[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Spricht eigentlich etwas dagegen, wenn man OPNSense als VM (mittels Proxmox) auf einer eigenen Hardware betreibt?

Warum?
Sicherungen/Snapshots vor Updates wären so halt deutlich einfacher zu machen.

LG
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Sobald du den Host offline nimmst, hast du kein Netz mehr. Wenn du das umgehen oder damit leben kannst kann man das machen - ich habs wieder gelassen.
Ich fahre eine OPNsense baremetall und eine 2te als proxmox-VM und hab die als HA-cluster verheiratet. Damit hat man das ganze Thema Sicherungen/Snapshots eigentlich komplett erschlagen. Kann man sogar so machen das man die VM als primäre Note betreibt und die Sekundär-Node nur hochfährt wenn man updaten will.
 
Hm, das Thema mit dem Ausschalten hat man ja immer - egal ob "bare-metal" oder als VM.

Von dem her gibt es ja keinen Unterschied, ob OPNSense auf meinem M720q bare-metal oder auf dem M720q als VM unter Proxmox läuft!?
 
Sicherungen/Snapshots vor Updates wären so halt deutlich einfacher zu machen.
Dafür brauchst Du keine VM.

Einfach auf ZFS installieren und vor Updates ein Fallback Boot Environment anlegen. Ggfs auch noch ein ZFS snapshot vom Rest.

Bash:
bectl create -r <fallback-BE-name>
zfs snapshot -r zroot@snapshot-name

Wenn es aber einen sinnvollen Grund für die Virtualisierung gibt: ja, geht, mache ich so mit ESXi.

Generell aber eher bare Metal wenn nicht unbedingt VM muss.
 
Doch, natürlich gibt es den. Wenn du deinen Proxmox server warten musst und dafür deine VMs unten sind hast du für die Wartung kein Netz. Damit kann man umgehen, aber es ist UNBESCHREIBLICH nervig.
 
Dafür brauchst Du keine VM.

Einfach auf ZFS installieren und vor Updates ein Fallback Boot Environment anlegen. Ggfs auch noch ein ZFS snapshot vom Rest.

Bash:
bectl create -r <fallback-BE-name>
zfs snapshot -r zroot@snapshot-name

Wenn es aber einen sinnvollen Grund für die Virtualisierung gibt: ja, geht, mache ich so mit ESXi.

Generell aber eher bare Metal wenn nicht unbedingt VM muss.

Das muss ich mir ev. nochmal ansehen - war mir damals irgendwie kompliziert/unverständlich.
Beim damaligen Hardware-Wechsel habe ich "auf" ZFS installiert.

Doch, natürlich gibt es den. Wenn du deinen Proxmox server warten musst und dafür deine VMs unten sind hast du für die Wartung kein Netz. Damit kann man umgehen, aber es ist UNBESCHREIBLICH nervig.

Hm, mit warten meinst du updaten?
Updates laden muss ja gehen - lediglich für einen nötigen Neustart hätte man dann kurz kein Internet - eigentlich gleich wie bei manchen OPNSense-Updates.


Hm, muss ich nochmal überlegen ....
 
Ja klar. Man virtualisisert (gerade eine OPNsense) ja nicht um des Virtualisieren willens. Meist sind dann da ja auch noch andere VMs im Spiel. Mir wäre (streich den Konjunktiv - war!) das VIEL zu enrvig.
 
Doch, natürlich gibt es den. Wenn du deinen Proxmox server warten musst und dafür deine VMs unten sind hast du für die Wartung kein Netz. Damit kann man umgehen, aber es ist UNBESCHREIBLICH nervig.
Klang ja jetzt so als wär das in dem Konzept ne Proxmox Instanz nur für die sense? Aber ja aus dem Grund hab ich tatsächlich jetzt den MKT am laufen, jetzt kann ich in Proxmox tun und lassen was ich will
 
Ich schau mich jetzt grad nach DSL Tarifen um. Laut Telekom ist sind an meiner Adresse 175mbit/s verfügbar. (250er tarif, kommt halt nicht alles an)
Wenn ich das jetzt sinnvoll mit meiner opnsense betreiben möchte, welches Modem muss ich mir dann zulegen? Die Telekom bietet nur die speedport WLAN Router (mind. 7€/monat) an, aber keine modems.
Ich lese immer von den drayteks, welches wäre da das richtige?
 
Vigor 167.
Aber: Ich habe das gleiche Dilemma, Max 175 auf 250er Tarif möglich. Mein DSLAM wollte nicht so richtig mit dem Draytek, kam nie über 150 und immer wieder mal Abbrüche. Jetzt macht eine 7590 das DSL Modem, bis 190 und rockstable. DSL können die bei AVM, da kann man nix sagen…
 
Vigor 167.
Aber: Ich habe das gleiche Dilemma, Max 175 auf 250er Tarif möglich. Mein DSLAM wollte nicht so richtig mit dem Draytek, kam nie über 150 und immer wieder mal Abbrüche. Jetzt macht eine 7590 das DSL Modem, bis 190 und rockstable. DSL können die bei AVM, da kann man nix sagen…
Die 7530 wäre da noch besser gewesen ^^
 
Bei Neukauf bestimmt. Aber eine 7590 für quasi umsonst (eine Kiste Tegernseer Hell) fand ich okay ;-)
 
Also am besten je fritte als Modem? Bei Ebay ne 7530 für nen fuffi bin ich fein damit.
Warum 7530 besser als 7590?
 
Ich schau mich jetzt grad nach DSL Tarifen um. Laut Telekom ist sind an meiner Adresse 175mbit/s verfügbar. (250er tarif, kommt halt nicht alles an)
Wenn ich das jetzt sinnvoll mit meiner opnsense betreiben möchte, welches Modem muss ich mir dann zulegen? Die Telekom bietet nur die speedport WLAN Router (mind. 7€/monat) an, aber keine modems.
Ich lese immer von den drayteks, welches wäre da das richtige?
nimm ne digitalisierugnsbox basic.
 
Also am besten je fritte als Modem? Bei Ebay ne 7530 für nen fuffi bin ich fein damit.
Warum 7530 besser als 7590?
Das DSL Modem der 7530 ist besser als das der 7590. Hält den Sync besser und synct auch etwas höher als die 7590.
 
Vigor 167 ist Mist, besorg dir einen (gebrauchten) 165er. Bissl Tuning an den SNRs, und schon löppt das. Fritzbox macht hier mit Mühe 180 MBit/s aufgrund der Leitungslänge, der Vigor 165 hat mit 245 Mbit/s keine Schmerzen (Sync Maximum wäre normal bei einer guten Leitung ~270 MBit/s).

Ansonsten betreibe ich eine OPNSense auf Proxmox, wenn man die Einschränkungen kennt, ist das überhaupt kein Problem. Es gibt eigentlich keine regulären Tätigkeiten für die man VMs tatsächlich stoppen muss. Updates für den Proxmox-Host können online eingespielt werden, gar kein Streß. Und falls tatsächlich der Fall auftritt, dass man Internet braucht während die VMs down sind -> Handy per USB Hotspot an den Proxmox Host dran -> läuft.
 
Vigor 167 ist Mist, besorg dir einen (gebrauchten) 165er. Bissl Tuning an den SNRs, und schon löppt das. Fritzbox macht hier mit Mühe 180 MBit/s aufgrund der Leitungslänge, der Vigor 165 hat mit 245 Mbit/s keine Schmerzen (Sync Maximum wäre normal bei einer guten Leitung ~270 MBit/s).

Wenn die Telekom im Vertrag nur 175MBit/s angibt, krieg ich die dann auch nur? Ist halt eigentlich der 250er Tarif, aber die Telekom ist da anscheinend transparenter und gibt nur die tatsächlich mögliche Leistung an. Kann ich dann mit SNR Tuning tatsächlich auch mehr Speed rauskitzeln, oder ist das dann beschränkt von der Telekom?
 
Der 175er Tarif der Telekom kann erstmal brutto mit >250mbit synchronisieren. Wenn deine Leitung instabil ist oder die Werte nicht passen dann bremst dich ein Tool ein. Nennt sich glaube ASSIA oder irgendwie so. Dann wird auf deinem DSL Port die maximale Sync-Geschwindigkeit nach und nach gedrosselt bis deine Leitung stabil ist. Manueller Eingriff seitens Telekom quasi unmoeglich. wenn du jetzt dein Modem gegen ein besseres tauscht dann braucht das eine Weile bis du mit dem Speed wieder hoch kannst. Zeitraum waren sicher 2Wochen ++ wenn ich‘s richtig im Kopf habe. Logischerweise duerfen in der Zeit keine sync-abbrueche passieren.
 
Proxmox hat viel zu oft Kernel-Updates.
Wenn ich jedes Mal das Internet für den Neustart kappe, bekomme ich Nudelholz von der GöGa...
Ist so schon schlimm genug, wenn die NAS-VM down ist, wenn sie gerade wieder Downton Abbey davon streamt... -.-
 
Jo, Kernelupdates sind halt so eine Sache die für mich OPNsense virtualisieren unerträglich gemacht haben.
Im allgemeinen ist Hochverfügbarkeit mit OPNsense aber super einfach umgesetzt - 2 kleine Networkappliances mit (mindestens) 3 Netzwerkanschlüssen ist alles was man braucht - damit kommt man dann selbst bei Updates an die 100% Verfügbarkeit ran.
 
Der 175er Tarif der Telekom kann erstmal brutto mit >250mbit synchronisieren. Wenn deine Leitung instabil ist oder die Werte nicht passen dann bremst dich ein Tool ein. Nennt sich glaube ASSIA oder irgendwie so. Dann wird auf deinem DSL Port die maximale Sync-Geschwindigkeit nach und nach gedrosselt bis deine Leitung stabil ist. Manueller Eingriff seitens Telekom quasi unmoeglich. wenn du jetzt dein Modem gegen ein besseres tauscht dann braucht das eine Weile bis du mit dem Speed wieder hoch kannst. Zeitraum waren sicher 2Wochen ++ wenn ich‘s richtig im Kopf habe. Logischerweise duerfen in der Zeit keine sync-abbrueche passieren.
okay, das ist interessant. Auch das mit dem Tool. Habe auch ein paar Fragen der Telekom gestellt, bin mal gespannt, was da als Antwort zurück kommt. Unter anderem eben auch welches Modem und welches von der Telekom auch supportet wird. Dieser Schmarrn bei Vodafone, dass ich immer deren Billigrouter anschließen muss, bevor die überhaupt was tun, geht mir gehörig auf den Zeiger.
Ich hab gestern erst gesehen, dass ich nicht mal ne TAE Dose an meinem Anschluss hab. Ich hoffe mal, dass die dann auch von einem Telekom Techniker aufgelegt wird und ich das nicht selbst bezahlen muss.
 
Habe gestern das Update auf 24.1.2_1 gemacht - sind da Probleme bekannt?

Hab seit heut das Phänomen, dass die CPU-Auslastung oft sehr hoch ist (90-100%), bzw. generell sehr oft hoch ausschlägt (über 30%).

Vorher lag die CPU-Last immer bei 0-3% - manchmal ganz kurz mal bei max. 8%.


Wenn die Auslastung so hoch ist, dann ist die Weboberfläche sehr träge und am z.B. Apple TV funktionieren weder Netflix noch Amazon!?

Sehr komisch...
 
Obiges Problem besteht nach wie vor!

Habe am SO alles vom Netz genommen und neu gestartet - tja, funktionierte dann nur bis heute Früh/Vormittag.

Auslastung wieder enorm hoch - meist 50-100%; Internet sehr träge - kaum Seiten im Browser ansehbar; WLAN hinüber - kein Streaming mehr;....


Habe am SO Gott sei Dank zum ersten Mal die "boot environments" genutzt.

Ich bin jetzt von 24.1.2_1 wieder retour auf die 23.7.12_5 - mal sehen.


Am SO habe ich "blöderweise" mehrere Änderungen gleichzeitig vorgenommen:
  • CPU-Umbau von i3-8100T auf i3-9100T
  • Bios-Update
  • OPNSense-Update

Tja, jetzt habe ich den Käse...


Seit einiger Zeit läuft jetzt wieder die alte Version - die CPU-Auslastung ist aber trotzdem nicht ganz so konstant niedrig wie früher gewohnt!?
Tümpelt großteils bei 0-5% - springt aber trotzdem regelmäßig auf bis zu ca. 30% hoch!?


Hat jemand eine Idee?


Danke!
 

Anhänge

  • Auslastung_OPNSense.jpg
    Auslastung_OPNSense.jpg
    170,7 KB · Aufrufe: 56
  • boot environments.jpg
    boot environments.jpg
    7,3 KB · Aufrufe: 59
  • Auslastung.jpg
    Auslastung.jpg
    10,2 KB · Aufrufe: 53
Vermutlich zu große logs.

Schau mal mit top -aSH was da so viel CPU frisst.
 
Vermutlich zu große logs.

Schau mal mit top -aSH was da so viel CPU frisst.

Hm, schwierig eine Bildschirmprint im richtigen Moment zu "treffen"...


Mit der alten Version ist die Speicherauslastung wieder bei 11% - mit der neuen lag sie bei etwas über 20%.
CPU-Temp. ist jetzt auch wieder bei 40-44 - mit der neuen Version war sie teilweise sogar bei 70°C!


Logs - hm, habe damals (als ich Probleme mit Wireguard hatte) schon einige aktiviert - welche Logs sollte man denn lassen/sprich, sind sinnvoll?


Danke!
 

Anhänge

  • Screenshot 2024-03-05 203441.jpg
    Screenshot 2024-03-05 203441.jpg
    137,1 KB · Aufrufe: 43
Sieht alles i.O. aus meiner Meinung nach.
 
Mal sehen wie es sich die nächsten Tage mit der alten Version verhält - ansonsten muss ich zur auch noch die alte CPU verbauen und dann wieder testen!?
 
Noch läuft die ganze Geschichte einigermaßen unauffällig mit der alten Version.
Seitenaufbau/Surfen ist doch zeitweise zäher als früher und die CPU-Auslastung schlägt manchmal deutlich (bis ca. 40%) höher aus, als ich es von "früher" gewohnt bin!?
Habe an keiner Einstellung etwas geändert - mit dem CPU-Tausch kann das aber nicht zusammen hängen, oder?


Habe OPNSense seit grob 2022 in Verwendung und laufend mit der Hilfe von Videos/HowTo's erweitert/angepasst.

Jetzt stellt sich mir die Frage, wie/was generell eine gute/sinnvoll "aufgebaute" OPNSense für den privaten Hausgebrauch haben soll - sprich, wie man sie am besten "installieren" soll!!?
Gibt's da irgendwo gute Anleitungen/Infos?

  • Ich betreibe unbound als DNS-Server in Verbindung mit Adguard (versch. Block/Freigabelisten) als Werbeblocker.
  • Wireguard als VPN-Server für ein paar mobile Geräte
  • In Summe 3 VLAN's
  • Alias/Firewall-Regel "RFC1918"

Das war quasi einige Zeit meine "Grundkonfiguration" - welche ich dann mit folgenden Dingen erweitert habe:
  • Spamhaus drop+edrop (welche seit einigen Tagen nicht mehr aktualisiert wird!?) Listen
  • MaxMind GeoIP

Ist das so grob ok, oder Blödsinn/verbesserungswürdig!?


In welcher Reihenfolge sollte man dann die Regeln sortieren?



PS:
Der Speedtest direkt in OPNSense ist völlig aunauffällig => voller Speed wie immer vorhanden.

PPS:
Hab in der Zwischenzeit mehrfach gelesen, dass man GeoIP-Regeln nicht als "fließend" sondern nur direkt im WAN erstellen soll - dies habe ich jetzt bei mir korrigiert.

PPPS:
Hab alle LOGs von allen Regeln deaktiviert - ändert auch nichts an der "wellenförmigen" CPU-Last!
 

Anhänge

  • fließend.jpg
    fließend.jpg
    102,5 KB · Aufrufe: 46
  • LAN.jpg
    LAN.jpg
    76 KB · Aufrufe: 45
Zuletzt bearbeitet:
Dein beschriebenes Setup (ad blocking, wireguard, IP Blocklisten etc) ist 08/15. Das kann eine erhöhte latency / geringeren Durchsatz nicht erklären.

I3-8100 oder i3-9100 sollte auch keine Unterschied machen.

OPNsense 23.7 oder 24.1 sehe ich grds auch keinen Unterschied.

Allerdings hat mein Android Handy zuweilen Probleme, die Google Suche bzw links darüber zu öffnen (dauert laaaange). vielleicht liegt das am Link safety check von adguard? Ich kann den ja mal ausschalten...

Alles in allem aber eher ein Fall für das Opnsense Forum.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh