[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Alles gut, wollts nur anmerken, gibt ja noch so ein paar paranoide wie mich. =)
Die SSIDs der APs laufen hoffentlich über nen Trunk ins Gäste- / Privat-VLAN? =)
 
Die SSIDs der APs laufen hoffentlich über nen Trunk ins Gäste- / Privat-VLAN? =)
Da ich gerade dabei bin mein Netzwerk besser zu strukturieren:

VLAN 1 für die Hardware (Switche und APs)?

Und was meinst du genau mit dem Kommentar oben? Dass die AP SSIDs alle über ein Kabel kommen?

Ich habe eine OPNSense FW mit TP-Link Omada

Danke für euer Feedback
 
Der Traffic einer SSID geht direkt in ein entsprechendes VLAN:
Gäste-WiFi -> Gäste-VLAN
Heim-WiFi -> privates VLAN
IoT-WiFi -> IoT-VLAN

Sollte mit den Omadas eigentlich gehen.
Beim Mikrotik kann ich jeder WiFi-Konfiguration auch ein entsprechendes VLAN zuweisen.
Somit ist alles fein säuberlich getrennt, auch über die Luft.

//Edith:
Natürlich muss der Switch dann auch VLAN-Trunks können...
Ne normale Fritze packt das nicht, aber du hast ja sicher nen Switch hinter der OPNsense?
 
Ja, die Omadas können das wunderbar. Und on Top kann man in ihnen ja auch noch Gäste-WLAN aktivieren - das sind dann quasi drei Stufen der Sicherheit (In der Firewall alles andere bis auf outgoing verbieten, VLAN über FW, Switch und AP und als drittes dann noch Gäste-WLAN. Aber wehe man vergisst mal eines - dann wundert man sich und muss an drei Stellen checken. Ich, vor einem Monat :d
 
was kann man denn da an Marken und Modellen an WLAN-APs empfehlen, um die VLANs sauber anzubinden?
An Ubiquity stört mich beispielsweise, das dort das Management-LAN an den APs ungetaggt rangeführt werden muss. Jedenfalls habe ich das so gelesen.
Ich habe ungern getaggt und ungetaggt auf einer Leitung.
 
Der Traffic einer SSID geht direkt in ein entsprechendes VLAN:
Gäste-WiFi -> Gäste-VLAN
Heim-WiFi -> privates VLAN
IoT-WiFi -> IoT-VLAN

Sollte mit den Omadas eigentlich gehen.
Beim Mikrotik kann ich jeder WiFi-Konfiguration auch ein entsprechendes VLAN zuweisen.
Somit ist alles fein säuberlich getrennt, auch über die Luft.

//Edith:
Natürlich muss der Switch dann auch VLAN-Trunks können...
Ne normale Fritze packt das nicht, aber du hast ja sicher nen Switch hinter der OPNsense?
Genau so habe ich das gemacht - das Mgmt. VLAN hat kein spezielles Wifi.
Bei der Strukturierung des VLAN1 bin ich noch am überlegen, ob darin neben Switch, APs auch Proxmox und OPNSense VM rein kommen, oder in VLAN10

VLAN1: Modem im Bridge mode, Switch, APs + ???

VLAN10:
Mgmt und Workstation (InterVLAN vermeiden für die 10GBit Anbindung zwischen Workstation und Server)

VLAN20: Home (Laptops, Tablets, Smartphones)

VLAN30: Guest (ohne PiHole)

VLAN40: IoT (kein Internetzugang - nur Zugriff auf Home Assistant in VLAN10 und OTA Update Seiten)

Andere Frage:
Ich habe auf meinem “neuen” Lenovo M720q Hypervisor (9500T, 64GB RAM, 500GB SATA + 4TB NVME, Intel X520-DA2) nun IOMMU und SRV-IO aktiviert.
Nun habe ich neben der eigentlichen X520 NIC noch 3 weitere virtualisierte pro NIC
Ich lese dass ich dadurch mehr NIC Performance haben kann und die VMs besser voneinander abtrennen kann.
Ein NIC (enps0f0) wird als WAN zum Modem genutzt
Sollte ich auf der LAN Seite die virtualisierten NICs aufteilen?
enps0f1 -> OPNSense
enps0f1 v1 -> z.B. TrueNAS Scale
enps0f1 v2 -> z.B. Home Assistant
enps0f1 v3 -> alle anderen VMs

eno1 NIC (Intel 210) vom M720q: Proxmox Mgmt. Port

Macht das so Sinn?
 
Zuletzt bearbeitet:
ok, danke Euch für die Aufklärung. Ich hatte das mit dem ungetaggten Management als "MUSS" gelesen. Und wurde auch so als Nachteil dieser APs genannt. Anders würde es nicht gehen.
 
Ich habs ja so getrennt. Vlan für Adminnetz (Vlan1), Gasnetz Vlan, Privatnetz Vlan, IoT Vlan und Server Vlan. Ich kenn allerdings nur die Secure Point Firewalls von Berufs wegen. Ich bin IT-Systemelektroniker. Allerdings macht nur mein Chef die Firewalls, hab damit kaum was zu tun. Zuhause mache ich das einfach um zu lernen und alles zu strukturieren.

Es ist auch alles extrem beschnitten auf die nötigsten Freigaben. Lediglich das Gastnetz um gejammer aus dem weg zu gehen kann ins www alles. Ansonsten alle anderen Netze kein Zugriff. Das teste ich auch jedes mal gegen obs funzt.

Ich benutze Tenda AP's von Amazon. Die machen für mich ihren Dienst ohne Probleme.

Zusätzlich hab ich Adguard Home in allen netzen ausser Adminnetz laufen der DNS macht. Der Pfsense eigene DNS Blocker gefiel mir nicht so.

Der Switch in der Garage, da sollen noch alle nicht genutzten Ports gesperrt werden. Muss eben gucken wie ich das mache. Hab in der Garage nur einen weiteren Switch weil ich nicht noch weitere Kabel in die Garage legen wollte. Ich habe im haus und Garage jeweils nen älteren Longshine Managed Switch (LCS-GS8416).
 
Privat würd ich sagen ja. In der Firma war bei uns VLAN1 einfach tot, da gabs dann erstmal gar nix
 
Ich fände es gut, wenn wir die Diskussion in einen eigenen thread auslagern (lassen) könnten. Ich muss nämlich auch noch mein Netz neu segregieren / aufstellen :-)

Ansonsten:



OPNsense 24.1 veröffentlicht:
Suricata 7 macht wohl Probleme mit netmap, daher besser noch etwas warten mit dem update (wird wieder von Suricata 7 auf 6 zurückgerollt). Ich persönlich (IDS, kein IPS) hatte keine Probleme.
 
In der pfSense wird home.arpa verwendet. Wenn ich den heise Artikel richtig deute, dann muss da eh noch ein Gremium zustimmen. Privat nutze ich inzwischen eine auf mich registrierte Domain.
 
24.1 hab ich seit gestern auch drauf.
WebUI ging nach dem Update nicht, per SSH HAProxy neu gestartet, danach gings.
Komisch, is aber so...

//Edith:
24.1_1 ist draußen, mit Patch bzgl. Suricata.
 
Zuletzt bearbeitet:
Spackt seit dem OPNsense Update auf 24.1 bei noch jemandem Wireguard rum?

Ich bekomme zwar Verbindung, aber Transfers dauern ewig oder brechen ab...
Dabei ist es egal, ob der Tunnel von innerhalb meines Netzes (WLAN) oder von außerhalb (LTE) aufgebaut wird.
 
Ja, war Fehler 40...
Bin bei den NAT-Regeln wohl verrutscht und habe statt den Teamspeak-Regeln, die Wireguard-Regeln deaktiviert...
*mea culpa* :wall:
 
Also ein Layer 8 Problem :ROFLMAO:
Aber gutes Stichwort NAT, ich hab gestern eine NAT Regel verhunzt indem ich für eine einzelne IP dämlich wie ich war als source /24 statt /32 angegeben hab.
Es hat nen ganzen Nachmittag gedauert das Problem zu finden
 
Ich habe mal eine Frage. Gestern bin ich auf dieses Angebot gestoßen: https://www.ebay.de/itm/165974909344

Ist das eine brauchbare Kiste, um mal opnsense und pfsense auszuprobieren? CPU, RAM und SSD habe ich bestimmt noch da. Evtl. sogar eine oder zwei WLAN-Karten.
 
Es sei denn, du hast nen gerouteten IP-Block auf der FW anliegen.
Keine Sorge, den hab ich selbstverständlich nicht.

Das eigene WireGuard der pfSense braucht kein DNAT, also keinen Portforward, da es überall lauscht. Wird vermutlich bei der OPNsense nicht (mehr?) anders sein.
Bin bei den NAT-Regeln wohl verrutscht und habe statt den Teamspeak-Regeln, die Wireguard-Regeln deaktiviert...
@sch4kal Du glaubst doch nicht ernsthaft, dass hier von SNAT die Rede war...
 
Zuletzt bearbeitet:
@craxity
Man findet nix zu den verbauten NICs von daher eher nein, außerdem Sandy Bridge ergo alles andere als Effizient.
 
Seit 24.1 geht mein Check_MK Agent nicht mehr, kann das jemand gegentesten?
Auf der Kommandozeile sieht alles gut aus, aber check_mk holt keine Daten mehr ab.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh