[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Macht keinen Unterschied: Cmax wäre das maximal vom Board unterstützte, also C10. Nur, BSD kann nur bis C3, kommt also dasselbe raus :d
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
@oNyX`
Ich hab die Box erst Mitte letzter Woche bestellt. War im Moment mit renovieren beschäftigt :d
 
Heya, Frage zu opnsense mit unbound und multi-wan (setze mich endlich - urlaub sei dank - hier ran).
Ich fange an mit einer opnsense, daran sind 2 Gateways, beide funktionieren. Dann habe ich die Gateway-Gruppe angelegt, Tiers vergeben und failover funktioniert soweit.
In allen Anleitungen steht jedoch das man den Gateways einen DNS server mitgeben soll (unter System -> Settings -> General) - ich will doch aber selber DNS-server via unbound sein.
Wenn ich diesen Schritt überspringe, funktionieren gecachete DNS-Information noch, aber neue Seitenaufrufe sind nicht mehr möglich, sobald ich WAN1 deaktiviere, sprich den Failover teste. Was mache ich falsch?
 
ich vermute, Du brauchst in dem Fall einen "externen" DNS-Server, also nicht auf der Sense sondern ein eigener Host - entweder intern, oder extern.
 
Ich glaub ich habs:
Also Unbound einstellen das es nur über die WANs rausgeht. Scheint zu tun was es soll nach ersten TEsts, wenn nicht melde ich mich noch einmal...
 
Auf allen dreien installiert, keine Probleme außer lokale Konflikte mit den Plugins für einmal realtek-Treiber und einmal das neue dyndns-Plugin. Hatten aber keine Auswirkungen.
 
Ich hab mal ne Verständnisfrage, wieder Multi-WAN, jetzt in Verbindung mit VLANs und deren Regeln.
Ich habe mein LAN, das hat folgende Regeln:
1659086007721.png

Beim Umschalten auf Multi-WAN habe ich in der vorletzten Regel als Gateway die WAN-Gruppe eingetragen, wie das per Anleitung gemacht werden soll. Ich bin wie schon oben geschrieben der Anleitung nicht vollständig gefolgt, sondern habe beiden Gateways kein DNS mit gegeben, nutze ja Unbound. Soweit so gut, aber: Die drittletzte Regel habe ich hinzugefügt, weil ich ohne diese Regel nicht mehr auf die anderen Netze (aka VLANs) zugreifen konnte, sobald ich in "Allow All" die GW Group statt * wähle. Warum ist das so, was mache ich falsch?
 
Ein Blick auf die Routingtabelle und du wüsstest, warum ;)
Er würde sonst versuchen, beim Zugriff auf die anderen Netze/VLANs über deine Gatewaygroup als Next-Hop zu gehen.
 
Danke, klint sehr einleuchtend!
Ich gebe zu, bei Routing und co bin ich tatsächlich... unterbelichtet. Wo könnte ich das sehen? Würde gerne etwas Licht in mich prügeln ;)

Edit sagt: Mir fällt bei weiteren TEsts auf das ich nicht auf meinen Switch komme aus einem belibigen NEtz das nicht LAN ist - also aus quasi jedem VLAN nicht. Das ist seltsam, denn der switch tuts ja ganz offensichtlich, ebenso die Clients in den jeweiligen VLANs. Komme von da je nach Firewallregel auch überall hin - nur eben auf den Switch selber nicht (CRS328). Was läuft hier schon wieder falsch :mad:
 
Zuletzt bearbeitet:
Bevor es übersehen wird ein Doppelpost mit Bildern, der wohl mehr sagt als Tausend Worte:
Geht:
1659115078952.png

Geht nicht:
1659115125323.png

Regeln:
1659115191097.png

Ich verstehs einfach nicht...
 
Da du ja grob auch nach meiner Anleitung arbeitest.
Mit dem DNS hatte ich auch am Anfang etwas Probleme. Allerdings benutze ich auf der Sense keine VLANs, das habe ich leider versäumt mit einzubauen. Nutze auch kein IPV6, da ist mir völlig unklar, wie das MultiWAN sauber funktionieren soll. Daher ist das bei mir komplett geblockt.

Die DNS habe ich auch pro Gateway drin stehen. Sinnigerweise halt die DNS-IP die auch für die Online-Prüfung auf den jeweiligen Gateway genommen wird.

Dem inneren Netz verbiete ich DNS nach draussen zu fragen. Die dürfen nur den Unbound der Sense nutzen.
Der Unbound horcht auf DNS-Anfragen der Clients auf LAN, HA ( weis nicht ob das wirklich gebraucht wird) und das VPN-Interface.
Selbst holt sich Unbound die Antworten vom Gateway (extern) und bei mir vom LAN, da da noch eine Windows Domain mit eigenem DNS dahinterhängt.
 

Anhänge

  • Bildschirmfoto vom 2022-07-29 22-21-31.png
    Bildschirmfoto vom 2022-07-29 22-21-31.png
    19,7 KB · Aufrufe: 91
Zuletzt bearbeitet:
Das Thema mit dem DNS habe ich ja gelöst mit einer einfachen simplen Änderung (die nirgends in der MultiWAN oder unbound Doku erwähnt ist), nämlich unbound explizit die Interfaces mitgeben über die es raus gehen soll. In meinem Fall die GWs, in deinem Fall halt auch LAN.
Ich verstehe einfach nicht warum ich nicht auf den Switch komme, bin aber mittlerweile soweit das ich opnsense als schuldigen ausschließen würde. Nunja, ich frag jetzt mal im mikrotik-forum nach. Kann doch nicht so schwer sein einen Switch aus einem VLAN zu adressieren, das über diesen switch geroutet wird...
 
Zum Update auf 22.7:
Ich hatte Probleme mit den VLANs, die gingen danach nicht mehr richtig (DHCP hat keine IPs verteilt).
Die Lösung war:
Unter Interfaces die VLAN-Beschleunigung von "disabled" (langjährige Default-Einstellung) auf "leave default" stellen.
Scheinbar hat man dort einiges getan und bereits vor einiger Zeit die Standard-Einstellung bei Neuinstallationen geändert.
Leider muss das irgendwo in früheren Release-Notes untergegangen sein...
 
Ich habe seit einiger Zeit MultiWAN eingerichtet und gestern hat mein OPNsense wohl auf die LTE Verbindung gewechselt.

Leider klappt der Wechselt zurück zur DSL Verbindung erst wenn ich manuell nachhelfe.

Ich habe um die Situation zu lösen bei Single Gateways den Service neu gestartet, was das Gateway auf online gebracht hat. (Er war noch auf Offline) Der Traffic wurde danach aber immer noch über LTE geleitet.

Erst als ich die Prio vom DSL Gateway weiter runter gesetzt habe und Apply gemacht habe hat er dann wieder den DSL Gateway im Routing auf default gesetzt.

Ich vermute ich habe noch einen Denkfehler in meinen Firewall Rules.

firewall.PNG

Fällt ggf. jemandem etwas auf woran es liegen könnte?
 
Das Problem hatte ich auch schon öfter, konnte ich nie herausfinden... Mal funktionierts, mal funktioniert es wiederrum nicht. Die Prio vom DSL GW muss aber 1 sein. LTE kann dann hoch angesetzt werden, like 100.
 
Ok, ich stell dann mal DSL auf 1 hatte es auf 75 mal schauen ob es daran liegt. Danke
 
War gestern auch endlich mal am einrichten von omada controller und erstem ap zum testen. Nun will ich 3 Netzwerke über WLAN samt vlan id bekannt machen. Da hat die opnsense ewig rumgebockt bis dann der dhcp auch den dns sauber weitergegeben hat. Musste neustarten. Dann ging es plötzlich. Also manchmal einfach den reboot nicht vergessen.

Das major update werd ich die Tage mal fahren. Mal schauen ob es läuft. Grade der Tipp mit den vlans ist super gut. Da hab ich ja doch einige...
 
Ich habe ein seltsames Phänomen mit Opensense 22.7 (22.1). Egal ob Teams, telefonieren oder surfen, ab und an gibt's eine Hänger von 2-3 sec.

Beim telefonieren können mich die Teilnehmer aber noch hören, ich sie aber nicht. Bei Teams wird neu verbunden.

Jemand eine Idee was das verursachen könnte?

Opensense ist auf einem PC engines APU Board 2E4 installiert. (GX-412TC mit 4GB RAM)
 
Aber woran? Habe eigentlich nicht viel geändert, außer Blocklist und GeoIp und die aktualisieren sich nur 1x am Tag.
 
Das Thema mit dem DNS habe ich ja gelöst mit einer einfachen simplen Änderung (die nirgends in der MultiWAN oder unbound Doku erwähnt ist), nämlich unbound explizit die Interfaces mitgeben über die es raus gehen soll. In meinem Fall die GWs, in deinem Fall halt auch LAN.
Ich verstehe einfach nicht warum ich nicht auf den Switch komme, bin aber mittlerweile soweit das ich opnsense als schuldigen ausschließen würde. Nunja, ich frag jetzt mal im mikrotik-forum nach. Kann doch nicht so schwer sein einen Switch aus einem VLAN zu adressieren, das über diesen switch geroutet wird...
Ich hol das nochmal hoch, hab da nach Urlaubsfaulheit und fragen im Mikrotikforum endlich ne Lösung, und die ist relativ peinlich: Meine VLANs hatten kein tagged für die Bridge selber drin... Hachja. Wenn dummheit weh tun würde würde ich manchmal IBUs tanken.
Next up: Multi-opnSense. Dann: VPN. Hiach.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh