*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Da sich bei Aliexpress nichts getan hat, habe ich die Bestellung storniert und bei Amazon was bestellt.
Sollte ziemlich identisch sein.
Hatte letzten Donnerstag bestellt und ist bereits unterwegs.
Den kann man dann vermutlich überall benutzen? Das wäre schon Klasse und man müsste nicht mehr den Umweg über eine spezielle Website gehen, wenn ich es recht in Erinnerung habe.
Gibt es eigentlich (noch) Performance-Unterschiede der WireGuard-Implementierungen der beiden Projekte?
Dürfte als normales Firewallalias implementiert sein, müsste ich mal nachher testen. Aber gehe ich mal stark von aus.
Vorher brauchte man eine extra Webseite oder ein Tool wie z.b. asn-to-ip, das stimmt.
Meinst du zwischen OPNSense und pfSense, oder innerhalb von OPNSense wireguard-go und wireguard-kmod?
Wireguard-kmod scheint die Kernel-Variante zu sein, also wären irgendwelche Unterschiede zwischen OPNSense und pfSense nicht zu erwarten, nice.
PS: Hab mir letztens mal OpenWRT angesehen. Das war mir dann aber etwas zu chaotisch, was es da an Packages gab, lief aber ohne Probleme in ner VM. Bleibe dann doch lieber bei der Sense. 😍
OpenWRT ist sehr performant und hat ein super QoS/traffic shaping script (Layer of CAKE). Früher lange auf einem Netgear Router verwendet.
Mir aber ebenfalls zu chaotisch und Installation/Updates auf x86 m.E. deutlich mühsamer als die *senses.
OPNsense Plug @ LTT (am Ende). 😉
BGP ASN verhält sich wie ein normales Firewallalias. Gefällt mir sehr gut!
Zusammen mit den Dynamische IPv6 Host Alias ein echter Gewinn. Das benutze ich mittlerweile ständig, da ich leider keinen statischen Prefix von der Telekom bekomme.
Ich hab bei dem Video die ganze Zeit gedacht "orr, nehmt doch einfach OPNSense" ... meine Gebete wurden am Ende erhört
Aber trotzdem irgendwie wieder Pfusch, seine ganze Firma hängt an der Internetleitung, und da gibt's scheinbar keine Redundanz, weder von der Zuleitung her, noch vom Router?
Typisch Linus.
Zusammen mit den Dynamische IPv6 Host Alias ein echter Gewinn. Das benutze ich mittlerweile ständig, da ich leider keinen statischen Prefix von der Telekom bekomme.
Ich hab bei dem Video die ganze Zeit gedacht "orr, nehmt doch einfach OPNSense" ... meine Gebete wurden am Ende erhört
Aber trotzdem irgendwie wieder Pfusch, seine ganze Firma hängt an der Internetleitung, und da gibt's scheinbar keine Redundanz, weder von der Zuleitung her, noch vom Router?
Typisch Linus.
Wobei es werden wohl zwei Zuleitungen erwähnt. Und ich persönlich finde HA beim Router auch übertrieben, zumindest gibt es jetzt zwei Netzteile.Aber trotzdem irgendwie wieder Pfusch, seine ganze Firma hängt an der Internetleitung, und da gibt's scheinbar keine Redundanz, weder von der Zuleitung her, noch vom Router?
Typisch Linus.
VLANs haben sie wohl kaum genutzt bzw. es wird nicht groß erwähnt. Falls wirklich mal was kaputt geht, ist ein Notfall-Ersatz ja schnell eingerichtet und wenn halt alles im selben Netz ist.
So wie ich das verstanden habe, haben die eine 5,5 Gbit "normale" Internetleitung und nochmal zusätzlich 4,5 GBit an den VancouverIX.
Physikalische Redundanz sehe ich da nicht.
Bei SoHo bin ich voll bei dir, aber im Firmenumfeld kostet tendenziell jede Minute Ausfall Geld. HA macht auch das Update einspielen einfacher, weil das unterbrechungsfrei weiter läuft. Das ist auch der einzige Grund wieso mein OPNSense Setup auf meinem Colocation Server im HA-Verbund läuft, damit ich im Betrieb ohne Probleme Updates einspielen kann.
Physikalische Redundanz sehe ich da nicht.
Bei SoHo bin ich voll bei dir, aber im Firmenumfeld kostet tendenziell jede Minute Ausfall Geld. HA macht auch das Update einspielen einfacher, weil das unterbrechungsfrei weiter läuft. Das ist auch der einzige Grund wieso mein OPNSense Setup auf meinem Colocation Server im HA-Verbund läuft, damit ich im Betrieb ohne Probleme Updates einspielen kann.
@P0stbote Mal eine Frage zu OPNsense und dynamischem IPv6.
Was mich bei pfSense etwas nervt ist, wenn sich der Prefix ändert, dann bekommen die Clients, z.B. mein Windows Host, davon nichts mit. Sie verwenden weiter den alten Prefix, da dieser noch nicht "abgelaufen" ist.
Dieses Problem müsste ja eigentlich ein generelles sein, aber wie sieht es da bei der OPNsense aus, haben die dafür eine geniale Lösung oder ist es dort genauso?
Was mich bei pfSense etwas nervt ist, wenn sich der Prefix ändert, dann bekommen die Clients, z.B. mein Windows Host, davon nichts mit. Sie verwenden weiter den alten Prefix, da dieser noch nicht "abgelaufen" ist.
Dieses Problem müsste ja eigentlich ein generelles sein, aber wie sieht es da bei der OPNsense aus, haben die dafür eine geniale Lösung oder ist es dort genauso?
Der Router sollte eigentlich bei einem Prefixwechsel den alten Prefix als ungültig markieren und dann dementsprechend neue raussenden.
Bei mir funktioniert das wunderbar, hatte bis vor 2 Monaten o² DSL, da hatte ich noch alle 24h Zwangstrennung, jetzt zum Glück mit FTTH nicht mehr.
Ich wüsste aber nicht dass OPNSense da großartig was anders macht.
Bei mir funktioniert das wunderbar, hatte bis vor 2 Monaten o² DSL, da hatte ich noch alle 24h Zwangstrennung, jetzt zum Glück mit FTTH nicht mehr.
Ich wüsste aber nicht dass OPNSense da großartig was anders macht.
Nehmen denn Clients den neuen überhaupt ab, wenn sie den alten noch für gültig halten? Wenn es denn dieses "ungültig machen" tatsächlich so gibt, dann hat pfSense da offensichtlich ein Problem (oder Windows ist zu dumm).
Windows ist dumm, kriegt das aber eigentlich ganz gut hin
Wenn der Prefix ungültig wird, kann der Router seine Lifetime auf 0 setzen, dann müssten die Clients den Prefix rausschmeißen oder zumindest nichts mehr darüber routen.
Macht OPNSense auch:
Direkt hinterher kommt ein Router Advertisement mit dem neuen Prefix:
Die alten Adressen sind zwar bei mir noch auf dem Interface, aber die neuen sind zusätzlich drauf und werden auch präferiert. Die Altlasten sollten rausfliegen, wenn zu dieser Adresse kein TCP State mehr zugeordnet ist.
Unter Linux verhält sich genauso, dort wird auch direkt angezeigt dass die alte Adresse deprecated ist:
Wenn der Prefix ungültig wird, kann der Router seine Lifetime auf 0 setzen, dann müssten die Clients den Prefix rausschmeißen oder zumindest nichts mehr darüber routen.
Macht OPNSense auch:
Direkt hinterher kommt ein Router Advertisement mit dem neuen Prefix:
Die alten Adressen sind zwar bei mir noch auf dem Interface, aber die neuen sind zusätzlich drauf und werden auch präferiert. Die Altlasten sollten rausfliegen, wenn zu dieser Adresse kein TCP State mehr zugeordnet ist.
Unter Linux verhält sich genauso, dort wird auch direkt angezeigt dass die alte Adresse deprecated ist:
Code:
8: mgnt0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default qlen 1000
link/ether e6:72:c2:0b:5e:aa brd ff:ff:ff:ff:ff:ff
inet 192.168.16.10/24 scope global mgnt0
valid_lft forever preferred_lft forever
inet6 2003:ff:8703:c000:e472:c2ff:fe0b:5eaa/64 scope global dynamic mngtmpaddr
valid_lft 86168sec preferred_lft 14168sec
inet6 2003:ff:8703:8c00:e472:c2ff:fe0b:5eaa/64 scope global deprecated dynamic mngtmpaddr
valid_lft 6660sec preferred_lft 0sec
inet6 fe80::e472:c2ff:fe0b:5eaa/64 scope link
valid_lft forever preferred_lft forever@P0stbote Ich weiß nur, dass ich nach einem Prefix-Wechsel die IPv6-Konnektivität unter Windows verliere, getestet auf https://ipv6-test.com/. Warum genau, weiß ich nicht.
Mal sehen, ob ich das mit Wireshark hinbekomme.
Mal sehen, ob ich das mit Wireshark hinbekomme.
Hallo!
Welche Einstellung meinst du genau - irgendwie finde ich sie nicht!?
Danke!
LG
So, die kleine Box kam heute an.
Eben schnell pfsense installiert und ein Backup eingespielt und zack lief alles wie gewohnt. Hat keine 10 min gedauert. Musste nur die Interfaces neu bestimmen.
Verbrauch liegt jetzt bei 11 W, sprich ca. 20 W weniger zum R210II.
Danke für die Empfehlung
Da ich noch ein Gigabyte C246-WU4 inkl. i3 9100 hier rumliegen hab, habe ich da vor ein paar Tage mal pfsense drauf installiert. Der Verbrauch hat sich bei ca. 15 - 17W eingependelt.
Kann man mit einem anderen Netzteil noch 1-2 W rausholen? Wenn ja, welches könnt ihr mir empfehlen?
Eben schnell pfsense installiert und ein Backup eingespielt und zack lief alles wie gewohnt. Hat keine 10 min gedauert. Musste nur die Interfaces neu bestimmen.
Verbrauch liegt jetzt bei 11 W, sprich ca. 20 W weniger zum R210II.
Danke für die Empfehlung
Da ich noch ein Gigabyte C246-WU4 inkl. i3 9100 hier rumliegen hab, habe ich da vor ein paar Tage mal pfsense drauf installiert. Der Verbrauch hat sich bei ca. 15 - 17W eingependelt.
Kann man mit einem anderen Netzteil noch 1-2 W rausholen? Wenn ja, welches könnt ihr mir empfehlen?
oNyX`
Urgestein
- Mitglied seit
- 21.06.2006
- Beiträge
- 2.380
@i-B4se Nice. 2 Tipps zum Thema Verbrauch.
Bios (für jedes PCIe Device):
Chipset -> PCH-IO -> PCI Express Configuration
aspm auto, l1 substates: l1.1 und l1.2
Netzteil (Königsklasse), brauchst aber evtl. nen 5.5/2.1 auf 5.5/2.5 Adapter.
Mean Well GSM36E12-P1J (12V/36W) - https://www.conrad.de/de/p/mean-wel...estspannung-12-v-dc-3000-ma-36-w-1294223.html
Bios (für jedes PCIe Device):
Chipset -> PCH-IO -> PCI Express Configuration
aspm auto, l1 substates: l1.1 und l1.2
Netzteil (Königsklasse), brauchst aber evtl. nen 5.5/2.1 auf 5.5/2.5 Adapter.
Mean Well GSM36E12-P1J (12V/36W) - https://www.conrad.de/de/p/mean-wel...estspannung-12-v-dc-3000-ma-36-w-1294223.html
Ich hab hier das erste Mal mehrere WireGuard Verbindungen zu einem VPN-Anbieter aufgebaut und das Reaktionsverhalten ist eher dürftig bzw. hoher loss immer mal wieder. Das war mit OpenVPN bei diesem Anbieter nicht so stark ausgeprägt. Gibt es irgendwelche Tweaks, die man nutzen könnte? Ich denke nein, vermutlich sind es die Server und deren Software...
Einen Vorteil gibt es für mich mit WG aber schon mal, keine überlappenden IPs mehr mit mehreren Tunneln.
Einen Vorteil gibt es für mich mit WG aber schon mal, keine überlappenden IPs mehr mit mehreren Tunneln.
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.904
Sowas suche ich auch - allerdings für 2 solche SChätzelein, und mit mindestens 6 ports
Mach halt MPLSoGRE
So, die kleine Box kam heute an.
Eben schnell pfsense installiert und ein Backup eingespielt und zack lief alles wie gewohnt. Hat keine 10 min gedauert. Musste nur die Interfaces neu bestimmen.
Verbrauch liegt jetzt bei 11 W, sprich ca. 20 W weniger zum R210II.
Danke für die Empfehlung
Da ich noch ein Gigabyte C246-WU4 inkl. i3 9100 hier rumliegen hab, habe ich da vor ein paar Tage mal pfsense drauf installiert. Der Verbrauch hat sich bei ca. 15 - 17W eingependelt.
Kann man mit einem anderen Netzteil noch 1-2 W rausholen? Wenn ja, welches könnt ihr mir empfehlen?
Anhang anzeigen 787501Anhang anzeigen 787503Anhang anzeigen 787504Anhang anzeigen 787505
Wie vertrauenswürdig/zuverlässig sind denn solche "No-Name-China-Boxen"!?
Ich nutze einen Fujitsu D538/E94+ (Pentium G5600) für OPNSense - muss mal den echten Verbraucht messen.
LG
Für daheim sollte es ausreichen, natürlich installierst Du neu.
Wie meinst du das?
Bezüglich Haltbarkeit oder ob die Daten nach Hause sendet?
Mir ging es erstmal um den Verbrauch und da hat sich schon einiges getan im Vergleich zum R210II. 30-40 W -> 9,5 W
Da ich die Box erst seit letzten Donnerstag habe, kann ich dir da nicht weiterhelfen,
Bisher funktioniert alles ohne Probleme.