[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Opnsense 23.7.9: läuft, kein reboot, keine Probleme.

Beim künftigen Update auf 24.1 wird squid in ein Plugin verschoben (endlich!), da muss man evtl aufpassen.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
@UltrAslan VLANs z.B. müssen ja auch in den Switchen und APs konfiguriert werden.
Du musst ja nicht alles auf einmal machen, sondern kannst dich langsam rantasten. Denn egal ob pfSense oder OPNsense, die Dinger sind keine Fritzboxen, die einfach immer und nur funktionieren, dafür bieten sie zu viele Funktionen und haben auch gerne mal ein paar Probleme. Es sind keine set-and-forget-Dinger, es sei denn, Du nutzt nur die absoluten Basics... Also ich rate Dir weiterhin ab von deinem Ansatz.

Aber wenn dir jemand alles auf einmal einrichten soll, dann dürfte das auch tatsächlich einiges kosten, weil angefangen von der Planung bis hin zu irgendwelchen Devices die Du nutzt, das ist schon ne sehr komplexe Angelegenheit.

Also Good Luck, Du wirst es brauchen. 😉
Ich gehe erstmal auf Ubiquiti only und schaue ob ich die Services / Plugins die ich angesprochen hatte, via Server/NAS ggf. nutzen kann.
Weil auf diese möchte ich nicht verzichten. Sicherlich wäre es eleganter gewesen das alles in der OPNSense FW zu haben aber es wird sicherlich ein Wordaround geben, wie ich die Programme auch so nutzen kann...
 
Frage zu Unbound bzw. dem Plugin: Kann ich es irgendwie realisieren für verschiedene Netzwerke verschiedene Unbound configs zu machen?
Hintergrund: Hab halt mehrere VLANs, unter anderem eines für die Kids - da würde ich gerne viele harte Blocklisten und "enforce Safesearch" haben, aber für andere Netze eben nicht.
 
Unbound glaube nicht, bei adguard Home sollte das begrenzt möglich sein (Client groups und dann gesonderte Einstellungen).

Ideal ist beides nicht.
 
Das einzige was mir auf Anhieb einfällt ist ein zweiter Unbound (auf ner VM) und den dann für die Kids einrichten und dann halt im Netzwerk der Kids als DNS eintragen. Aber das ist doch meschugge... :(
 
Das wäre in der Tat die einfachste Lösung. Wobei ich da nicht unbound, sondern pihole, adguard Home, blocky o.ä. nutzen würde.

Alternativ könntest Du schauen, ob bind verschiedene Konfigurationen (Zonen?) ermöglicht.
 
Ich weiß nicht ob es passt:

Ich habe unterschiedliche Wifi Netze (VLANs) und unterschiedliche DNS Server - in meinem Fall meinen Pi-Hole und 8.8.8.8. theoretisch könntest du auch einen zweiten PiHole für die Kids machen mit spezifischen Block-Listen
 
Oder bei z.B. Adguard Blocklisten etc. einrichten und dann einfach die Clients bei „Ausnahme“ eintragen, welche „vollen Zugriff“ hsben sollen?
 
Das wäre in der Tat die einfachste Lösung. Wobei ich da nicht unbound, sondern pihole, adguard Home, blocky o.ä. nutzen würde.

Alternativ könntest Du schauen, ob bind verschiedene Konfigurationen (Zonen?) ermöglicht.
Also bind fliegt schon mal raus - das Dingen ist furchtbar zu konfigurieren, schlimm genug das ich das auf der Arbeit ab und an machen muss.
Warum nicht unbound, sondern etwas anderes? Was wäre der Benefit?
Ich weiß nicht ob es passt:

Ich habe unterschiedliche Wifi Netze (VLANs) und unterschiedliche DNS Server - in meinem Fall meinen Pi-Hole und 8.8.8.8. theoretisch könntest du auch einen zweiten PiHole für die Kids machen mit spezifischen Block-Listen
pi-hole ist ja "nur" ein forwarder. Ohne unbound würde ich pi-hole nicht benutzen, aber hey, einen "richtigen" resolver hab ich ja im Netzwerk - mein unbound.
P.S.: 8.8.8.8 ist quasi das Gegenteil von dem was ich erreichen will - google ist der Feind des freien Internets und das Gegenteil von privacy.
Oder bei z.B. Adguard Blocklisten etc. einrichten und dann einfach die Clients bei „Ausnahme“ eintragen, welche „vollen Zugriff“ hsben sollen?
Nee, niemand soll vollen Zugriff haben - die normalen Blocklisten sind ja durchaus erwünscht.


Dank euch dreien, ich glaube es läuft dann auf pihole oder adguard oder blocky als cache bzw. forwarder für das Kids-Netz, und als (rekursiven) Resolver nutzen die dann meinen unbound...
Bleibt noch die Frage welchen und wie Realisieren - wird wohl eine Debian-VM...
 
P.S.: 8.8.8.8 ist quasi das Gegenteil von dem was ich erreichen will - google ist der Feind des freien Internets und das Gegenteil von privacy.
Das habe ich fuer mein Gast Netzwerk :)


Ich habe eine komplett andere Frage zu OPNSense.

Ist es moeglich unterschiedliche DHCP ranges pro VLAN einzurichten?
Hintergrund der Frage: ich moechte die IPs meiner VMS und LXC in Proxmox mit den Container Nummern synchronisieren - die fangen aber in Proxmox erst bei 100 an.
ic hhaette gerne sowas als DHCP ranges wie:
From 192.168.40.10 to 192.168.40.99
From 192.168.40.120 to 192.168.40.254

Funktioniert das ueber additional pools?
 
Ich mache das auch so und gebe als DHCP Range eben 20-99 an, und ab 100 fangen meine VMs an - brauchst du denn soviele IPs für DHCP clients?

P.S.: Deine Göste erzeugen aber auch MEtadaten die auf dich hinweisen ;)
 
Ich werfe nochmal nextdns als Zwischenlösung in den Raum - quasi ein pihole in der Cloud.
 
Für mich oder für ihn? Ich nutze unbound ja nicht umsonst, bin bei allem was cloud angeht instant raus...
 
In addition to these fixes for ZFS, these releases also:
  • Address a security advisory for a potential TCP denial of service (DoS) attack from spoofed RST packets (FreeBSD-SA-23:17.pf).
  • Update OpenVPN to version 2.6.8. Details on this release of OpenVPN are available in these release notes.
  • Update strongSwan to address a potential buffer overflow issue (CVE-2023-41913).
  • Fix bugs in the fallback implementation of AES-GCM.
  • Addressed a number of other bugs and issues which are listed in the Release Notes.

Schön, dass beide (CE und Plus) aktuell im Einklang sind.
 
Jemand OPNsense mit DualWan am laufen? Bei mir funktioniert nach dem 23.7.10er Update die Routingtabelle und somit ausgehendes Site2Site VPN nimmer.

Wenn ich via http auf WAN Router #1 (primär) gehe funktioniert alles. http von WAN Router #2 (failover) zeigt auf WAN Router #1. Und traceroute auf entfernte VPN IPs gehen auch über das falsche Interface und verlaufen im Nichts. Von extern kann ich aber alles im Netz erreichen. Erstaunlicherweise ist die Routingtabelle aber richtig, wird aber anscheinend ignoriert.

E: hab jetzt mal in den Regeln den „WAN Failover Group“ Gateway durch default ersetzt. Jetzt geht es wieder. Nur geht halt des Site2Site VPN Verbindung nurnoch über die primäre Internet Leitung. Aber immerhin geht sie.
 
Zuletzt bearbeitet:
Hm, hab jetzt auch mal wieder ein Problem.

Habe auf meinem Notebook den "hide.me" VPN-Client - diese habe ich jetzt einige Zeit nicht gebraucht.
Heute wäre mal wieder eine VPN-Verbindung nötig gewesen - tja, irgendwie kommt da jetzt keine Verbindung mehr zu Stande.

Die Frage wäre jetzt, wie/wo fange ich da zu suchen an, ob es an der OPNSense liegen kann!?


Software gibt zwar an, dass ich eine andere IP bekommen habe - prüft man die aber, dann wird meine reguläre IP erkannt - sprich, der VPN-Tunnel funktioniert nicht.
Manchmal kommt beim Start des Programms eine Fehlermeldung, man soll "SSL-Scanning" und/oder sein Antiviren-Programm deaktivieren.
Antiviren-Programm habe ich schon komplett deaktiviert - hat nichts gebracht.


Danke!
 
Zuletzt bearbeitet:
Bin nun auch wieder an Board der PFsense.
Nach Jahrelanger Abstinenz (Sophos UTM *hust) geb ich der Ecke wieder ne Chance :d

Das Setup war knifflig umzustellen und hat mich n paar Tage gekostet auf ein jetziges Level zu kommen an dem alles mehr oder weniger passt. :d

Host ist ein ESX,
PFSense ist virtualisiert. Das macht die Sache schonmal ziemlich besch*....

UBNT Switche + APs.

Ich glaube ein aehnliches Setup hat vor ein paar Seiten hier jemand angefragt.
VLANs fuer IOT, Guests und so ein Kram.
Ich kann auch nur empfehlen dass du das selbst machst. Denn du musst verstehen was auf der Kiste da laeuft und wie
du es wieder in Gang bekommen kannst wenns mal kaputtgeht.
Wenn du da keine Lust drauf hast, dann lass es wirklich bleiben. Am Ende hast n Setup am laufen was du nicht verwalten kannst.

Erster Eindruck bisher: Scheint ganz gut zu laufen.
Zweiter Eindruck nach der Einrichtung: Ich denke ernsthaft ueber gesonderte Hardware fuer die FW nach.
Dieser Brainfuck auf dem ESX hat mich gekillt.
 
Ich betriebe OPNsense virtualisiert auf einem Proxmox, mit VLAN und allem drum und dran. Wo ist genau das Problem bei der virtualisierung?
 
Das du keine Wartung am Host so richtig mehr machen kannst weil Neustart vom Host immer gleichbedeutend mit kein Internet ist.
Das ist bei uns im Heimbereich mit dem WAF immer so eine Sache :ROFLMAO:
 
Exakt das war der Grund das Ding damals wieder auf dedizierte HW umzuziehen :d
 
Okay, verstehe ich. Ich habe einen Cluster und 2x OPNsense im HA 8-)

Ich hatte gedacht, der Brainfuck bezieht sich auf die Konfiguration.
 
Ich hatte gedacht, der Brainfuck bezieht sich auf die Konfiguration.
Tat es bestimmt auch.

Ich habe eine Fritte, die Internet & Telefonie und quasi mein "Management-(V)LAN" für die weitere Infrastruktur macht. Viele Rechner erhalten darüber ihr Internet oder nur besagtes (V)LAN (ohne Gateway). Sollte meine virtuelle Sense dahinter mal Probleme haben, funktioniert das meiste, wie z.B. das Zurückspielen von Backups, immer noch. Jetzt darf das FritzOS nur keine Sicherheitslücke haben. 😉
Edit: WiFi macht alleine ein ASUS-Router mit FreshTomato, welches VLANs aus allen Netzen bereitstellen kann (Fritte, pfSense und eigenes).

Oder mit anderen Worten, ich setze zu Hause mehr auf Bequemlichkeit denn auf maximale Sicherheit.
 
Zuletzt bearbeitet:
Ich betriebe OPNsense virtualisiert auf einem Proxmox, mit VLAN und allem drum und dran. Wo ist genau das Problem bei der virtualisierung?
Das Problem ist meiner Meinung nach die doppelte Pflege der VLANs + Trunkports auf dem ESX vswitch + auf den Hardware Switches.
Habe 'nur' 2x10G Ports in dem ESX. Einer ist für's Modem. Der andere Port ist der Uplink inkl. ESX MGMT LAN und alles was dazugehoert. Das finde ich etwas knifflig.
Aber geht irgendwie nicht anders wenn ich noch irgendwie mit 10G an mein NAS kommen mag.

+ Zusaetzlich kann es 'nur' 10 NICs pro VM geben. d.h. es Muss ein schneller vswitch trunkport an die PFSense.
Und irgendwie hab ich noch einen Knoten im Kopf: Wie bekomme ich mein NAS (Servernetz) sinnvoll an der PFSense 'gebypassed' ohne die ganze Architektur zu missachten?
Das arme Ding tut sich schwer wenn ich auf dem SSD NAS herumroedel.

Fuer die VM Storages habe ich ein gesondertes Storage-Netz innerhalb des ESX'es. Fuer den Zugriff auf das NAS selbst halt irgendwie nicht. D.h. die komplette Last wenn's aufs NAS geht
trifft die Firewall.

Hoffe das erklaert es einigermaßen nachvollziehbar. :d
 
Verstanden, das ist bei Proxmox mindestens einfacher, weil ich dort eine Bridge der OPNsense gebe, die wiederum die VLANs dort einfach „bespielt“. Ich habe meiner OPNsense nur 2 Bridges übergeben, 1x für LAN und 1xWan - theoretisch wurde es sogar mit einer Bridge gehen, dann entsprechend mit VLAN. Die Verwaltung mache ich ausschließlich in der Sense
 
Vielleicht macht es Sinn wenn ich die OnboardNIC auf meinem Server noch dazu bringe lediglich das ESX MGMT zu uebernehmen. Dann ist es einigermaßen huebsch.
Weiß jedoch nichtmal ob meine ESX Version die Onboard Nic ueberhaupt supported.
1703342612933.png

Wird jedenfalls nicht angezeigt. Aber kp ob sie vllt. im BIOS Deaktiviert ist. Werd ich spaeter mal nachschauen
 
Storage nach Möglichkeit nicht routen, d.h. bei mir, die "Hauptnutzer" kommen nativ drauf.
Weiß halt nicht wie das in meiner Konstellation gehen soll. Storage ist ebenfalls virtualisiert auf dem gleichen Host. Hat keine eigene NIC, teilt sich somit den ESX 10G Uplink an den Switch :/
 
Hat keine eigene NIC, teilt sich somit den ESX 10G Uplink an den Switch :/
Aber 10G... kann doch nicht so schlimm sein, solange nicht geroutet wird.

Oder anders, wer sind deine Hauptnutzer und wie sind sie an den Storage angebunden bzw. wo sind sie lokalisiert.
 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh