[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
DHCP Server.JPG
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Was sagt der Firewall-Reiter wo du die any any rule definiert hast?
 
Hätte da mal wieder eine Frage!

Meine OPNSense lief jetzt 78 Tage mit 24.1.5._3 durch.
Habe jetzt das Update auf 24.1.9_4 durchgeführt und habe festgestellt, dass meine SSD fast voll ist!

386 von 429GB belegt!

Habe mal "du -hd 1 /" eingegeben - lt. Auflistung hat mein "usr" Ordner 371 GB.

Wie finde ich denn raus, warum das so ist, bzw. was ich ev. löschen kann!?


Danke!


LG

Hab den Fehler gefunden.

Warum auch immer, gab es 2 extrem große Log-Dateien von AdGuardHome - die haben die SSD zugemüllt.

Habe eigentlich überall max. 30 Tage eingestellt und hatte damit vorher auch keine Probleme.
Habe die Logs manuell gelöscht, in AGH mal alles auf 15 Tage gestellt - mal sehen...


Zum Schluss war die SSD so voll, dass kein Internet mehr ging, kein SSH mehr ging - musste einen Monitor dranhängen und im "Single User Modus" starten.
 
Laeuft das bei dir als Plugin?
 
Werf's doch da runter und mach ne kleine VM daraus.
Wuerde sowieso immer guggen dass moeglichst wenig unnoetiger Kram auf der Firewall laeuft. Macht sie a.) sicherer und b.) haste nicht genau dein Problem dass irgendwelche Plugins manchmal randalieren und alles um Erliegen bringen.
 
Dann müsste ich ja die OPNSense auf dem Tiny auch als VM aufsetzen - das möchte ich nicht unbedingt.
 
Hast keinen Raspberry oder so herumfliegen? Zur not n gebrauchten um n schmalen Taler. Frisst nicht viel Heu und du bist flexibel mit deinem DNS Kram ohne jedes mal die Firewall anfassen zu muessen.
 
Bin jedenfalls Hellauf begeistert von der OPNSense. Haette viel frueher die PFSense ad acta legen sollen.
Was genau macht denn für dich diesen riesigen Unterschied aus?
 
Versteh ich auch nich, als OPNSense noch auf hardenedBSD basierte leuchteten mir die Vorteile ja noch ein, aber seitdem es auch „nur“ eine FreeBSD Webui ist…die UI ist für mich wesentlich unübersichtlicher. Von der Performance schenken sich wohl beide nichts.
 
Hast keinen Raspberry oder so herumfliegen? Zur not n gebrauchten um n schmalen Taler. Frisst nicht viel Heu und du bist flexibel mit deinem DNS Kram ohne jedes mal die Firewall anfassen zu muessen.

Nein, habe ich nicht.

Auf dem Tiny läuft OPNSense mit Unbound+AGH (als Plugins).

Hab die Logs von AGH jetzt mal auf 7 Tage limitiert.

Interesssnt ist halt nur, dass dieses Setup schon seit ca. 2 Jahren laufen habe, aber das Problem mit den großen Log-Dateien erst seit Kurzem besteht?!
 
Interesssnt ist halt nur, dass dieses Setup schon seit ca. 2 Jahren laufen habe, aber das Problem mit den großen Log-Dateien erst seit Kurzem besteht?!
Das ist eben das Problem wenn man 3rd-Party Plugins verwendet.
Heute ists dein Adblocker, morgen irgend nen ACME CLient oder sonstiges Zeug was auf der FIrewall als eigenes Paket mitlaeuft.
Reicht ja - wie in deinem Fall, dass ein Bug im Logging oder in der Log-Rotation des Pakets drinne ist und zack steht deine Kiste irgendwann.
 
Soll jeder nutzen, was er mag. Aber eine Antwort ist @p4n0 noch schuldig. 😉
Funktioniert einfach ohne viel Gefrickel. Die Plugins sind gut und supporten viel Kram. Konkretes Beispiel: ACME Client ist auf der opnsense um lichtjahre voraus. Weil die Challenge super easy ohne n halben Tag haproxy Studium geht. Ist bei der Pfsense deutlich viereckiger. Vielleicht isses auch nur die modernere Gui, keine Ahnung. Ich mag das System jedenfalls und es fiel mir einfacher alles einzurichten als bei der PFSense.
 
Kurz mal reingeworfen, OPNsense auf ner Watchguard M670 läuft einwandfrei. Nach Eingabe des ULTRA geheimen Bios-Passwortes (wer Interesse hat, PN), lassen sich die Kisten auch bequem von nem Stick booten... Mangels Grafikschnittstelle per Konsolenkabel. Warum auch immer, ist ne CPU mit Grafikeinheit verbaut. Also auch perfekt für Proxmox & Co. inkl. Grafikbeschleunigung zumal sich 2 Sata-Platten und ne mSATA verbauen lassen :fresse2:
 
Hi. Bräuchte mal Eure Einschätzung. Bei einem Router, Modem, Firewall kann man ja einfach den Strom ziehen zum abschalten.

Habe da eine Sense auf Serverhardware, mit IPMI und so. An den Softpower Schalter komme ich da nicht so gut ran, weil die Front des Towers Richtung Wand zeigt, da müsste ich übel unter den Tisch kriechen.

Habe im BIOS eingestellt, dass das Gutzli wieder hoch kommt, wenn man Spannung anlegt.

Kann ich bedenkenlos zum ausschalten/"resetten" einfach den Schalter am Netzteil kippen? Oder sollte man das lassen? OS liegt auf einer SSD.
 
Hi,
mit UFS als Dateisystem machst du das mit Pech nur einmal, das ist sehr empfindlich. Hast du auf ZFS installiert, sieht das schon anders aus, aber optimal ist es nicht und ein Restrisiko bleibt.
Warum fährst du nicht über die WebGUI/SSH herunter? Starten kannst du dann entweder über WOL, oder dann doch den Netzteil-Schalter nutzen nachdem ordnungsgemäß heruntergefahren wurde.
 
Was sagt der Firewall-Reiter wo du die any any rule definiert hast?

Hi. Bin immer noch an dem Problem mit den VLAN dran, die nicht raus kommen. Habe zwei Regeln angelegt, und protokollieren an gemacht. Scheinbar wird da was von der FW geblockt. Reichen die zwei Regeln nicht?


regeln.JPG



log.JPG
 
Okay. Habe in dem Zug mal von pfsense zurück zur opnsense gewechselt. Das mit dem VLAN habe ich noch nicht getestet. Aber ich schaffe es nicht mal, eine OPT Schnittstelle einzurichten. Habe alles gegeben, auch noch eine 1 GbE NIC eingebaut.

Habe einen eigenen Gateway für für das Interface eingerichtet. Das Interface selber konfiguriert mit dem Gateway im selben Range, und Firewall Regeln erstellt. Und den DHCP Server erstellt, da wird brav eine Adresse bezogen in meinem gewünschten Range. Habe zum testen den Laptop gestöpselt. Geht weder an einer der onboard 10 GbE NICs, noch an der zugesteckten 1 GbE Karte.

Überall das selbe Verhalten. Ich kann den OPT Gateway anpingen, den LAN Gateway anpingen aber mit 8.8.8.8 will das OPT Interface partout nicht reden.

Habe ich was vergessen? Brauchts da noch irgend ein voodoo, dass ich da raus komme am OPT Interface?

Ausserdem ist die Verbindung am LAN Interface extrem langsam. Wenn ich da eine Adresse im Browser eingebe, geht das immer 10-20s, bis da mal was geht. Glaube er will da immer erst über IPv6 raus gehen, aber ich habe IPv6 nicht konfiguriert.

Für heute habe ich es glaube ich mal gesehen. Mir raucht der Kopf.
 
Zuletzt bearbeitet:
Okay, habe es hin gekriegt. Auch das ohne Switch getagged auf den ESXi fahren klappt wunderbar. Manchmal tut bisschen Schlaf dazwischen doch gut.

Zum Glück mangelt es manchmal am Kleingeld, und ich habe nicht mal einfach so auf gut Glück den Hoster gewechselt. Aber da nehme ich mir dann eh 2 Monate parallel, dann kann ich bisschen testen, ohne dass der ganze Christbaum gleich offline geht.

Aber mit der opnsense muss ich mich glaube ich recht reinfuchsen noch. Das kann man nicht einfach so von der Zywall 1:1 ummünzen.
 
Wo ich auch nicht ganz durchsehe: wenn ich am Interface ix1 ein vLAN habe, und an ix3 das selbe VLAN nutze (mein LAN, VLAN29), sind die dann voneinander unabhängig? Komme von einer Zywall, das ist dort alles komplett anders gelöst. Da habe ich physische Interfaces und VLANs, und kann die nach belieben dann physischen Ports zuweisen.

Ich hätte also gerne auf verschiedenen physischen Ports die selben vLAN. Da hängen entweder Clients dran, oder eben Server getagged mit mehreren VLANs.

Der hilft dir nicht. Du brauchst nen Switch zum anfassen damit das klappt was du vorhast :d

Ich hab das jetzt so mit ner Sense noch nicht getestest, aber eine Bridge mit beiden Ports auf der die VLANs getaggt laufen geht auch nicht?

Ich habe dazu mal Bard befragt. Aber der äussert sich dazu bisschen wiedersprüchlich:

Ist es nicht so, dass bei der opnsense auf jedem Adapter eine eigene VLAN Zuordnung ist? Oder gelten die VLAN systemweit? Ich habe keinen Switch, und möchte auf 2 Server fahren. Jeweils mit einer getaggten Strippe (VLAN 10, 11, 12). An zwei Adaptern an der opnsense. Bei beiden Adaptern sollen die gleichen VLAN anliegen.

Sie haben Recht, dass auf einer OPNsense-Firewall standardmäßig jedem Netzwerkadapter eine eigene VLAN-Zuordnung zugewiesen ist. Dies bedeutet, dass die VLANs nicht systemweit gelten.

Um zwei Server mit jeweils getaggten Verbindungen (VLAN 10, 11, 12) an zwei Adaptern der OPNsense zu verbinden, müssen Sie die folgenden Schritte ausführen:

1. Konfigurieren Sie die VLANs:


  • Stellen Sie sicher, dass die VLANs 10, 11 und 12 auf der OPNsense-Firewall korrekt konfiguriert sind. Sie müssen die VLAN-IDs und die Tagging-Methode (z. B. 802.1Q) festlegen.
2. Konfigurieren Sie die Netzwerkschnittstellen:

  • Weisen Sie jedem Netzwerkadapter die entsprechenden VLANs zu. Das bedeutet, dass Sie einem Adapter die VLANs 10 und 11 und dem anderen Adapter die VLANs 11 und 12 zuweisen müssen.
  • Stellen Sie sicher, dass die Netzwerkschnittstellen auf "up" gesetzt sind und die richtige IP-Adresse und Subnetzmaske für jedes VLAN haben.
3. Konfigurieren Sie die Server:

  • Konfigurieren Sie die Netzwerkschnittstellen auf den beiden Servern so, dass sie die entsprechenden VLANs verwenden.
  • Stellen Sie sicher, dass die Server die richtige IP-Adresse und Subnetzmaske für jedes VLAN haben.
4. Speichern Sie die Konfiguration:

  • Speichern Sie die Konfiguration auf der OPNsense-Firewall und starten Sie sie neu.
  • Starten Sie die beiden Server neu.
Nachdem Sie diese Schritte ausgeführt haben, sollten die beiden Server miteinander kommunizieren können, jeweils über die ihnen zugewiesenen VLANs.

Es ist wichtig zu beachten, dass Sie für diese Konfiguration keine Bridge benötigen.
Die VLANs werden auf den einzelnen Netzwerkschnittstellen und den Servern korrekt geroutet.

Vorteile dieser Methode:

  • Einfachheit: Diese Methode ist relativ einfach zu konfigurieren.
  • Flexibilität: Sie können verschiedene VLANs auf verschiedenen Ports derselben Netzwerkschnittstelle verwenden.
Nachteile dieser Methode:

  • Isolation: Der Datenverkehr zwischen den verschiedenen VLANs ist nicht isoliert.
  • Sicherheit: Dies kann ein Sicherheitsrisiko darstellen, wenn die Netzwerkschnittstellen nicht ordnungsgemäß gesichert sind.
Alternativen:

  • Routing: Sie können Routing verwenden, um den Datenverkehr zwischen den verschiedenen VLANs zu isolieren. Dies kann jedoch komplexer sein als die direkte Zuweisung der VLANs zu den Netzwerkschnittstellen.
  • Virtuelle Switches: Sie können virtuelle Switches verwenden, um die VLANs zu isolieren und zusätzliche Sicherheitsfunktionen bereitzustellen. Dies erfordert jedoch zusätzliche Software und Konfiguration.
Welche Methode Sie wählen, hängt von Ihren spezifischen Anforderungen ab.

Weitere Informationen:



Kann dazu jemand eine verlässliche Angabe machen, wie ich zwei Server an zwei physische Adapter hänge, bei dem die beiden Trunks die selben VLANs enthalten? So, dass ich nicht überall eigene Gateways machen muss? Switch ist keine Option, das muss direkt an der Firewall passieren!
 
Bin auf die Loesung ohne Physikalischen Switch gespannt. Ich bin der Meinung dass das nicht klappt. Vlans auf Bridges funktioniert bei der OPNSense nicht
 
ungefähr so:

oder so:

Der Clou ist tatsächlich, die VLANs zu bridgen.
Beitrag automatisch zusammengeführt:

fluppt genau so:
VLANs auf den phys. Interfaces erstellen:
1721048401617.png


Assignments(!!!) NICHT vergessen!:
1721048454189.png


Die VLANs bridgen:
1721048372585.png

Danach einfach der Bridge statt dem VLAN den DHCP zuweisen.
 
Zuletzt bearbeitet:
@Weltherrscher und das sind die gleichen VLANs? Also ein DHCP Server fuer deine VLANs222?
 
Ich verstehe die Frage nicht, der DHCP wird auf die Bridge gesetzt.
Mom.

//Edith1:
Die VLANs sind auf zwei unbenutzten phys. Interfaces gebastelt.
//Edith2:
et voila:
1721049702178.png

(Nicht vergessen, die Bridge auch wieder zu ASSIGNEN!!! =) )
1721049883641.png

Unter Services DHCP:
1721050350489.png

Feuer Frei.

//Edith4:
Vergesst das DHCP oben bei dem Interface, da muss natürlich die feste IP rein (z.B. 192.168.222.1/24).
 
Zuletzt bearbeitet:
Meinem Verstaendnis nach sind das 2 unterschiedliche Netzwerke. Denn du hast ja explizit 2x das VLAN222 auf deiner Box angelegt. Theoretisch kannst du diesen Netzten komplett unterschiedliche CIDRs verpassen.

Wenn ich die Dokomentation richtig verstanden habe kann ein vlan immer nur genau 1x existieren.
 
Okay, werde ich testen. Im Moment bin ich noch mit den Regeln am kämpfen. Dass man da eingehend beregelt, obwohl man raus möchte, damit komme ich noch nicht ganz klar. Das ist für mich maximal verwirrend.

Wäre schon echt nice, wenn ich da auf einen Switch verzichten könnte. Habe da mal gegooglet und in einem anderen Thread nachgefragt. Möchte jetzt nicht unbedingt vierstellig ausgeben für einen Switch. Und die werden sicher auch recht Krach machen. Das war auch der Nachteil bei meiner Zywall und Uraltswitch Combo, die hört man auch ganz deutlich im Schlafzimmer. Das Zeug befindet sich halt in meinem Büro, das Gebrumme nerft schon bisschen manchmal.
 
@p4n0:
Ja, man könnte, wenn ich auf den VLAN-Interfaces je einen DHCP aktivieren würde.
Das VLAN Nr. 222 existiert doch auf jedem *physikalischem* Interface nur genau einmal und ich stecke diese auf eine Bridge, das ist im Endeffekt nichts anderes, als die beiden Karten in je einen Switchport zu stopfen.
An den Switchports kannst du doch auch das VLAN 222 jedem einzelnen Port vergeben und trotzdem existiert es im Switch nur einmal.

Lass ma Ali des probieren, ich hab die Konfig schon wieder gelöscht.
Ich ertwarte aber, dass der DHCP auf der Bridge jedem Endgerät im VLAN 222 hinter beiden Karten eine IP zuweist.
 
Bin gespannt was Ali sagt. Ich denke hier passiert irgend ein Inter-vlan-routing auf der Sense. Und anfuehlen tut es sich fuer mich ‚falsch‘ :d aber bin auch nur ein Netzwerk-noob

Insbesondere die Kommunikation zwischen diesen beiden Vlan222 wuerde mich interessieren was die Auslastung der Firewall dazu sagt.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh