*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Nope, geht mir um IPs, nicht DNS.
Firewall -> alias -> URL table -> https://iplists.firehol.org/ (und dann aufpassen, teils haben die RFC1918 drin und manchmal false positives).
Dann eine Block Regel und fertig.
Da braucht man weder pfblockerNG noch Zenarmor noch suricata für.
Das meine ich mit Gefrickel. pfBlocker nimmt einem das alles ab und hat noch weitere, bequeme Features. Und der DNS-Part ist auch umfänglich gelöst, da brauche ich wirklich nichts anderes mehr.
Die pfSense ist einfach mehr polished, weniger Features dafür komplett im GUI konfigurierbar und gute Anleitungen, zumindest für die pfSense selbst. Wenn ich die Problemmeldungen im OPNsense Forum nach fast jedem Update lese, da wird einem nicht besser. Es mag aber auch einfach an der schlechteren Dokumentation, insbesondere bei Änderungen, liegen?
Was ich aktuell auf der CE auch nutze ist XMLRPC Sync, damit kann ich pfBlocker und Suricata über mehrere pfSensen synchron halten. Eine Blockregel eines ASN erstellt auf der ersten wird auf die zweite synchronisiert, aber ohne alles komplett synchron halten zu müssen. Für mich sinnvoll, weil ich privat eigene mx (jeweils Proxmox Mail Gateway) betreibe.
Gerüchteweise soll die Plus ein richtiges, zentrales Management für mehrere pfSensen bekommen, also wohl Features, die es bereits für die OPNsense BE gibt. Da besteht wohl Nachholbedarf seitens Netgate. Ich werde es aber leider nicht mehr umsonst ausprobieren können. 😰
Zuletzt bearbeitet:
xST4R
Enthusiast
- Mitglied seit
- 22.10.2017
- Beiträge
- 3.641
wieso nutzt du nicht crowdsec ? kann das nicht auch sowas was du suchst ?
CrowdSec gibt es nicht für die pfSense und ist auch nicht unbedingt das, was ich suche. Wäre aber wohl eine weitere Möglichkeit, auch "externe" Blocklisten in OPNsense zu nutzen.
Zuletzt bearbeitet:
Da ja einige von Euch erwähnten, dass die Konfigs für ne Opensense+Firewall etc. „over“ sind; würde denn ein Fujitsu bzw. Dell mit 11151 Mainboard und Xeon E3-1275 V5 für eine Qsfp28 Netzwerkkarte ausreichen? Oder ist das schon wieder zu alt? Stromsparend wäre es wohl.
So, ich hab jetzt mal das WAN Failover in der OPNSense konfiguriert.
Erstmal: Ich habe diesen USB to Ethernet Adapter gekauft: https://www.amazon.de/dp/B08FCM7G3M?psc=1&ref=ppx_yo2ov_dt_b_product_details. Das Interface wurde direkt erkannt.
Ich habe den ZTE MF296C Router, dort ist eine Vodafone FW drauf. Leider hat Vodafone die Änderung in den Bridge Modus aus der FW genommen, bzw. existiert die Einstellung nicht. Ich bekomme über das WLAN eine IPv6 und eine IPv4.
Zur Konfiguration:
Ich bin nach diesem Video vorgegangen:
Die Schritte waren:
1. Neues Interface angelegt -> Statische IP vergeben 192.168.0.2 (LTE Router hat 192.168.0.1) (Wenn ich das Interface mit DHCP für v4 und v6 anlege, bekomme ich jedoch nur eine IPv4. Liegt vermutlich am nicht vorhandenen Bridge Mode, ich kann es auch als DHCP anlegen)
2. System -> Gateway -> Single: Neues Gateway angelegt, Monitor IP 8.8.8.8 Priorität 255. Ich habe DualStack, also WAN_DHCP6 und WAN_DHCP sind meine anderen beiden Gateways, die haben bei Monitor IP die Cloudflare IP und Priorität 254. (Bei allen Gateways habe ich Upstream angetickt)
3. System -> Gateway -> Groups: WAN-Group angelegt (Da v4 und v6 Mischen nicht möglich, habe ich WAN_DHCP und WANFailover_DHCP in Tier 1 gepackt, Trigger Level Member Down)
4. Als nächstes sollte ich im WAN-Interface das Upstream Gateway setzen, das kann ich jedoch nicht, weil ich DHCP eingstellt habe, ich befürchte deswegen hab ich nachher auch das Problem
5. System -> Settings -> DNS Settings für jedes Gateway gesetzt.
6. Services -> Unbound -> Query Forwarding: Use System Namespace Servers
7. Firewall -> Rules -> LAN: DNS Regel angelegt (Braucht man anscheinend für Unbound)
Und noch die IPv4 Regel angepasst auf die WAN Group
8. Firewall -> Diagnostics -> States: -> Actions Reset state table und Reset source tracking.
Wenn ich jetzt auf https://ipv6-test.com/ gehe, dann sehe ich folgendes:
Wie man sieht, kommt die IPv6 nun vom Kabel Internet, und die IPv4 kommt vom LTE Router.
Wenn ich das Kabel Modem ausschalte, dann "klappt" der Failover, ich sehe folgendes:
Wobei das ja noch nichts bedeuten muss, da davor die IPv4 ja auch über den LTE Router ging.
Long story short: Wie bekomme ich das hin, dass ich die IPv4 auch vom Kabel Internet bekomme und nur im Failover Fall auf die IPv4 vom LTE Router gewechselt wird?
Danke schonmal für eure Antworten!
Erstmal: Ich habe diesen USB to Ethernet Adapter gekauft: https://www.amazon.de/dp/B08FCM7G3M?psc=1&ref=ppx_yo2ov_dt_b_product_details. Das Interface wurde direkt erkannt.
Ich habe den ZTE MF296C Router, dort ist eine Vodafone FW drauf. Leider hat Vodafone die Änderung in den Bridge Modus aus der FW genommen, bzw. existiert die Einstellung nicht. Ich bekomme über das WLAN eine IPv6 und eine IPv4.
Zur Konfiguration:
Ich bin nach diesem Video vorgegangen:
1. Neues Interface angelegt -> Statische IP vergeben 192.168.0.2 (LTE Router hat 192.168.0.1) (Wenn ich das Interface mit DHCP für v4 und v6 anlege, bekomme ich jedoch nur eine IPv4. Liegt vermutlich am nicht vorhandenen Bridge Mode, ich kann es auch als DHCP anlegen)
2. System -> Gateway -> Single: Neues Gateway angelegt, Monitor IP 8.8.8.8 Priorität 255. Ich habe DualStack, also WAN_DHCP6 und WAN_DHCP sind meine anderen beiden Gateways, die haben bei Monitor IP die Cloudflare IP und Priorität 254. (Bei allen Gateways habe ich Upstream angetickt)
3. System -> Gateway -> Groups: WAN-Group angelegt (Da v4 und v6 Mischen nicht möglich, habe ich WAN_DHCP und WANFailover_DHCP in Tier 1 gepackt, Trigger Level Member Down)
4. Als nächstes sollte ich im WAN-Interface das Upstream Gateway setzen, das kann ich jedoch nicht, weil ich DHCP eingstellt habe, ich befürchte deswegen hab ich nachher auch das Problem
5. System -> Settings -> DNS Settings für jedes Gateway gesetzt.
6. Services -> Unbound -> Query Forwarding: Use System Namespace Servers
7. Firewall -> Rules -> LAN: DNS Regel angelegt (Braucht man anscheinend für Unbound)
Und noch die IPv4 Regel angepasst auf die WAN Group
8. Firewall -> Diagnostics -> States: -> Actions Reset state table und Reset source tracking.
Wenn ich jetzt auf https://ipv6-test.com/ gehe, dann sehe ich folgendes:
Wie man sieht, kommt die IPv6 nun vom Kabel Internet, und die IPv4 kommt vom LTE Router.
Wenn ich das Kabel Modem ausschalte, dann "klappt" der Failover, ich sehe folgendes:
Wobei das ja noch nichts bedeuten muss, da davor die IPv4 ja auch über den LTE Router ging.
Long story short: Wie bekomme ich das hin, dass ich die IPv4 auch vom Kabel Internet bekomme und nur im Failover Fall auf die IPv4 vom LTE Router gewechselt wird?
Danke schonmal für eure Antworten!
Da sich die "alte" Home/Lab-Version noch upgraden ließ, hier der Hinweis zur neuen Plus 23.09.
www.netgate.com
Für die CE gab es dafür neue System-Patches und ein RC steht unmittelbar bevor.
Netgate Releases pfSense Plus Software Version 23.09
Netgate is pleased to announce the Release of pfSense® Plus software version 23.09. Explore the major changes and features, including an upgrade to OpenSSL 3.0.12 and the addition of Kea DHCP.
www.netgate.com
Für die CE gab es dafür neue System-Patches und ein RC steht unmittelbar bevor.
Zuletzt bearbeitet:
In der Hoffnung dass es noch nicht erwähnt wurde:
Es gibt ein schönes neues Produkt von Topton: Topton X8
Gibt's mit 3 verschiedenen CPUs:
U300E -> 1P + 4E Cores
Pentium Gold 8505 -> 1P + 4E Cores
Core i5-1240P -> 4P + 8E Cores
4x i226-V 2.5GBase-T sind immer an Board. Zusätzlich kann ausgewählt werden:
2x10G SFP+ (82599ES / Intel X520)
4x2.5GBase-T (i266-V)
Preise:
Leider also nicht ganz billig... Aber evtl. interessant
Es gibt ein schönes neues Produkt von Topton: Topton X8
Gibt's mit 3 verschiedenen CPUs:
U300E -> 1P + 4E Cores
Pentium Gold 8505 -> 1P + 4E Cores
Core i5-1240P -> 4P + 8E Cores
4x i226-V 2.5GBase-T sind immer an Board. Zusätzlich kann ausgewählt werden:
2x10G SFP+ (82599ES / Intel X520)
4x2.5GBase-T (i266-V)
Preise:
| Name | Preis |
| i5-1240P + 4x2.5 + 2x10G SFP+ | $578.95 |
| i5-1240P + 8x2.5 | $559.96 |
| Pentium Gold 8505 + 4x2.5 + 2x10G SFP+ | $398.62 |
| Pentium Gold 8505 + 8x2.5 | $379.64 |
| U300E + 4x2.5 + 2x10G SFP+ | $447.97 |
| U300E + 8x2.5 | $428.99 |
Leider also nicht ganz billig... Aber evtl. interessant
China-Gerät + UEFI + Intel CPU mit ManagementEngine + Intel NIC ... als Firewall... Finde das ziemlich uninteressant (oder habe zuviel Alu-Hut auf).Leider also nicht ganz billig... Aber evtl. interessant
Shihatsu
Legende
- Mitglied seit
- 16.08.2005
- Beiträge
- 5.013
UltrAslan
Enthusiast
- Mitglied seit
- 12.03.2012
- Beiträge
- 577
Guten Abend zusammen,
ich möchte vor ein Netzwerk mit geräten von Unifi, eine OPNSense.
Da ich mich selbst (noch) nicht gut genug auskenne, die Ersteinrichtung durchzuführen (was für mich essenziell ist, damit ich alle anderen Geräte einbinden kann (IOT, Smarthome, ...)) werde ich dies wohl von jemanden der vom Fach ist durchführen lassen.
Neben VLAN und Co, möchte ich auch diverse Plugins haben. Hier kommt daher Frage 1: Was habt ihr und was ist zu empfehlen.
Aktuell steht folgenes auf der Agenda:
- Suricata
- CrowedSec
- Werbeblocker (Adguard / PiHole)
- Unbound
- VPN (Siehe Frage 2)
Frage 2:
Neben dem externen Zugriff aufs Netzwerk via VPN (würde hier wohl Tailscale nutzen), frage ich mich ob es üblich ist und überhaupt Sinn macht, Traffic oder Teiles des Traffics via VPN laufen zu lassen.
ich möchte vor ein Netzwerk mit geräten von Unifi, eine OPNSense.
Da ich mich selbst (noch) nicht gut genug auskenne, die Ersteinrichtung durchzuführen (was für mich essenziell ist, damit ich alle anderen Geräte einbinden kann (IOT, Smarthome, ...)) werde ich dies wohl von jemanden der vom Fach ist durchführen lassen.
Neben VLAN und Co, möchte ich auch diverse Plugins haben. Hier kommt daher Frage 1: Was habt ihr und was ist zu empfehlen.
Aktuell steht folgenes auf der Agenda:
- Suricata
- CrowedSec
- Werbeblocker (Adguard / PiHole)
- Unbound
- VPN (Siehe Frage 2)
Frage 2:
Neben dem externen Zugriff aufs Netzwerk via VPN (würde hier wohl Tailscale nutzen), frage ich mich ob es üblich ist und überhaupt Sinn macht, Traffic oder Teiles des Traffics via VPN laufen zu lassen.
Netgate Releases pfSense CE Software Version 2.7.1
Blog
Release Notes
Bin schon mal am upgraden, die kurze beta verlief auch recht reibungslos.
Warum sag ich das so harsch? Die Anzahl der Anfragen von Leuten in den *Sense-Foren, die quasi keinerlei Ahnung von Netzwerken haben, ist exorbitant. Und es macht nicht den Eindruck, dass diese Leute was dazu lernen oder weniger werden, im Gegenteil. Diese Leute wären eigentlich besser bedient, wenn sie bei ihrer Fritzbox etc. blieben, viele werden da vermutlich auch wieder landen. Eine UDM ist da sicher schon Herausforderung genug.
Blog
Release Notes
Bin schon mal am upgraden, die kurze beta verlief auch recht reibungslos.
Beitrag automatisch zusammengeführt:
Wenn es für privat ist, mach es selbst. Aber ja, Du musst dich vorher einarbeiten und am Thema dran bleiben. Wenn Du das nicht machen willst oder zeitlich nicht kannst, dann vergiss es gleich. Die UDM kriegt auch immer mehr Features, das ist dann vermutlich eher was passendes.
Warum sag ich das so harsch? Die Anzahl der Anfragen von Leuten in den *Sense-Foren, die quasi keinerlei Ahnung von Netzwerken haben, ist exorbitant. Und es macht nicht den Eindruck, dass diese Leute was dazu lernen oder weniger werden, im Gegenteil. Diese Leute wären eigentlich besser bedient, wenn sie bei ihrer Fritzbox etc. blieben, viele werden da vermutlich auch wieder landen. Eine UDM ist da sicher schon Herausforderung genug.
Zuletzt bearbeitet:
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
Ich war heute tatsächlich kurz davor auf pfSense 2.7 zu upgraden, konnte es mir aber zum Glück gerade noch verkneifen.
Das Theater mit Unbound scheint in 2.7 noch schlimmer zu sein als in 2.6. Einfach nur erbärmlich, wie lange sie den Scheiß schon vor sich hin rotten lassen und dann auch noch im Forum so zu tun, als gäbe es die Probleme nicht:
Das Theater mit Unbound scheint in 2.7 noch schlimmer zu sein als in 2.6. Einfach nur erbärmlich, wie lange sie den Scheiß schon vor sich hin rotten lassen und dann auch noch im Forum so zu tun, als gäbe es die Probleme nicht:
Kann es sein, dass Du den "Service_Watchdog" nutzt? Diesen sollte man wohl für einige Dienste nicht benutzen, ich würde ihn ganz deaktivieren bzw. ich nutze ihn überhaupt nicht.
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
Ich hatte noch nie einen Watchdog Service laufen. Weder unter 2.5.1 (wo alles perfekt lief) noch unter 2.6 (wo das Problem erstmals auftrat). Die Antwort der Moderatoren im Forum auf eine detaillierte Fehlerbeschreibung war sinngemäß: "Ist uns egal, da Server, bei denen Interfaces in der Regel nie down gehen, nicht betroffen sind".
Schon aus der Beschreibung von Issue #12612 geht hervor, dass sie nicht vor hatten, das Problem sauber zu lösen.
Und der bisherige Hotfix (https://redmine.pfsense.org/project...ions/6ac625e8af602df3e70f41f17bd60631cd50e86a, den man in 2.6.0 via System / Patches einspielen konnte) ist Ihnen jetzt in 2.7.0 wohl wieder um die Ohren geflogen.
Schon aus der Beschreibung von Issue #12612 geht hervor, dass sie nicht vor hatten, das Problem sauber zu lösen.
Und der bisherige Hotfix (https://redmine.pfsense.org/project...ions/6ac625e8af602df3e70f41f17bd60631cd50e86a, den man in 2.6.0 via System / Patches einspielen konnte) ist Ihnen jetzt in 2.7.0 wohl wieder um die Ohren geflogen.
Is ist wohl so, dass der Resolver tatsächlich öfters neugestartet werden muss. Das ist aber keine Problem! Dein verlinktes Issue bezieht sich wohl auf den Wechsel der WAN-IP. Auch das ist ja nicht besonders oft und sollte dennoch kein Problem sein. Du suchst nach Issues und Bugs, die aber möglicherweise mit deinem Problem nicht wirklich im Zusammenhang stehen.
Aktuell ist ja CE 2.7.1+System Patches. Leider fällt mir dazu konkret auch nichts weiter ein, aber gefühlt schlägst Du dich damit schon deutlich zu lange rum.
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
Das liegt dann aber nicht an Unbound, sondern daran wie Netgate Unbound in pfSense eingebunden hat.
Doch, weil bei jedem Neustart a) der Cache flöten geht und b) andere Clients auf anderen Interfaces keine Anfragen stellen können, während der Service neu gestartet wird.
Nein, #12612 bezieht sich darauf, dass bei jeden Interface up / down, Unbound die Grätsche macht. Und ein Interface up / down findet auch dann statt, wenn ein Rechner, der direkt an einem LAN Port der pfSense angeschlossen ist, neugestartet wird. "rc.newwanip" wird in pfSense 2.6.0 unabhängig von der Art des Interfaces und unabhängig davon, ob sich die IP ändert oder nicht bei jedem Interface up / down ausgelöst.
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
Ausreichend lange, um bei drei Rechnern im Netzwerk jeden Tag davon betroffen zu sein.
toscdesign
Enthusiast
- Mitglied seit
- 17.02.2022
- Beiträge
- 5.946
Sagt mal habt ihr auch das Problem, das der Wiregueard Tunnel der Opensense nach einer gewissen Uptime (50 Tage), schnarch langsam wird?
Ich hatte erste meinen Internet Anschluss in verdacht, konnte das aber ausschließen.
Ich hatte erste meinen Internet Anschluss in verdacht, konnte das aber ausschließen.
UltrAslan
Enthusiast
- Mitglied seit
- 12.03.2012
- Beiträge
- 577
Ja, ist für Privat. Erstes "richtiges" Netzwerk das ich habe und das entsprechend nutzen will.
Ich würde es gerne selbst einrichten (würde mir Spass machen und Zeit+Geld sparen) aber vorallem die Ersteinrichtung inkl. VLANs ist mir wichtig und traue ich mir nicht zu.
Da SmartHome, IoT Geräte, ... da sind, will ich das sauer aufgesetzt haben.
Deinen Punkt finde ich nicht harsch, sondern eher als Stimme der Vernunft aber ich wollte schon immer so ein Netzwerk haben, inkl. so einer Firewall und all den Sicherheits und Privacy Funktionen. Daher versuche ich jemanden in der Region zu finden, der das für mich machen kann.
@UltrAslan VLANs z.B. müssen ja auch in den Switchen und APs konfiguriert werden.
Du musst ja nicht alles auf einmal machen, sondern kannst dich langsam rantasten. Denn egal ob pfSense oder OPNsense, die Dinger sind keine Fritzboxen, die einfach immer und nur funktionieren, dafür bieten sie zu viele Funktionen und haben auch gerne mal ein paar Probleme. Es sind keine set-and-forget-Dinger, es sei denn, Du nutzt nur die absoluten Basics... Also ich rate Dir weiterhin ab von deinem Ansatz.
Aber wenn dir jemand alles auf einmal einrichten soll, dann dürfte das auch tatsächlich einiges kosten, weil angefangen von der Planung bis hin zu irgendwelchen Devices die Du nutzt, das ist schon ne sehr komplexe Angelegenheit.
Also Good Luck, Du wirst es brauchen. 😉
Du musst ja nicht alles auf einmal machen, sondern kannst dich langsam rantasten. Denn egal ob pfSense oder OPNsense, die Dinger sind keine Fritzboxen, die einfach immer und nur funktionieren, dafür bieten sie zu viele Funktionen und haben auch gerne mal ein paar Probleme. Es sind keine set-and-forget-Dinger, es sei denn, Du nutzt nur die absoluten Basics... Also ich rate Dir weiterhin ab von deinem Ansatz.
Aber wenn dir jemand alles auf einmal einrichten soll, dann dürfte das auch tatsächlich einiges kosten, weil angefangen von der Planung bis hin zu irgendwelchen Devices die Du nutzt, das ist schon ne sehr komplexe Angelegenheit.
Also Good Luck, Du wirst es brauchen. 😉
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 852
Wenn ich das nächste mal 50 Tage Uptime zw. Updates erreiche, kann ich mal berichten, momentan habe ich 12 Tage Up...
no problems so far...
//Edith:
Ich lasse die Handys dauerhaft mit Wireguard laufen, daheim, wie unterwegs.
OPNsenae 23.7.9 veröffentlicht:
Ähnliche Themen
- Artikel