*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Die FreeNAS VM haengt im Server Netz. Innerhalb des ServerLAN ist auch alles cool, die restlichen VM koennen ungerouted auf das NAS.
Wenn ich jedoch aus Client oder VPN Netzen komme (VPN Netze nicht so wild, Bandbreite ist eh limitiert), dann muss ich gezwungenermaßen durch die Firewall.
Macht es sinn da einen 'Hack' fuer zu bauen mit additional IP Addresses auf dem Interface der FreeNas VM ? Damit sie ueberall ein 'Beinchen' im Netz hat? Geht das iwie sinnvoll?
Danke!
Genau, "normalerweise" gibst du der Storage VM eine weitere, virtuelle NIC, die dann direkt im Client-VLAN sein sollte, ohne die Sense. Der Client kann dann, ohne die Sense-VM, direkt über den VLAN-fähigen Switch auf die VM zugreifen.
Ich nutze aber Hyper-V, kann dir daher keine Anleitung liefern.
Zuletzt bearbeitet:
wddn
Enthusiast
Frage zu VLANs:
Wenn ich viel Daten zwischen PCs in verschiedenen VLANs habe (Inter VLAN):
Geht der Traffic direkt, oder kann es zu Limitationen kommen weil über die OPNSense?
OPNSense LAN ist bei mir aktuell 1GBit, Workstation mit 10GBit in VLAN 20, Server mit 10GBit in VLAN 10
Wenn ich viel Daten zwischen PCs in verschiedenen VLANs habe (Inter VLAN):
Geht der Traffic direkt, oder kann es zu Limitationen kommen weil über die OPNSense?
OPNSense LAN ist bei mir aktuell 1GBit, Workstation mit 10GBit in VLAN 20, Server mit 10GBit in VLAN 10
wddn
Enthusiast
Ich habe diesen Switch, welcher L2+ ist.
www.tp-link.com
Welches Merkmal ist hier für Inter VLAN relevant?
JetStream 8-Port 2.5GBASE-T and 2-Port 10GE SFP+ L2+ Managed Switch with 8-Port PoE+
JetStream L2+ Managed Switch with 2-Port 10GE SFP+ and 8-Port 2.5G PoE+. As a 2.5G switch that seamlessly integrates into the Omada Software Defined Networking (SDN) platform, TL-SG3210XHP-M2 allows for remote and centralized management, anywhere, anytime.
www.tp-link.com
Welches Merkmal ist hier für Inter VLAN relevant?
Kann mich jemand beim Sizing von meiner ESX Kiste unterstuetzen? Habe leider wenig Erfahrung was so ne Sense an PS braucht.
Bei Client-Backups uebers WLAN (ca 700mbit) geht der komplette ESX Host auf ~50% Load.
(FW + NAS).
Da steckt folgende CPU drinnen: 4 CPUs x Intel(R) Xeon(R) E-2224G CPU @ 3.50GHz
Wuerde auf einem Host bleiben. Zusaetzliche HW fuer die Firewall wurede bedeuten dass ich meinen Switch rauswerfen müsste weil ich mehr 10G Ports braeuchte.
Macht nen neuer Unterbau auf Basis eines 7800x3d sinn? Hat wer Erfahrungen mit den modernen CPUs als virtualisierer?
Danke euch!
Bei Client-Backups uebers WLAN (ca 700mbit) geht der komplette ESX Host auf ~50% Load.
(FW + NAS).
Da steckt folgende CPU drinnen: 4 CPUs x Intel(R) Xeon(R) E-2224G CPU @ 3.50GHz
Wuerde auf einem Host bleiben. Zusaetzliche HW fuer die Firewall wurede bedeuten dass ich meinen Switch rauswerfen müsste weil ich mehr 10G Ports braeuchte.
Macht nen neuer Unterbau auf Basis eines 7800x3d sinn? Hat wer Erfahrungen mit den modernen CPUs als virtualisierer?
Danke euch!
Stichwort SR-IOV und PF/VFs.
toscdesign
Enthusiast
- Mitglied seit
- 17.02.2022
- Beiträge
- 5.514
Welcher der Intel 2,5Gbit LAN Ports ist nun der, welcher keine Probleme macht?
i225 oder i226
i225 oder i226
Vermutlich letztes Update von OPNsense 23.7:
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 328
So, neues Projekt mit OPNSense 🙃
Ich möchte eine IDS/IPS Firewall zwischen zwei Netze bauen. Ganz simpel:
VLAN1 <-> OPNSense <-> VLAN300 (Produktion und Office)
Erstmal das grundsätzliche Regelwerk, also IDS/IPS ist noch gar nicht aktiv.
Aus VLAN1 sollen DNS Anfragen an den DNS Server in VLAN300 (172.23.1.10/24) erfolgen, also UDP/53 aus LAN 1 an 172.23.1.10/24 in LAN2
Geht.
Dann weiter:
Ich möchte aus VLAN1 einen Server (172.23.1.223/24) im VLAN300 erreichen per SMBv2/3 und per TCP/1433 (MS-SQL Server)
Regel für SMB hab ich mich an folgende Infos gehalten:
TCP/445
TCP/137
TCP/139
UDP/137
UDP/138
Freigegeben, ich kann auch ein Netzlaufwerk von VLAN1 an der 172.23.1.223 verbinden, aber die Kommunikation ist teilweise extrem langsam.
Im sehe ich, dass Verbindungen über TCP/445 erlaubt werden und der korrekten Regel zugeordnet werden. Darüber hinaus sind viele Pakete auf TCP/445 die Default Deny/State Violation rule verworfen werden.
Äußern tut sich das so: ich kopiere eine Datei, der Status steht lange auf:
Und dann geht es irgendwann los, mit recht normaler Geschwindigkeit (also 1GBit, ist die aktuelle Leitung)
Manchmal bricht er auch ab...
Was mache ich da falsch?
Ich möchte eine IDS/IPS Firewall zwischen zwei Netze bauen. Ganz simpel:
VLAN1 <-> OPNSense <-> VLAN300 (Produktion und Office)
Erstmal das grundsätzliche Regelwerk, also IDS/IPS ist noch gar nicht aktiv.
Aus VLAN1 sollen DNS Anfragen an den DNS Server in VLAN300 (172.23.1.10/24) erfolgen, also UDP/53 aus LAN 1 an 172.23.1.10/24 in LAN2
Geht.
Dann weiter:
Ich möchte aus VLAN1 einen Server (172.23.1.223/24) im VLAN300 erreichen per SMBv2/3 und per TCP/1433 (MS-SQL Server)
Regel für SMB hab ich mich an folgende Infos gehalten:
TCP/445
TCP/137
TCP/139
UDP/137
UDP/138
Freigegeben, ich kann auch ein Netzlaufwerk von VLAN1 an der 172.23.1.223 verbinden, aber die Kommunikation ist teilweise extrem langsam.
Im sehe ich, dass Verbindungen über TCP/445 erlaubt werden und der korrekten Regel zugeordnet werden. Darüber hinaus sind viele Pakete auf TCP/445 die Default Deny/State Violation rule verworfen werden.
Äußern tut sich das so: ich kopiere eine Datei, der Status steht lange auf:
Und dann geht es irgendwann los, mit recht normaler Geschwindigkeit (also 1GBit, ist die aktuelle Leitung)
Manchmal bricht er auch ab...
Was mache ich da falsch?
Zuletzt bearbeitet:
Was sollen denn das für Netze sein, zwei LANs? Oder ist da was mit WAN drinnen? Denn normalerweise ist ja die Sense immer zwischen den Netzen...
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 328
Das sind zwei VLAN Subnetze, ohne WAN.
192.168.206.0/24 <> 172.23.1.0/24
bzw. WAN macht eine andere Sense, die spielt hier aber nicht mit
Bis jetzt war einfach nur ein Core Switch zwischen Switchen der Netzwerke, der hat einfach nur zwischen den VLANs geroutet. Dies möchte ich jetzt gern um eine Sense erweitern
192.168.206.0/24 <> 172.23.1.0/24
bzw. WAN macht eine andere Sense, die spielt hier aber nicht mit
Bis jetzt war einfach nur ein Core Switch zwischen Switchen der Netzwerke, der hat einfach nur zwischen den VLANs geroutet. Dies möchte ich jetzt gern um eine Sense erweitern
Zuletzt bearbeitet:
Da ich dein Konstrukt nicht deuten kann, kann ich leider auch nicht helfen. Scheint ja eine spezielle Konfig zu sein.
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 328
Genau. Bzw blockiert Pakete für die eine Freigaberegel existiert (und auch angewendet wird, nur eben nicht auf alle Pakete), also wird es eher der Part State Violation (und nicht der Default deny Part) sein
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.904
Das hier will ich gerade umsetzen:
Aufbau: Mehrere VLANs und Netze in opnsense definiert. IPs werden via DHCP an diese verteilt, dabei steht jeweils ein gateway und ein dns server zur Verfügung, jeweils die IP der sense im jeweiligen Netzwerk.
In jedem Netzwerk werden DNS-Zugriffe die nicht nach intern gehen geblockt, sieht dann so aus:
Für das Kindernetz habe ich dann ein pihole installiert, das läuft soweit auch. Die Firewallregel habe ich dementsprechend angepasst:
Ich verteile dessen IP via DHCP, das kommt auch soweit an - aber ich krieg nen timeout:
Was mache ich falsch, wo ist mein Denkfehler?
Und es funktioniert nicht.
Aufbau: Mehrere VLANs und Netze in opnsense definiert. IPs werden via DHCP an diese verteilt, dabei steht jeweils ein gateway und ein dns server zur Verfügung, jeweils die IP der sense im jeweiligen Netzwerk.
In jedem Netzwerk werden DNS-Zugriffe die nicht nach intern gehen geblockt, sieht dann so aus:
Für das Kindernetz habe ich dann ein pihole installiert, das läuft soweit auch. Die Firewallregel habe ich dementsprechend angepasst:
Ich verteile dessen IP via DHCP, das kommt auch soweit an - aber ich krieg nen timeout:
Was mache ich falsch, wo ist mein Denkfehler?
toscdesign
Enthusiast
- Mitglied seit
- 17.02.2022
- Beiträge
- 5.514
Moin,
ich würde gerne mal mein internes DNS Konzept überarbeiten um eine Fehlerquelle, welche mich besonders stört, zu eliminieren.
Dafür habe ich mal zwei Grafiken erstellt, wäre interessant eure Meinung dazu zu hören.
Der aktuelle Stand sieht folgendermaßen aus:
Jetzt habe ich mir gedacht, das etwas umzubauen damit ich die internen Dienste auch bei einem Ausfall von Docker verfügbar habe:
Somit wandert der ganze interne DNS Krempel inkl. LetsEncrypt und reverse Proxy (nur intern keine Ports offen! Zugriff per VPN) auf die Firewall.
Das einzige was weiterhin für diesen Teil auf Docker läuft ist der netcup DynDNS Container, da die netcup API es immer noch nicht in den ddclient geschafft hat,
welche für das DynDNS auf OpnSense zuständig ist.
EDIT:
Es hat sich ein kleiner Fehler eingeschlichen!
Der netcup dyndns Container wird nicht für LetsEncrypt benötigt, da die Verifizierung per DNS Challenge durchgeführt wird.
Der Container wird für das Update der dyndns Adresse für den VPN benötigt.
Trotzdem ist er weiterhin notwendig, solange netcup nicht von ddclient unterstützt wird.
ich würde gerne mal mein internes DNS Konzept überarbeiten um eine Fehlerquelle, welche mich besonders stört, zu eliminieren.
Dafür habe ich mal zwei Grafiken erstellt, wäre interessant eure Meinung dazu zu hören.
Der aktuelle Stand sieht folgendermaßen aus:
Jetzt habe ich mir gedacht, das etwas umzubauen damit ich die internen Dienste auch bei einem Ausfall von Docker verfügbar habe:
Somit wandert der ganze interne DNS Krempel inkl. LetsEncrypt und reverse Proxy (nur intern keine Ports offen! Zugriff per VPN) auf die Firewall.
Das einzige was weiterhin für diesen Teil auf Docker läuft ist der netcup DynDNS Container, da die netcup API es immer noch nicht in den ddclient geschafft hat,
welche für das DynDNS auf OpnSense zuständig ist.
EDIT:
Es hat sich ein kleiner Fehler eingeschlichen!
Der netcup dyndns Container wird nicht für LetsEncrypt benötigt, da die Verifizierung per DNS Challenge durchgeführt wird.
Der Container wird für das Update der dyndns Adresse für den VPN benötigt.
Trotzdem ist er weiterhin notwendig, solange netcup nicht von ddclient unterstützt wird.
Zuletzt bearbeitet:
Warum nutzt Du nicht z.B. Cloudflare?
toscdesign
Enthusiast
- Mitglied seit
- 17.02.2022
- Beiträge
- 5.514
Ich glaube das schonmal irgendwo erwähnt zu haben, bin mir aber nicht mehr sicher.
Das möchte ich einfach nicht, da Cloudflare jeden Aufruf der Domain und damit die Quellip mitbekommt.
Außerdem habe ich gerne alles Zentral und da ich bei netcup sowieso Vollzugriff auf die DNS Records habe (per API), nutze ich es gerne.
Für einen Mikrotik Router habe ich ja schon ein DynDNS Script geschrieben, mit viel viel Unterstützung (Programier Laie):
GitHub - toscdesign/netcup-ddns-for-mikrotik: Script for using the netcup API for DynDNS
Script for using the netcup API for DynDNS. Contribute to toscdesign/netcup-ddns-for-mikrotik development by creating an account on GitHub.
github.com
Ich würde das ja selbst für ddclient schreiben, wenn ich wüsste wie 😅
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
Hast du ne Fritzbox vorne dran hängen oder was hängt am Internet-Anschluss?
(Frage bzgl. DynDNS, das geht da eigentlich sehr gut.)
Ansonsten DynDNS-Anbieter wechseln fällt auch raus?
Z.B. zu SpDNS?
(Frage bzgl. DynDNS, das geht da eigentlich sehr gut.)
Ansonsten DynDNS-Anbieter wechseln fällt auch raus?
Z.B. zu SpDNS?
Letztes 23.7 update für OPNsense (24.1 vermutlich Ende Januar):
Wisst ihr wieso ich solche OpenSource Projekte manchmal so richtig hasse? 
Ich richte grad das gesonderte IOT Wlan Netz ein... Alles soweit korrekt konfiguriert, springe mit meinem client rein. Zack, komme nicht ins Internet.
Logs durchforstet, viele 'default deny rule ipv4' was quasi erstmal alles sein kann.. Jedenfalls ende vom Lied:
Restart vom DNS Resolver Service auf der PFSense hat gefehlt. Haette ich meinen Laptop als Client statt dem Handy genommen waers leichter gewesen das herauszufinden. Maeh
Ich richte grad das gesonderte IOT Wlan Netz ein... Alles soweit korrekt konfiguriert, springe mit meinem client rein. Zack, komme nicht ins Internet.
Logs durchforstet, viele 'default deny rule ipv4' was quasi erstmal alles sein kann.. Jedenfalls ende vom Lied:
Restart vom DNS Resolver Service auf der PFSense hat gefehlt. Haette ich meinen Laptop als Client statt dem Handy genommen waers leichter gewesen das herauszufinden. Maeh
FieserOstfriese
Enthusiast
Kurze Frage was sinvoller ist.
Nutze Pfsense habe mehrere Vlans
Vlan1 -> Adminnetz
Vlan20 -> Gastnetz
Vlan40 -> Servernetz
Vlan50 ->Privatnetz
Vlan70 ->IoT
Nun hängt man mein OMV NAS Maschine (in Proxmox) im Vlan50 Privatnetz
Aus dem IoT Netz hat Home Assistant zwecks Samba Backup zugriff auf das NAS. Es ist
explizit nur der Home Assistant Host mit den passenden Ports dafür freigegeben.
Funktioniert soweit.
Lese ich immer wieder mal, es wäre besser in meinem Fall z.B OMV ne weitere Virtuelle Nic in Proxmox mit dem IP Bereich z.B IOT zuzuweisen.
Was nun die bessere Lösung bzw. Nachteile/Vorteile?
Nutze Pfsense habe mehrere Vlans
Vlan1 -> Adminnetz
Vlan20 -> Gastnetz
Vlan40 -> Servernetz
Vlan50 ->Privatnetz
Vlan70 ->IoT
Nun hängt man mein OMV NAS Maschine (in Proxmox) im Vlan50 Privatnetz
Aus dem IoT Netz hat Home Assistant zwecks Samba Backup zugriff auf das NAS. Es ist
explizit nur der Home Assistant Host mit den passenden Ports dafür freigegeben.
Funktioniert soweit.
Lese ich immer wieder mal, es wäre besser in meinem Fall z.B OMV ne weitere Virtuelle Nic in Proxmox mit dem IP Bereich z.B IOT zuzuweisen.
Was nun die bessere Lösung bzw. Nachteile/Vorteile?
Mehr Performance, da nichts geroutet werden muss. Weniger "Sicherheit", weil nicht mehr voneinander getrennt.
Würde das daher nur ändern, wenn Du die Performance auch abrufen könntest, also z.B. mit 10Gb auf den NAS schreiben wolltest. Warum aber HA solch ein Schreibbedürfnis haben sollte, erschließt sich mir nicht. Also wohl besser sein lassen.
FieserOstfriese
Enthusiast
ne hab nur Gigabit Netzwerk. es werden Backups auf ein Sambashare gemacht. Also mehr rechte rbaucht es nicht und alle andere IOT Geräte brauchen ansich kein Zugriff. FireTv Sticks haben zwecks Video Abruf vom NAS spezielle PfSense regeln.
Es läuft schnell, also werde ich es so lassen.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
Warum liegt das NAS im Privatnetz und nicht im Servernetz?
VLAN 1 als Management ist auch eher meh?
VLAN 1 als Management ist auch eher meh?
FieserOstfriese
Enthusiast
wieso Vlan1 als Management mäh? Machen einige.
Weil auf dem NAS überwiegend privates liegt und lediglich eine Freigabe für Backups von Proxmox und HA freigegeben ist.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
Danke für die Antwort. =)
VLAN1 ist das Standard-VLAN z.B. auf Mikrotiks.
Da hängen dann ALLE nicht konfigurierten Ports drin.
Deshalb eher *meh*...
VLAN1 ist das Standard-VLAN z.B. auf Mikrotiks.
Da hängen dann ALLE nicht konfigurierten Ports drin.
Deshalb eher *meh*...