[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
@Weltherrscher
Ist das beim Tunnelbroker so? Ich war der Meinung, man bekommt darüber ein festes IPv6 Prefix, was sich nicht ändert. So war es zumindest "früher". Ist wie gesagt ein paar Jahre her, dass ich das im Einsatz hatte...
---snip---
Nunja, Hurricane hat ein /32er Subnet, aus dem du dann standardmäßig ein /64er bekommst -> Völlig unbrauchbar, wenn man VLANs am Start hat.
Allerdings kann man sich bei denen wohl ein /48er Subnet zukommen lassen, inwieweit das jetzt *statisch* ist, sei mal dahingestellt.

Bei Vodafone bekomme ich ein statisches /56er Subnet, welches sich auch nicht ändert wenn ich die Verbindung neu aufbaue, quasi eine feste IPv6.
Hurricane hat die Möglichkeit, dir aus ihrem /32er bei jedem Verbindungsaufbau ein zufälliges /48er aus ihrem Adressraum zu geben.
Mir zu heikel.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Falls Vodafone mit IPv6 tatsächlich so schlecht ist und ihr nicht auf IPv6 verzichten wollt, wäre https://tunnelbroker.net/ sicherlich einen Blick wert. Hatte ich vor Jahren mal sehr erfolgreich laufen und Hurricane Electric ist ein Urgestein der Branche. Lässt sich mit der *sense gut umsetzen.
Und steht auf jeder Blocklist der großen VoD Anbieter.
 
Allerdings kann man sich bei denen wohl ein /48er Subnet zukommen lassen, inwieweit das jetzt *statisch* ist, sei mal dahingestellt.
Es ist statisch und heikel ist daran gar nichts. Als ich das letzte mal dort reingeschaut habe, waren die europäischen Tunnel aber allesamt mit Packet Loss gesegnet, also kein Vergleich zu früher. Natives IPv6 würde ich unabhängig davon immer vorziehen.
 
schon ein einziger Wechsel ist nicht ohne. 😉
Gibt es bei den Sense Dingern nicht irgendwo die Option á la 'Reset all FW states on WAN Change.. blabla' ?
Koennte das hier vielleicht helfen?
 
So, ich hab jetzt auf IPv4 umgestellt.

Zwei Fragen:
Wie bekomme ich den Gateway Monitor für v6 weg?
1708594136106.png


Meine APs (Aruba AP22) mögen das irgendwie nicht. Sie zeigen an, dass sie seit letzten Freitag offline sein sollen (obwohl ich erst gestern umgestellt habe) und haben irgendwie keine Verbindung zum Internet (leider Cloud basiert zu konfigurieren) Sie werden als Offline angezeigt, obwohl ich übers WLAN ins Internet komme.
Dort ist aber folgendes seltsam:
Wenn ich mich über die VLANs 10,20 und 100 am AP verbinde, komme ich ins Internet, wenn ich mich übers normale Interface 0 verbinde, bekomme ich keine IP. Die APs sind auf den IPs 10.0.0.3-6.
In der sense habe ich die Einstellungen für LAN (0), HOME (10), IOT (20) und GUEST (100) gleich gesetzt, außer dass halt 10,20 und 100 VLANs sind, 0 das Interface selbst.

Muss ich jetzt für 0 auch noch ein VLAN erstellen? Bisher gings ohne.
 
finger weg von vlan0/1, das macht man nicht!
 
Okay, danke schonmal für die Info. Dann weiß ich aber nicht mehr weiter.
 
Gibt es bei den Sense Dingern nicht irgendwo die Option á la 'Reset all FW states on WAN Change.. blabla' ?
Das hilft da nicht. Wenn ich das Log richtig deute, dann kriegt meine pfSense den Prefix-Wechsel erst 7200 Sekunden (2 Stunden) später mit. Bei mir ist das im Regelfall also zwischen 6:00 - 7:00 Uhr, was mir ausreicht. Ich kann aber auch via cron ein inkludiertes Script laufen lassen, um das manuell vorzuziehen. Hab das zuletzt aber nicht mehr validiert.
 
So, Hardwarewechsel (von TopTon N5105 zu Lenovo M720q/ZFS) habe ich gestern vollzogen - ging relativ problemlos.

Verbrauchsmessung werde ich am Abend mal machen - TopTon Box lag so bei 11 Watt.
Dann sehe ich mir auch das mit "Boot Environments" mal an.

LG

So, hat nun doch etwas länger gedauert ....

OPNSense:
Lenovo M720q Tiny, i3-8100T, 16GB Ram, 500GB M2, Intel i350-T4 V2

Liege mit obigem Setup bei ca. 11,5 Watt.

Hatte vorher eine "N5105 China-Box" - die lag bei ca. 10,5-11 Watt.


LG
 
Koennt ihr mir mit eurem Schwarmwissen etwas weiterhelfen?
Ich bin erst neulich auf PFSense umgestiegen und bin aktuell dabei mein gesamtes Site2Site Netz neu zu machen.

Nutzen tue ich: IPSec ikev2 mit einem Routed VTI, darueber announce ich meine Netze per (frr) OSPF. Das scheint soweit auch zu funktionieren, jedoch habe ich irgendwie einen Knoten im Hirn und hoffe dass ihr hier helfen koennt:

Auf Site A gibt es ein Nas (10.254.2.19), dieses wird auch sauber per DNS aufgeloest innerhalb meiner Netze von SiteA. Wie bekomme ich nun die DNS Namen von SiteA auf SiteB ?
Dort gibt es logischerweise eigene Netze. Hat die PFSense irgend eine Art conditional DNS Forwarding?
Ich sehe folgendes Problem bei SiteA: Dadurch dass ich nicht NAT'te müsste ich ja irgendwie das Lokale Netz von SiteB dem DNS Resolver von SiteA (Screenshot) bekanntmachen, wie geht das bei PFSense?

Der Request wuerde zwar aus dem IPSEC Netz kommen, jedoch ist das nur ein kleines /30 Netz mit den beiden Gateways, da wird also nie ein DNS Request von kommen.

Wo steh ich auf dem Schlauch? Danke!!

1708717740846.png


//edit:
Paar Buzzwords reichen mir schon, ich erwarte hier keine Loesung oder so. Denkanstoß is genug. Muss nur wissen wie's grob weitergeht :d
 
Zuletzt bearbeitet:
@p4n0 Site2Site zwischen pfSense und? Umgestiegen von was?
 
Frueher wars ein Sophos UTM Setup, jedoch ohne uebergreifendes DNS. Jetzt sinds 2 Sensen und ich moechte gern auch das DNS Thema ordentlich machen.
Es gibt noch weitere Geräte (keine PFSense) an anderen Standorten, da kuemmer ich mich dann aber im Nachgang drum. Jetzt gehts erstmal um die beiden PFSense Gurken.
 
@p4n0 Verbinde doch die beiden Unbounds via Domain Overrides. Ich würde auch WireGuard statt IPsec benutzen, aber ich mach das nicht beruflich, nur ein privat User und viel mehr weiß ich auch nicht.
 
Mir tut einfach folgender Satz hier weh:
'Interface IP addresses used by the DNS Resolver for responding to queries from clients. If an interface has both IPv4 and IPv6 addresses, both are used. Queries to addresses not selected in this list are discarded. The default behavior is to respond to queries on every available IPv4 and IPv6 address.'

Das heißt für mich: Ein Gerät aus einem entferntem Netz, welches meine PFSense auf SiteA nicht kennt wird keine Antwort vom DNS Resolver von SiteA erhalten. oder?

Hier tu ich mir irgendwie schwer. Bei der Sophos konnte ich alle moeglichen Netze lokal auf der FW definieren und damit arbeiten, auch wenn die Netze lokal gar nicht verwendet wurden.


Wireguard faellt aus, da ich auch ne Draytek Kiste einbinden muss und das Teil das glaub gar nicht kann. Dann müsste ich auch wieder bei 0 anfangen mit BGP/OSPF etc.. Keine Ahnung wie man routing protokolle bei Wireguard einsetzt.
 
Das heißt für mich: Ein Gerät aus einem entferntem Netz, welches meine PFSense auf SiteA nicht kennt wird keine Antwort vom DNS Resolver von SiteA erhalten. oder?
Jau, deswegen würde ich die unbounds halt verbinden, jede Site hat ihre eigene (Sub)domain und die beiden unbounds reden miteinander, die Clients jeweils nur mit ihrem unbound auf der lokalen Sense. (Resolver=Unbound)
Capture.PNG
 
Zuletzt bearbeitet:
Zu DNS kann ich Dir nichts sagen, würde aber auch empfehlen auf Wireguard umzustellen.

WG kann mann prima in die OPNsense einbauen, inkl. eingenem Regelsatz für jeden Client worauf er zugreifen darf. Für mehr Übersicht ist es dann hilfreich, public/private Keypairs zu erzeugen, woraus man deablesen kann, um welchen Client es sich handelt.

private gInIEDmENYbyuaWR1W/KLfximExwbcCg45W2WOmEc0I=
public TestKmA/XVagDW/JsHBXk5mhYJ6E1N1lAWeIeCttgRs=


Wenn man In der OPNsense das WG Interface in Betrieb hat, gibt es dort die Registerkarte "Status".
Die Verbindungen erscheinen dort wie folgt:

peer: TestKmA/XVagDW/JsHBXk5mhYJ6E1N1lAWeIeCttgRs=
endpoint: 217.239.15.98:61575
allowed ips: 10.11.12.42/32, fd11::12:42/128
latest handshake: 1 day, 14 hours, 38 minutes, 37 seconds ago
transfer: 90.60 KiB received, 5.41 MiB sent
persistent keepalive: every 15 seconds

Mit einem Random Key ist es etwas aufwändiger, den jeweiligen Client zu identifizieren.
 
Wenn man In der OPNsense das WG Interface in Betrieb hat, gibt es dort die Registerkarte "Status".
Dieses "Problem" gibt es bei der pfSense so nicht.
Capture.PNG

Wireguard faellt aus, da ich auch ne Draytek Kiste einbinden muss und das Teil das glaub gar nicht kann. Dann müsste ich auch wieder bei 0 anfangen mit BGP/OSPF etc.. Keine Ahnung wie man routing protokolle bei Wireguard einsetzt.
Ist doch egal. Du kannst den Draytek einbinden, wie Du willst. BGP/OSPF hab ich selbst nie benutzt, aber die Umsetzung sollte identisch sein.

WireGuard ist einfacher, schneller, sicherer, aber etwas beschäftigen muss man sich damit schon.
Wenn Du S2S (mit WireGuard) richtig machen möchtest, also ohne NAT etc, dann kann ich dir dieses pfSense-Video wärmstens empfehlen.
 
Meine ganz persönliche Erfahrungen mit WG:
Deutlich Performanter, weniger "Reibungsverlust" vom Protokoll Overhead -> geringere Latenz, mehr Durchsatz.

Schnellere Reconnects wenn die Verbindung mal unterbrochen wird, als auch das die VPN Verbindung robuster ist. Ich habe sonst öfter mal den Effekt gehabt, wenn die Verbindung wackeling war, das ich öfter den Rechner neu starten musste, damit das wieder lief. Bessere Anbindung übers Handy Netz: WG Verbindungen laufen einfach, andere Protokolle haben da schoin mal so merkwürde Effekt wie läuft eine Weile, dann nicht mehr oder nicht richtig. Und wenn man die Konfig Datei einmal erstellt hat, kann man diese Plattform unabhängig verwenden (Android, Windows, Linux, oder in Routern die eine WG Implementierung an Board haben).


Wireguard faellt aus, da ich auch ne Draytek Kiste einbinden muss und das Teil das glaub gar nicht kann. Dann müsste ich auch wieder bei 0 anfangen mit BGP/OSPF etc.. Keine Ahnung wie man routing protokolle bei Wireguard einsetzt.
Welches Modell von Draytek? Die haben mit Firmware Version 4.3 oder so Wireguard in vielen Modellen nachgeliefert.
 
Welches Modell von Draytek?
Ist ein 2927L. Scheint supported zu sein, cool.
Was ich hier nicht ganz verstehe: Wird das Firewalling dadurch nicht unuebersichtlich?
Muss an jeder Wirequardconfig das Ruleset gepflegt werden? Das waere ne Katastrophe und komplett unintuitiv.
 
WG funktionert beim Draytek erstmal ohne Firewall feintuning, sprich WG Protokoll aktivieren, Server key generieren lassen, client config generieren und dann beliebigen Client damit andocken. Habe selber auch einen 2927.

Die einfachse Art der "Eingrenzung" wäre, in der WG Client Konfig explizit die Netze oder IPs reinzsuchreiben, worauf der Client Zugriff haben darf.
 
Zuletzt bearbeitet:
Die einfachse Art der "Eingrenzung" wäre, in der WG Client Konfig explizit die Netze oder IPs reinzsuchreiben, worauf der Client Zugriff haben darf.
Und genau hier sehe ich das Problem.
Ich habe sowohl Site2Site als auch Client2Site Gegenstellen.

Fuer ein Client2Site lasse ich mich vielleicht darauf ein, direkt in der WireguardConfig mit allowed Targets herumzuspielen.
(Sind auch nicht sonderlich viele Client2Site Devices, maximal 8 Stueck denke)
Fuer die Sites an sich jedoch moechte ich gerne im normalem Firewall-Ruleset von der Box die Regeln definieren.

Das wird super bescheiden zu administrieren wenn ich fuer jeden DMZ Server oder Dienst auf einer Site an hundert Stellen irgendwelche Freischaltungen eintragen muss.
 
Das wird super bescheiden zu administrieren wenn ich fuer jeden DMZ Server oder Dienst auf einer Site an hundert Stellen irgendwelche Freischaltungen eintragen muss.
Sicherer ist das.
Also wenn Du von WireGuard sprichst, da werden Subnets freigegeben, nicht unbedingt einzelne Hosts. Bei der pfSense kannst Du für jeden WG S2S Peer (Tunnel) aber auch einfach 0.0.0.0/0 als Allowed IPs verwenden, aber ohne Gewähr, bei mir funktioniert's.
 
Zuletzt bearbeitet:
Ich haette aber gerne einzelne Hosts freigegeben. Idealerweise im normalem Ruleset der FW. Dann kann ich relativ einfach mit Floating Rules ueber mehrere Subnetze hinweg arbeiten.
Somit gibt es eine Rule fuer z.B. globalen Zugriff auf das NAS, welches auf Site'A' steht. Anstelle von einzelnen WIrecard configs.
Zudem kann ich pro Host in der DMZ eine Floating Rule anlegen, damit die Freischaltung des 'NAS' nicht direkt das ganze DMZ Subnet fuer die VPN Sites oeffnet.

Sicher ist da viel 'Spieltrieb und Batelei' dabei, aber ich wills gern 'Richtig' machen. D.h. all-in inkl. DNS und co. und das ganze muss irgendwie Administrierbar sein.
Und wenn irgend ne Site dazukommt dann will ich nicht 3 Wochenenden investieren muessen.
 
Ich haette aber gerne einzelne Hosts freigegeben. Idealerweise im normalem Ruleset der FW.
Das ändert sich durch WireGuard ja nicht. Du musst halt zusätzlich den "Peer" (Tunnel) konfigurieren, kannst dir diesen Punkt aber mit 0.0.0.0/0 vereinfachen (auf der pfSense). 0.0.0.0/0 ggf. mehrfach zu verwenden ist aber eigentlich gegen die WireGuard Konvention, solltest Du im Hinterkopf behalten.
 
Danke fuer die Denkanstoesse, werde mal in Ruhe hirnen und Dokumentation lesen :d
 
Fuer ein Client2Site lasse ich mich vielleicht darauf ein, direkt in der WireguardConfig mit allowed Targets herumzuspielen.
(Sind auch nicht sonderlich viele Client2Site Devices, maximal 8 Stueck denke)

Fuer die Sites an sich jedoch moechte ich gerne im normalem Firewall-Ruleset von der Box die Regeln definieren.
Das wird super bescheiden zu administrieren wenn ich fuer jeden DMZ Server oder Dienst auf einer Site an hundert Stellen irgendwelche Freischaltungen eintragen muss.

Die Draytek Impelemntation von WG ist etwas anders als in der *sense. Out of the Box landet der Client in dem LAN Segment, das im Dray<tek VPN User angegeben ist, z.B. LAN3. Das liegt dann an Deinem Draytek FW Ruleset, von wo nach wo der Client bzw LAN3 darf.

Vorteil aber: wenn Du bereits ein anderes VPN Protokoll für den VPN User am laufen hast, musst Du nur ein äquivalentes WG Profil erstellen, und für den bestehenden VPN User das Protokoll von IPSec (oder was auch immer da derzeit aktiv ist) auf WG ändern.
 
LAN3. Das liegt dann an Deinem Draytek FW Ruleset, von wo nach wo der Client bzw LAN3 darf.
Das wird bei folgendem Szenario relevant.
Der Draytek ist im Ausland located, haengt per LTE am WAN. An dieses Ding muss eine Fritzbox, damit ich da drueben SIP machen kann ueber einen VPN Standort hierzulande.
d.h. ich brauche einen Port am Draytek, der full-tunnel spielt und auch 0.0.0.0/0 durch das Wireguard Interface schickt, damit ich den Remote WAN Uplink der Deutschen Telekom (SiteB) hier (SiteC) fuer SIP Verwende.

Muesste mit policy based routing so funktionieren, oder ?

Zudem wird es an dem Draytek auch andere (VPN)Clients geben, die keinen FullTunnel brauchen, sondern direkt ihren Internet Breakout per LTE machen sollen.
lediglich IPTV + Telefonie muss durchs VPN. (Und ein bisschen NAS, aber das ist sowieso moeglich).

Kann man das mit der Kiste so loesen wie ich mir das vorstelle?
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh