*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Schwer zu sagen. Pie ist etwas neuer aber nicht zwingend besser. Wirklich besser wäre Cake, aber das gibt es unter BSD noch nicht - nur openWRT/Linux soweit ich weiß.
Der Test hier empfiehlt fq_codel und shaping in beide Richtungen: https://burntchrome.blogspot.com/2014_05_01_archive.html?m=1
IETF ist unschlüssig: https://www.ietf.org/proceedings/88/slides/slides-88-iccrg-4.pdf
Für DOCSIS hatte man sich für PIE entschieden. Details zB unter https://www.cablelabs.com/active_queue_management_algorithms_docsis_3_0 (beachte: Vergleich nur valide zwischen CoDel und Pie; flow queueing (fq_codel/fq_pie) ist besser, getestet wurde aber nur fq_codel).
Tendenz: fq_codel niedrigere Latenz, fq_Pie etwas höhere Latenz (aber stabiler als fq_CoDel) mit höherem Durchsatz
Der Test hier empfiehlt fq_codel und shaping in beide Richtungen: https://burntchrome.blogspot.com/2014_05_01_archive.html?m=1
IETF ist unschlüssig: https://www.ietf.org/proceedings/88/slides/slides-88-iccrg-4.pdf
Für DOCSIS hatte man sich für PIE entschieden. Details zB unter https://www.cablelabs.com/active_queue_management_algorithms_docsis_3_0 (beachte: Vergleich nur valide zwischen CoDel und Pie; flow queueing (fq_codel/fq_pie) ist besser, getestet wurde aber nur fq_codel).
Tendenz: fq_codel niedrigere Latenz, fq_Pie etwas höhere Latenz (aber stabiler als fq_CoDel) mit höherem Durchsatz
Zuletzt bearbeitet:
Da ich gerade selbst etwas gebastelt habe, der Hinweis, dass eine ACK PRIORITY unter opnsense derzeit zwingend auch die Angabe der iplength bedarf, sonst fällt quasi jedes TCP paket fällt da drunter. Siehe https://forum.opnsense.org/index.php?topic=17372.0
Danke euch. Hat funktioniert
Kann es sein, dass man Amazon und Telekom nicht mehr aufrufen kann, sobald man NordVPN konfiguriert hat?
Ich wähle mich zwar nicht über NordVPN ein, aber kann diese Seiten nicht mehr aufrufen.
Habe ich etwas falsch konfiguriert?
Edit: Wenn ich meine IP über NordVPN laufen lasse kann ich die Webseiten aufrufen
Ich wähle mich zwar nicht über NordVPN ein, aber kann diese Seiten nicht mehr aufrufen.
Habe ich etwas falsch konfiguriert?
Edit: Wenn ich meine IP über NordVPN laufen lasse kann ich die Webseiten aufrufen
Gerade gesehen: OPNsense verabschiedet sich in Zukunft von HardenedBSD und wechselt zu FreeBSD: https://forum.opnsense.org/index.php?topic=22761.msg108313#msg108313
Owe owe, wenn das die Uhrzeit liest...
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.904
Ich hab mal eine Frage zum vernünftigen Aufbau und Routing während der Einrichtung.
Stand aktuell: Fritzbox macht Routing, Gateway und DHCP, piHole macht DNS, alles in einem 192er Netz an dummen Switchen, in diesem Netz ein Proxmox Host und mein Rechner.
Zielzustand: Mehrere voneinander getrennte VLANs (10.10.x.x) an einem Layer 2/3 Switch (Mikrotik scheint der hotteste Stuff zu sein), zum Rumspielen, lernen und testen habe ich hier einen Cisco Small Business Switch SG200-08, der erst mal alles zum "lernen" kann. Das ganze soll von einer OPNsense-VM auf Proxmox laufend kontrolliert und gesteuert werden. Die VM hat einen NIC für sich alleine, mit 2 Ports. Einer hängt an der Fritzbox, ein zweiter an der
Jetzt habe ich zwischen Ist- und Sollzustand das Thema Aufbau - in der ganzen Zeit muss das Netzwerk ja weiter laufen, und es soll nach und nach migriert werden. Normalerweise hänt man ja einen Port an das WAN, einen an das LAN, und hängt dann in das LAN einen PC der per DHCP ne Adresse aus dem Netz kriegt. Da hab ich zwei Probleme mit: Ich möchte nicht einfach einen 2ten DHCP ins physische Netz hängen, ohne zu fragen ob das Probleme verursacht. Und dann muss ich ja noch von meinen 192.168. PC (diesem hier) in das 10er NEtz der OPNsense kommen - für letzteres ist denke ich eine statische Route in der Fritzbox der richtige Weg?
Wie habt ihr euren Aufbau gemacht? Und die Migration?
Stand aktuell: Fritzbox macht Routing, Gateway und DHCP, piHole macht DNS, alles in einem 192er Netz an dummen Switchen, in diesem Netz ein Proxmox Host und mein Rechner.
Zielzustand: Mehrere voneinander getrennte VLANs (10.10.x.x) an einem Layer 2/3 Switch (Mikrotik scheint der hotteste Stuff zu sein), zum Rumspielen, lernen und testen habe ich hier einen Cisco Small Business Switch SG200-08, der erst mal alles zum "lernen" kann. Das ganze soll von einer OPNsense-VM auf Proxmox laufend kontrolliert und gesteuert werden. Die VM hat einen NIC für sich alleine, mit 2 Ports. Einer hängt an der Fritzbox, ein zweiter an der
Jetzt habe ich zwischen Ist- und Sollzustand das Thema Aufbau - in der ganzen Zeit muss das Netzwerk ja weiter laufen, und es soll nach und nach migriert werden. Normalerweise hänt man ja einen Port an das WAN, einen an das LAN, und hängt dann in das LAN einen PC der per DHCP ne Adresse aus dem Netz kriegt. Da hab ich zwei Probleme mit: Ich möchte nicht einfach einen 2ten DHCP ins physische Netz hängen, ohne zu fragen ob das Probleme verursacht. Und dann muss ich ja noch von meinen 192.168. PC (diesem hier) in das 10er NEtz der OPNsense kommen - für letzteres ist denke ich eine statische Route in der Fritzbox der richtige Weg?
Wie habt ihr euren Aufbau gemacht? Und die Migration?
Mit der Telekom hat sich geklärt. Anscheinend hatte die Seite ein paar Probleme.
Aber mit der Amazon-Seite gibt es noch immer Probleme.
Das komische ist, dass wenn ich z.B. mit dem Handy oder Tablet auf die Seite zugreife funktioniert es. Gehe ich mit dem PC (mit drei Verschiedenen getestet) auf die Seite, wird diese nicht geladen.
Wird in der Regel meine IP eingetragen, mit der VPN-Verbindung, funktioniert die Seite. Trage ich in der Regele das gesamt Netz ein geht es auch an den anderen PCs.
Die mobilen Geräte bleiben davon unberührt.
Der Firestick funktioniert auch nicht.
Ich könnte verstehen wenn Amazon den VPN verbietet, aber umgekehrt finde ich das etwas merkwürdig.
Nur weiß ich gerade nicht wie ich den Fehler beheben soll.
Bei den Rules habe ich verschiedene Einstellungen getestet und auch die Reihenfolge geändert, aber leider immer mit dem gleichen Ergebnis.
Wie ich oben schon geschrieben habe, ist es komisch das ich mit dem Handy per WLAN auf die Website komme. VLANs habe ich keine.
Bei den Outbounds sind noch zusätzlich die OpenVPN drin
Die DNS-Einträge habe ich aus dem Tutorial von NordVPN übernommen.
Wie ich oben schon geschrieben habe, ist es komisch das ich mit dem Handy per WLAN auf die Website komme. VLANs habe ich keine.
Bei den Outbounds sind noch zusätzlich die OpenVPN drin
Die DNS-Einträge habe ich aus dem Tutorial von NordVPN übernommen.
@*******
Wenn ich die DNS auf die alte IP abändere komme ich auf noch weniger Seiten - einschließlich Hardwareluxx. Andere Seiten gehen trotzdem.
Was meintest du genau mit:
EDIT:
Ich habe die DNS auf 1.0.0.1 geändert und nun funktioniert es ohne und mit VPN.
Aber was ich nicht verstehe ist, warum geht meine vorherige DNS nicht. Ich hab gestern und heute zuerst meine alte DNS getestet und kam deswegen nicht weiter.
Selbst die von Google (8.8.8.8) funktioniert auf einigen Seiten nicht bzw. es wird keine Verbindung zu diesen aufgebaut. Einschließlich Hardwareluxx und Amazon.
Kurz gesagt, es lag an der DNS.
Aber ich weiß noch nicht den Grund.
Wenn ich die DNS auf die alte IP abändere komme ich auf noch weniger Seiten - einschließlich Hardwareluxx. Andere Seiten gehen trotzdem.
Was meintest du genau mit:
Das muss er auch nicht. Ist ein Docker aufm Server. Kann quasi gekapselt bleiben.
Das ist die VPN-Verbindung. Damit sich die IP nur über diese verbindet.
EDIT:
Ich habe die DNS auf 1.0.0.1 geändert und nun funktioniert es ohne und mit VPN.
Aber was ich nicht verstehe ist, warum geht meine vorherige DNS nicht. Ich hab gestern und heute zuerst meine alte DNS getestet und kam deswegen nicht weiter.
Selbst die von Google (8.8.8.8) funktioniert auf einigen Seiten nicht bzw. es wird keine Verbindung zu diesen aufgebaut. Einschließlich Hardwareluxx und Amazon.
Kurz gesagt, es lag an der DNS.
Aber ich weiß noch nicht den Grund.
Zuletzt bearbeitet:
Weil? Mal einen crepitu im Raum hängen lassen damit jeder der da durchläuft sich irgendetwas unvorteilhaftes denken soll? Wow... 😘
Zuletzt bearbeitet:
Gen8 Runner
Experte
- Mitglied seit
- 12.08.2015
- Beiträge
- 1.130
1. Backup machen!
Dann:
Unter DNS.
Weise einmal deinem WAN Anschluss einen DNS Server zu (gerne auch testweise 8.8.8.8 oder 1.1.1.1 ; das sind die Google DNS Server).
Und weise einmal deinem NordVPN einen DNS zu (so wie ja derzeit schon der Fall).
VPN, um dich mit PFSense (bzw. infolgedessen deinem Heimnetzwerk zu verbinden) hast du auch schon ins Leben gerufen?
Dann:
Unter DNS.
Weise einmal deinem WAN Anschluss einen DNS Server zu (gerne auch testweise 8.8.8.8 oder 1.1.1.1 ; das sind die Google DNS Server).
Und weise einmal deinem NordVPN einen DNS zu (so wie ja derzeit schon der Fall).
VPN, um dich mit PFSense (bzw. infolgedessen deinem Heimnetzwerk zu verbinden) hast du auch schon ins Leben gerufen?
Backups mache ich immer vor jeder "verstellerei"
Aber das betrifft nicht nur die NVPN DNS.
Ich kann ohne Probleme von Außerhalb auf mein Heimnetz zugreifen.
Diese und 1.0.0.1 funktionieren auf allen Seiten.
Sobald die DNS von NordVPN drin ist gehen einige Seiten nicht mehr. Egal ob die mit den NordVPN zugewiesen sind und andere DNS mit der WAN.
Aber das betrifft nicht nur die NVPN DNS.
Ja, das funktioniert auch wunderbar.
Ich kann ohne Probleme von Außerhalb auf mein Heimnetz zugreifen.
1.1.1.1 ist von Cloudflare
Diese und 1.0.0.1 funktionieren auf allen Seiten.
Gen8 Runner
Experte
- Mitglied seit
- 12.08.2015
- Beiträge
- 1.130
Dann würde ich fast behaupten, dass der NordVPN DNS Server das Problem ist, wenn mit anderem DNS (Cloudflare, Google) sonst alles erreichbar ist.
Sprich: Anderen DNS Server nutzen.
Bspw. Cyberghost mal testen:
Preferred DNS server: 10.101.0.243
Alternate DNS server: 38.132.106.139
Sprich: Anderen DNS Server nutzen.
Bspw. Cyberghost mal testen:
Preferred DNS server: 10.101.0.243
Alternate DNS server: 38.132.106.139
Nein, davor hängt ein Speedport. Wegen LTE Hybrid muss ich diesen auch leider benutzen.
Dieser hat aber einen andere Subnet (192.168.2.XX)
Achso, das hab ich wieder auf any geändert. Hatte das nur zum Testen drin.
Werde ich morgen testen.
Ich denke auch das es an den DNS Servern liegt, aber ich frage mich warum es mit meiner alten DNS nicht mehr geht. Bevor ich NVPN hinzugefügt habe, konnte ich ohne Probleme mit dieser auf allen Seiten.
Gen8 Runner
Experte
- Mitglied seit
- 12.08.2015
- Beiträge
- 1.130
Da kann ich gerade nicht folgen.
Wie hast du das bei dir umgesetzt bzw. wie würdest du das umsetzen?
Das müsste man doch eleganter mit DNS Zones lösen können? lokalen DNS Server zuweisen und dann diesen anweisen, nur die lokalen Adressen über unbound/dnsmasq aufzulösen und externe Adressen über den "externen DNS-Server wie 8.8.8.8"?
Oder hast Du Sorge, dass der gemeinsame cache von unbound/dnsmasq dann doch zu leaks führt? Warum dann nicht eine weitere dnsmasq/unbound/adguard/pihole/stubby/.... DNS Instanz lokal aufsetzen und dort den split DNS für die VPN-Kiste machen?
5. per FW den Zugriff auf die lokalen DNS-Resolver vom VPN-Client PC unterbinden, sofern der VPN-Client PC im selben lokalen Netzsegment liegt, wie normale Clients. Es wird immer tolle Anwendungen geben die nicht die DNS-Server, die das OS vor gibt, nutzen oder evtl. sogar noch die alten, gecachten DNS-Server der pfSense hinterlegt haben. Das musst du dann auch unterbinden. Ansonsten reicht dann eine umgebogene Defaultroute durch das VPN-Tunnelinterface.
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.904
Heya, was würdet ihr denn als Basis für eine 19-Zoll-Hardware nehmen? Hintergrund: Meine OPNSense ist virtualisiert und ich möchte sie HA-"light"-fähig machen, in dem ich 2 Instanzen verbinde. Die Sekundär-Instanz soll eben nicht virtualisiert sein, damit ich auch mal am Host rumschrauben kann ohne das das Netzwerk gleich aufgibt. Da die Haupt-Firewall in einem 19" Schrank wohnen wird, sollte die sekundäre da auch Platz finden. Gerne auch gebraucht, Anforderungen halt 2 NICs, IPMI-Port, etwas "Dampf" damit sie im (Not)Fall nicht komplett alles ein bremst.
Edit: Ich brauche natürlich 3 NICs, WAN, LAN und pfsync.
Edit: Ich brauche natürlich 3 NICs, WAN, LAN und pfsync.
Zuletzt bearbeitet:
Dito läuft seit einem Jahr bei mir super so mit Opnsense
Zwar nicht ganz 19", aber ich bin mit einer Sophos XG 105 und Opnsense ganz zufrieden. "Größere" Modelle gibts dann auch in 19".
Sind mit etwas Geduld und Glück gebraucht zu sehr guten Preisen zu bekommen, egal ob SG oder XG. RAM und HDD/SSD sind idR austauschbar.
Man sollte nur vorher etwas Recherche betreiben welche CPU verbaut ist (das ist Modell und Revisionsabhängig) und ob die für die angepeilten Zwecke ausreicht.
Ich hab in meiner XG 105 Rev 5 ein Atom E3930 drin, das reicht für ~900 MBit FW-Durchsatz aus. PPPoE Durchsatz konnte ich leider noch nicht testen. Idle bei ungefähr 10W.
IPMI haben die meisten AFAIK nicht, aber dafür einen seriellen Konsolenport. Kann man prima z. B. mit einem Raspberry PI und https://github.com/cminyard/ser2net abgreifen, damit kommt man auch auf die BIOS-Ebene. Im Endeffekt verhalten die sich wie ein normaler Rechner, Installation von OPNSense war bei mir problemlos möglich.
Sind mit etwas Geduld und Glück gebraucht zu sehr guten Preisen zu bekommen, egal ob SG oder XG. RAM und HDD/SSD sind idR austauschbar.
Man sollte nur vorher etwas Recherche betreiben welche CPU verbaut ist (das ist Modell und Revisionsabhängig) und ob die für die angepeilten Zwecke ausreicht.
Ich hab in meiner XG 105 Rev 5 ein Atom E3930 drin, das reicht für ~900 MBit FW-Durchsatz aus. PPPoE Durchsatz konnte ich leider noch nicht testen. Idle bei ungefähr 10W.
IPMI haben die meisten AFAIK nicht, aber dafür einen seriellen Konsolenport. Kann man prima z. B. mit einem Raspberry PI und https://github.com/cminyard/ser2net abgreifen, damit kommt man auch auf die BIOS-Ebene. Im Endeffekt verhalten die sich wie ein normaler Rechner, Installation von OPNSense war bei mir problemlos möglich.
Relativ wenig, ich nutze nur HAProxy und local netflow collection. HAProxy macht ungefähr 500Mbit, danach ist CPU technisch Feierabend.
Klar, das Teil reißt keine Bäume aus, aber gebraucht fürn Hunni kann man sich da echt nicht beklagen und die Hardware ist halt schick (Im Gegensatz zu der Software UTM oder XG...) - und wenn die Internetleitung eh nicht so dick ist, reicht das vollkommend aus. Leider hat @Shihatsu keine Angaben zu seinem benötigten Durchsatz geschrieben.
Aber die gibt's ja auch ein paar Nummern größer. Die SG210rev1 hat z. B. ein Celeron G1820 verbaut. Und gerade in Richtung SG 2xx wird halt viel von Unternehmen ausgesondert, da kann man mit etwas Glück richtig gute Angebote erwischen.
Klar, das Teil reißt keine Bäume aus, aber gebraucht fürn Hunni kann man sich da echt nicht beklagen und die Hardware ist halt schick (Im Gegensatz zu der Software UTM oder XG...) - und wenn die Internetleitung eh nicht so dick ist, reicht das vollkommend aus. Leider hat @Shihatsu keine Angaben zu seinem benötigten Durchsatz geschrieben.
Aber die gibt's ja auch ein paar Nummern größer. Die SG210rev1 hat z. B. ein Celeron G1820 verbaut. Und gerade in Richtung SG 2xx wird halt viel von Unternehmen ausgesondert, da kann man mit etwas Glück richtig gute Angebote erwischen.