

- FOSS
- Viele Anleitungen auf YT und co
- je nach AG auch im Einsatz bei sich und Kunden
- Das was auf der Arbeit genutzt wird einfach zu teuer
- Blickwinkelerweiterung

relevant sein.
 
Ja, hatte mit der Sophos auch echt Probleme. Wollte es vor Jahren mal virtuell testen. Habe es auch nicht installiert gekriegt damals, da happerte es an der Registration/Seriennummer. Da ich aber doch recht scharf bin drauf, weil ich mir ein SM Barebone mit 6x 10 Gbit geholt habe, musste das gehen. Die Website von Sophos ist recht buggy. Wollte mich für das Support Forum anmelden, das ging partout nicht. musste dann heute nochmals mit einer anderen e-mail Adresse dahinter, bis das geklappt hat. Es gibt da auch noch mehr bugs auf deren Web.

Bei der Firewall selbst hat die Einrichtung geklappt dieses Mal. Leider kann die Sophos nur englisches Tastatur Layout, das hat auch Zeit und Nerven gekostet.

Hat mir ein bisschen den Wind aus den Segeln genommen. Bin da etwas zwiespältig. Aber jetzt läuft sie, und meine Begeisterung ist recht gross. Bin sonst Zyxel verwöhnt, aber die Sophos sieht echt ganz lecker aus.
 
Da bei mir ein Hardwarewechsel ansteht, würde sich diese Anpassung/Umstellung auf ZFS anbieten.

Mal sehen, ob ich das reibungslos hinbekommen - mit Adguard als Plugin.
Restl. OPNSense sollte ja nach Import des Backup-Files wieder 1:1 laufen - hoffentlich.


LG

So, Hardwarewechsel (von TopTon N5105 zu Lenovo M720q/ZFS) habe ich gestern vollzogen - ging relativ problemlos.

Verbrauchsmessung werde ich am Abend mal machen - TopTon Box lag so bei 11 Watt.
Dann sehe ich mir auch das mit "Boot Environments" mal an.

LG
 
Heya, ich versuche gerade zum xten Mal Wireguard bei mir zum Laufen zu bringen.
Folgendes Setup: 2*OPNsense im HA-Cluster via Carp, 2 WAN Gateways (mit beiden OPNsense verbunden). Ein WAN-GW ist eine Fritzbox, eines ist ein Mikrotik LTE Router. Klappt wunderbar, tut was es tun soll.
Jetzt wollte ich als ersten Schritt erst einmal "hinter" den GWs Wireguard fürs LAN zum Laufen bringen (und mich danach um das doppelte DoppelNAT kümmern), aber ich scheitere schon beim Setup: In jedem Guide den ich so finde soll ich nach der Installation des Plugins in den Reiter "local" wechseln und hier den Tunnel an sich einrichten - jedoch gibt es diesen Reiter auf keiner meiner beiden OPNsense. Beide sind auf Version 23.7.6, das Wireguard Plugin ist gerade erst installiert. Ich bin gelinde gesagt verwirrt. Ich hatte Wireguard schon einmal installiert und damals nicht gleich zu Anfang solche Probleme...
Turns out: Doku ist leider veraltet, die haben munter die ganze Oberfläche umbenannt und umstrukturiert - doof.
Hat hier jemand Wireguard auf OPNsense hinter eine Fritzbox am Laufen und hat Lust mir ein paar doofe Fragen zu beantworten bzw. meine config zu checken? So auf Anhieb scheints nämlich erst einmal nicht zu klappen...
 
Hat hier jemand Wireguard auf OPNsense hinter eine Fritzbox am Laufen und hat Lust mir ein paar doofe Fragen zu beantworten bzw. meine config zu checken? So auf Anhieb scheints nämlich erst einmal nicht zu klappen...
Ich vermute, das wird ähnlich wie auf der pfSense einzurichten sein, da ja schließlich die das Kernel-WG geschrieben haben (lassen). 😉
Ich habe meine pfSense ebenfalls hinter einer Fritte, als Exposed Host. WireGuard lauscht immer auf allen Interfacen, Du brauchst also nur eine erlauben-Regel auf dem WAN für die WAN-Adresse und dem entsprechenden Port. HA-Gedöns mache ich aber nicht.
 
Exposed Host funktioniert nicht mit Dual-GW im HA Verbund. Sorry, das hatte ich vergessen zu erwähnen: 2 senses, 2 Gateways. Kein exposed Host.
 
Exposed Host funktioniert nicht mit Dual-GW im HA Verbund. Sorry, das hatte ich vergessen zu erwähnen: 2 senses, 2 Gateways. Kein exposed Host.
Ok, sollte aber keinen Unterschied machen, Du leitest halt den UDP-Port an das WAN der Sense weiter.
 
Neues Opnsense Update auf 23.7.7:


And this update is also shipping several FreeBSD-based changes for further reliability as well
as core fixes and improvements as they came up on GitHub or the forum in the
last weeks.

A word of caution for third party repository users. FreeBSD currently changes a number of things in their ecosystem.
Edit: Vermutlich besser, 1-2 Tage zu warten und andere testen zu lassen

EditEdit: am Abend doch gleich das Update angestoßen (nach einem bectl create -r 23.7.6).

Was soll ich sagen: lief perfekt durch, alle Plugins arbeiten ohne murren!
;)
 
Zuletzt bearbeitet:
Es sieht aktuell so aus, als sei die kostenlose pfSense+ eingestellt worden. 😓
There has been an administrative change to how Netgate distributes pfSense Plus software. The upgrade from CE to pfSense Plus Home/Lab and TAC Lite is no longer available. The option for TAC Pro and TAC Enterprise are still available. Please select one of the available options at this time. Or you can maintain the install on pfSense CE 2.7.0.
 
Moin,
was ist für einen Router (OpenSense) die bessere, Strom günstigere Wahl;
- ein AMD Ryzen Pro 4650G mit AM4 Asus-Board und ECC Speicher
- ein Intel I3/I5 mit LGA 1200 MSI Board und normalen DDR 4 Speicher
- ein Intel I3 mit LGA 1700 Board mit normalen DDR 4 Speicher
- ein Intel 13te Gen mit LGA 1700 Board und DDR 5 (ECC?) Speicher
?
 
Alles völliger overkill ;-)
DDR5 braucht mW mehr Strom. Ich tippe auf AMD oder LGA 1200.

Joa. Möchte da halt ne Mellanox Karte einbauen. Von daher brauch ich Lanes.

Daher ist mir dabei lediglich wichtig, dass ich am Ende so wenig Strom wie möglich verbrauche.

Soweit ich gelesen hatte, macht es bei Intel auf jeden Fall Sinn, Intel-Chips (LAN) auf dem Board zu haben, um Strom zu sparen. Macht das bei AMD den gleichen Sinn?
 
Ich frag mich was mit bestehenden Installationen passiert, der Move ist so dermaßen mies, ka obs dann überhaupt noch Sinn macht auf PFsense (CE) zu setzen oder direkt wieder zu OPNsense zu wechseln.
Ich vermute, dass bestehende Installation gültig bleiben. Was mir auch aufgefallen ist, dass es für die nonplus ein Snort-Update nicht mehr gibt bzw. schon länger zurückgehalten wird, welches für die Plus längst raus ist. Also momentan sieht es nicht gut aus.

Vielleicht kann dann bald auch ich mein Logging mit einem Klick aktivieren und wirklich alle Regeln eines Interfaces sehen. :wink:
 
Ich vermute, dass bestehende Installation gültig bleiben.
Allerdings nicht auf Dauer. Also entweder zahlen, was ich persönlich eh nicht vorhabe, oder die CE nutzen.
If you currently have pfSense Plus Home+Lab installed, you can continue to use it. As we continue the transition away from the free version of Home+Lab, the ability to get timely updates with bug fixes and improved features may be limited and would require a TAC subscription. If you need to reinstall your Home+Lab version, we will be unable to provide a no-cost upgrade path from pfSense CE.

Aktuell ist letztere in einem guten Zustand und mit den Systempatches ist eine einfache Updatemöglichkeit durch Netgate zumindest vorhanden.
For those of you currently using pfSense CE, you will not be affected by this change. You can continue to use pfSense CE at no cost, and you will continue to receive updates and security patches as they are made available.
 
Zuletzt bearbeitet:
Ich habe ein kurioses Problem gerade, meine OPNSense kann nicht im LAN pingen, ich kann vom LAN aber sehr wohl die OPNSense anpingen.
wenn ich auf der Konsole einen Client im LAN anpinge, kriege ich
Code:
ping: sendto: Permission denied
Der selbe Client kann die OPNsense aber anpingen. Und INternet geht auch (deshalb fiel es nicht auf)

eingehendes NAT geht so natürlich nicht, darüber fiel es auf, alles was per NAT die Firewall direkt erreicht (Wireguard) geht aber

Jemand eine Idee?

Ein Neustart ist gerade nicht möglich, würde ich heut abend machen können, sonst werde ich hier geköpft
 
Um mir Mal selbst zu antworten:
Neustart hat nix gebracht, im OPnsene Forum gab's den Tipp das LAN Interface öffnen und neu speichern. Und sofort ging es alles wieder

Das ist aber irgendwie total unbefriedigend
 
Allerdings nicht auf Dauer. Also entweder zahlen, was ich persönlich eh nicht vorhabe, oder die CE nutzen.
Nach einem weiteren Blog-Post ist nun raus, dass es Updates der Plus für Home/Lab nicht mehr gibt, dafür pfSense+ mit TAC Lite. Dieses kostet jährlich 129$. Mit Coupon-Code "TACLITE" im ersten Jahr 99$.

Netgate will auch die CE mit einem weiteren Update versorgen, insbesondere auf OpenSSL 3.0.12.

Beide wären bis dahin synchron. Und ich vermute, spätestens dann sollte man auf die CE zurückwechseln, wenn man denn nicht bezahlen möchte.
 
Zuletzt bearbeitet:
Jo oder vlt. wirklich zurück zu OPNsense, war ich ja selbst jahrelang aber irgendwann gingen mir die permanenten Updates und Reboots dermaßen aufn Keks das halt wieder PFsense > PFsense+.
 
das halt wieder PFsense > PFsense+.
D.h. Du hast gelöhnt?

Bei den Updates der OPNsense würde ich einfach welche auslassen... :d
Mit OPNsense CE würde ich definitiv den IP-Part von pfBlocker vermissen. Leider gibt es da keine kostenlose Alternative, von der ich wüsste, außer Gefrickel. 😉
 
D.h. Du hast gelöhnt?

Bei den Updates der OPNsense würde ich einfach welche auslassen... :d
Mit OPNsense CE würde ich definitiv den IP-Part von pfBlocker vermissen. Leider gibt es da keine kostenlose Alternative, von der ich wüsste, außer Gefrickel. 😉
Adguard Home ?
 
Nene, hab ich auch nicht vor. Zurück zu CE wenns mit Updates Mau wird oder mal meine aktuelle FW in ner OPNsense VM nachbauen und dann wechseln.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh