[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
@hs_warez Wenn es Internet haben soll, dann muss da ein Sternchen rein, nicht irgendein Netz.

Wobei bei Android muss man sich mit jedem VPN auf etwas eingeschränkte Konnektivität einstellen, zumindest eingehend. Ausgehend sollte natürlich immer alles funktionieren.

Hier mal meine Regeln, Outbound NAT musste ich nicht extra konfigurieren. Hab aber auch jedem WG Tunnel ein eigenes Interface zugeordnet und verzichte auf die Nutzung der Gruppe.

Screenshot 2022-10-13 190047.png

DNS etc wird an anderer Stelle abgefrühstückt.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
@hs_warez Wenn es Internet haben soll, dann muss da ein Sternchen rein, nicht irgendein Netz.

Wobei bei Android muss man sich mit jedem VPN auf etwas eingeschränkte Konnektivität einstellen, zumindest eingehend. Ausgehend sollte natürlich immer alles funktionieren.

Hier mal meine Regeln, Outbound NAT musste ich nicht extra konfigurieren. Hab aber auch jedem WG Tunnel ein eigenes Interface zugeordnet und verzichte auf die Nutzung der Gruppe.

Anhang anzeigen 801926
DNS etc wird an anderer Stelle abgefrühstückt.

Wie/wo meinst du genau mit "Sternchen"?

Und so funktioniert das nicht?
Kann man bei OPNSense die Regeln auch nach oben bzw. unten schieben? Wenn ja, tausch die mal durch. D.h. LAN unten, WAN oben. War bei mir damals kriegsentscheidend.

Reihenfolge - muss ich am Abend probieren.



"Interessant" ist auch:
Habe gestern Wireguard auf meinem Notebook eingerichtet - dann Hotspot mit dem iPhone - VPN aufgebaut und verbindet sich auch.
Komisch ist, ich komme am Notebook mit aktivem VPN nur auf die Oberfläche meiner OPNSense - sonst geht Nix (z.B. finde keine Netzwerkgeräte oder Freigaben in meinem Heimnetzwerk, ....)

!?


LG
 
Das Ziele meine ich, auf deinem Screenshot ist da nur irgend ein (net) zu sehen. Nicht den Startpost gelesen? Ach so, der ist ja leer. 😉

Ah, du meinst die 1. Firewallregel für WG - wo bei mir "LAN Heimnetz" steht.
Kann ich am Abend mal probieren - habe ich eigentlich absichtlich so gemacht, da ich von außen (VPN) eigentlich keinen Zugriff auf die anderen Netze/VLAN's brauche - oder habe ich da was falsch verstanden!?


LG
 
Sodele, ich hab jetzt endlich mal MultiWAN und CARP aufgesetzt. funktioniert soweit auch erst einmal alles, aber meine WLAN-Clients die in VLANs stecken verlieren öfters mal die Internetkonnektivität. Wenn man dann WLAN neu verbindet geht es wieder - woran könnte das liegen, wo soll ich schauen? Firewall-Regelmässig scheint alles sauber zu sein, es geht ja auch alles - nur irgendwann verlieren die Dinger ihren Weg nach "draußen"...
 
Sodele, ich hab jetzt endlich mal MultiWAN und CARP aufgesetzt. funktioniert soweit auch erst einmal alles, aber meine WLAN-Clients die in VLANs stecken verlieren öfters mal die Internetkonnektivität. Wenn man dann WLAN neu verbindet geht es wieder - woran könnte das liegen, wo soll ich schauen? Firewall-Regelmässig scheint alles sauber zu sein, es geht ja auch alles - nur irgendwann verlieren die Dinger ihren Weg nach "draußen"...
Das ist typischerweise eher ein Problem des WLANs als der Firewall. Sowas kenne ich zB bei Problemen mit band steering (ausschalten!) oder Wechsel der APs.

Oder können sie intern weiter einige Hosts Pingen (oder DNS nutzen) nur extern nicht?
 
Das ist typischerweise eher ein Problem des WLANs als der Firewall. Sowas kenne ich zB bei Problemen mit band steering (ausschalten!) oder Wechsel der APs.

Oder können sie intern weiter einige Hosts Pingen (oder DNS nutzen) nur extern nicht?
Erstmal danke für die Hilfe!
Ich vermutete das Problem eher nicht bei dem WLAN, denn es taucht nur bei bestimmten Clients in bestimmten Netzen auf.
Nichts dest trotz habe ich jetzt mal dem AP (ein Omada EAD660HD) einen nächtlichen reboot spendiert. Band steering war auf default aka "off". Wechsel der APs nicht möglich, da ich den zweiten als erstes raus genommen habe vor einer Woche, einfach um das als Fehlerquelle auszuschalten. Gefühlt ging das Problem los als ich die zweite OPNsense in Betrieb genommen habe, daher vermutete ich diese als Fehlerquelle. Werde mal schauen ob das Problem heute Abend wieder auftritt...
 
Bin gespannt - habe auch immer wieder Ärger mit meinem unifi WLAN. Heute morgen wieder der zentrale AP (U6-LR) kurzfristig "weg".

Und der Arbeits-laptop meiner Frau (nutzt RDP über VPN) verliert auch regelmäßig die Verbindung - gaaanz schlecht für den WAF :-(((
 
Interessant. Selbiges bei meinen Unifi APs mit gleicher Wirkung beim WAF. Ich habe primär eine miserable Reichweite der beiden APs, der U6 Pro hat auf 7m durch eine 11cm Poroton und eine 10cm Gipswand fast keinen Empfang mehr. Aber diese spontanen zehnsekündigen Kontaktverluste hatte ich auch.
Die Fritz 7270v2, die zusätzlich durch die Betonzwischendecke muss, ... nicht.
Es ist etwas traurig mit den Geräten derzeit. Ein Freund empfiehlt die Zyxel Pro Versionen...
 
Bin gespannt - habe auch immer wieder Ärger mit meinem unifi WLAN. Heute morgen wieder der zentrale AP (U6-LR) kurzfristig "weg".

Und der Arbeits-laptop meiner Frau (nutzt RDP über VPN) verliert auch regelmäßig die Verbindung - gaaanz schlecht für den WAF :-(((
Also ich hab seit dem nichts mehr gehört - hab aber auch (weils mich super angenervt hat - genauer: die Frau - auch firmware-Upgrade gemacht, den controller geupdatet und einen etwas besseren Platz für den AP gewählt, der "hängt da jetzt erstmal ab" :d
Werde weiter berichten, dank euch.
 
Ja... zeig doch mal die Regel, die das Internet für Wireguard erlauben soll.
Danke für den Hinweis.

Habe mein Heimnetz gegen „jegliches“ ersetzt - funktioniert jetzt soweit.
 
Also ich hab seit dem nichts mehr gehört - hab aber auch (weils mich super angenervt hat - genauer: die Frau - auch firmware-Upgrade gemacht, den controller geupdatet und einen etwas besseren Platz für den AP gewählt, der "hängt da jetzt erstmal ab" :d
Werde weiter berichten, dank euch.
Ich habe dieses Problem mMn gelöst. Dummer Fehler meinerseits. Beim Umstellen der beiden Senses auf CARP (statt 2 nebeneinander) habe ich versäumt die Euinstellungen der VLANS bei Gateway und DNS auf die VIP zu stellen, die standen noch auf den physischen IPs - dies führte zu reichlich komischen Ergebnissen wie man sehen konnte. Ich bin manchmal ziemlich dappert...
 
Zuletzt bearbeitet:
Dachte das es eher eine Grundsatzfrage ist. Habe oben mehr Infos angehängt.
 
@onotop:
Ich gehe mal davon aus, dass die Software das Switching übernehmen muss.
Dann eher nicht.
Hardwarebeschleunigt könnte es gehen, aber sobald du irgendwas mit L3 machen willst UND Last hast, sollte er schnell an seine Grenzen kommen.

Auf der anderen Seite:
Die Mikrotik Routerboards sind ja architekturell auch entsprechend ausgelegt (extra Switch-Chip).
Kann man aber nur sagen, wenn man das Mainboard inspiziert...
 
Ich weiß mal wieder nicht genau wo hin mit meiner Frage, daher versuche ich es mal hier.
Ich nutze aus diversesten Gründen kein Windows mehr, aber für eine Sache brauche ich das nun doch: Steuersoftware. Das funktioniert unter Wine einfach nicht. Hab mir jetzt ein paar mal mit Elster online beholfen, aber das ist eher.... uncool. Also soll eine Windows VM her. Die soll aber nichts können außer Steuer machen. Ich will damit nicht surfen, ich will damit nicht daddeln, ich will damit nichts an MS senden, nur Steuer. Die VM soll auf VirtualBox auf meinem PC laufen. Wie würdet ihr da am ehesten vorgehen?
OT: Wir brauchen in diesem Forum ein "dumme Fragen die nirgendswo hinpassen" thread.
 
Virtuelle Netzwerkkarte mit extra VLAN und dann in der Sense alles dichtmachen, was die Steuersteuersoftware nicht braucht?
War auch mein erster Gedanke, leider bin ich dazu irgendwie zu blöd... gibts ne vernünftige Anleitung wie man das Netzwerk einer vbox VM dafür konfiguriert?
 
Du könntest der VM auch eine separate IP zuweisen und dementsprechend Regeln (Whitelist) in der OPNSense festlegen.
So mache ich das mit meiner Windows-Maschine.
 
Du könntest der VM auch eine separate IP zuweisen und dementsprechend Regeln (Whitelist) in der OPNSense festlegen.
So mache ich das mit meiner Windows-Maschine.
Wie sieht da dein physischer Aufbau aus? Also was nutzt du als Träger und ist wie angebunden? Könntest du 2 Screenshots von den Netzwerkeinstellungen in VBox und deinem Träger machen? Egal was ich tue es scheint irgendwie nicht zu funzen - deutliches Layer 8 Problem...
 
Du gibst in der OPNSense der IP deiner VM (die bekommst du in den Netzwerkeinstellungen der VM im Modus Netzwerkbrücke) einen Alias, für den du dann erstmal eine * Block Regel erstellst und darüber dann eine Erlauben-Regel mit einem Alias für die Hosts, die du benötigst. Nicht vergessen, dass du der VM im DHCP eine statische Adresse zuweist.

Unbenannt.JPG
 
Ach okay, ganz ohne eigenes Netzwerk, hauptsache bridged, war noch bei NAT - dank dir, so ists natürlich super einfach. Geb der VM einfach ne feste IP außerhalb der DHCP-Range, verpass ihr nen Alias und bin glücklich. Manchmal ist es sooo einfach. Danke!
 
Geb der VM einfach ne feste IP außerhalb der DHCP-Range, verpass ihr nen Alias und bin glücklich. Manchmal ist es sooo einfach. Danke!
Schonmal was von static DHCP Mappings gehört?

Auf die kannst du dann auch direkt dein Alias auflösen.
 
Schonmal was von static DHCP Mappings gehört?

Auf die kannst du dann auch direkt dein Alias auflösen.
Jo frly. Bin ich aber kein Fan von, aus mehreren Gründen - vor allem 2 sind da erwähnenswert:
  1. Für mich ist eine IP entweder "fest" im Client oder eben dynamisch via DHCP - DHCP reservations sind so ein komischer Hybrid. Sicherlich als Argument eher so "mäh", aber so empfinde ich das. Wichtiger jedoch ist
  2. Ich vergebe für Server IPs zwischen 1 und 59, je niedriger desto wichtiger (1 Gateway & primärer DNS, 2 secondary DNS, 3 "Switch", 4-6 APs usw, ab 60 bis 99 ist dann die DHCP Range und ab 100 sind feste pIPs für Clients, SPielerereien oder ähnliches. So kann ich anhand der IP gleich erkennen was für eine Art von IP bzw. dazugehörigen Rechner/Client/Service ich da vor mir habe. Und das mache ich schon ziemlich lange recht "erfolgreich" im Sinne von "das taugt mir" das ich das nicht mehr ändern werde solange ich davon nicht einen Vorteil habe.
In diesem besonderen Fall ist das vielleicht sogar ganz angebracht, werde mal drüber nach sinnieren. Ich mach mir über sowas immer zu tiefe Gedanken :rofl:
 
Der Vorteil am static DHCP ist, dass die Client-Kiste auf "DHCP" bleibt und damit spontan in jedes andere Netz gesteckt werden kann. Wenn z.B. die PFSense ausfällt und eine Reserve-Firewall ran muss, die aber auf anderer IP-Range arbeitet (z.b. nach frischer Installation, Fritzbox etc) sind alle Clients sofort da - wenngleich mit "echter" DHCP-Adresse. Ich habe das soweit schätzen gelernt - insbesondere für die IPMI/BMC-Chips - und alle Clients auf DHCP. Feste Adressen weist die PFSense zu.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh