[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
OPNsense + PiHole

Hallo!

Genauere Details zum Ist-Stand siehe HIER.

ganz grob:
  • Kabelmodem (rein als "Übergabestation" konfiguriert); 200/20 MBit
  • Zyxel ZyWall USG60
  • RPi 3B+ mit PiHole+Unbound


VPN Verbindung von außen wird jetzt mal gewünscht/aktuell werden.

Da ich die letzten Jahre Fan von "Eigenbauten" geworden bin und mit dem OS von Zyxel irgendwie nicht wirklich warm werde, hätte ich folgenden Plan:
  • Fujitsu Futro S930 + Quad Intel Nic
  • Da dann OPNsense drauf und als Router/Firewall/VPN nutzen.

Habe gesehen, dass bei OPNsense Unbound schon integriert ist - wie sieht das mit einem Werbeblocker - wie z.B. PiHole - aus?
Soll ich PiHole weiter auf dem zusätzlichen RPi laufen lassen? - nicht so mein Favorit

Oder, soll/kann ich auf dem S930 z.B. ESXi laufen lassen und darauf dann OPNsense + PiHole als VM!?

Wie würdet ihr das lösen?


Danke!

LG

PS: Möchte den "Router" + Werbeblocker auf jeden Fall getrennt/eigenständig vom vorhandenen Eigenbauserver (wo TrueNAS läuft) betreiben.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Community repo -> Adguard Home plugin

Kann alles was pihole kann und mehr. Und Du hast 1 Gerät weniger.

Adguard Home kann dann wiederum auf unbound zugreifen (mit anderem Port) und das wiederum als resolver arbeiten.
 
Community repo -> Adguard Home plugin

Kann alles was pihole kann und mehr. Und Du hast 1 Gerät weniger.

Adguard Home kann dann wiederum auf unbound zugreifen (mit anderem Port) und das wiederum als resolver arbeiten.

Danke - muss ich mir ansehen - dann könnte ich mir das Virtualisieren sparen.

LG
 
Sagt mal, ich habe ein zwei interessante Phänomene. Wir haben momentan noch eine pfsense im Büro. Wir hatten vor einiger Zeit mal, einen IPsec zu einer Partnerfirma die eine Fortinet einsetzen. Dieser Tunnel war immer instabil.
Jetzt hatte ich zu Hause eine OPNsense und habe von dort über 1-2 Wochen laufen gehabt. Hier hatte ich das komische, das mein Windows Rechner mehrmals am Tag dir DNS Verbindung verloren hat. Weltkugel unten rechts und so. Der Tunnel ist aber nicht zusammengebrochen.
Jetzt habe ich letzte Woche bei mir die Sophos Firewall wieder reaktiviert und siehe da, mit der ist der IPSec ohne Probleme stabil.

Ist die pfSense hier so eine Diva? Das ist auch noch die 2.4.5...
 
Zuletzt bearbeitet:
Ich habe es gestern seit endlosem probieren endlich geschafft meine Fritzbox als DECT Basisstation für SIP Telefonie einzurichten. Ich hab aber ne Frage zu den Firewall Rules.
Nachdem ich erst meine Rufnummer nicht per SIP aktivieren konnte, hat das irgendwann geklappt, nur konnte ich beim Telefonat die Person von außen nicht hören.
Nach langem googlen bzgl. der Firewall Rules habe ich jetzt eine NAT->Outbound Rule erstellt.

Code:
Interface: WAN
TCP/IP Version: IPv4
Protocol: any
Source address: Single host or Network / IP-Adresse der FritzBox / 32
Source port: any
Destination address: any
Destination port: any
Static port: Yes

Kann mir bitte jemand kurz den Unterschied zwischen Port Forwarding und Outbound erklären? Bekomme ich Sicherheitsprobleme, wenn ich das Protocol und die Ports alle auf any stelle? Sollte ich das auf die SIP Ports und Sip-Server von Vodafone einschränken, oder ist das egal? Ich würde vermuten, die Outbound Rule stellt nur sicher, dass die FritzBox zu den richtigen Stellen im Netz findet, es gibt jedoch keine Möglichkeit von außen über diese Ports direkt auf die FritzBox zuzugreifen?

Danke schonmal für die Antwort
 
Ah okay, das stellt nur sicher, dass jeder Port nach außen auch der Port bleibt (kein Randomisieren). Das potentielle Sicherheitsrisiko wäre also dann, dass beim Auslesen des Netzwerktraffics genau gesehen werden kann, dass es eine Telefoniestation ist, weil immer über den SIP Port gesendet wird.
Die Vodafone Server sind dann vermutlich über den Sip-Registrar erreichbar (sip.kabelfon.vodafone.de), das heißt die Fritzbox kommuniziert auch nur mit denen, und dann halt über den Sip-Port. Und nur wenn der Traffic von diesem Sip Server kommt, wird er durchgelassen.
Müsste ich jetzt noch jeden anderen Traffic, der nicht von dem Sip Server kommt für die FritzBox sperren, oder kommt das nicht vor? Bzw geht gar nicht, weil ja keine Portweiterleitungen aktiv sind?
 
SIP Telefonie ist (quasi immer) unverschlüsselt, da kann jeder, der deinen Netzwerktraffic mitschneiden kann, auch gleich das komplette Gespräch mithören.
Und nur wenn der Traffic von diesem Sip Server kommt, wird er durchgelassen.
Ja und zwar auch nur deshalb, weil deine FRITZ!Box die Verbindung aufrecht hält.
Müsste ich jetzt noch jeden anderen Traffic, der nicht von dem Sip Server kommt für die FritzBox sperren
Wenn deine Firewall richtig konfiguriert ist, dann wird standardmäßig jeglicher eingehende Traffic geblockt. Das ist ja im Prinzip auch Sinn und Zweck der Firewall.

Nachtrag: https://docs.netgate.com/pfsense/en/latest/firewall/fundamentals.html#firewall-stateful lesen!
 
Zuletzt bearbeitet:
Les ich mir mal durch, danke. Noch hab ich gar nichts konfiguriert, ich war froh, dass es erstmal richtig gelaufen ist. Ich hab aber auch bis auf die Anti-Lockout Rule noch nichts zugelassen.
 
Setup: Cloud Server (pfSense 2.6.0) <--- VPN ---> Qotom Mini PC (pfSense 2.6.0).

Cloud Server:
Code:
openssl speed aes-256-cbc
The 'numbers' are in 1000s of bytes per second processed.
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes  16384 bytes
aes-256 cbc     229604.31k   236309.03k   237046.53k   236213.59k   235858.60k   236929.02k
Qotom Mini PC:
Code:
openssl speed aes-256-cbc
The 'numbers' are in 1000s of bytes per second processed.
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes  16384 bytes
aes-256 cbc      88180.61k    89999.12k    90282.82k    90518.60k    90486.91k    90645.40k

WireGuard:
Code:
iperf3 -c 10.10.0.1 -R
Connecting to host 10.10.0.1, port 5201
Reverse mode, remote host 10.10.0.1 is sending
[  5] local 192.168.20.10 port 50678 connected to 10.10.0.1 port 5201
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-1.00   sec  23.4 MBytes   196 Mbits/sec               
[  5]   1.00-2.00   sec  29.4 MBytes   246 Mbits/sec               
[  5]   2.00-3.00   sec  29.7 MBytes   249 Mbits/sec               
[  5]   3.00-4.00   sec  29.6 MBytes   248 Mbits/sec               
[  5]   4.00-5.00   sec  29.5 MBytes   248 Mbits/sec               
[  5]   5.00-6.00   sec  29.7 MBytes   249 Mbits/sec               
[  5]   6.00-7.00   sec  29.6 MBytes   249 Mbits/sec               
[  5]   7.00-8.00   sec  29.7 MBytes   249 Mbits/sec               
[  5]   8.00-9.00   sec  29.7 MBytes   249 Mbits/sec               
[  5]   9.00-10.00  sec  29.5 MBytes   248 Mbits/sec               
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.14  sec   290 MBytes   240 Mbits/sec    0             sender
[  5]   0.00-10.00  sec   290 MBytes   243 Mbits/sec                  receiver
OpenVPN:
Code:
iperf3 -c 10.20.0.1 -R
Connecting to host 10.20.0.1, port 5201
Reverse mode, remote host 10.20.0.1 is sending
[  5] local 192.168.20.10 port 37393 connected to 10.20.0.1 port 5201
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-1.00   sec  7.24 MBytes  60.7 Mbits/sec               
[  5]   1.00-2.00   sec  6.40 MBytes  53.7 Mbits/sec               
[  5]   2.00-3.00   sec  7.22 MBytes  60.6 Mbits/sec               
[  5]   3.00-4.00   sec  8.03 MBytes  67.4 Mbits/sec               
[  5]   4.00-5.00   sec  7.77 MBytes  65.2 Mbits/sec               
[  5]   5.00-6.00   sec  6.48 MBytes  54.3 Mbits/sec               
[  5]   6.00-7.00   sec  7.66 MBytes  64.3 Mbits/sec               
[  5]   7.00-8.00   sec  7.72 MBytes  64.8 Mbits/sec               
[  5]   8.00-9.00   sec  7.04 MBytes  59.1 Mbits/sec               
[  5]   9.00-10.00  sec  7.30 MBytes  61.3 Mbits/sec               
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.14  sec  73.0 MBytes  60.4 Mbits/sec   82             sender
[  5]   0.00-10.00  sec  72.9 MBytes  61.1 Mbits/sec                  receiver

Also WireGuard läuft recht ordentlich, aber die OpenVPN Performance ist absolut erbärmlich. :cry:
 
Zuletzt bearbeitet:
Gibt es einen einfachen Weg SSL inspection zu ermöglichen, ohne bei jedem Gerät einzeln das CA certificate installieren zu müssen? Ein Tutorial dazu wäre ganz nett... Bisher habe ich sowas gefunden wie: domain kaufen, Let's Encrypt wildcard certificate dafür ausstellen, acme.sh laufen lassen. Aber eine Schritt-für-Schritt-Anleitung wo detailiert beschrieben wäre, was man alles beachten müsste, habe ich bisher nicht entdeckt.

Auf SSL inspection zu verzichten, ist irgendwie keine Option. über 80% meines Traffics läuft verschlüsselt, dann kann ich es mit der Firewall auch gleich bleiben lassen :p.
 
@*******, wenn ich mir die Protectli FW6A Werte ansehe, dann müsste mein Qotom Mini PC locker in der Lage sein, meine 250 Mbit/s Leitung mit OpenVPN zu bespielen und in einem lokalen Test sah das vor einer Weile mit 2.4.5-p1 auch noch ganz danach aus, siehe: https://www.hardwareluxx.de/community/threads/neuer-router-für-openwrt.1297641/#post-28407550
beim DL limitiert die CPU auf dem VPS
Ich schaff es mit pfSense 2.6.0 erst gar nicht ins CPU-Limit zu kommen. Dafür, dass das Problem wo anders liegt, spricht auch, dass die Performance exakt gleich mies ist, wenn ich die Verschlüsselung komplett abschalte.

Nachtrag: pfSense macht echt keinen Spaß aktuell (<= 2.4.5-p1 kein WireGuard und >= 2.5.2 unerträgliche Bugs).
 
Gibt es einen einfachen Weg SSL inspection zu ermöglichen, ohne bei jedem Gerät einzeln das CA certificate installieren zu müssen? Ein Tutorial dazu wäre ganz nett... Bisher habe ich sowas gefunden wie: domain kaufen, Let's Encrypt wildcard certificate dafür ausstellen, acme.sh laufen lassen. Aber eine Schritt-für-Schritt-Anleitung wo detailiert beschrieben wäre, was man alles beachten müsste, habe ich bisher nicht entdeckt.

Auf SSL inspection zu verzichten, ist irgendwie keine Option. über 80% meines Traffics läuft verschlüsselt, dann kann ich es mit der Firewall auch gleich bleiben lassen :p.
Nein. Lets Encrypt Zertifikate kannst du auch nur für Domains unter deiner Kontrolle ausstellen, das hilft dir also nicht weiter.
Da gibt es aus gutem Grund keinen Weg für, sonst würde ja die ganze Verschlüsselung ad absurdum geführt werden. Einzige Weg bleibt über eine eigene CA. In einer Unternehmensumgebung könnte man das verteilen der CA allerdings mittels GPO oder Intune automatisieren.

SSL Inspection ist eine Welt des Schmerzes und in 90% der Fälle überwiegt der Sicherheitsgewinn nicht den Aufwand, das rechtliches Glatteis und die eventuellen Sicherheitslücken die man sich damit eintritt. Just my 2 Cents.
 
Ich hab jetzt mal OpenVPN zwischen zwei Cloud Instanzen (jeweils mit pfSense 2.6.0) getestet. Dort ist der Flaschenhals ganz klar die CPU Performance, aber es gehen immerhin ca. 325 Mbit/s durch. Wobei das auch nicht gerade geil ist, wenn man bedenkt, dass die Kisten in OpenSSL 4 x schneller sind als mein Intel Celeron ...

Wenn ich mir ansehe, wie hoch die CPU Last bei dem Test in der Cloud geht, dann muss das Problem bei mir zu Hause noch irgendwo anders liegen, aber nach 2 Tagen Ursachenforschung hab ich die Schnauze jetzt voll.
 
Mit dem System Patches Package kann man wohl recht bequem Hotfixes einspielen, die es nicht mehr in den Release geschafft haben, aber bis jetzt hab ich es leider nicht geschafft, mir damit den Fix zu angeln, der das Unbound Problem aus der Welt schaffen soll.

Offenbar geben sie echt einen feuchten Dreck auf die Heimnutzer, wenn so ein Problem nicht gefixt wird, bevor sie ohne Not ein neues Release raushauen. Das ist maximal eine Sache von einer Stunde, so einen offensichtlichen Bug zu finden und zu beheben ...
 
Unbound kommt dann ins Stottern, wenn man Geräte direkt an der Firewall hängen hat, die nicht dauerhaft laufen, aber auf Unbound zugreifen können sollen.
Klar, Prio haben wir nicht.
Wobei sie das Gateway Failover ja auch wieder verkackt haben und das betrifft potenziell auch Geschäftskunden, die sich dann am Ende des Monats wundern, warum die Mobilfunkrechnung so hoch ausgefallen ist ...
 
Ich bin damals uA. wegen der Kontroverse um Wireguard auf OPNSense gewechselt und das war scheinbar die richtige Entscheidung. Netgate hat sich in letzter Zeit nicht mit Ruhm bekleckert...
 
Ich bin kein Freund von pfsense Plus, so richtig open source ist pfsense ja schon lange nicht mehr. Durch die Plus-Geschichte wird das auch alles nur noch schlimmer, da kann ich dann auch direkt ne Firewall von einem der "großen" nehmen.

Double NAT hab ich durch Einsatz von einem reinen VDSL Modem (Draytek Vigor 130) gelöst.
Damit spar ich mir viel Gefrickel. Normales NAT ist mir eigentlich schon zu viel... hoffentlich startet mal IPv6 richtig durch, dann braucht man den ganzen Müll nicht mehr.
 
@P0stbote Was UPnP betrifft, dieses soll für einige Games auch Ports öffnen, das "Problem" dürfte mit IPv6 daher nicht verschwinden oder ich habe einen Denkfehler.
OPNsense gefällt mir auch. Gibt es inzwischen dafür eine Lösung, die mir aus einer ASN einen Alias kreiert oder bleibt das ein Alleinstellungsmerkmal von pfBlocker?
Ich hab das jetzt so verstanden das UPnP nur mit doppel NAT Probleme macht. Kann ich selber nicht sagen, ist bei mir deaktiviert. Nur die Nintendo Switch hat eine statische ausgehende NAT Regel bekommen, da sonst gar kein Online-Play möglich war.

@asche77
Vielen Dank für den Typ, sowas hab ich auch schon länger gesucht. Schade das der Dienst nur IPv4 Adressen ausgibt...
Beitrag automatisch zusammengeführt:

Nachtrag: Hab was zum selberhosten gefunden, mit den richtigen Optionen spuckt das Tool auch zugehörige IPv6 Netze aus: https://github.com/ddimick/asn-to-ip
 
Zuletzt bearbeitet:
Bin bereits fündig geworden, da haben sich die Beiträge wohl überschnitten. Werde ich mal die Tage bei mir aufsetzen.
 
Zuletzt bearbeitet:
(Ich würde mich generell bei IP-Lookup-Tools nur auf authentische Einträge der RIRs verlassen, die bieten dafür afaik auch Abfrage-Tools an.)
*edit* mit WHOIS geht das z.B. auch: https://www.arin.net/resources/registry/whois/rws/cli/
Oder per REST: https://stat.ripe.net/docs/02.data-api/
HE kenne ich bereits. Das verlinkte Tool von mir fragt direkt die Whois Server von RADB ab, welches die Datenbasis von allen RIRs kombiniert. Von daher sehe ich die Datenbasis schon als vertrauenswürdig an.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh