[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Wobei, ich betreibe meine virtualisierte Sense hinter einer Fritzbox, d.h. einige Kisten sind eh direkt damit verbunden und bei potentiellen Problemen bin auch mit dem Rest ganz schnell wieder online. Gerade bei DSL-Problemen ist es ganz nützlich, wenn man auf die Fritte verweisen kann und nicht groß irgendwas mit einer Firewall erklären muss. Hindert gewisse Hotliner aber trotzdem nicht daran, Blech zu reden...

Und Doppel-NAT ist performance-technisch auch kein Problem. Hatte es auch mal deaktiviert, das erfordert dann aber schon wieder etwas mehr Know-How, wenn man es denn ganz richtig machen will (also NAT nur an der Fritte und dabei jeglichen asymmetrischen Traffic verhindern).
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
p4n0 schrieb:
@hs_warez Ich denke, dass dein DNS (Warscheinlich unbound) nicht auf dein VPN Netz hoert bzw. jenes bedient.
Dort wuerde ich deinen Fehler vermuten.
Eventuell auch falsche default search domain am VPN Server hinterlegt.
Zum Vergrößern anklicken....

Hm, ok - danke für deinen Input - muss ich mir am WE mal ansehen.

LG
 
hs_warez schrieb:
Hm, ok - danke für deinen Input - muss ich mir am WE mal ansehen.

LG
Zum Vergrößern anklicken....
Falls das nicht hilft oder dir zuviel wird. Nen STATIC DNS Override auf dein gewuenschtes Zielsystem sollte auch sauber an alle Netze propagiert werden.
Wichtig ist halt dass deine OPNSenseBox auch als DNS fuer deine VPN Geraete agiert.

Viel Erfolg, wirst du gut fixen koennen! :)
 
sch4kal schrieb:
So ein Kopfschmerz würd ich mir nicht antun wollen: Hypervisor down -> Internet weg würde daheim im ersten Haushaltskrieg enden. Dafür sind Geräte wie Zb der Flint2 mittlerweile einfach zu billig geworden.
Zum Vergrößern anklicken....
Dafür liegt direkt daneben ein alter Mikrotik HAP AC, komplett vorkonfiguriert. Mit Aufkleber, welches Kabel wo rein muss. Strom rein, zwei Kabel rein, läuft. Also wenn es den Proxmox zerlegt, und ich nicht da bin, ist trotzdem in zwei Minuten alles wieder da :)
 
Ich antworte mir mal selber: Ich habe mir ein Mini PC von Hunsn bestellt (klick). Unter den China-Geräten soll die Marke ganz gut sein (in Punkto Qualität).
CPU ist ein N100. Sollte für Zuhause reichen, inkl. Zenarmor.
 
Luckysh0t schrieb:
Ich würde mir eher sorgen machen wegen zu viel Gefummel an der fw machen.
Zum Vergrößern anklicken....
Du meinst gefummel an der Proxmox FW? Hab ich nie was gemacht :fresse: WAN Port hat n eigenes Interface was direkt durchgereicht (wurde), das war’s.
 
p4n0 schrieb:
Falls das nicht hilft oder dir zuviel wird. Nen STATIC DNS Override auf dein gewuenschtes Zielsystem sollte auch sauber an alle Netze propagiert werden.
Wichtig ist halt dass deine OPNSenseBox auch als DNS fuer deine VPN Geraete agiert.

Viel Erfolg, wirst du gut fixen koennen! :)
Zum Vergrößern anklicken....

Ja, mal sehen.
Ev. liegt der Fehler nur darin, dass ich bei der Wireguard-Konfig der Endgeräte als DNS-Server die IP vom WG-Server eingetragen habe und nicht die von OPNSense = Unbound = DNS!?
 
Zuletzt bearbeitet:
hs_warez schrieb:
Ev. liegt der Fehler nur darin, dass ich bei der Wireguard-Konfig der Endgeräte als DNS-Server die IP vom WG-Server eingetragen habe und nicht die von OPNSense = Unbound = DNS!?
Zum Vergrößern anklicken....
Als Fehler würde ich das nicht bezeichnen.
Was ist dein DNS-Server unter Windows, wenn Du mit dem Gerät zuhause verbunden bist.
Was ist dein DSN-Suffix, wenn Du mit dem Gerät zuhause verbunden bist.
Beides kannst Du mit ipconfig -all ermitteln und letzteres ist der unterste Eintrag beim Adapter.
 
Also, ich spiel schon viel an PX rum, und bei jedem Kernel-Update ja auch neu starten...
Selbst abends kommt dann noch ein unzufriedenes murren ausm Schlafzimmer, dass "das Internet MAL WIEDER NICHT GEHT!"...
(Ist zwar "nur" das NAS und die Mediaserver-VM, aber das hat die Holde noch nie interessiert...)
Diese WE kommt meine Tesla M60 (hoffentlich) dann ist da wohl auch ne längere Downtime des Servers zu erwarten und wenn nicht alles gleich geht auch mal stundenlang...

Wenn DA das Internet nicht fluppt hab selbst ich Stress (Anleitungen gucken usw...).

Vor allem aber wegen Punkt eins ist ein AIO keine Option für mich. =)
 
MPHxxxLegend schrieb:
Vielleicht hat hier jemand noch einen Input.
Ich versuche folgendes umzusetzen bin aber auf ein Problem gestoßen, was ich mir selbst nicht genau erklären kann. Will einen WatchyourLan Container installieren der auf all meinen VLAN/LANs lauscht, jedoch nur von spezifischen Geräten Zugiff darauf gewähren. Also ufw installieren und routing vom docker selbst übernehmen, somit iptables für docker ausschalten. Dies hat soweit funktioniert, bis ich das Interface hinzufüge, von welchem Subnet aus ich die VM manage per SSH.

Somit VM zurückgesetzt und nur die Interfaces mal hinzugefügt und siehe da Problem gefunden, die OPNSense blockiert nach einer gewissen Zeit den SSH Traffic.
Anhang anzeigen 1032213
Überblick.:
VM - 10.20.20.16/24 - VLAN ID 20 Homelab
Anhang anzeigen 1032209
PC - 10.20.10.2/24 - VLAN ID 10 User

VM als auch OPNSense läuft auf Proxmox als VM
Sobald ich mit dem PC im gleichen Subnetz befinde kein Problem, klar wird auch nicht geroutet
Erstellen einer Firewallregel die den Traffic erlaubt, wird die Verbindung nach 30 sec geblockt von OPNSense
MAC Adressen gecheckt ob irgendwo ident, nein nur die des VLANs mit dem parent Interface

Anhang anzeigen 1032212
Des Weiteren sind im ARP Table unter OPNSense die für die VM hinterlgeten fixen IPs jener VLAN/LANs nicht ersichtlich bzw. kurz und verschwinden wieder.

Proxmox Hardware
Anhang anzeigen 1032214
Warum ich bis jetzt noch nicht auf das Problem gestoßen bin, weil ich keine VM habe welche ein gleiches Interface hat in welchem sich mein Management-PC befindet.
Zum Vergrößern anklicken....
Ich antworte mir mal selbst, mit der/den Lösung/Lösungen.

Eine Möglichkeit wäre, das Gerät nur auf demselben Subnetz anzusprechen.

Ansonsten mit all den IPs in jedem Subnetz, ist die saubere Möglichkeit, asymmetrisches Routing zu vermeiden, eine Outbound NAT Regel dafür anzulegen und die Quell-IP durch die Interface IP der Firewall zu ersetzen. Die Filterung kannst du ja dann auf der OPNsense machen.

Die unschöne Lösung ist, auf allen betroffenen Interfaces eine "Sloppy State" Regel zu erstellen (Floating od. Interface Gruppe), die die Antwortpakete durchlässt, ohne deren Zustand zu prüfen.
Das findest du in der Firewall Regel in den Advanced features > State Type > sloppy state.

Ich hab jetzt letzteres am Laufen, da ich die geringere Sicherheit zwischen den beiden Geräten in Kauf nehme.
 
Anmelden, um zu antworten.

Ähnliche Themen

F
Neuer PfSense / Opnsense Router bzw. Mainboard, stromsparend, ECC RAM fähig, PCiex für Connect-X 4 Netzerkkarte, gesucht
Antworten
12
Aufrufe
674
Zyxx
Z
O
PfSense, OPNsense Hardware - Eure Empfehlungen?
Antworten
9
Aufrufe
705
Almi_(R)
A
P
[Kaufberatung] Zwei Heimserver für OPNsense und Proxmox
Antworten
5
Aufrufe
810
Pixolantis
P
O
pfSense Hardware - Empfehlungen / Kaufberatung / Erfahrungen
Antworten
0
Aufrufe
329
OsiMosi
O
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh