[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
@craxity
Man findet nix zu den verbauten NICs von daher eher nein, außerdem Sandy Bridge ergo alles andere als Effizient.
Die NICs sind von Intel:
Network
▪ Intel® WG82579LM GbE controller
▪ Intel® 82574 GbE Controller
Sandy Bridge mobile sollte doch relativ sparsam sein. Ich würde unter 10W im Leerlauf erwarten.

@FieserOstfriese Danke. Werde ich mir mal anschauen. Ist der HP laut? Der NEXCOM ist passiv.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich habe mal eine Frage. Gestern bin ich auf dieses Angebot gestoßen: https://www.ebay.de/itm/165974909344

Ist das eine brauchbare Kiste, um mal opnsense und pfsense auszuprobieren? CPU, RAM und SSD habe ich bestimmt noch da. Evtl. sogar eine oder zwei WLAN-Karten.

Ich kann einen Lenovo Tiny M720q mit einer zusätzlichen Intel i350 Netzwerkkarte empfehlen.

M720q mit i3-8100 / 8GB-Ram / 250 GB-SSD bekommt man des Öfteren um € 100-120 (zumindest bei mir in Ö)
I350 Netzwerkkarte (je nachdem ob 2, oder 4 Ports) gibt’s auch um € 30-60
„Riser/Adapter“ zum Einbau – ca. € 25


So um schwach € 200 hat man also eine sehr gute/robuste/leistungsstarke/stromsparende Firewall.
Hatte vorher eine Zeit lang eine „Aliexpress-Box“ – das NoName-Bios und die eher dürftigen/vertrauensunwürdigen Updates haben mir nicht so zugesagt – da vertraue ich Lenovo doch etwas mehr.

LG
 
Zuletzt bearbeitet:
Ich kann einen Lenovo Tiny M720q mit einer zusätzlichen Intel i350 Netzwerkkarte empfehlen.
Den Tiny kenne ich und ein paar i350 liegen hier auch noch hier rum. Aber das wäre eher was, wenn ich das dauerhaft nutzen würde.
Hatte vorher eine Zeit lang eine „Aliexpress-Box“ – das NoName-Bios und die eher dürftigen/vertrauenswürdigen Updates haben mir nicht so zugesagt – da vertraue ich Lenovo doch etwas mehr.
Also NEXCOM scheint ein etablierter Hersteller von Indutrie-Rechnern zu sein. Sophos nutzt für manche Appliances Hardware von NEXCOM. So bin ich überhaupt auf den Hersteller gekommen.
 
Ich meinte ja im Vergleich zum i5-6500 ;)

An deiner Stelle am besten einfach virtualisiert ausprobieren.
 
Und wie bitte soll der Port dann im WAN sonst geöffnet werden?
Wenn wir hier vom WireGuard der Sense sprechen, einfach eine Firewallregel auf die WAN-Adresse eingehend machen, kein Portforward.

So sähe das auf der anderen Sense aus. 😉
Capture.PNG
 
Zuletzt bearbeitet:
Ja, Wireguard in der sense.
Ohne die gehts es bei mir nicht:
1707117227780.png


Dann ist da noch ne Outbound-Regel drin:
1707117309935.png


Mach ich was falsch?

//Edith:
Gerade gesehen:
Die obigen Port-Forward-Regeln tauchen dann genau so auch unter Rules/WAN auf.
Also nur eine Naming-Sache.
 
Zuletzt bearbeitet:
auf die IP vom WireGuard-Server der sense.
Soweit ich weiß, sind diese Regeln aber automagisch erzeugt worden.

Wo soll die Regel mit den Ports denn hin?
Sie taucht ja bereits unter WAN auf:
1707134760551.png

Das ist dieselbe Liste wie oben unter NAT/Port Forward...
 
@wddn Wird die X550-T2 in dem kleinen Case warm?

Bei mir sind es die 31,90 € für den NDIS-166 geworden. Mit einem i7-2760qm, 8Gb DDR3-1600 und einer Intel X25-M G2 160GB komme ich auf 9W im Leerlauf mit zwei aktiven Gigabit-Ports.
 
Jetzt muss ich mich mal nochmal an euch wenden und hoffe ihr könnt mir vielleicht weiterhelfen.

Ich hab immer noch massive Probleme mit Vodafone und dem Internet. Ich schließe auch nicht mehr aus, dass irgendwas in der Konfiguration der Opnsense nicht passt.

Seit den Problemen mit den Rückwegstörern habe ich mehrfach am Tag kein Internet mehr. Manchmal betrifft das jedoch nur einzelne VLANs. Manchmal ist die IPv4 weg, manchmal die IPv6. Egal ob ich die Vodafone Station als Modem, oder das Technicolor TC4400EU nehme. Nach einem Neustart der OpnSense funktioniert es meist wieder nen halben Tag oder so, dann gibts wieder Probleme.

Dass manchmal nur spezielle VLANs betroffen sind macht mich schon sehr stutzig, habe bereits überlegt die Sense nochmal komplett neu aufzusetzen.

Ich habe überlegt, ob es vielleicht an der Zuteilung des Präfixes liegt. Eingestellt hab ich ein /62er Präfix, das ist anscheinend das, was Vodafone ausgibt. Kann ich das irgendwie nachprüfen, ob ich das auch tatsächlich bekomme, wenn ich es anfordere? Bzw. wie konfiguriere ich den Präfix richtig? Ich hab den Haken bei "Request only an IPv6 prefix" und bei "Send IPv6 prefix hint" gesetzt. Dann hab ich bei meinen VLANs IPv6 auf "Track interface" gestellt und dann bei "IPv6 Prefix ID" für meine 4 VLANs die Ids 0x0 bis 0x3 vergeben.

Unter Interfaces im Dashboard steht bei allen VLANs die selbe IPv6 (2a02: ...) und bei WAN eine fe80: Adresse. Sollte das so sein?

Habt ihr sonst Ideen, woran das liegen kann, dass die IPs nicht richtig zur Sense kommen oder dort nicht richtig verarbeitet werden?

Danke schonmal.
 
Ich hab immer noch massive Probleme mit Vodafone und dem Internet.
Wechsel zu DSL, damit hat doch die Sense nichts zu tun.

Aber ja, wenn Du eine schlechte Leitung hast, dann kann das weitere Probleme machen, z.b. mit IPv6, weil sich der Prefix bei jedem Reconnect ändern kann und das mögen die Sensen gar nicht, schon ein einziger Wechsel ist nicht ohne. 😉

Aber das ist nicht der richtige Thread für die Bearbeitung von Leitungsstörungen.
 
Ich weiß, aber da Vodafone immer behauptet mit der Leitung sei alles in Ordnung, hab ich halt doch gedacht, dass es vllt mit meiner Konfiguration der sense zu tun hat.

Und ich wäre schon lange auf DSL umgestiegen, wenn bei uns nicht nur 50 MBit zu nem höheren Preis als 1000mbit Kabel verfügbar wäre 🤔
 
Vodafone hat einen sehr schlechten IPv6-Support...
Sobald ich das in der Fritze aktiviere, gehen die Probleme los (OPNsense ist exposed Host und zieht sich ein /60er Prefix von der Fritze).
Deshalb habe ich IPv6 wieder deaktiviert.

Die Fritz-Config ist gemoddet, so dass sie sich ein /56er Prefix holt.
Ohne die Mod holt sich die Fritze ein /62er Prefix, was natürlich garnicht zu gebrauchen ist...
Wie das bei Enduser-Verträgen ist weiß ich nicht, ich hab so nen halbprivaten Business-Tarif mit fester IP.

Dazu kommen manchmal Routing-Probleme.
Da kann ich dann nicht viel machen außer meckern und hoffen, dass sich das bald wieder gibt...
Beitrag automatisch zusammengeführt:

---snip---
Unter Interfaces im Dashboard steht bei allen VLANs die selbe IPv6 (2a02: ...) und bei WAN eine fe80: Adresse. Sollte das so sein?
---snip---
Ja, korrekt, das WAN-Interface soll sich ja nur nen Prefix holen.
 
OPNsense 24.1.2 mit Rückkehr zu Suricata 7:


It is time to move back to Suricata version 7 after identifying the relevant
default option changes in order to keep IPS/Netmap happy when running it.
Kea also received a number of tweaks and updates as well as our VPN service
integrations.

Last but not least this includes FreeBSD 13.2-p10 and the recent DNS denial
of service attack mitigation.
 
Vodafone hat einen sehr schlechten IPv6-Support...
Sobald ich das in der Fritze aktiviere, gehen die Probleme los (OPNsense ist exposed Host und zieht sich ein /60er Prefix von der Fritze).
Deshalb habe ich IPv6 wieder deaktiviert.

Die Fritz-Config ist gemoddet, so dass sie sich ein /56er Prefix holt.
Ohne die Mod holt sich die Fritze ein /62er Prefix, was natürlich garnicht zu gebrauchen ist...
Wie das bei Enduser-Verträgen ist weiß ich nicht, ich hab so nen halbprivaten Business-Tarif mit fester IP.

Dazu kommen manchmal Routing-Probleme.
Da kann ich dann nicht viel machen außer meckern und hoffen, dass sich das bald wieder gibt...
Beitrag automatisch zusammengeführt:


Ja, korrekt, das WAN-Interface soll sich ja nur nen Prefix holen.
Ah okay. Bei mir funktionieren dann immer viele Seiten nicht mehr, wenn die IPv6 nicht geht.

Hab ich irgendwelche Nachteile, wenn ich die IPv6 komplett deaktiviere?
Ich hab mir extra im Vertrag die IPv4 zusichern lassen, über das Technicolor bekomme ich aber eh echtes Dual Stack. Muss ich dann die IPv6 im Technicolor auch deaktivieren (geht das überhaupt?) oder reicht es, wenn ich es in der sense deaktiviere?
 
Falls Vodafone mit IPv6 tatsächlich so schlecht ist und ihr nicht auf IPv6 verzichten wollt, wäre https://tunnelbroker.net/ sicherlich einen Blick wert. Hatte ich vor Jahren mal sehr erfolgreich laufen und Hurricane Electric ist ein Urgestein der Branche. Lässt sich mit der *sense gut umsetzen.
 
Das Technicolor ist ja nen reines Modem?
Sollte dann an der sense reichen.
Ich muss es in der Fritze deaktivieren, sobald die ne IPv6 hat, geht nach einer Weile das Gespacke los.

//Edith:
Ich hab ne feste IPv4 / -v6, Tunnelbroker wär da ziemlich unbrauchbar...
Die großen Email-Provider spacken gerne mal rum, wenn sich dauernd deine IP vom eigenen Emailserver ändert...
 
Ja, das Technicolor ist ein reines Modem.

Falls Vodafone mit IPv6 tatsächlich so schlecht ist und ihr nicht auf IPv6 verzichten wollt, wäre https://tunnelbroker.net/ sicherlich einen Blick wert. Hatte ich vor Jahren mal sehr erfolgreich laufen und Hurricane Electric ist ein Urgestein der Branche. Lässt sich mit der *sense gut umsetzen.

Kannst du mir sagen, warum ich unbedingt eine IPv6 benötige? Was kann ich nicht erreichen, wenn ich keine IPv6 habe?
 
@Weltherrscher
Ist das beim Tunnelbroker so? Ich war der Meinung, man bekommt darüber ein festes IPv6 Prefix, was sich nicht ändert. So war es zumindest "früher". Ist wie gesagt ein paar Jahre her, dass ich das im Einsatz hatte...

@Wirman
Naja IPv6 ist die Zukunft, das wird immer wichtiger. IPv6-only Dienste sind mir aber tatsächlich keine bekannt. Hier gilt dann vll "besser vorbereitet sein".
 
@Weltherrscher
Ist das beim Tunnelbroker so? Ich war der Meinung, man bekommt darüber ein festes IPv6 Prefix, was sich nicht ändert. So war es zumindest "früher". Ist wie gesagt ein paar Jahre her, dass ich das im Einsatz hatte...

@Wirman
Naja IPv6 ist die Zukunft, das wird immer wichtiger. IPv6-only Dienste sind mir aber tatsächlich keine bekannt. Hier gilt dann vll "besser vorbereitet sein".
Nja gut, eine Dauerlösung ist das ja auch nicht. Aber wenn es die ersten IPv6-only Dienste gibt, ist hoffentlich bis dahin bei mir am Haus Glasfaser.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh