[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Okay, wird mir jetzt klarer. (Und finds zwar nervig, aber auch gut, dass es nicht alles automatisch geht, weil wie gesagt, man lernt einfach sehr viel mehr)
Noch kurz eins, wenn ich dann heute Abend die VLANs anlege. Wenn ich das 10.0.0.xx fürs Management nehme (Sense, Switch, APs und evtl das NAS), muss ich dann für 10.0.0.xx/24 auch ein eigenes VLAN anlegen? Oder nehm ich da das LAN Interface? Und ich kann 4 VLANs anlegen, die eine IPv6 bekommen, aber wenn ich z.B. sage, dass die IoT (haben ja meist eh kein IPv6) Geräte keine IPv6 bekommen sollen, dann weiß ich dem VLAN mit den IoT Geräten einfach keine IPv6 zu, somit könnte ich dann mehr als 4 VLANs machen. Richtig?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
@Weltherrscher
Hast du jetzt die Sense direkt am ONT? Oder noch einen Router davor?
Ist das ein DSlite?

kämpfe noch damit die Sense direkt am ONT online zu bekommen...
 
Hab die Fritze davor und die OPNsense als exposed Host eingetragen.
KA ob DSLite, wieistmeineip zeigt DualStack an.
Ist allerdings nen Business-Tarif, wie das bei den VF-Privattarifen ausschaut weiß ich nicht.
1650621241993.png

//Edith:
Ah.
Nein, kein DSlite, da feste IPv4 und feste IPv6.

@Wirman:
Bin im Nürnberger Land ansässig, von daher auch Kernland.
 
Weltherrscher schrieb:
Hab die Fritze davor und die OPNsense als exposed Host eingetragen.
KA ob DSLite, wieistmeineip zeigt DualStack an.
Ist allerdings nen Business-Tarif, wie das bei den VF-Privattarifen ausschaut weiß ich nicht.
Anhang anzeigen 751540
//Edith:
Ah.
Nein, kein DSlite, da feste IPv4 und feste IPv6.

@Wirman:
Bin im Nürnberger Land ansässig, von daher auch Kernland.
Zum Vergrößern anklicken....

Ok du lässt aber die Fritte die einwahl machen richtig?
 
Jop, natürlich.
Hab ja leider kein Kabelmodem zur Verfügung.
Würde liebend gerne wieder auf sowas umsteigen.
Da du Glasfaser hast, wo ist dein Problem?
Stell die WAN-Einstellungen doch einfach auf DHCP?
Oder muss man da auch son Quatsch wie beim DSL mit PPPoE einstellen?
 
Wirman schrieb:
Ja, ich mein das TC4400. Was meinst du mit MGMT IPv6?
Zum Vergrößern anklicken....
Die IPv6-Adresse, die das TC4400 in der Weboberfläche anzeigt. Das ist eine Management-Adresse von VF, die dir absolut nix bringt und du auch nicht für dein Internetzugang nutzen kannst.
Wirman schrieb:
Ah, ist das dann so wie @Weltherrscher geschrieben hat, die 128er am WAN ist dann die IPv6 vom Router
Zum Vergrößern anklicken....
"Ja.", DIE IPv6 Adresse gibts nicht, in IPv6 hat dein Interface mehrere IPv6-Adressen gleichzeitig, aber ja, es ist eine öffentliche "non-temporary assigned" Adresse, deshalb auch das "NA" in "IA_NA".
Wirman schrieb:
die IPv6 vom TC4400 ist dann sicher auch eine 128er
Zum Vergrößern anklicken....
Ja, siehe oben.
Wirman schrieb:
und über das IA_PD bekomme ich dann ein Präfix, welches dann die OPNsense an die einzelnen Geräte verteilen kann?
Zum Vergrößern anklicken....
Ja.
Wirman schrieb:
Wie mach ich das dann, die fix einzutragen? Als Static IPv6?
Zum Vergrößern anklicken....
1650624643923.png

Wirman schrieb:
Wie ist das dann eigentlich mit VLANs? Der 64er Präfix lässt ja keine Subnets zu.
Zum Vergrößern anklicken....
Nö, lässt er schon, von /65 bis /127, nur können manche Gerätschaften (Android z.B.), nicht damit umgehen, weshalb es sich eingebürgert hat, als kleinste Subnetzgröße /64 zu nehmen.
Wirman schrieb:
wenn ich jetzt nur den 64er Präfix für mein LAN habe, was passiert dann mit den anderen?
Zum Vergrößern anklicken....
Nix, dann hast du nur ein Präfix zur Verfügung.
Wirman schrieb:
Oder, wenn ich mir VLANs erstelle, bekommt dann jedes VLAN sein eigenes 64er Präfix?
Zum Vergrößern anklicken....
Wäre ein Plan.
Wirman schrieb:
Was muss ich dafür einstellen?
Zum Vergrößern anklicken....
Pro VLAN ein Interface das darin ist bekommt bei IPv6 als Tracking Interface dein WAN + eine aufsteigende Nummer.
1650624840715.png

das nächste (VLAN)-Interface
1650624875761.png

usw...
Beitrag automatisch zusammengeführt:

Wirman schrieb:
Bisher war es aber immer so, dass wenn ich da was geändert hat, hatte ich keine IPv6 mehr und auch das zurück ändern hat mir keine mehr gegeben. Will nicht unbedingt schon wieder neu aufsetzen.
Zum Vergrößern anklicken....
Ja, wenn sich deine DUID immer ändert, ist das auch kein Wunder.
 
Um meine Frage selbst zu beantworten:
Scheinbar brauchts in der OPNsense einen PPPoE-Zugang wenn sie direkt an den ONT gestöpselt wird.
Laut Google brauchst du dann dafür Zugangsdaten, die im Willkommensbrief zu finden sein sollten.
Dann konfigurierst du also das WAN-Interface der sense mit den PPPoE-Zugangsdaten.
Dann sollte es fluppen.
 
Ich seh schon, ich muss noch bissi dazu lernen, bei IPv6.
Also verteilt ein DHCPv6 nur Netze?
 
******* schrieb:
/64 ist der IETF-Standard und die kleinste Größe, wenn auto-config genutzt werden soll. Android wiederum unterstützt kein DHCPv6.
Zum Vergrößern anklicken....
Das ist nicht ganz korrekt. RFC5375 ist "informational", kein "proposed standard", und enthält lediglich Hinweise aus BCP78
An allocation of a prefix shorter then 64 bits to a node or interface is considered bad practice.
Zum Vergrößern anklicken....
Verboten ist es nicht und es funktioniert auch.
SLAAC funktioniert damit halt nicht...
 
Genau, das WiFi-VLAN hat das "3A09"er Subnetz und das Handy sowie alle Notebooks ziehen sich fein säuberlich daraus ne IP.
//Edith:
...mit ihren MAC-Adressen und dem ff:fe als unterste Stellen sowie ne "anonymisierte" IPv6, die sich dauernd ändert.
 
Weltherrscher schrieb:
Um meine Frage selbst zu beantworten:
Scheinbar brauchts in der OPNsense einen PPPoE-Zugang wenn sie direkt an den ONT gestöpselt wird.
Laut Google brauchst du dann dafür Zugangsdaten, die im Willkommensbrief zu finden sein sollten.
Dann konfigurierst du also das WAN-Interface der sense mit den PPPoE-Zugangsdaten.
Dann sollte es fluppen.
Zum Vergrößern anklicken....
Bin nicht bei VF aber ja genau das versuche ich grade lauffähig zu bringen.
Aber noch bin ich da leider erfolglos gewesen. Die sense bekommt vom ISP keine V6 Adresse.
Oder mir fehlt noch immer, entgegen aller tutorials ein entscheidender Haken um das lauffähig zu bekommen...
Aber ich bleibe dran :)
 
******* schrieb:
@Speeddeamon Am besten mal den ISP benennen und die Anschlussart.
Zum Vergrößern anklicken....
Ist ein Lokaler anbieter, welcher selbst über puretel seine dienste bezieht.
Anschluss ist ein Glasfaser mit Genexis FiberTwist ONT direkt im HWR, an dem ist dann die Sense per Kupfer dran.
Ist ein DSLite anschluss. DS wäre ohne probleme buchbar aber eigentlich will ich dann lieber voll in die V6 welt wechseln...
 
IPv4 geht aber?
Die Idee von oben (SLAAC und IPv4 connectivity) hast schon probiert?
 
Weltherrscher schrieb:
IPv4 geht aber?
Die Idee von oben (SLAAC und IPv4 connectivity) hast schon probiert?
Zum Vergrößern anklicken....
Ich glaube schon, aber da wir grade erst umgezogen sind und alles neu ist konnte ich noch nicht in Ruhe durchtesten. Es kann also gut sein das ich da was vergessen habe. Will morgen mal etwas Zeit nehmen und das alles nochmal in Ruhe durchprobieren...
Wie gesagt, mit fritte geht bei mir alles instant. Mit sense bekomme ich nichtmal eine ipv6
 
Werd ich machen und dann mal hier anhängen. Wäre doch gelacht wenn das nicht zu schaffen wäre... (y)
 
So, schon mal vielen Dank für eure Hilfe, habe die DUID vergeben und siehe da, ich konnte am WAN ganz gemütlich das 62er Präfix einstellen und ich habe meine IPv6 behalten und kann jetzt übers Track Interface bis zu 4 64er zuweisen. Jetzt mach ich mich mal ans erstellen der VLANs und ordne mal meine IP-Adressen.
 
Ich lass das erstmal so, das sollte eigentlich reichen, ich behalte es mir aber im Hinterkopf.

Ich habe jetzt folgende VLANs angelegt:
10.0.10.1/24: HOME, Vlan-ID 10;
10.0.20.1/24: IOT, Vlan-ID 20;
10.0.100.1/24: GUEST, Vlan-ID 100.

Jetzt bin ich z.B. im HOME. In der Firewall hab ich folgende Rule drin:
1650750171571.png


Das sollte doch jetzt ausnahmslos jeden Traffic zulassen, oder? Ich komm jetzt aber mit einer IP aus dem 10er Subnet nicht auf die Sense (10.0.0.1).
Ich dachte jetzt, ich erlaube mit der Rule alles, und wenn ich z.B. vom VLAN GUEST den Traffic zu den anderen Geräten im Netz sperren will, blocke ich z.B. die IP Range 10.0.0.0/8.

Zur Vollständigkeit, das LAN Interface (10.0.0.1/24) hat folgende Rules:
1650750429769.png


Muss ich hier was ändern?
 
@Wirman, wenn das Teil nackt im Internet hängt, dann würde ich dir wirklich dringend empfehlen, erst mal die absoluten Basics zu lernen, bevor du weitermachst und dir, wenn du Pech hast, mit einer unglücklich platzierten "Allow all" Regel ein massives Loch in die Firewall reißt.
 
So isses ja nicht gedacht. Aber erstmal muss ich ja alles durchlassen, um zu testen, ob alles geht (was es ja nicht tut) um dann zu blocken.
 
0 8 15 User schrieb:
@hs_warez, ich würde einen RFC1918 Alias anlegen:
Anhang anzeigen 750601
Dann kannst du die Internetfreigabe für VLAN 1 und VLAN 30 ganz einfach jeweils mit zwei übersichtlichen (Whitelist-)Regeln umsetzen:
Anhang anzeigen 750602
Dann musst du nur noch den Zugriff auf den Drucker separat regeln und bist schon fertig.
Zum Vergrößern anklicken....

asche77 schrieb:
Evtl neben DNS noch Zugriff auf NTP erlauben. DHCP müsste durch die Opnsense-standardregeln schon freigeschaltet sein.
Zum Vergrößern anklicken....


So, nochmals danke für eure Hinweise - hab's jetzt so ähnlich umgesetzt.

Wenn man Alias RFC1918 verwendet, muss man dann "Destination invert" anhaken -stimmt das so!?


Anbei die Screenshots von meinen Regeln für die Netzwerke (VLAN1 = Heimnetz / VLAN20 = Gast_HomeOffice).
Bei VLAN20 (Drucker) habe ich nur IPv6 verboten - ansonsten habe ich keine Regeln erstellt.

Das "Ding" mit DNS+NTP habe ich mittels Portweiterleitung bei NAT geregelt.

Kann ich das so lassen, oder gibt es Verbesserungspotential?


Danke!

LG
 

Anhänge

  • Regel_Firewall_NAT_Portweiterleitung.jpg
    Regel_Firewall_NAT_Portweiterleitung.jpg
    33 KB · Aufrufe: 92
  • Regeln_Lan_Heimnetz.jpg
    Regeln_Lan_Heimnetz.jpg
    43,7 KB · Aufrufe: 85
  • Regeln_VLAN_Gast_HomeOffice.jpg
    Regeln_VLAN_Gast_HomeOffice.jpg
    34,6 KB · Aufrufe: 87
hs_warez schrieb:
Wenn man Alias RFC1918 verwendet, muss man dann "Destination invert" anhaken -stimmt das so!?
Zum Vergrößern anklicken....
Das hängt davon ab, was du mit der Regel erreichen willst. "!RFC1918" bedeutet einfach nur "alles außer RFC1918". Aber ja, in deinem Fall passt das so.
******* schrieb:
wenn aber DNS im Gast-Netz funktioniert, dann hast Du es wohl hingekriegt.
Zum Vergrößern anklicken....
Solange die Geräte nicht leise, still und heimlich DNS over HTTPS verwenden.
hs_warez schrieb:
Bei VLAN20 (Drucker) habe ich nur IPv6 verboten
Zum Vergrößern anklicken....
Alles, was nicht explizit erlaubt ist, ist automatisch verboten. Ich persönlich würde solche prinzipiell überflüssigen Regeln nur anlegen, wenn ein triftiger Grund dafür besteht.
 
IPv6 kann man auch generell in den Opnsense Einstellungen untersagen (drop all IPv6). Ich habe extern nur IPv4 anliegen und das daher so gemacht.
 
0 8 15 User schrieb:
--- snip ---

Alles, was nicht explizit erlaubt ist, ist automatisch verboten. Ich persönlich würde solche prinzipiell überflüssigen Regeln nur anlegen, wenn ein triftiger Grund dafür besteht.
Zum Vergrößern anklicken....
Aber nur für das, was von draußen rein kommt.
Die Standard-Regeln in der Sense nehmen alles an und leiten alles weiter, was aus lokalen Schnitten rein kommt.
Die Abgrenzung zw. VLANs muss dann manuell über weitere Regeln geregelt werden.
 
Aber die Standardregel "allow all out" gilt doch nur für das LAN interface. Wenn du weitere Interfaces anlegst, liegen da keine Regeln drauf und der Traffic wird erstmal verworfen.
 
Tatsächlich.
Oh mann, ist schon ewig her, dass ich an meiner OPNsense an grundlegenden IFs geschraubt hab.
Funktioniert halt einfach nur... :fresse:
 
Hallo zusammen!


Ich habe die Idee für mein privates Homenet eine Softwarefirewall in Form von OPNSense zu implementieren. Im Moment hänge ich hinter einer Fritz 6690 Kabel, welche auch Mesh-Master für 3 x FRITZ!Repeater 6000 ist. Zusätzlich verwende ich für DNS/DHCP ein PiHole, welches durch OPNSense abgelöst werden soll.

Meine Idee ist eine NUC zu kaufen und diesen in der FritzBox als Exposed Host zu setzen. Die NUC würde als Default WAN Gateway die Fritzbox haben. Alle anderen Geräte bekommen als Gateway die private IP der NUC.

Ich möchte eingehenden und ausgehenden Traffic filtern. Bei Upstream Traffic würde auch eine "Filterung" via DNS ala PiHole genügen. Die Anbindung wird primär für Prime, Netflix, Amazon Musik, IP-Telefon, Teams (inkl. Cam) und FPS/Shooter genutzt. Abends haben wir im Haushalt eine Auslastung von bis zu 800 MBit.

Das man sich über entsprechende Konfiguration an der OPNSense vorbeimogeln kann, kann ich akzeptieren.
Würde das so funktionieren?
Welche Leistungsklasse für die NUC brauche ich für 1000 MBit Upstream und 50 MBit Downstream?


Besten Dank.
 
Ich würde da auch eher bei der Fritze bleiben - da sie ja offenbar WLAN bereitstellt.

Für DNS Filter einfach NextDNS.io nehmen, dann brauchst Du auch kein neues Gerät.
 
Anmelden, um zu antworten.

Ähnliche Themen

F
Neuer PfSense / Opnsense Router bzw. Mainboard, stromsparend, ECC RAM fähig, PCiex für Connect-X 4 Netzerkkarte, gesucht
Antworten
12
Aufrufe
801
Zyxx
Z
O
PfSense, OPNsense Hardware - Eure Empfehlungen?
Antworten
9
Aufrufe
934
Almi_(R)
A
P
[Kaufberatung] Zwei Heimserver für OPNsense und Proxmox
Antworten
5
Aufrufe
890
Pixolantis
P
O
pfSense Hardware - Empfehlungen / Kaufberatung / Erfahrungen
Antworten
0
Aufrufe
597
OsiMosi
O
ebniv
  • Artikel
[Sammelthread] Gigabyte MC12-LE0 (AM4, B550, servertauglich: IPMI, Dual Lan, ECC)
96 97 98
Antworten
3K
Aufrufe
262K
azzurrino
A
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh