[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

*Inhalt gelöscht*

 

[Gen8 Runner]

Cool, Scripte habe ich noch keine.
Aber tatsächlich jeweils eine Failover-Gruppe für jeden VPN-"Standort".

Ah okay, das ist auch eine Idee.

Das nutze ich und funktioniert auch top:

HOWTO: Ping hosts and reset/reboot on failure

It's nice but… does it help? resetting interface or rebooting the firewall?

forum.netgate.com

#!/bin/sh

#=====================================================================
# pingtest.sh, v1.0.1
# Created 2009 by Bennett Lee
# Released to public domain
# https://forum.netgate.com/topic/16217/howto-ping-hosts-and-reset-reboot-on-failure/2
# (1) Attempts to ping several hosts to test connectivity.  After
#     first successful ping, script exits.
# (2) If all pings fail, resets interface and retries all pings.
# (3) If all pings fail again after reset, then reboots pfSense.
#
# History
# 1.0.1   Added delay to ensure interface resets (thx ktims).
# 1.0.0   Initial release.
#=====================================================================

#=====================================================================
# USER SETTINGS
#
# Set multiple ping targets separated by space.  Include numeric IPs
# (e.g., remote office, ISP gateway, etc.) for DNS issues which
# reboot will not correct.
ALLDEST="google.com yahoo.com 24.93.40.36 8.8.8.8"
# Interface to reset, usually your WAN
BOUNCE=ovpnc1
# Log file
LOGFILE=/root/pingtest.log
#=====================================================================

COUNT=1
while [ $COUNT -le 2 ]
do

    for DEST in $ALLDEST
    do
        #echo `date +%Y%m%d.%H%M%S` "Pinging $DEST" >> $LOGFILE
        ping -c1 $DEST >/dev/null 2>/dev/null
        if [ $? -eq 0 ]
        then
            #echo `date +%Y%m%d.%H%M%S` "Ping $DEST OK." >> $LOGFILE
            exit 0
        fi
    done

    if [ $COUNT -le 1 ]
    then
        echo `date +%Y%m%d.%H%M%S` "All pings failed. Resetting interface $BOUNCE." >> $LOGFILE
        /sbin/ifconfig $BOUNCE down
        # Give interface time to reset before bringing back up
        sleep 10
        /sbin/ifconfig $BOUNCE up
        # Give WAN time to establish connection
        sleep 60
    else
        echo `date +%Y%m%d.%H%M%S` "All pings failed twice. Rebooting..." >> $LOGFILE
        /sbin/shutdown -r now >> $LOGFILE
        exit 1
    fi

    COUNT=`expr $COUNT + 1`
done

 

[Shihatsu]

Moin, mal ne Frage an die pfSense Fraktion (mit Fritzbox): Wie holt ihr euch den DSL-Anschluss? Fritzbox als Modem genutzt und dann PPPoE von der pFsense? ODer einfach normal Fritzbox als Gateway eingetragen? ODer sollte man auf ein reines Modem (was dort?) setzen? Wie macht ihr das bei Fallbacks? Fragende Grüße!

 

[Stueckchen]

Meines Wissens kann eine Fritzbox nicht als reines Modem genutzt werden.

 

[Gen8 Runner]

Moin, mal ne Frage an die pfSense Fraktion (mit Fritzbox): Wie holt ihr euch den DSL-Anschluss? Fritzbox als Modem genutzt und dann PPPoE von der pFsense? ODer einfach normal Fritzbox als Gateway eingetragen? ODer sollte man auf ein reines Modem (was dort?) setzen? Wie macht ihr das bei Fallbacks? Fragende Grüße!

Fritzbox als Modem.
Und dann als PFSense als Exposed Host freigegeben. Dann sind sämtliche Ports für PFSense geöffnet. Quasi Scheunentor, welches durch PFSense wieder abgefangen wird.

 

[maxblank]

Ich würde da eher ein reines Moden wie Daytrek Vigor einsetzen.

 

[fdiskc2000]

Ich würde da eher ein reines Moden wie Daytrek Vigor einsetzen.

Wenn es erst gekauft wird, ok. Aber wenn die Fritzbox wie in den meisten Haushalten eh schon da ist .....

 

[Shihatsu]

Meines Wissens kann eine Fritzbox nicht als reines Modem genutzt werden.

Doch, das geht. Keine Zugangsdaten eingeben, so das nie eine DSL-Verbindung aufgebaut wird und dann PPoE-Passthrough aktivieren. Das funktioniert.
Die Frage war ja auch nicht "Kann ich die Fritzbox als Modem verwenden" sondern "macht ihr das zusammen mit pfSense"

Fritzbox als Modem.
Und dann als PFSense als Exposed Host freigegeben. Dann sind sämtliche Ports für PFSense geöffnet. Quasi Scheunentor, welches durch PFSense wieder abgefangen wird.

Kannst du das etweas genauer erklären? Habe noch keinerlei pfSense Erfahrung.

Ich würde da eher ein reines Moden wie Daytrek Vigor einsetzen.

Das war auch mein Gedanke, weil "einfacher", aber:

Wenn es erst gekauft wird, ok. Aber wenn die Fritzbox wie in den meisten Haushalten eh schon da ist .....

Das ist ja richtig so, auch in meinem Haushalt.
Jedoch: Ich habe eine 7490 und seit neuestem ist hier 250er DSL verfügbar. Das reizt mich schon. Wenn nue kaufen sollte es also etwas dafür passendes sein, da ist der Draytek (mWn?) raus. Und: Wenn man ein reines Modem hat, fällt die Fritzbox als Fallback-Lösung aus /daher auch meine Frage zum Fallback).

(Seitenfrage: Ich nutze die Fritzbox auch als Telefonnanlage, geht das auch "hinter" einer pfSense?)

 

[Gen8 Runner]

@Shihatsu
Du hast ja wahrscheinlich folgenden Aufbau:
- Fritzbox -> LAN-Kabel -> WAN Port an PFSense -> LAN Port von PFSense zu deinem Netzwerk

Sprich PFSense ist mit einem LAN Kabel mit der Fritzbox verbunden (Schnurz, welchen Port der FritzBox du nutzt) und in der FritzBox taucht unter "Heimnetz" -> "Netzwerk" irgendwo die PFSense als Endgerät auf.
Jetzt gehst du auf "Internet" -> "Freigaben" -> "Gerät für Freigabe hinzufügen" -> Wählst in der Liste deine PFSense aus und machst nen Haken bei: "Dieses Gerät komplett für den Internetzugriff über IPv4 freigeben (Exposed Host). Diese Einstellung kann nur für ein Gerät aktiviert werden."

Schon wird das Internet nur durchgeschleift und du regelst sämtliche Portfreigaben etc. mit PFSense.
FritzBox bleibt dir natürlich wie gehabt erhalten, für die Telefonanlage. Und mit PFSense kannst du alles andere für den Internetzugang regeln.

 

[Shihatsu]

Aaaa, verstanden, das löst alle meine Fragen, auch die die ich als nächste gestellt hätte (wie hole ich denn dann nach und anch die Geräte rüber). Vielen Dank!

 

[konfetti]

Meist macht ja die Fritzbox nicht nur den Internezugang, sondern auch noch die Telefonie - zumindest bei den Leuten, die ich so kenne.
Daher exposed Host in der Fritzbox auf die pfsense - WLAN deaktivieren, weil Rest ja über die Sense läuft.

Bei nem bekannten ist das Fritzbox "native" LAN/WLAN für Gäste und nur sein Zeug hängt hinter der Sense - Vorteil: VPN geht auch mit dem FirmenRechner nach draußen - beim Gast-Netz der FB selbst ist das nämlich erstmal nicht möglich. - den Fehler hatte ich schon bei ein paar Kollegen...

 

[maxblank]

Jedoch: Ich habe eine 7490 und seit neuestem ist hier 250er DSL verfügbar. Das reizt mich schon. Wenn nue kaufen sollte es also etwas dafür passendes sein, da ist der Draytek (mWn?) raus.

Warum sollte der raus sein? Wegen der 250er Bandbreite? Dann halt den Vigor 165. Der wird in dem Szenario oft eingesetzt.

Vigor165 - DrayTek

Hier finden Sie die Produktbeschreibung des Vigor165.

www.draytek.de

Dann die Fritte hinten dran für Telefonie und vielleicht noch ((Gäste-))WLAN, so spart man sich das Szenario mit „Exposed Host“.

 

[fard dwalling]

Ich würde das Doppel NAT auch vermeiden. Mit dem PPPoE Passthrough klappt prima. Nur Fritzbox Updates gehen dann nicht mehr.

Für Telefonie hab ich hier eine Gigaset N510 Basis.

 

[asche77]

Ich würde das Doppel NAT auch vermeiden.

Wenn man in der Fritte statische Routen einrichten kann (wovon ich Mal ausgehe), kann man sich das doppelte NAT auch mit nachgeschalteten *sense als exposed Host sparen.

 

[Uhrzeit]

@*******
Konnten sie noch nie oder wurde das mit irgendeinem FritzOS gekillt?

@all
Wenn man jetzt nicht im Netz rumballert... welche realen Nachteile habt ihr schon selbst bei Doppel-NAT erlebt?

 

[P0stbote]

Wenn man in der Fritte statische Routen einrichten kann (wovon ich Mal ausgehe), kann man sich das doppelte NAT auch mit nachgeschalteten *sense als exposed Host sparen.

Kann man, fahre ich genauso.

Inwiefern? Doppeltes NAT hat man immer, wenn es keinen Modem-/Bridge-Mode in der Fritte gibt.

Nicht, wenn man in der Fritte statische Routen für die nachgelagerten OPNSense Netze einträgt und auf der Firewall das NAT deaktiviert

 

[P0stbote]

Naja, so viel Arbeit ist das nun nicht
Hier für meine 3 Netze (Server, Gast, IoT)

 

[asche77]

@P0stbote Wenn die Fritzbox die Firewall macht, dann verliert man doch haufenweise Features der pfSense...

Welche denn? DHCP, DNS, Traffic shaping, IP blocklists ... Kann doch alles weiterhin die sense übernehmen?

Firewall macht die Fritte ja nicht, wenn sense als exposed Host nachgeschaltet ist. Und auch 2x Firewall ginge ja

 

[P0stbote]

@P0stbote Wenn die Fritzbox die Firewall macht, dann verliert man doch haufenweise Features der pfSense... Klar, für dich mag das jetzt passen, aber ein allgemein probates Mittel scheint mir das jetzt nicht zu sein. Dann doch lieber Double-NAT bei IPv4. 🧐

Ne, wieso? die Opnsense macht bei mir das komplette Firewalling für die Netze. Nur trusted Clients sind im Netz der Fritze, das muss aber auch nicht so sein.

Selbst Multiwan könnte man abbilden, die NAT Regeln lassen sich ja entsprechend anpassen und für das FritzBox Interface abschalten.

 

[P0stbote]

Oder die Fritte rausschmeißen
Wenn FTTH hier im Laufe des Sommers fertig ist, fliegt die bei mir auch raus. Telefonie brauche ich nicht.

 

[i-B4se]

Ich muss das Thema VPN nochmal aufgreifen

Der OpenVPN-Server läuft und ich kann von mobilen Geräten problemlos auf meine Heimnetz zugreifen.

Jetzt habe ich mit den VPN-Anbieter noch ein paar Unklarheiten.
Wenn ich NordVPN nach diesem Tutorial (Klick) einrichten würde, würde ja der gesamte Traffic über den VPN laufen, sprich alle Geräte die mit der pfSense verbunden sind.
Wenn z.b. nur die das Gerät mit der IP "192.168.YY.XX" darüber laufen soll muss ich doch bei "Punkt 9"
Die Source auf die IP "192.168.YY.XX" ändern oder?

 

[i-B4se]

Aber zum einrichten müsste ich ja schon dieser Anleitung folgen, oder geht das "einfacher"
Es soll wie gesagt nur eine IP über diese VPN laufen.

 

[Gen8 Runner]

Aber zum einrichten müsste ich ja schon dieser Anleitung folgen, oder geht das "einfacher"
Es soll wie gesagt nur eine IP über diese VPN laufen.

Punkt 1-10 lt. NordVPN einrichten.

10.1 so belassen, wie es ist
Anstattdessen nur die von ******* genannte Rule einrichten

11, 12, 13 hingegen kannst du wieder machen.
1-10.1 ist erstmal die grundsätzliche Einrichtung, danach die Firewall-Regel tunnelt eben ALLES durch NordVPN. Um das zu umgehen eben die Regel von ******* nehmen.

Wenn da irgendwas nicht exakt, wie vorgestellt läuft, die Regel nach oben bzw. unten verschieben (man denkt, dass dies nur optisch sei...Aber nein, das ist die Reihenfolge der Abhandlung der Regel).


Anleitung zugrunde genommen:

pfSense 2.4.5 setup with NordVPN

Please note, if you are using pfSense 2.4.4 you will need to follow this tutorial instead.1. To set up OpenVPN on pfSense 2.4.5, access your pfSense from your browser, then navigate to System > ...

support.nordvpn.com

 

[i-B4se]

Was haben die "private_networks" genau zu sagen?
Sind das "Aliases" und was müsste ich da theoretisch auswählen? Ich habe noch keine Aliases angelegt.

NordVPN funktioniert nach der Anleitung, aber leider bekomme ich das nicht auf einen Host begrenzt.

 

[asche77]

Vermutlich ein alias für RFC1918 Netzwerke (https://tools.ietf.org/html/rfc1918).

 

[Gen8 Runner]

Was haben die "private_networks" genau zu sagen?
Sind das "Aliases" und was müsste ich da theoretisch auswählen? Ich habe noch keine Aliases angelegt.

NordVPN funktioniert nach der Anleitung, aber leider bekomme ich das nicht auf einen Host begrenzt.

Oben natürlich die 192.168.1.159 ändern auf die IP deines gewünschten Endgerätes, welches getunnelt werden soll.

 

[konfetti]

@P0stbote Ich will auf das Faxgerät nicht verzichten, auch wegen dem qualifizierten Sendebericht, der angeblich nicht zählt.

Naja, noch zählt der ja z.B. vor Gericht, was ich rein technisch nicht verstehe, weil der halt heutzutage null bringt.
[OT]
Dazu muss man sich die Idee und Herkunft anschauen:
Fax war ein Datendienst für Sprachnetze.
Heute macht man aber Sprache über ein Datennetz, wobei gerade im Sprachumfeld nicht auf die richtige Paketierung geachtet wird, bzw. wenn ein Sprachpaket verloren geht, wird es ja nicht nachgefordert - sonst müsste die Empfängerseite ja warten bis das entsprechende Datenpaket mit dem Audioschnipsel da ist und es dazwischen packen - das würde für viel zu viel Verzerrung sorgen.
Da die Faxdaten ja als Tonpakete aber richtig ankommen müssen, passiert dann bei Wegfall eines Pakets, das auf der Empfängerseite eben nix oder nur ein halbes Fax ankommt - der Sender bekommt aber trotzdem die Bestätigung, das erfolgreich übermittelt wurde - weil das Empfangsgerät ja gar nicht prüfen kann, ob das auch stimmt.
Ergo könnte man nun auch einfach ne Leere Seite irgendwo hin faxen und dann behaupten, das man ja eben dies und das bestellt oder Widersprochen hätte...

Es gibt zwar Möglichkeiten das zu umgehn, aber selbst innerhalb eines Netzanbieters werden diese Zusatzprotokolle nicht unbedingt richtig übernommen. - und die Telekom macht das beim Netzübergang zu nem anderen Provider schon mal garnicht. - aus Prinzip

[/OT]

 

[P0stbote]

Fax sollte einfach sterben, siehe https://media.ccc.de/v/35c3-9462-what_the_fax

Jetzt aber genug OT

Wie löst ihr eigentlich das Multicast (DNS) Problem (Z.b. für Sonos, Spotify connect etc)

Ich hab da seit meinem Umstieg von pf- auf opnsense irgendwie massig Probleme, Lautsprecher tauchen nicht auf etc.
Mit pfsense hat das wunderbar mit dem avahi service geklappt, aber mit opnsense kriege ich das nicht wirklich ans fliegen, egal ob mit den mDNS Repeater, oder mit dem UDP Broadcast delay.
Momentan behelfe ich mir mit einem Linux Container, der in jedem Netz eine Netzwerkkarte hat, wo avahi drauf läuft - das tut aber auch eher so mäßig.

 

[mbrhwl]

Ich habe mir heute auf meiner OPNsense die bufferbloat Thematik angeschaut und wie man sie mit OPNsense lösen kann. Ich habe diese Anleitung mal implementiert und es scheint ganz gut zu klappen mit dem Shaper. Ich stelle aber fest, dass mein apu2 ein wenig in die Knie geht besonders beim Download. (D500/U100 habe ich) Die CPU hat wohl auch etwas mehr zu tun jetzt. Gibt es einen besseren Weg vielleicht? Mein Hardware Upgrade ist eh bestellt (Supermicro 5019d-4c-fn8tp).

 

[asche77]

Die Anleitung ist unnötig kompliziert;

- die verschiedenen Queues kann man sich vermutlich ganz sparen und alles in eine stecken (1 Up, 1 down) (keine priorisierung für DNS etc, die kleinen Pakete werden ohnehin bevorzugt versandt)
- Download shaping kannst du testweise ausschalten bei 500mbit
- diverse BSD tuning settings bringen auch nochmal was; Anleitungen im Netz sind überwiegend veraltet aber gerade für die apu2 siehe zB https://teklager.se/en/knowledge-base/apu2-1-gigabit-throughput-pfsense/ (da stimmt allerdings auch nicht alles, zB sollte man _nicht_ die Haken bei "disable xyz offloading" entfernen)

Ich nutze allerdings fq_pie und nicht fq_codel.

 

[mbrhwl]

Die teklager Einstellungen habe ich konfiguriert, hat fq_pie einen Vorteil im Vergleich zum fq_codel?