[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
IP blacklisting funktioniert nie via DNSBL = DNS blacklisting. Da ist auch bei pfblockerNG nicht anders, nur eben unter einer GUI zusammen gefasst.

Für Opnsense: https://docs.opnsense.org/manual/how-tos/edrop.html

Die Listen kannst Du Dir nach Wunsch zusammen suchen, zB auch bei pfblockerNG schauen.

Für beides (DNS und IP) gilt: zuviel Listen erzeugen zuviele false positives.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ah, also über Aliases in Listen. Habe hier noch eine Seite mit empfohlenen Listen gefunden.
Im Prinzip bräuchte ich aber eigentlich nur die IPs geblockt, die ich auch in AdGuard via DNS blocke. Falls sich z.B. etwas wie WinSpy direkt via IP verbindet.
 
Außer IPS und IDS auch mal EDS nicht vergessen ;) Heutzutage gibt es keine sonstige Kontrolle mehr über ein Windows

EDS - extrusion detection system
 
Das zu überwachende System hat derzeit bis auf wenige IPs keinen Internetzugriff :fresse:
 
Betreffend DDNS und dynamischer IPv6 habe ich erfolgreich einen "RFC 2136 Client" zu dynv6.com eingerichtet und einen /64 übertragen bzw. eigentlich die komplette Adresse eines Interfaces. Wenn man nun einen festen Host-Part im DHCPv6 vergeben hat, kann damit DDNS auch für einzelne Hosts gemacht werden.
Außerdem kann man eigene Subdomains dort ebenfalls integrieren.

Könntest Du mir das genauer beschrieben? Ich habe das gleiche vor und u.a. hier https://forum.opnsense.org/index.php?topic=22481.0 den gleichen Tipp erhalten.

Kannst Du Screenhots posten? :-)

Danke
sash
 
Habe meine VM auch von 2.5.0 hochgezogen - ohne Probleme. Backup schadet aber nie. Better safe than sorry :LOL:

Bin zwar erst seit der 2.3.2 dabei (damals noch auf einer APU2C4) aber hatte bisher bei Updates nie Probleme. Lediglich beim haproxy package hatte ich vor ein zwei Jahren mal Probleme.

Edit:
Auf meiner zweiten Installation kam der DNS Resolver nach dem Update nicht hoch. Hab die VM nochmal durchgestartet, dann war er auch da. Hat sich wohl nur verschluckt. Man sollte den Tag nicht vor dem Abend loben.

1618424619037.png
 
Zuletzt bearbeitet:
Ich habe halt ein bisschen Respekt vor: entferne alle Packages und mach das Update. Dann alle Packages wieder installieren... Und das im Produktivumfeld. Das kann auch schief gehen. Oder länger dauern als geplant.
 
Ich habe halt ein bisschen Respekt vor: entferne alle Packages und mach das Update. Dann alle Packages wieder installieren... Und das im Produktivumfeld. Das kann auch schief gehen. Oder länger dauern als geplant.
Naja, deswegen macht man sowas im Produktivumfeld eben auch nicht ohne vorige Tests ^^
Das würde ich auch nicht bei Routern von Cisco,Juniper und Co. tun (und erst Recht nicht bei Mikrotik), und die bei Cisco und Juniper leisten mittlerweile einen guten Job was lauffähige Upgrades betrifft.
 
Mahlzeit zusammen,

ich würde gerne eine Firewall betreiben und mein Netzwerk ein wenig sicherer machen.
Über Pfsense habe ich ein wenig gelesen/angeschaut, aber bevor ich noch tiefer in die Materie gehe, habe ich ein paar Fragen.
- für jemanden der noch nie eine Firewall betrieben hat, ist es möglich Pfsense zu konfigurieren und zu betrieben?
- ist ein Dell R210 II eine passende Hardware für dieses vorhaben oder lieber etwas ganz anderes?

In meinem Rack hätte ich noch 1-2 HE Platz und somit würde der Dell ganz gut reinpassen.

Vielen Dank vorab
 
Moin,
erfordert natürlich Einarbeitung und Willen, aber sonst kein unmögliches Unterfangen. Ist definitiv keine FritzBox, aber machbar.

Dein Dell passt dafür auch, welche CPU hast du und was genau verbaut?
Was immer sinnvoll ist: 2x Intel Netzwerkinterface (hat dein Dell lt. Datenblatt scheinbar) & eine je nach Anwendungsfall ausreichend kräftige CPU (je nachdem ob du auch noch VPN, IDS, spezielleres Routing etc. nutzen möchtest).

Aber Gegenfrage: Frisst das Teil nicht ordentlich Strom?
Du nutzt PFSense privat und nicht produktiv, deiner Fragestellung nach oder? Bei mir läuft es virtualisiert und das hervorragend seit zwei Jahren.
Wenn du also sowieso schon nen ESXI Server 24/7 am Laufen hast, würde ich PFSense dort drauf installieren und nur nen kleinen, alten Router für den Backup-Fall im Petto haben (falls der Host mal abschmiert, Updates notwendig sind &&&).
 
Danke für die Antwort.

Den Dell habe ich noch nicht. Wenn dann würde ich einen Xeon 1220L V2 (2C/4T - 2,2GHz/Boost 3,5Ghz) verbauen. Damit sollte der Server ziemlich sparsam laufen.
Meine Internetleitung ist auch nicht die schnellste (200 Down/40 Up). Das sollte der Prozessor schaffen.

Ich betreibe einen Unraid-Server (siehe Signatur), aber würde da ungerne die Firewall drauf laufen lassen. Das soll schon getrennt laufen.

Einlesen und einarbeiten sollte kein Problem sein, aber hatte bisher immer Respekt vor "eigenen" Firewalls. Ich möchte auch nicht 6 Monate für die Konfiguration brauchen :d
 
Zum R210 II du wirst CPU unabhängig leider nicht unter 40-45w landen. Aber an sich wie vom Vorposter erwaehnt paar Intel NICs i210/350 etc rein und gut ist. PFsense und OPNsense hat ne sehr brauchbare Doku.
 
Gibt es eine sparsamere Lösung mit der gleichen Performance und evtl. 19“?
 
Meine pfSense läuft auf Basis eines Intel Atoms C2558 (Geizhals Liste) und zieht ca 20W. Die hat mehr als genug Performance für einfaches Routing & co. Etwas IDS sollte sie auch können, aber da habe ich mich mit der Software nicht auseinandergesetzt.

Für normales Routing und minimale Zusatzfeatures (bspw. VPN und pfBlockerNg) kannst du auch eine APU nehmen: Link. Die gibt es auch mit Rackgehäuse, doch dafür zahlst du ordentlich drauf.
 
Danke für die Auflistung.
Aber ich muss sagen, dass ich genau sowas "befürchtet" habe. Den Dell R210II bekommt man schon für 150€ inkl. idrac
Dafür kann ich den Server einige Zeit laufen lassen bis die Mehrkosten der "neueren" Systeme wieder drin sind.
 
QOTOM ist auch beliebt, aber kein 19" Rackgehäuse verfügbar.

Da du aber noch nicht sicher bist, ob PFSense für dich handlebar ist / du Lust hast relativ viel Zeit zur Einarbeitung darin zu verbringen: Erstmal doch virtualisiert installieren, um live einen Blick drauf werfen zu können?Eventuell erledigt das ja auch die Entscheidung, ob es das wirklich sein soll oder nicht.
 
Danke für die Auflistung.
Aber ich muss sagen, dass ich genau sowas "befürchtet" habe. Den Dell R210II bekommt man schon für 150€ inkl. idrac
Dafür kann ich den Server einige Zeit laufen lassen bis die Mehrkosten der "neueren" Systeme wieder drin sind.
Da Du geeignete Systeme mit geringem Stromverbrauch bereits für 100-200 bekommst, würde ich mir so eine alte Stromschleuder nicht ins Haus holen.

Erstmal wie vorgeschlagen als VM aufsetzen und anschauen, wie Du damit klarkommst. Ist nicht wahnsinnig schwer, aber Geschmackssache, da es ja auch andere Angebote für FW gibt (Sophos, Untangle, IPfire, openWRT,... - hier jetzt ohne Wertung)
 
Zum R210 II du wirst CPU unabhängig leider nicht unter 40-45w landen.
Seltsam. Ein Dell T20 - Linux + powertop und ohne angeschlossenen Monitor - mit 1225 V3 (!), 12GB RAM und der kleinsten WDgreen SSD verbraucht im idle um die 12W. Einen R210II mit 1220Lv2 dagegen bekommt man nicht unter 40W?
Ok das war bei dem T20 in einer echten meditativen Stellung :), aber wenn man nicht VPN ohne AES-NI versucht, was soll eine Sense für Dauerlast verursachen?

Die Lüfterleistung kann man entspannt auf "minimal" stellen. Im Bios, wie alles folgende auch. Bei der CPU muss man mal schauen. Balanced reicht eigentlich aber auch. Speicher auch mal schauen, ob "maximale Leistung" unbedingt sein muss.

Aber an sich wie vom Vorposter erwaehnt paar Intel NICs i210/350 etc rein und gut ist.
Wofür? Soll da noch ein Balancer dran? R210II und R220 haben jeweils schon 2 Stück dabei und das wird von den Senses GUT unterstützt.

In der Anschaffung ist ein R220 meist kostenintensiver. Könnte man aber in Betracht ziehen, FALLS auch die Leistung eines 1220Lv3 ausreicht. Da kann ich leider bisher nichts zu beitragen (auch wenn mich das selbst immer interessiert), außer, daß der nochmals Stück weniger zieht als ein 1220Lv2.

Sonst gibts für den R220 noch 1230Lv3, wo es auch gut sein kann, da das ganze System minimal weniger zieht, daß sich das egalisiert gegenüber dem R210II + 1220Lv2.
 
Naja, der T20 und der R210 sind halt schon unterschiedliche Dinge - die größeren Lüfter im T20 verbrauchen schon weniger Energie, das NT dürfte da auch etwas besser sein.
i.d.R. ist die Serverhardware immer Energieintensiver - ich hab meine R210 erst entsorgt - die Firewall läuft in ner VM auf dem HP G8 mit.
Bevor ich die da in ne VM gepackt hab, lief die auf nem ITX mit D525 von Aliexpress mit 4 Interfaces - hat für die 100er Leitung dicke gereicht.
 
Ich habe hier noch einen alten Rechner rumstehen um es mal zu testen.
Wie gesagt, ich möchte ungerne die Firewall auf den Unraid-Server installieren.
Bei einem zusätzlichen Gerät kann ich einfach wieder auf einen Router switchen und normal weiterarbeiten.
Ist mein kleines Kopfkino :d :d
 
Naja, der T20 und der R210
R210II ;) Ohne "II" ist das in der Tat schon kleinwenig betagt. Grad was Energieeffizienz angeht.

sind halt schon unterschiedliche Dinge - die größeren Lüfter im T20 verbrauchen schon weniger Energie, das NT dürfte da auch etwas besser sein.
Darum ging es ja nicht. Ein Unterschied von 3.75x (45 zu 12) kommt da trotzdem wohl kaum bei raus oder? Und die Lüfter, wie gesagt, mit einem 1220Lv2 und einer WDgreen SSD, kann man auf "minimal" stellen. Kann man auch beim T20, aber dann eben lässt sich der Unterschied mit/ohne Lüfter an der Steckdose nur mit >100€ Equipment messen.

i.d.R. ist die Serverhardware immer Energieintensiver - ich hab meine R210 erst entsorgt
Ah... Schön. Du hast bestimmt geschaut was sie aus der Steckdose zog (?) :)
 
@Uhrzeit
Ich sehe gerade in deiner Signatur
"Watchdog: Dell R210II|i350-T4|16GB ECC 1600 2Rx CL11|E3-1220Lv2|WDgreen SSD|*sense + Addons"
Das wäre ja quasi "mein" Setting.
Kannst du etwas zum Verbraucht sagen? Klar du hast noch eine zusätzliche NIC. + 16GB, aber um ein Überblick zu bekommen.
 
Was T20 angeht. Ich glaub nicht, daß es an den Lüftern liegt... und Netzteile sind ja nicht gleich "besser", weil sie im ATX-Format sind.

@i-B4se
Ich sah/sehe das "nur" an der USV. Wir haben keine große Zocker im Haushalt, insofern krieg ich auch mit pfBlocker und Suricata wohl keine signifikante Last auf die Kiste.
Der 4fach NIC flog kürzlich erstmal raus. Ich hab die Kiste mit der Karte bekommen (hing am Balancer, daher die Karte) und erstmal auch so genutzt, aber die 2 onboard NICs reichen hier völlig aus. Im Idle (aber nicht vom Netzwerk abgeklemmt mit 2 Clients die an sind ohne, daß der Anwender Verkehr macht) sinds wohl so um die 14W.
Ich hab mich mal im Test schwer bemüht mit allen im Haushalt künstlich Last zu erzeugen, da kratzte der Hobel kurzzeitig an 30W, aber obwohl wir versucht haben das ca. 1min. zu halten, tauchten die 30W nur paar mal ganz kurz auf.

edit:
c-states sind im Bios alle an, Speicher steht auf min, Lüfter stehen auf min., CPU steht auf vom OS balanced. Was ich noch testen wollte ist die CPU auch auf min. zu stellen (da ist wohl dann PL2 nur 1s an?).
Solange man mit 1Gbit auskommt (onboard halt) und keine VPN-Fantasien hegt, ist ein R210II mit der passenden CPU imho sehr überschaubar.
 
Zuletzt bearbeitet:
Eine Fritzbox 7490 verbraucht auch nicht viel weniger.
Meiner Meinung nach ist der Stromverbrauch im Rahmen.
 
Bist du sicher? Welche Fritte zieht denn soviel Watt aus der Steckdose?? :oops:
 
Zuletzt bearbeitet:
Also ich habe hier ebenfalls einen R210II mit 4x2GB RAM laufen. Reiner Idle sind 25W mit Opnsense.
Wer die Kiste günstig bekommt oder auch sogar rumstehen hat, kann da denke ich durchaus was nutzen. Zumal eben auch ein bischen Power für VPN / IDS / IPS etc. da drin steckt.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh