*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
AliManali
cpt sunday flyer
Was sagt der Firewall-Reiter wo du die any any rule definiert hast?
Hab den Fehler gefunden.
Warum auch immer, gab es 2 extrem große Log-Dateien von AdGuardHome - die haben die SSD zugemüllt.
Habe eigentlich überall max. 30 Tage eingestellt und hatte damit vorher auch keine Probleme.
Habe die Logs manuell gelöscht, in AGH mal alles auf 15 Tage gestellt - mal sehen...
Zum Schluss war die SSD so voll, dass kein Internet mehr ging, kein SSH mehr ging - musste einen Monitor dranhängen und im "Single User Modus" starten.
Laeuft das bei dir als Plugin?
Werf's doch da runter und mach ne kleine VM daraus.
Wuerde sowieso immer guggen dass moeglichst wenig unnoetiger Kram auf der Firewall laeuft. Macht sie a.) sicherer und b.) haste nicht genau dein Problem dass irgendwelche Plugins manchmal randalieren und alles um Erliegen bringen.
Wuerde sowieso immer guggen dass moeglichst wenig unnoetiger Kram auf der Firewall laeuft. Macht sie a.) sicherer und b.) haste nicht genau dein Problem dass irgendwelche Plugins manchmal randalieren und alles um Erliegen bringen.
Hast keinen Raspberry oder so herumfliegen? Zur not n gebrauchten um n schmalen Taler. Frisst nicht viel Heu und du bist flexibel mit deinem DNS Kram ohne jedes mal die Firewall anfassen zu muessen.
Was genau macht denn für dich diesen riesigen Unterschied aus?
Versteh ich auch nich, als OPNSense noch auf hardenedBSD basierte leuchteten mir die Vorteile ja noch ein, aber seitdem es auch „nur“ eine FreeBSD Webui ist…die UI ist für mich wesentlich unübersichtlicher. Von der Performance schenken sich wohl beide nichts.
Nein, habe ich nicht.
Auf dem Tiny läuft OPNSense mit Unbound+AGH (als Plugins).
Hab die Logs von AGH jetzt mal auf 7 Tage limitiert.
Interesssnt ist halt nur, dass dieses Setup schon seit ca. 2 Jahren laufen habe, aber das Problem mit den großen Log-Dateien erst seit Kurzem besteht?!
Das ist eben das Problem wenn man 3rd-Party Plugins verwendet.
Heute ists dein Adblocker, morgen irgend nen ACME CLient oder sonstiges Zeug was auf der FIrewall als eigenes Paket mitlaeuft.
Reicht ja - wie in deinem Fall, dass ein Bug im Logging oder in der Log-Rotation des Pakets drinne ist und zack steht deine Kiste irgendwann.
Funktioniert einfach ohne viel Gefrickel. Die Plugins sind gut und supporten viel Kram. Konkretes Beispiel: ACME Client ist auf der opnsense um lichtjahre voraus. Weil die Challenge super easy ohne n halben Tag haproxy Studium geht. Ist bei der Pfsense deutlich viereckiger. Vielleicht isses auch nur die modernere Gui, keine Ahnung. Ich mag das System jedenfalls und es fiel mir einfacher alles einzurichten als bei der PFSense.
towatai
Enthusiast
Kurz mal reingeworfen, OPNsense auf ner Watchguard M670 läuft einwandfrei. Nach Eingabe des ULTRA geheimen Bios-Passwortes (wer Interesse hat, PN), lassen sich die Kisten auch bequem von nem Stick booten... Mangels Grafikschnittstelle per Konsolenkabel. Warum auch immer, ist ne CPU mit Grafikeinheit verbaut. Also auch perfekt für Proxmox & Co. inkl. Grafikbeschleunigung zumal sich 2 Sata-Platten und ne mSATA verbauen lassen 
AliManali
cpt sunday flyer
Hi. Bräuchte mal Eure Einschätzung. Bei einem Router, Modem, Firewall kann man ja einfach den Strom ziehen zum abschalten.
Habe da eine Sense auf Serverhardware, mit IPMI und so. An den Softpower Schalter komme ich da nicht so gut ran, weil die Front des Towers Richtung Wand zeigt, da müsste ich übel unter den Tisch kriechen.
Habe im BIOS eingestellt, dass das Gutzli wieder hoch kommt, wenn man Spannung anlegt.
Kann ich bedenkenlos zum ausschalten/"resetten" einfach den Schalter am Netzteil kippen? Oder sollte man das lassen? OS liegt auf einer SSD.
Habe da eine Sense auf Serverhardware, mit IPMI und so. An den Softpower Schalter komme ich da nicht so gut ran, weil die Front des Towers Richtung Wand zeigt, da müsste ich übel unter den Tisch kriechen.
Habe im BIOS eingestellt, dass das Gutzli wieder hoch kommt, wenn man Spannung anlegt.
Kann ich bedenkenlos zum ausschalten/"resetten" einfach den Schalter am Netzteil kippen? Oder sollte man das lassen? OS liegt auf einer SSD.
Hi,
mit UFS als Dateisystem machst du das mit Pech nur einmal, das ist sehr empfindlich. Hast du auf ZFS installiert, sieht das schon anders aus, aber optimal ist es nicht und ein Restrisiko bleibt.
Warum fährst du nicht über die WebGUI/SSH herunter? Starten kannst du dann entweder über WOL, oder dann doch den Netzteil-Schalter nutzen nachdem ordnungsgemäß heruntergefahren wurde.
mit UFS als Dateisystem machst du das mit Pech nur einmal, das ist sehr empfindlich. Hast du auf ZFS installiert, sieht das schon anders aus, aber optimal ist es nicht und ein Restrisiko bleibt.
Warum fährst du nicht über die WebGUI/SSH herunter? Starten kannst du dann entweder über WOL, oder dann doch den Netzteil-Schalter nutzen nachdem ordnungsgemäß heruntergefahren wurde.
AliManali
cpt sunday flyer
Hi. Bin immer noch an dem Problem mit den VLAN dran, die nicht raus kommen. Habe zwei Regeln angelegt, und protokollieren an gemacht. Scheinbar wird da was von der FW geblockt. Reichen die zwei Regeln nicht?
AliManali
cpt sunday flyer
Okay. Habe in dem Zug mal von pfsense zurück zur opnsense gewechselt. Das mit dem VLAN habe ich noch nicht getestet. Aber ich schaffe es nicht mal, eine OPT Schnittstelle einzurichten. Habe alles gegeben, auch noch eine 1 GbE NIC eingebaut.
Habe einen eigenen Gateway für für das Interface eingerichtet. Das Interface selber konfiguriert mit dem Gateway im selben Range, und Firewall Regeln erstellt. Und den DHCP Server erstellt, da wird brav eine Adresse bezogen in meinem gewünschten Range. Habe zum testen den Laptop gestöpselt. Geht weder an einer der onboard 10 GbE NICs, noch an der zugesteckten 1 GbE Karte.
Überall das selbe Verhalten. Ich kann den OPT Gateway anpingen, den LAN Gateway anpingen aber mit 8.8.8.8 will das OPT Interface partout nicht reden.
Habe ich was vergessen? Brauchts da noch irgend ein voodoo, dass ich da raus komme am OPT Interface?
Ausserdem ist die Verbindung am LAN Interface extrem langsam. Wenn ich da eine Adresse im Browser eingebe, geht das immer 10-20s, bis da mal was geht. Glaube er will da immer erst über IPv6 raus gehen, aber ich habe IPv6 nicht konfiguriert.
Für heute habe ich es glaube ich mal gesehen. Mir raucht der Kopf.
Habe einen eigenen Gateway für für das Interface eingerichtet. Das Interface selber konfiguriert mit dem Gateway im selben Range, und Firewall Regeln erstellt. Und den DHCP Server erstellt, da wird brav eine Adresse bezogen in meinem gewünschten Range. Habe zum testen den Laptop gestöpselt. Geht weder an einer der onboard 10 GbE NICs, noch an der zugesteckten 1 GbE Karte.
Überall das selbe Verhalten. Ich kann den OPT Gateway anpingen, den LAN Gateway anpingen aber mit 8.8.8.8 will das OPT Interface partout nicht reden.
Habe ich was vergessen? Brauchts da noch irgend ein voodoo, dass ich da raus komme am OPT Interface?
Ausserdem ist die Verbindung am LAN Interface extrem langsam. Wenn ich da eine Adresse im Browser eingebe, geht das immer 10-20s, bis da mal was geht. Glaube er will da immer erst über IPv6 raus gehen, aber ich habe IPv6 nicht konfiguriert.
Für heute habe ich es glaube ich mal gesehen. Mir raucht der Kopf.
Zuletzt bearbeitet:
AliManali
cpt sunday flyer
Okay, habe es hin gekriegt. Auch das ohne Switch getagged auf den ESXi fahren klappt wunderbar. Manchmal tut bisschen Schlaf dazwischen doch gut.
Zum Glück mangelt es manchmal am Kleingeld, und ich habe nicht mal einfach so auf gut Glück den Hoster gewechselt. Aber da nehme ich mir dann eh 2 Monate parallel, dann kann ich bisschen testen, ohne dass der ganze Christbaum gleich offline geht.
Aber mit der opnsense muss ich mich glaube ich recht reinfuchsen noch. Das kann man nicht einfach so von der Zywall 1:1 ummünzen.
Zum Glück mangelt es manchmal am Kleingeld, und ich habe nicht mal einfach so auf gut Glück den Hoster gewechselt. Aber da nehme ich mir dann eh 2 Monate parallel, dann kann ich bisschen testen, ohne dass der ganze Christbaum gleich offline geht.
Aber mit der opnsense muss ich mich glaube ich recht reinfuchsen noch. Das kann man nicht einfach so von der Zywall 1:1 ummünzen.
AliManali
cpt sunday flyer
Der hilft dir nicht. Du brauchst nen Switch zum anfassen damit das klappt was du vorhast
Ich habe dazu mal Bard befragt. Aber der äussert sich dazu bisschen wiedersprüchlich:
Kann dazu jemand eine verlässliche Angabe machen, wie ich zwei Server an zwei physische Adapter hänge, bei dem die beiden Trunks die selben VLANs enthalten? So, dass ich nicht überall eigene Gateways machen muss? Switch ist keine Option, das muss direkt an der Firewall passieren!
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
Mit ner Bridge?
Interfaces->other Types->Bridge und die physischen Interfaces da rein werfen?
Interfaces->other Types->Bridge und die physischen Interfaces da rein werfen?
Bin auf die Loesung ohne Physikalischen Switch gespannt. Ich bin der Meinung dass das nicht klappt. Vlans auf Bridges funktioniert bei der OPNSense nicht
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
ungefähr so:
oder so:
Der Clou ist tatsächlich, die VLANs zu bridgen.
fluppt genau so:
VLANs auf den phys. Interfaces erstellen:
Assignments(!!!) NICHT vergessen!:
Die VLANs bridgen:
Danach einfach der Bridge statt dem VLAN den DHCP zuweisen.
oder so:
Der Clou ist tatsächlich, die VLANs zu bridgen.
Beitrag automatisch zusammengeführt:
fluppt genau so:
VLANs auf den phys. Interfaces erstellen:
Assignments(!!!) NICHT vergessen!:
Die VLANs bridgen:
Danach einfach der Bridge statt dem VLAN den DHCP zuweisen.
Zuletzt bearbeitet:
@Weltherrscher und das sind die gleichen VLANs? Also ein DHCP Server fuer deine VLANs222?
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
Ich verstehe die Frage nicht, der DHCP wird auf die Bridge gesetzt.
Mom.
//Edith1:
Die VLANs sind auf zwei unbenutzten phys. Interfaces gebastelt.
//Edith2:
et voila:
(Nicht vergessen, die Bridge auch wieder zu ASSIGNEN!!! =) )
Unter Services DHCP:
Feuer Frei.
//Edith4:
Vergesst das DHCP oben bei dem Interface, da muss natürlich die feste IP rein (z.B. 192.168.222.1/24).
Mom.
//Edith1:
Die VLANs sind auf zwei unbenutzten phys. Interfaces gebastelt.
//Edith2:
et voila:
(Nicht vergessen, die Bridge auch wieder zu ASSIGNEN!!! =) )
Unter Services DHCP:
Feuer Frei.
//Edith4:
Vergesst das DHCP oben bei dem Interface, da muss natürlich die feste IP rein (z.B. 192.168.222.1/24).
Zuletzt bearbeitet:
Meinem Verstaendnis nach sind das 2 unterschiedliche Netzwerke. Denn du hast ja explizit 2x das VLAN222 auf deiner Box angelegt. Theoretisch kannst du diesen Netzten komplett unterschiedliche CIDRs verpassen.
Wenn ich die Dokomentation richtig verstanden habe kann ein vlan immer nur genau 1x existieren.
Wenn ich die Dokomentation richtig verstanden habe kann ein vlan immer nur genau 1x existieren.
AliManali
cpt sunday flyer
Okay, werde ich testen. Im Moment bin ich noch mit den Regeln am kämpfen. Dass man da eingehend beregelt, obwohl man raus möchte, damit komme ich noch nicht ganz klar. Das ist für mich maximal verwirrend.
Wäre schon echt nice, wenn ich da auf einen Switch verzichten könnte. Habe da mal gegooglet und in einem anderen Thread nachgefragt. Möchte jetzt nicht unbedingt vierstellig ausgeben für einen Switch. Und die werden sicher auch recht Krach machen. Das war auch der Nachteil bei meiner Zywall und Uraltswitch Combo, die hört man auch ganz deutlich im Schlafzimmer. Das Zeug befindet sich halt in meinem Büro, das Gebrumme nerft schon bisschen manchmal.
Wäre schon echt nice, wenn ich da auf einen Switch verzichten könnte. Habe da mal gegooglet und in einem anderen Thread nachgefragt. Möchte jetzt nicht unbedingt vierstellig ausgeben für einen Switch. Und die werden sicher auch recht Krach machen. Das war auch der Nachteil bei meiner Zywall und Uraltswitch Combo, die hört man auch ganz deutlich im Schlafzimmer. Das Zeug befindet sich halt in meinem Büro, das Gebrumme nerft schon bisschen manchmal.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
@p4n0:
Ja, man könnte, wenn ich auf den VLAN-Interfaces je einen DHCP aktivieren würde.
Das VLAN Nr. 222 existiert doch auf jedem *physikalischem* Interface nur genau einmal und ich stecke diese auf eine Bridge, das ist im Endeffekt nichts anderes, als die beiden Karten in je einen Switchport zu stopfen.
An den Switchports kannst du doch auch das VLAN 222 jedem einzelnen Port vergeben und trotzdem existiert es im Switch nur einmal.
Lass ma Ali des probieren, ich hab die Konfig schon wieder gelöscht.
Ich ertwarte aber, dass der DHCP auf der Bridge jedem Endgerät im VLAN 222 hinter beiden Karten eine IP zuweist.
Ja, man könnte, wenn ich auf den VLAN-Interfaces je einen DHCP aktivieren würde.
Das VLAN Nr. 222 existiert doch auf jedem *physikalischem* Interface nur genau einmal und ich stecke diese auf eine Bridge, das ist im Endeffekt nichts anderes, als die beiden Karten in je einen Switchport zu stopfen.
An den Switchports kannst du doch auch das VLAN 222 jedem einzelnen Port vergeben und trotzdem existiert es im Switch nur einmal.
Lass ma Ali des probieren, ich hab die Konfig schon wieder gelöscht.
Ich ertwarte aber, dass der DHCP auf der Bridge jedem Endgerät im VLAN 222 hinter beiden Karten eine IP zuweist.
Bin gespannt was Ali sagt. Ich denke hier passiert irgend ein Inter-vlan-routing auf der Sense. Und anfuehlen tut es sich fuer mich ‚falsch‘ aber bin auch nur ein Netzwerk-noob
Insbesondere die Kommunikation zwischen diesen beiden Vlan222 wuerde mich interessieren was die Auslastung der Firewall dazu sagt.
aber bin auch nur ein Netzwerk-noobInsbesondere die Kommunikation zwischen diesen beiden Vlan222 wuerde mich interessieren was die Auslastung der Firewall dazu sagt.