*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
UltrAslan
Enthusiast
- Mitglied seit
- 12.03.2012
- Beiträge
- 577
Ich gehe erstmal auf Ubiquiti only und schaue ob ich die Services / Plugins die ich angesprochen hatte, via Server/NAS ggf. nutzen kann.
Weil auf diese möchte ich nicht verzichten. Sicherlich wäre es eleganter gewesen das alles in der OPNSense FW zu haben aber es wird sicherlich ein Wordaround geben, wie ich die Programme auch so nutzen kann...
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.996
Frage zu Unbound bzw. dem Plugin: Kann ich es irgendwie realisieren für verschiedene Netzwerke verschiedene Unbound configs zu machen?
Hintergrund: Hab halt mehrere VLANs, unter anderem eines für die Kids - da würde ich gerne viele harte Blocklisten und "enforce Safesearch" haben, aber für andere Netze eben nicht.
Hintergrund: Hab halt mehrere VLANs, unter anderem eines für die Kids - da würde ich gerne viele harte Blocklisten und "enforce Safesearch" haben, aber für andere Netze eben nicht.
wddn
Enthusiast
Ich weiß nicht ob es passt:
Ich habe unterschiedliche Wifi Netze (VLANs) und unterschiedliche DNS Server - in meinem Fall meinen Pi-Hole und 8.8.8.8. theoretisch könntest du auch einen zweiten PiHole für die Kids machen mit spezifischen Block-Listen
Ich habe unterschiedliche Wifi Netze (VLANs) und unterschiedliche DNS Server - in meinem Fall meinen Pi-Hole und 8.8.8.8. theoretisch könntest du auch einen zweiten PiHole für die Kids machen mit spezifischen Block-Listen
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.996
Also bind fliegt schon mal raus - das Dingen ist furchtbar zu konfigurieren, schlimm genug das ich das auf der Arbeit ab und an machen muss.
Warum nicht unbound, sondern etwas anderes? Was wäre der Benefit?
pi-hole ist ja "nur" ein forwarder. Ohne unbound würde ich pi-hole nicht benutzen, aber hey, einen "richtigen" resolver hab ich ja im Netzwerk - mein unbound.
P.S.: 8.8.8.8 ist quasi das Gegenteil von dem was ich erreichen will - google ist der Feind des freien Internets und das Gegenteil von privacy.
Nee, niemand soll vollen Zugriff haben - die normalen Blocklisten sind ja durchaus erwünscht.
Dank euch dreien, ich glaube es läuft dann auf pihole oder adguard oder blocky als cache bzw. forwarder für das Kids-Netz, und als (rekursiven) Resolver nutzen die dann meinen unbound...
Bleibt noch die Frage welchen und wie Realisieren - wird wohl eine Debian-VM...
wddn
Enthusiast
Das habe ich fuer mein Gast Netzwerk
Ich habe eine komplett andere Frage zu OPNSense.
Ist es moeglich unterschiedliche DHCP ranges pro VLAN einzurichten?
Hintergrund der Frage: ich moechte die IPs meiner VMS und LXC in Proxmox mit den Container Nummern synchronisieren - die fangen aber in Proxmox erst bei 100 an.
ic hhaette gerne sowas als DHCP ranges wie:
From 192.168.40.10 to 192.168.40.99
From 192.168.40.120 to 192.168.40.254
Funktioniert das ueber additional pools?
Netgate Releases pfSense Plus Software Version 23.09.1 and pfSense CE Software Version 2.7.2
Netgate has released pfSense Plus Software Version 23.09.1 and pfSense CE Software Version 2.7.2, addressing potential ZFS file system issues and other security bugs. Upgrade now for improved network security and performance.
www.netgate.com
2.7.2 New Features and Changes | pfSense Documentation
23.09.1 New Features and Changes | pfSense Documentation
Schön, dass beide (CE und Plus) aktuell im Einklang sind.
Jemand OPNsense mit DualWan am laufen? Bei mir funktioniert nach dem 23.7.10er Update die Routingtabelle und somit ausgehendes Site2Site VPN nimmer.
Wenn ich via http auf WAN Router #1 (primär) gehe funktioniert alles. http von WAN Router #2 (failover) zeigt auf WAN Router #1. Und traceroute auf entfernte VPN IPs gehen auch über das falsche Interface und verlaufen im Nichts. Von extern kann ich aber alles im Netz erreichen. Erstaunlicherweise ist die Routingtabelle aber richtig, wird aber anscheinend ignoriert.
E: hab jetzt mal in den Regeln den „WAN Failover Group“ Gateway durch default ersetzt. Jetzt geht es wieder. Nur geht halt des Site2Site VPN Verbindung nurnoch über die primäre Internet Leitung. Aber immerhin geht sie.
Wenn ich via http auf WAN Router #1 (primär) gehe funktioniert alles. http von WAN Router #2 (failover) zeigt auf WAN Router #1. Und traceroute auf entfernte VPN IPs gehen auch über das falsche Interface und verlaufen im Nichts. Von extern kann ich aber alles im Netz erreichen. Erstaunlicherweise ist die Routingtabelle aber richtig, wird aber anscheinend ignoriert.
E: hab jetzt mal in den Regeln den „WAN Failover Group“ Gateway durch default ersetzt. Jetzt geht es wieder. Nur geht halt des Site2Site VPN Verbindung nurnoch über die primäre Internet Leitung. Aber immerhin geht sie.
Zuletzt bearbeitet:
Hm, hab jetzt auch mal wieder ein Problem.
Habe auf meinem Notebook den "hide.me" VPN-Client - diese habe ich jetzt einige Zeit nicht gebraucht.
Heute wäre mal wieder eine VPN-Verbindung nötig gewesen - tja, irgendwie kommt da jetzt keine Verbindung mehr zu Stande.
Die Frage wäre jetzt, wie/wo fange ich da zu suchen an, ob es an der OPNSense liegen kann!?
Software gibt zwar an, dass ich eine andere IP bekommen habe - prüft man die aber, dann wird meine reguläre IP erkannt - sprich, der VPN-Tunnel funktioniert nicht.
Manchmal kommt beim Start des Programms eine Fehlermeldung, man soll "SSL-Scanning" und/oder sein Antiviren-Programm deaktivieren.
Antiviren-Programm habe ich schon komplett deaktiviert - hat nichts gebracht.
Danke!
Habe auf meinem Notebook den "hide.me" VPN-Client - diese habe ich jetzt einige Zeit nicht gebraucht.
Heute wäre mal wieder eine VPN-Verbindung nötig gewesen - tja, irgendwie kommt da jetzt keine Verbindung mehr zu Stande.
Die Frage wäre jetzt, wie/wo fange ich da zu suchen an, ob es an der OPNSense liegen kann!?
Software gibt zwar an, dass ich eine andere IP bekommen habe - prüft man die aber, dann wird meine reguläre IP erkannt - sprich, der VPN-Tunnel funktioniert nicht.
Manchmal kommt beim Start des Programms eine Fehlermeldung, man soll "SSL-Scanning" und/oder sein Antiviren-Programm deaktivieren.
Antiviren-Programm habe ich schon komplett deaktiviert - hat nichts gebracht.
Danke!
Zuletzt bearbeitet:
p4n0
Legende
Bin nun auch wieder an Board der PFsense.
Nach Jahrelanger Abstinenz (Sophos UTM *hust) geb ich der Ecke wieder ne Chance
Das Setup war knifflig umzustellen und hat mich n paar Tage gekostet auf ein jetziges Level zu kommen an dem alles mehr oder weniger passt.
Host ist ein ESX,
PFSense ist virtualisiert. Das macht die Sache schonmal ziemlich besch*....
UBNT Switche + APs.
Ich glaube ein aehnliches Setup hat vor ein paar Seiten hier jemand angefragt.
VLANs fuer IOT, Guests und so ein Kram.
Ich kann auch nur empfehlen dass du das selbst machst. Denn du musst verstehen was auf der Kiste da laeuft und wie
du es wieder in Gang bekommen kannst wenns mal kaputtgeht.
Wenn du da keine Lust drauf hast, dann lass es wirklich bleiben. Am Ende hast n Setup am laufen was du nicht verwalten kannst.
Erster Eindruck bisher: Scheint ganz gut zu laufen.
Zweiter Eindruck nach der Einrichtung: Ich denke ernsthaft ueber gesonderte Hardware fuer die FW nach.
Dieser Brainfuck auf dem ESX hat mich gekillt.
Nach Jahrelanger Abstinenz (Sophos UTM *hust) geb ich der Ecke wieder ne Chance
Das Setup war knifflig umzustellen und hat mich n paar Tage gekostet auf ein jetziges Level zu kommen an dem alles mehr oder weniger passt.
Host ist ein ESX,
PFSense ist virtualisiert. Das macht die Sache schonmal ziemlich besch*....
UBNT Switche + APs.
Ich glaube ein aehnliches Setup hat vor ein paar Seiten hier jemand angefragt.
VLANs fuer IOT, Guests und so ein Kram.
Ich kann auch nur empfehlen dass du das selbst machst. Denn du musst verstehen was auf der Kiste da laeuft und wie
du es wieder in Gang bekommen kannst wenns mal kaputtgeht.
Wenn du da keine Lust drauf hast, dann lass es wirklich bleiben. Am Ende hast n Setup am laufen was du nicht verwalten kannst.
Erster Eindruck bisher: Scheint ganz gut zu laufen.
Zweiter Eindruck nach der Einrichtung: Ich denke ernsthaft ueber gesonderte Hardware fuer die FW nach.
Dieser Brainfuck auf dem ESX hat mich gekillt.
sashXP
Enthusiast
Ich betriebe OPNsense virtualisiert auf einem Proxmox, mit VLAN und allem drum und dran. Wo ist genau das Problem bei der virtualisierung?
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 335
Das du keine Wartung am Host so richtig mehr machen kannst weil Neustart vom Host immer gleichbedeutend mit kein Internet ist.
Das ist bei uns im Heimbereich mit dem WAF immer so eine Sache
Das ist bei uns im Heimbereich mit dem WAF immer so eine Sache
sashXP
Enthusiast
Okay, verstehe ich. Ich habe einen Cluster und 2x OPNsense im HA
Ich hatte gedacht, der Brainfuck bezieht sich auf die Konfiguration.
Ich hatte gedacht, der Brainfuck bezieht sich auf die Konfiguration.
Tat es bestimmt auch.
Ich habe eine Fritte, die Internet & Telefonie und quasi mein "Management-(V)LAN" für die weitere Infrastruktur macht. Viele Rechner erhalten darüber ihr Internet oder nur besagtes (V)LAN (ohne Gateway). Sollte meine virtuelle Sense dahinter mal Probleme haben, funktioniert das meiste, wie z.B. das Zurückspielen von Backups, immer noch. Jetzt darf das FritzOS nur keine Sicherheitslücke haben. 😉
Edit: WiFi macht alleine ein ASUS-Router mit FreshTomato, welches VLANs aus allen Netzen bereitstellen kann (Fritte, pfSense und eigenes).
Oder mit anderen Worten, ich setze zu Hause mehr auf Bequemlichkeit denn auf maximale Sicherheit.
Zuletzt bearbeitet:
p4n0
Legende
Das Problem ist meiner Meinung nach die doppelte Pflege der VLANs + Trunkports auf dem ESX vswitch + auf den Hardware Switches.
Habe 'nur' 2x10G Ports in dem ESX. Einer ist für's Modem. Der andere Port ist der Uplink inkl. ESX MGMT LAN und alles was dazugehoert. Das finde ich etwas knifflig.
Aber geht irgendwie nicht anders wenn ich noch irgendwie mit 10G an mein NAS kommen mag.
+ Zusaetzlich kann es 'nur' 10 NICs pro VM geben. d.h. es Muss ein schneller vswitch trunkport an die PFSense.
Und irgendwie hab ich noch einen Knoten im Kopf: Wie bekomme ich mein NAS (Servernetz) sinnvoll an der PFSense 'gebypassed' ohne die ganze Architektur zu missachten?
Das arme Ding tut sich schwer wenn ich auf dem SSD NAS herumroedel.
Fuer die VM Storages habe ich ein gesondertes Storage-Netz innerhalb des ESX'es. Fuer den Zugriff auf das NAS selbst halt irgendwie nicht. D.h. die komplette Last wenn's aufs NAS geht
trifft die Firewall.
Hoffe das erklaert es einigermaßen nachvollziehbar.
sashXP
Enthusiast
Verstanden, das ist bei Proxmox mindestens einfacher, weil ich dort eine Bridge der OPNsense gebe, die wiederum die VLANs dort einfach „bespielt“. Ich habe meiner OPNsense nur 2 Bridges übergeben, 1x für LAN und 1xWan - theoretisch wurde es sogar mit einer Bridge gehen, dann entsprechend mit VLAN. Die Verwaltung mache ich ausschließlich in der Sense
p4n0
Legende
Vielleicht macht es Sinn wenn ich die OnboardNIC auf meinem Server noch dazu bringe lediglich das ESX MGMT zu uebernehmen. Dann ist es einigermaßen huebsch.
Weiß jedoch nichtmal ob meine ESX Version die Onboard Nic ueberhaupt supported.
Wird jedenfalls nicht angezeigt. Aber kp ob sie vllt. im BIOS Deaktiviert ist. Werd ich spaeter mal nachschauen
Weiß jedoch nichtmal ob meine ESX Version die Onboard Nic ueberhaupt supported.
Wird jedenfalls nicht angezeigt. Aber kp ob sie vllt. im BIOS Deaktiviert ist. Werd ich spaeter mal nachschauen
Müsste doch auch mit ESXi gehen, siehe zB https://administrator.de/forum/esxi-host-vm-vlans-auf-nic-tagging-1663593669.html -> vswitch mit VLAN id 4095. Siehe
VMware Knowledge Base
p4n0
Legende
Das hab ich doch im Einsatz, ist halt unschoen weil das MGMT Netz auch direkt im Trunk ist und somit keine saubere Trennung auf phys. Ebene da ist.Müsste doch auch mit ESXi gehen, siehe zB https://administrator.de/forum/esxi-host-vm-vlans-auf-nic-tagging-1663593669.html -> vswitch mit VLAN id 4095. Siehe
VMware Knowledge Base
kb.vmware.com
Nicht für mich.Hoffe das erklaert es einigermaßen nachvollziehbar.
Storage nach Möglichkeit nicht routen, d.h. bei mir, die "Hauptnutzer" kommen nativ drauf.
p4n0
Legende
Weiß halt nicht wie das in meiner Konstellation gehen soll. Storage ist ebenfalls virtualisiert auf dem gleichen Host. Hat keine eigene NIC, teilt sich somit den ESX 10G Uplink an den Switch :/
Aber 10G... kann doch nicht so schlimm sein, solange nicht geroutet wird.
Oder anders, wer sind deine Hauptnutzer und wie sind sie an den Storage angebunden bzw. wo sind sie lokalisiert.
Zuletzt bearbeitet:
Ähnliche Themen
- Artikel