[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Das kann ich dir leider nicht beantworten. Aktuell reichen mir zwei.
Von Dell gibt es Karten, aber ob man eine x-beliebige Netzwerkkarte nehmen kann, weiß ich leider nicht.
 
x-beliebige sollte passen. Hab Mellanox Connect-X2 jahrelang in einem Dell R610 und R520 betrieben.
Empfehle hier auch eine I350-T4 von Intel. Gibts gebrandet (HP, Lenovo, Fujitsu etc.) auch meist günstiger in der Bucht, würde nur von Angeboten aus China abraten, da sind viele Fakes im Umlauf.
 
Ich brauch ja kein SR-IOV, sondern eigentlich ja genau noch einen (guten) port - da sollte es dann doch auch eine I-210AT mit einem port tun, die sind ja günstig zu haben.
Fullsize? Ist da ein Riser eingebaut?
 
******* schrieb:
  1. Andere Blocklisten lassen sich auch mit dem normalen Alias-Feature realisieren, wie sieht es da mit den Update-Zyklen aus?
    Einmal am Tag würde mich vollkommen ausreichen.
  2. Aber wie sieht es mit ASN (autonomous system number) aus?
  3. Und wird auch Rsync unterstützt?
Zum Vergrößern anklicken....
1 - ja, geht, über eine alias table. Update wählbar 1 std, 12 std, länger.

2 - nicht sicher, vermutlich geht das nicht

3 - als Update Protokoll? Nicht dass ich wüsste. Aber wozu, so lang sollten die blocklisten nicht sein?
 
Also , Geo.Block ist fester Bestandteil seit > 3 Jahren , Blocklisten (z.b firehole kannst du über nen alias laden und die Aktualisierung geht auch < 1 Tag
firehole.JPG


Zum rest kann ich dir aktuell nichts sagen
 
Seit kurzem bemerke ich in meinem OPNSense Firewall-Log folgendes:

LAN IP a Port b in -> Internet IP c Port d wird von default deny trotz expliziter Erlaubnisregel von IP a nach c an Port d geblockt.
WAN IP e Port f out -> Internet IP c Port d wird ein paar Sekunden später akzeptiert.

Habe ich einen Denkfehler oder ist das normal? :fresse:
 
Zuletzt bearbeitet:
Ich such gerade wie doof ein R210 II - gibts da ein Geheimtip wo man gebrauchte Server kriegt, was nicht gerade Ebay ist? Oder geht sowas nur in der Bucht?
Und: Ist die CPU egal? Und ist da immer ein Riser dabei für die NEtzwerkkarte die ich noch einbauen werde?
 
Ich habe mitlerweile eine R210 gekauft und würde jetzt gerne meine bisher virtualisierte OPNSense mit der neuen verheiraten. Normalerweise gibt es ja diesen Guide:

OPNsense HA Cluster einrichten – Thomas-Krenn-Wiki

Die kostenlose Open Source Firewall OPNsense kann als redundante Firewall mit automatischem Fail-over konfiguriert werden. Dieser Artikel zeigt, wie ein derartiger Firewall HA-Cluster mit zwei Firewall-Rechnern (in diesem Fall zwei Edge 4L) eingerichtet wird. Diese Anleitung wurde bereits vor...
www.thomas-krenn.com www.thomas-krenn.com
Jetzt ist der aber unter der Prämisse gemacht das man mit 2 Feuerwänden bei Null anfängt - das ist natürlich kokolores. Großartig Konfiguration in Sachen Regeln habe ich nicht auf meiner OPNSense, aber eben VLANs und DHCP. Wie würdet ihr da vorgehen, wie habt ihr HA realisiert?
 
Moinsen Leute,

gibt es bei pfsense eine Möglichkeit, den verbunden Geräten einen festen Namen zu vergeben?
Evtl. mit einen Package?
Dieses würde ich mir dann auch gerne im Dashboard anzeigen lassen.
Bei ARP-Table sehe ich zwar alle Geräte, aber nur die IP/MAC und bei manchen die Hostname.
 
Das mit dem Dashboard ist kein muss, sondern ein "nice to have"

Mir geht es eher darum den Geräte zu benennen. Dient der reinen Übersicht ohne immer direkt auf die IP zu gucken. Ich vergleich das mal kurz mit der Fritzbox. Da kann man auf "Netzwerk" gehen und den Geräten festen Namen geben: xxx.xxx.xxx.xxx = Alexa1, xxx.xxx.xxx.xxy = Ipad 1 etc. etc.
Diese bleiben bis man die IP ändert.

Nicht alle Geräte haben ein Hostname und können dadurch direkt identifiziert werden.
Wie gesagt, dient nur der Übersicht.
 
******* schrieb:
Diese vergibst Du im DHCP-Server bei den "DHCP Static Mappings", also feste IP und den Namen.
Zum Vergrößern anklicken....
Okay, aktuell nutze ich DHCP nicht. Ich weise den Geräten immer feste zu und lass das nicht vom Router/Firewall machen.
Aber ist ja kein Thema. Dann ändere ich das ab und werden dann über DHCP die IPs vergeben bzw. mappen.

Ich dachte man könnte das auch machen wenn man eine feste IP vergeben hat wie z.B. bei der Fritzbox.

wie ich schon sagte, mir geht es dabei nur um die Übersicht. Ich möchte einfach eine klare Übersicht der Geräte haben und nicht "nur" die IP/MAC.
 
Huhu, ich nochmal - hab OPNSense jetzt im Failover-cluster laufen via CARP, das funktioniert auch super. Einzige offene Frage: Wie setzt man in diesem Szenario VLANs um? Ich finde dazu nur vage Hinweise, keine Guides oder Beispiele...
Edit sagt: Habs hinbekommen - danke trotzdem für jeden der es gelesen hat :)
 
Zuletzt bearbeitet:
Shihatsu schrieb:
Huhu, ich nochmal - hab OPNSense jetzt im Failover-cluster laufen via CARP, das funktioniert auch super. Einzige offene Frage: Wie setzt man in diesem Szenario VLANs um? Ich finde dazu nur vage Hinweise, keine Guides oder Beispiele...
Edit sagt: Habs hinbekommen - danke trotzdem für jeden der es gelesen hat :)
Zum Vergrößern anklicken....
Magst Du vlt. kurz erklären wie Du das gelöst hast, bzw. einen Link zu ner Beschreibung posten?

Ich bin zwar noch unsicher, ob ich weiter auf pfSense oder dann auf OPNSense setze, aber da demnächst eh ein Hardwarewechsel ansteht, hab ich da noch "Spielraum"

meine Aktuelle pfSense meldet leider immernoch den alten (behobenen Fehler) mit dem Crashlog - tut aber soweit eben.
 
Tjaja, prinzipiell ists ganz einfach:
  • VLAN hinzufügen *2
  • Interface assignen *2
  • Interface aktivieren *2
  • VIP aktivieren *1 (nur auf dem Master)
An der Stelle funktioniert noch nichts, man brauch noch
  • Firewall Regeln hinzufügen (Kopie von Default LAN)
Soweit, so gut. Jetzt habe ich dabei aber selber ein Problem, und zwar krieg ich in diesem Setup DHCP nicht aktiviert - warum auch immer. Sehr schade, denn ohne bringt mir das nichts...
 
Hallöchen.
Kann mir jemand sagen, wie ich eine i210AS SFP/1G NIC treiberseitig bei OPNSense eingebunden bekomme? Bei so einem integrierten FreeBSD kenne ich mich nicht aus...
Danke und Grüße

edit: 20.7.8, VM in Proxmox, Karte per PT, unter Proxmox wird sie ordentlich erkannt.
edit2: Unter VM WIn10 wird sie auch per PT erkannt. Bei pciconf -lv unter opnsense aber schon nicht... liegt wohl etwas tiefer das Problem. Ich prüfe das später weiter...
 
Zuletzt bearbeitet:
Also liegt es doch an opnsense:
Win10-VM: wird erkannt, läuft, Intel-Managementsoftware wird problemlos installiert.
ipfire erkennt die Karte sofort.
opnsense mit 20.1 probiert und auch keine Besserung nach 20.7.8 gesehen - NIC nix da...
Bei pfsense nun die dev-2.6, da wird die Karte angezeigt...
Ich schaue mir also mal gemütlich pfsense-2.6 an.
 
Shihatsu schrieb:
Tjaja, prinzipiell ists ganz einfach:
  • VLAN hinzufügen *2
  • Interface assignen *2
  • Interface aktivieren *2
  • VIP aktivieren *1 (nur auf dem Master)
An der Stelle funktioniert noch nichts, man brauch noch
  • Firewall Regeln hinzufügen (Kopie von Default LAN)
Soweit, so gut. Jetzt habe ich dabei aber selber ein Problem, und zwar krieg ich in diesem Setup DHCP nicht aktiviert - warum auch immer. Sehr schade, denn ohne bringt mir das nichts...
Zum Vergrößern anklicken....
Ich bin da mitlerweile weiter: Es liegt an den VIPs. Bei manchen VLANs sind die VIPs falsch gesetzt. Also sie sind richtig konfiguriert, aber beie VIPs laufen als MAster. Komisch komisch.
 
Ah. Sorry, ja, es war 21.x.x gemeint. Diese fürchterlichen Versionssprünge heutzutage... früher hätte das V0.2.1.8-8pre-beta1-final geheißen ;)
Es war ein Image von März und auch nach Update auf aktuellste Version wurde die Karte nicht erkannt. Wie geschrieben: Bei pfsense-2.6dev alles problemlos..
 
Dann Glückwunsch :-)
Ich warte noch etwas, weil ich dann gleich auf ZFS Neuinstallation gehe (ggfs auch wieder virtualisiert; noch unsicher).
 
Ja, läuft felsstabil hier auf nem ollen i3-2100T.
Auch die Vorgängerversion war äußerst stabil, Neustarts nur bei Kernel-Updates oder Stromausfall.
 
Anmelden, um zu antworten.

Ähnliche Themen

F
Neuer PfSense / Opnsense Router bzw. Mainboard, stromsparend, ECC RAM fähig, PCiex für Connect-X 4 Netzerkkarte, gesucht
Antworten
12
Aufrufe
597
Zyxx
Z
P
[Kaufberatung] Zwei Heimserver für OPNsense und Proxmox
Antworten
5
Aufrufe
705
Pixolantis
P
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh