*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Optimal wäre Glasfaser, dann kommt VDSL100/250. Die Kabelanbieter kann man alle komplett in die Tonne treten, da muss man sehr sehr viel Glück haben überhaupt einen störungsfreien Anschluss zu bekommen. Stichwort: Rückkanalstörung. Schau mal bei der Fritzbox in die Kabelstatistiken, wenn bei den vier DOCSIS3.0 Upstream Kanälen nicht QAM64 als Modulation steht, hast du eine Rückkanalstörung und bist erledigt, denn Vodafone macht hier rein gar nichts zur Entstörung weil es technisch zu aufwendig ist den Störer zu lokalisieren.
Ich habe hier einiges durch, und kann hier 1&1 empfehlen. Selbst bin ich inzwischen direkt bei der Telekom, das läuft einfach. Schlechte Peerings sind eigentlich Schnee von gestern, das hat sich die letzten Jahre auch stark verbessert.
Bzgl. Fritzbox wäre es eine Option diese durch ein eigenes Modem zu ersetzen, dass auch rein als Modem arbeitet, z.B. Technicolor TC-4400. Fritzboxen können zwar alles, aber nichts davon gescheit. Da du dafür aber keinen Support durch Vodafone mehr erhalten wirst ist das nur etwas für Leute mit Erfahrung und dem entsprechenden Wissen.
Ich habe hier einiges durch, und kann hier 1&1 empfehlen. Selbst bin ich inzwischen direkt bei der Telekom, das läuft einfach. Schlechte Peerings sind eigentlich Schnee von gestern, das hat sich die letzten Jahre auch stark verbessert.
Bzgl. Fritzbox wäre es eine Option diese durch ein eigenes Modem zu ersetzen, dass auch rein als Modem arbeitet, z.B. Technicolor TC-4400. Fritzboxen können zwar alles, aber nichts davon gescheit. Da du dafür aber keinen Support durch Vodafone mehr erhalten wirst ist das nur etwas für Leute mit Erfahrung und dem entsprechenden Wissen.
Absolut nicht, aber das scheint von weiteren, unbekannten Faktoren abhängig zu sein, ob man betroffen ist oder nicht.
BF2-Gamer
Legende
- Mitglied seit
- 22.01.2010
- Beiträge
- 11.492
Als ich vor ca. 13 jahren zu Unitymedia kam, war das Kabelinternet (bei uns) noch richtig gut.
Jetzt hat hier gefühlt jeder Kabelinternet und mitterweile (seit Vodafone) teilen wir uns die Leitung mit dem Flughafen Düsseldorf.
OPNsense Update 23.1.6 verfügbar. Reboot erforderlich.
Insbesondere wegen verbessertem netmap interessant.
Insbesondere wegen verbessertem netmap interessant.
Guten Abend miteinander
Ich hatte vor über einem Jahr mal nach einer Hardware-Empfehlung angefragt. Leider habe ich mich seit jeher nicht mehr um dieses Thema gekümmert. Dies möchte ich nun definitiv ändern.
Aktuell ist ein TP-Link Archer C2600 mit OpenWRT als Router im Einsatz, der leider nicht die 500 Mbit von meinem Provider zu packen scheint. Zusätzlich habe ich einen RaspberryPI 3 im Einsatz als Wireguard- und Docker-Server, den ich ebenfalls gerne ersetzen möchte.
Aus diesem Grund überlege ich mir aktuell eine Hardware zu beschaffen, auf welcher via Proxmox virtualisiert pfSense und zwei Debian-Server (PiVPN und Docker) laufen könnten. Meinen aktuellen Router würde ich zu einem Access Point umkonfigurieren und weiter einsetzen.
Bei der Hardware bin ich mir aktuell noch unsicher. pfSense (zumindest die kostenlose Version) unterstützt soweit ich weiss noch nicht den neuen i226 Ethernet Controller. Ausserdem scheint dieser Ethernet Controller noch fehleranfällig zu sein. Kann dies jemand von euch bestätigen? Welche Hardware wäre, wenn man diese Problematik berücksichtigt, empfehlenswert? Z.B. habe ich mir mal diesen Rechner mit 8GB RAM und 128GB SSD herausgesucht:
Beim Aufbau dieses Setups bin ich ehrlich gesagt noch ein wenig verunsichert. Kann ich den Switch meines bestehenden OpenWRT Routers (neu Acess Point) weiterverwenden oder benötige ich zusäztlich einen dedizierten Switch, welchen ich mit dem LAN-Port der pfSense verbinde und an welchen ich meinen OpenWRT Access Point anschliesse? Ein zusätzlicher Switch wäre problematisch, da mir hierfür der Platz in meinem Regal fehlt.
Technisch gesehen verhält sich Proxmox vermutlich ähnlich wie VMware oder? Ich würde einen vSwitch erstellen, welcher über zwei NICs und zwei Port-Gruppen verfügt (LAN/WAN). Der pfSense würde ich in beiden Port-Gruppen eine virtuelle NIC zuweisen und den beiden Debian-Servern nur in der einen LAN Port-Gruppe.
Vielen Dank für eure Antwort.
Viele Grüsse
Ich hatte vor über einem Jahr mal nach einer Hardware-Empfehlung angefragt. Leider habe ich mich seit jeher nicht mehr um dieses Thema gekümmert. Dies möchte ich nun definitiv ändern.
Aktuell ist ein TP-Link Archer C2600 mit OpenWRT als Router im Einsatz, der leider nicht die 500 Mbit von meinem Provider zu packen scheint. Zusätzlich habe ich einen RaspberryPI 3 im Einsatz als Wireguard- und Docker-Server, den ich ebenfalls gerne ersetzen möchte.
Aus diesem Grund überlege ich mir aktuell eine Hardware zu beschaffen, auf welcher via Proxmox virtualisiert pfSense und zwei Debian-Server (PiVPN und Docker) laufen könnten. Meinen aktuellen Router würde ich zu einem Access Point umkonfigurieren und weiter einsetzen.
Bei der Hardware bin ich mir aktuell noch unsicher. pfSense (zumindest die kostenlose Version) unterstützt soweit ich weiss noch nicht den neuen i226 Ethernet Controller. Ausserdem scheint dieser Ethernet Controller noch fehleranfällig zu sein. Kann dies jemand von euch bestätigen? Welche Hardware wäre, wenn man diese Problematik berücksichtigt, empfehlenswert? Z.B. habe ich mir mal diesen Rechner mit 8GB RAM und 128GB SSD herausgesucht:
Beim Aufbau dieses Setups bin ich ehrlich gesagt noch ein wenig verunsichert. Kann ich den Switch meines bestehenden OpenWRT Routers (neu Acess Point) weiterverwenden oder benötige ich zusäztlich einen dedizierten Switch, welchen ich mit dem LAN-Port der pfSense verbinde und an welchen ich meinen OpenWRT Access Point anschliesse? Ein zusätzlicher Switch wäre problematisch, da mir hierfür der Platz in meinem Regal fehlt.
Technisch gesehen verhält sich Proxmox vermutlich ähnlich wie VMware oder? Ich würde einen vSwitch erstellen, welcher über zwei NICs und zwei Port-Gruppen verfügt (LAN/WAN). Der pfSense würde ich in beiden Port-Gruppen eine virtuelle NIC zuweisen und den beiden Debian-Servern nur in der einen LAN Port-Gruppe.
Vielen Dank für eure Antwort.
Viele Grüsse
Ich hab eine Topton-Box von Aliexpress in Verwendung - mit Intel i226 - läuft bei mir ohne Probleme.
Ich hab allerdings OPNSense „bare metal“ laufen.
Infos zur Box
Ich hab allerdings OPNSense „bare metal“ laufen.
Infos zur Box
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 338
Puh, vielleicht hat jemand eine Idee..
Grundauftrag: ich migirere einen Internetanschluss von einer Sophos XG auf OPNSense. Anschluss ist ein Glasfaseranschluss von LEW Telnet GmbH mit 500/250 mit einem /29er IPv4 Subnetz
Intern ist ein 172.24.0.0/16 Netz
Das habe ich an einem anderen Standort auch schon so gemacht und keine Probleme, nur an diesem Anschluss will die Telefonie nicht so richtig:
Ich nutze einen Vodafone IP Anlagenanschluss auf einer Aastra MX-One Telefonanlage. Die Anlage nutzt eingehendes NAT wird TCP 5060 an IP 172.24.252.10 und 10000:65535 UDP an die 172.24.252.12 (das Media Gateway)- so war es in der Sophos auch (und an meinem anderen Standort mit der gleichen SIP Konfig auch, da sind die internen IPs natürlich andere!).
Jetzt tritt reproduzierbar folgendes auf:
ausgehender Anruf: Sprache beidseitig, ohne Probleme
eingehender Anruf: Sprache vom Teilnehmer intern ist zu hören, er hört mich aber nicht. (ich rufe von extern)
Es macht keinen Unterschied ob ich extern per SIP oder Mobilfunk anrufe, ich werde nicht gehört.
Hänge ich die Sophos zurück geht es.
Wenn ich unter Protokolldateien - Live Ansicht während einem Anruf schaue (gefiltert auf die IP des IP Anlagenanschlusses) sehe ich die Pakete und angewandten NAT Regeln, keine Pakete werden gedroppt.
Irgendwie fehlt mir der Ansatz wo ich jetzt ein Problem suchen soll... SIP Anbieter sagt: wenns mit der anderen Firewall geht, ist es kein SIP Trunk Problem. Telefonanlagensupport sagt: wenns an der Firewall liegt (weil alte geht, neue nicht) sind wir raus. und Anbieter sagt auch: liegt an Firewall - mit der alten gehts ja.
Das ist...unbefriedigend.
Grundauftrag: ich migirere einen Internetanschluss von einer Sophos XG auf OPNSense. Anschluss ist ein Glasfaseranschluss von LEW Telnet GmbH mit 500/250 mit einem /29er IPv4 Subnetz
Intern ist ein 172.24.0.0/16 Netz
Das habe ich an einem anderen Standort auch schon so gemacht und keine Probleme, nur an diesem Anschluss will die Telefonie nicht so richtig:
Ich nutze einen Vodafone IP Anlagenanschluss auf einer Aastra MX-One Telefonanlage. Die Anlage nutzt eingehendes NAT wird TCP 5060 an IP 172.24.252.10 und 10000:65535 UDP an die 172.24.252.12 (das Media Gateway)- so war es in der Sophos auch (und an meinem anderen Standort mit der gleichen SIP Konfig auch, da sind die internen IPs natürlich andere!).
Jetzt tritt reproduzierbar folgendes auf:
ausgehender Anruf: Sprache beidseitig, ohne Probleme
eingehender Anruf: Sprache vom Teilnehmer intern ist zu hören, er hört mich aber nicht. (ich rufe von extern)
Es macht keinen Unterschied ob ich extern per SIP oder Mobilfunk anrufe, ich werde nicht gehört.
Hänge ich die Sophos zurück geht es.
Wenn ich unter Protokolldateien - Live Ansicht während einem Anruf schaue (gefiltert auf die IP des IP Anlagenanschlusses) sehe ich die Pakete und angewandten NAT Regeln, keine Pakete werden gedroppt.
Irgendwie fehlt mir der Ansatz wo ich jetzt ein Problem suchen soll... SIP Anbieter sagt: wenns mit der anderen Firewall geht, ist es kein SIP Trunk Problem. Telefonanlagensupport sagt: wenns an der Firewall liegt (weil alte geht, neue nicht) sind wir raus. und Anbieter sagt auch: liegt an Firewall - mit der alten gehts ja.
Das ist...unbefriedigend.
Ich kann nichts beitragen außer dem Hinweis auf siproxd, falls noch nicht bekannt. (zB https://forum.opnsense.org/index.php?topic=6112.0)
Guter Tipp, siehe zB https://docs.netgate.com/pfsense/en/latest/recipes/nat-voip-phones.html
Und das war ja andrer250282's Problem.
Aber beachten, dass (wenn Adguard, Pihole o.ä. verwendet wird) jetzt (übergangsweise) ausdrücklich der DNS-Server in der DHCP-config genannt werden muss (statt leer=OPNsense IP): https://github.com/opnsense/core/issues/6513OPNsense Update 23.1.6 verfügbar. Reboot erforderlich.
Insbesondere wegen verbessertem netmap interessant.
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 338
Das ist ja ein genialer Tipp...
das probiere ich Montag (am Standort) mal aus.
Aber... müsste das nicht in beiden Fällen auftreten? Bei ausgehenden und eingehenden Telefonaten? Weil ich habe es ja nur auf eingehenden Telefonaten
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 338
Okay, danke für den Tipp schonmal.
Wenn das funktioniert, bist du mein allergrößter Held für den Moment
Wenn das funktioniert, bist du mein allergrößter Held für den Moment
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 338
So, Rückmeldung: daran lag es nicht. Schade eigentlich, ich hatte mir echt Hoffnung gemacht...
wir werden jetzt den SIP Trunk testweise über die 2te Internetleitung des Standortes registrieren lassen, weil der Provider so langsam der einzige richtige Unterschied noch ist...
Da muss aber Dienstleisterseitig noch etwas Vorarbeit geleistet werden
wir werden jetzt den SIP Trunk testweise über die 2te Internetleitung des Standortes registrieren lassen, weil der Provider so langsam der einzige richtige Unterschied noch ist...
Da muss aber Dienstleisterseitig noch etwas Vorarbeit geleistet werden
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 853
Obacht, der nginx ist in 23.1.6 auch kaputt.
Musste auf die 1.31 downgraden.
Nutze ihn aber nur als Reverse Proxy.
Gegenfrage:
Ist es sinnvoller HAProxy als RP zu nutzen?
//Edith:
Zusatzfrage:
Wie bekomme ich den Unbound dazu, auf der "opnsense.domain.it" nur die eingestellte Override-Adresse (...64.1) zu verteilen, anstatt *aller*(!) Gateway-Adressen (...10.1, ...30.1, ...40.1, ...64.1)?
Erreichbar ist das Webui von der Sense nämlich nur im Management-VLAN 64.
Leider zieht sich Linux gleich die erste Adresse und versuchts dann halt mit der normalen Gateway-Adresse vom VLAN10.
Was logischerweise schief läuft.
Unter Windoofs klappts doch auch -.-
Dabei hasse ich Windoofs wie die Pest...
Musste auf die 1.31 downgraden.
Nutze ihn aber nur als Reverse Proxy.
Gegenfrage:
Ist es sinnvoller HAProxy als RP zu nutzen?
//Edith:
Zusatzfrage:
Wie bekomme ich den Unbound dazu, auf der "opnsense.domain.it" nur die eingestellte Override-Adresse (...64.1) zu verteilen, anstatt *aller*(!) Gateway-Adressen (...10.1, ...30.1, ...40.1, ...64.1)?
Erreichbar ist das Webui von der Sense nämlich nur im Management-VLAN 64.
Leider zieht sich Linux gleich die erste Adresse und versuchts dann halt mit der normalen Gateway-Adresse vom VLAN10.
Was logischerweise schief läuft.
Unter Windoofs klappts doch auch -.-
Dabei hasse ich Windoofs wie die Pest...
Zuletzt bearbeitet:
Update für das OPNsense Adguard Home plugin ist da.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 853
Mein Unbound-Problem hat sich auch gelöst.
Irgendwie war der Haken bei "do not register system A/AAAA records" draußen...
-.-
Irgendwie war der Haken bei "do not register system A/AAAA records" draußen...
-.-
Opnsense 23.1.7 ist da (samt erstem hotfix):
Ohne reboot.
Bei mir hat das so geklappt; auf reddit berichten einzelne user von Problemen.
p4n0
Legende
Heyho, ich nutze aktuell 2 Sophos UTM Firewalls/Router als virtualisierte Kisten.
Diese sollen zeitnah abgeloest werden und ich frage mich aktuell was ich hierfuer am besten hernehme.
Hatte mich vor einigen Jahren mit pfsense beschaeftigt, war grundsaetzlich auch OK - jedoch hat sich das Produkt sehr buggy angefuehlt.
Beispielsweise waren Konfigurationen von Paketen nach dem Loeschen/Neu Installieren der Dienste weiterhin vorhanden. SIP Telefonie am Telekom DSL Anschluss hat Probleme bereitet.
Ich mache nix super spezielles damit, daher sollten alle gaengigen Firewalls meine Anforderungen abdecken.
- DSL/PPPoE
- FW / NAT
- Portforwarding
- VLAN
- DynDNS Client
- Webserverproxy / Reverseproxy inkl. Certbot für renewal von Letsencrypt Zertifikaten
- VPN für S2S + C2S (Aktuell IPSEC + SSL) // Wuerde mir hier aber gerne mal Wireguard anschauen
Glaube das wars so im Groben.
Auf welches Pferd setzt man heute als 'advanced User'? Opnsense? Oder gar was ganz anderes?
Danke fuer euren Input
Diese sollen zeitnah abgeloest werden und ich frage mich aktuell was ich hierfuer am besten hernehme.
Hatte mich vor einigen Jahren mit pfsense beschaeftigt, war grundsaetzlich auch OK - jedoch hat sich das Produkt sehr buggy angefuehlt.
Beispielsweise waren Konfigurationen von Paketen nach dem Loeschen/Neu Installieren der Dienste weiterhin vorhanden. SIP Telefonie am Telekom DSL Anschluss hat Probleme bereitet.
Ich mache nix super spezielles damit, daher sollten alle gaengigen Firewalls meine Anforderungen abdecken.
- DSL/PPPoE
- FW / NAT
- Portforwarding
- VLAN
- DynDNS Client
- Webserverproxy / Reverseproxy inkl. Certbot für renewal von Letsencrypt Zertifikaten
- VPN für S2S + C2S (Aktuell IPSEC + SSL) // Wuerde mir hier aber gerne mal Wireguard anschauen
Glaube das wars so im Groben.
Auf welches Pferd setzt man heute als 'advanced User'? Opnsense? Oder gar was ganz anderes?
Danke fuer euren Input
Ich bin bisher ganz gut mit pfSense gefahren, @home nutze ich mittlerweile pfSense+.
Vorteil von pfsense+ ist, dass es einen aktuelleren Unterbau mit FreeBSD 14 mitbringt. opnSense setzt noch auf FreeBSD 13.
Fusseltuch
Enthusiast
Ich nutze privat OPNsense, bisher ohne größere Probleme. Tendenziell würde ich pfSense als etwas aktueller im Unterbau beschreiben, die Plus-Variante kenne ich nicht aus eigener Erfahrung. Ich glaube mit beiden Varianten macht man nichts falsch.
Und ich wüsste auch nicht, welche ernsthafte Alternative (mit Relevanz) es noch geben sollte. Klar, paid geht dann noch mehr, aber ob das für den Heimgebrauch gerechtfertigt ist? Darf ich fragen, warum du von der Sophos weg willst?
Und ich wüsste auch nicht, welche ernsthafte Alternative (mit Relevanz) es noch geben sollte. Klar, paid geht dann noch mehr, aber ob das für den Heimgebrauch gerechtfertigt ist? Darf ich fragen, warum du von der Sophos weg willst?
Das war auch noch vor kurzem so.
Kann man so sagen, wobei halt pfSense den pfBlocker hat.
Hab seit längerem Beides benutzt, finde OPN in manchen Aspekten besser (Änderungen schneller im Upstream zb), aber pf in der Regel immer stabiler und übersichtlicher in der GUI. Bei OPN gehen bei mit manchmal Portfreigaben random nicht mehr, Reboot und es geht wieder. Hatte das noch nie in pf.
WireGuard:
So, hatte ja vor Monaten WG eingerichtet und lief auch - habe es dann eine Zeitlang nicht benötigt und irgendwie gab es da mal eine Umstellung bei den Plugins!?
Habe dann das neue/richtige installiert und seither schon zig Stunden versch... - irgendwie bekomme ich es nicht mehr zum Laufen!?
Habe es schon nach mehreren Anleitungen (OPNSense direkt, Krenn) versucht - bekomme einfach keinen Handshake hin...
Gibt's eine einfache Möglichkeit, das ganze "WireGuard + Drumherum" irgendwo komplett platt zu machen, damit ich frisch von vorne starten kann, oder muss ich das alles (Plugin, div. Regeln, ...) von Hand löschen!?
Danke!
LG
So, hatte ja vor Monaten WG eingerichtet und lief auch - habe es dann eine Zeitlang nicht benötigt und irgendwie gab es da mal eine Umstellung bei den Plugins!?
Habe dann das neue/richtige installiert und seither schon zig Stunden versch... - irgendwie bekomme ich es nicht mehr zum Laufen!?
Habe es schon nach mehreren Anleitungen (OPNSense direkt, Krenn) versucht - bekomme einfach keinen Handshake hin...
Gibt's eine einfache Möglichkeit, das ganze "WireGuard + Drumherum" irgendwo komplett platt zu machen, damit ich frisch von vorne starten kann, oder muss ich das alles (Plugin, div. Regeln, ...) von Hand löschen!?
Danke!
LG
Ähnliche Themen
- Artikel