*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Shutterfly
Enthusiast
- Mitglied seit
- 30.01.2016
- Beiträge
- 1.505
Finde alleine 10 von 71 Tickets bzgl. Wireguard und alles Bugs... gnihihihi
geheim5000
Enthusiast
- Mitglied seit
- 28.04.2014
- Beiträge
- 661
Hallo,
da ich grad mein Heimnetzwerk ein bissl umplane, war die Überlegung auf OPNsense als Router umzusteigen. (als Modem das Vodafone Ding nehmen).
Aktuell nutz ich als Router eine FritzBox 6490 die DECT und DHCP macht (und halt Modem). Wlan habe ich ein Unifi Access Point.
Desweiteren läuft Pihole mit unbound.
Jetzt hab ich aktuell zur Auswahl so einen Fujitsu Futro S900 der aber wahrscheinlich ein bissl schwach ist.
Dann noch einen HP ProLiant ML10v2 mit Intel Xeon E3-1220 v3, 28 Gb Ram und zusätlichen 4 Port Intel Nic, Und Speicher hab ich von 128GB bis 500GB SSD liegen, und/oder auch dieverse Festplatten.
Jetzt halt die Frage wie ich das am besten mache. So das ich mein Netzwerk nicht aufreiße wie ein Scheunentor.
Also erstmal ist meine Hardware ausreichend, oder schon übertrieben? Und dann brauch ich wohl eine Anleitung zum konfigurieren. Das mit Vodafone Kabel usw. läuft.
Und dann noch die Frage wie ich das mit Telefonieren mache (tatsächlich 2ranging, währe nur schön wenn das weiterläuft iwie)
Wenn das alles umsetzbar ist und läuft als i Tüpfelchen noch einen VPN für unterwegs.
Damit währen meine aktuellen wünsche dann erfüllt
gruß
geheim5000
PS: Bin noch am lesen des ganzen Threads
da ich grad mein Heimnetzwerk ein bissl umplane, war die Überlegung auf OPNsense als Router umzusteigen. (als Modem das Vodafone Ding nehmen).
Aktuell nutz ich als Router eine FritzBox 6490 die DECT und DHCP macht (und halt Modem). Wlan habe ich ein Unifi Access Point.
Desweiteren läuft Pihole mit unbound.
Jetzt hab ich aktuell zur Auswahl so einen Fujitsu Futro S900 der aber wahrscheinlich ein bissl schwach ist.
Dann noch einen HP ProLiant ML10v2 mit Intel Xeon E3-1220 v3, 28 Gb Ram und zusätlichen 4 Port Intel Nic, Und Speicher hab ich von 128GB bis 500GB SSD liegen, und/oder auch dieverse Festplatten.
Jetzt halt die Frage wie ich das am besten mache. So das ich mein Netzwerk nicht aufreiße wie ein Scheunentor.
Also erstmal ist meine Hardware ausreichend, oder schon übertrieben? Und dann brauch ich wohl eine Anleitung zum konfigurieren. Das mit Vodafone Kabel usw. läuft.
Und dann noch die Frage wie ich das mit Telefonieren mache (tatsächlich 2ranging, währe nur schön wenn das weiterläuft iwie)
Wenn das alles umsetzbar ist und läuft als i Tüpfelchen noch einen VPN für unterwegs.
Damit währen meine aktuellen wünsche dann erfüllt
gruß
geheim5000
PS: Bin noch am lesen des ganzen Threads
oNyX`
Urgestein
- Mitglied seit
- 21.06.2006
- Beiträge
- 2.407
Auf den Xeon bezogen: Wenns nur ums Routing (1g) geht sollte die HW ausreichen, sobald dann IPS/IDS oder sowas wie Sensei ins Spiel kommt wirds anspruchsvoll, VPN (Wireguard/OpenVPN) sollte die Kiste locker abkoennen.
PiHole brauchst mit pfblockerng oder Sensei dann dann eh nimmer.
PiHole brauchst mit pfblockerng oder Sensei dann dann eh nimmer.
geheim5000
Enthusiast
- Mitglied seit
- 28.04.2014
- Beiträge
- 661
Thread durch
so wie ich das jetzt gelesen habe, währe IPS/IDS schon interessant (OK ist wohl eher der "Spieltrieb" aktuell). Wenn die Leistung nicht ausreicht kann man es ja deaktivieren oder?
Wireguard hab ich jetzt öfters gelesen. Was ist das genau? Oder ich muss mal googeln morgen. OpenVPN läuft bei mir aktuell von der DS918+
Wie sieht es dann mit Alternativen zu Unbound aus?
so wie ich das jetzt gelesen habe, währe IPS/IDS schon interessant (OK ist wohl eher der "Spieltrieb" aktuell). Wenn die Leistung nicht ausreicht kann man es ja deaktivieren oder?
Wireguard hab ich jetzt öfters gelesen. Was ist das genau? Oder ich muss mal googeln morgen. OpenVPN läuft bei mir aktuell von der DS918+
Wie sieht es dann mit Alternativen zu Unbound aus?
Wer IPSec einrichten kann braucht das ohnehin nicht. Verstehe den Hype um Wireguard nicht so ganz.
fard dwalling
Experte
- Mitglied seit
- 22.10.2017
- Beiträge
- 889
Ist auch eher eine Alternative für openvpn oder?
Oder machst du deine clients auch mit ipsec?
Oder machst du deine clients auch mit ipsec?
geheim5000
Enthusiast
- Mitglied seit
- 28.04.2014
- Beiträge
- 661
Ja ist uch TOP, also es funktioniert auffällig unauffällig.
Ist dies bei OPNsense enthalten? oder brauch ich dafür noch den Pi?
Das mit Telefonie ist ungünstig, da würde ich eher auf Telefonie verzichten.
Ist dies bei OPNsense enthalten? oder brauch ich dafür noch den Pi?
Das mit Telefonie ist ungünstig, da würde ich eher auf Telefonie verzichten.
What9000
Urgestein
- Mitglied seit
- 15.01.2011
- Beiträge
- 4.415
Unbound ist in OPNSense enthalten.
Als AdBlocker kannst du über 3rd party repositories AdGuard installieren. Ist ein DNS-Blocker sehr ähnlich zu PiHole.
Und für den Anfang kann man auch direkt im opnsense unbound eine Reihe von DNS blacklists aktivieren. Dann braucht es (erstmal) auch nicht piHole/adguard.
PS: der Xeon ist überdimensioniert für eine Home Firewall/router. IDS/IPS braucht es auch nicht wirklich, dann lieber erstmal ein paar IP Blocklisten einrichten.
PS: der Xeon ist überdimensioniert für eine Home Firewall/router. IDS/IPS braucht es auch nicht wirklich, dann lieber erstmal ein paar IP Blocklisten einrichten.
Für Telefonie habe ich bei mir einfach ne günstige Fritzbox 7412 geschossen und als reiner Client ins Netzwerk gehängt. DECT Geräte damit verbunden und funktioniert super.
geheim5000
Enthusiast
- Mitglied seit
- 28.04.2014
- Beiträge
- 661
Ich mach alles via IPSec, weils fast alle Geräte ohne Zusatz-Apps schon mit an Bord haben.
Firewall, Routing, DHCP und DNS sind nicht Speicherhungrig. Alles ab 1GB ist fein (Fritzbox, Netgear etc Router haben meist nur 128MB RAM!)
fard dwalling
Experte
- Mitglied seit
- 22.10.2017
- Beiträge
- 889
Uiui, schade, vielen dank für die Info.
Wird das dann auf OPNsense betreffen?
Und hat jemand noch eine Idee, wie ich SMB über OpenVPN beschleunigen kann? Ich komme nicht über 4-5 MB/s, also ca 40 Mbit. Die Standleitung hat momentan aber 100 MBit, die ich im Speedtest in beide Richtungen auch hinbekomme...
Als Verschlüsselung bin ich momentan auf 256GCM.
Wird das dann auf OPNsense betreffen?
Und hat jemand noch eine Idee, wie ich SMB über OpenVPN beschleunigen kann? Ich komme nicht über 4-5 MB/s, also ca 40 Mbit. Die Standleitung hat momentan aber 100 MBit, die ich im Speedtest in beide Richtungen auch hinbekomme...
Als Verschlüsselung bin ich momentan auf 256GCM.
Mehr Singlecore Leistung oder mit der Schlüssellänge runter. Alternativ für OpenVPN ne andere Cryptolib nehmen, statt OpenSSL z.b NaCl. Vorher noch gucken, ob die MTU auf dem Pfad passt und entsprechend die MSS einstellen (sofern dein Router kein MSS Clamping beherrscht).
fard dwalling
Experte
- Mitglied seit
- 22.10.2017
- Beiträge
- 889
fard dwalling
Experte
- Mitglied seit
- 22.10.2017
- Beiträge
- 889
Ne hab ja pfSense. Privat hatte ich 2x OPNsense aufgesetzt, die sich nach kurzer Zeit verabschiedet hat...
fard dwalling
Experte
- Mitglied seit
- 22.10.2017
- Beiträge
- 889
Mh, OK, stärkere CPU wäre machbar. Aktuell ist ein Pentium D 1508 drin. Meine zweite Kiste hätte einen Xeon D 1518. Vielleicht bringt der noch ein bisschen mehr. AES haben aber beide.
KurantRubys
Legende
Im Regelfall ist das eigentlich nie wirklich n Problem. Weder Telekom noch Vodafone (wobei letzteres bei uns zum Glück echt die Ausnahme ist). 5060 zur FB, die RTP Ports sind eigentlich dann auch kein Problem, sofern die FB mit denen raus darf. Sowohl Telekom als auch Vodafone nutzen (beim SIP Trunk weiß ich’s, bei Privat zumindest bei der Telekom auch) NAT über Latching. Die FB schickt dann RTP Ports zur Gegenstelle und die antworten dann erst darauf. Blockst du jetzt die RTP Ports gehend von der FB geht’s entsprechend nicht.
Falls das wer noch nicht mitbekam: WireGuard kommt als Kernelmodul in FreeBSD wieder. Donenfeld hat das mit paar Kumpels nun SELBST in die Hand genommen gehabt. Das Ding ist quasi fertig. Muss bzw. soll halt seine Testphasen noch sauber durchlaufen.
Das Gute dabei also (doch noch) ist, FreeBSD bekommt bald WG in der Quali und Speed wie z.B. im Linuxkernel. Damit können das dann die *senses sozusagen nativ nutzen.
Das Gute dabei also (doch noch) ist, FreeBSD bekommt bald WG in der Quali und Speed wie z.B. im Linuxkernel. Damit können das dann die *senses sozusagen nativ nutzen.
Zuletzt bearbeitet:
Shutterfly
Enthusiast
- Mitglied seit
- 30.01.2016
- Beiträge
- 1.505
*hust* https://www.hardwareluxx.de/communi...outing-appliance.1285668/page-6#post-28229618 *hust*
Was mir persönlich eher sauer aufstößt ist die stümperhafte Arbeitsweise bei netgate. So etwas zerstört bei mir immer grundlegend sehr viel Vertrauen bei einem Unternehmen
Ah...??(?) Den letzten Absatz hab ich so nicht mitbekommen. Das ist natürlich so lala. Wobei die Geschichte ja vom März ist. Backfrisch also. CE2.5 ist ja Mitte Februar rausgegangen.
Mir fehlt da jetzt die genaue Zeitlinie dazu. Auch lese ich, er versuchte sich an dem Stümper selbst (Kontakt), nicht aber an Netgate (??)
Kannst du dir vorstellen, daß denen nochmal sowas passiert? Ich nicht
Jetzt sind sie halt leicht angekokelt. Wenn nochmal sowas abgehen würde, sind sie direkt komplett verbrannt. Schätze die Sache ist daher also durch.
Spannend wird was nun beim nächsten Update damit passiert... Und muss trotzdem zugeben, ohne jeglichen Lob, daß die ganze Aktion eben das echte WireGuard nach FreeBSD als Kernelmodul gebracht hat. Wer aber Faceplams zu vergeben hätte, der kann das berichtigterweise auch tun.
Schon recht peinlich die Story.
Schade halt daß bisher der Punkt fehlt, wo Donenfeld Netgate fragte "Hej Leute... Was macht der Typ denn da bitte damit?!". Wenn es das noch wäre, DANN wäre es wirklich übel.
Mir fehlt da jetzt die genaue Zeitlinie dazu. Auch lese ich, er versuchte sich an dem Stümper selbst (Kontakt), nicht aber an Netgate (??)
Kannst du dir vorstellen, daß denen nochmal sowas passiert? Ich nicht
Jetzt sind sie halt leicht angekokelt. Wenn nochmal sowas abgehen würde, sind sie direkt komplett verbrannt. Schätze die Sache ist daher also durch.Spannend wird was nun beim nächsten Update damit passiert... Und muss trotzdem zugeben, ohne jeglichen Lob, daß die ganze Aktion eben das echte WireGuard
nach FreeBSD als Kernelmodul gebracht hat. Wer aber Faceplams zu vergeben hätte, der kann das berichtigterweise auch tun.Schon recht peinlich die Story.
Schade halt daß bisher der Punkt fehlt, wo Donenfeld Netgate fragte "Hej Leute... Was macht der Typ denn da bitte damit?!". Wenn es das noch wäre, DANN wäre es wirklich übel.
Zuletzt bearbeitet:
Würde mich auch interessieren.
Mein S920 ist auf dem Weg.
1GBit/s sollte er als reine Firewall schaffen.
Mit aktivem IPS etc. wird er die Lesitung nicht mehr schaffen, glaub ich.
Wenn ich den S920 eingerichtet hab und mich eingelesen habe, werd ich berichten.
IPS Zuhause ist fragwürdig. Kann man machen, muss aber keinesfalls. Hardware (CPU) Anforderungen sind hoch und lohnt mE nur, wenn man die Datenströme dann auch alle erfasst, speichert und auswertet.
(Ich hatte Suricata sowie Sensei auch Mal laufen, frass bei mir - qotom i5250U - aber zuviel Leistung).
Wichtiger wäre mE DNS blacklisting von Malware Domains sowie IP blacklisting von "bösen" IPs in der Firewall. Deutlich performanter und schützt vor dem gröbsten.
pfblockerNG macht beides sehr einfach, Opnsense mit adguard Home/piHole (oder das eingebaute unbound blacklisting) und etwas Handarbeit bei den Firewall regeln funktioniert ebenfalls gut.
(Ich hatte Suricata sowie Sensei auch Mal laufen, frass bei mir - qotom i5250U - aber zuviel Leistung).
Wichtiger wäre mE DNS blacklisting von Malware Domains sowie IP blacklisting von "bösen" IPs in der Firewall. Deutlich performanter und schützt vor dem gröbsten.
pfblockerNG macht beides sehr einfach, Opnsense mit adguard Home/piHole (oder das eingebaute unbound blacklisting) und etwas Handarbeit bei den Firewall regeln funktioniert ebenfalls gut.
Ähnliche Themen
- Artikel
