*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
deshalb die tunables nicht vergessen (steht aber alles in der Anleitung ausm ersten Post):
AliManali
cpt sunday flyer
Ja, dass da alles geroutet wird/werden wird, das war mir schon klar als ich die FW gebaut hatte. Da ist ein Switch sicher komfortabler. Ging bei dem Vorhaben mehr drum, alles bisschen per 10 Gbit anbinden zu können. In den einzelnen Netzwerken passiert da herzlich wenig, und wenn, dann bleibt das auf dem Server, bzw. vSwitch.
OPNsense 24.7 released
Migration notes, known issues and limitations:
- The dashboard has been replaced. Widgets from the old format are no longer supported and need to be rewritten by the respective authors.
- ISC DHCP will no longer reload DNS services on static mapping edits. This is for feature parity with Kea DHCP and avoiding cross-service complications. If you expect your static mappings to show up in a DNS service please restart it manually.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
Ok, weil der Kea das Feature nicht auf die Kette bekommt, kappen wir es eben beim anderen DHCP.
Wie dumm ist das denn?
//Edith:
Ist noch nicht im Auto-Updater...
Wie dumm ist das denn?
//Edith:
Ist noch nicht im Auto-Updater...
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.904
Ich hab mal ne Frage an die HA-Spezis bei der OPNsense:
Wie würdet ihr vorgehen um aus dem Master den Slave zu machen, inkl komplettem Tausch der IPs? Hintergrund: Mein Master ist virtualisiert und hat einen physischen Slave. Da ich eine ganze Zeitlang meinen Hypervisor "verlieren" werde (großformatige Umbaumassnahmen ob möglichem geplanten Switch auf 100g, Java4ever ist schuld) ist das temporär nötig. Und später dann auch wieder zurück...
Wie würdet ihr vorgehen um aus dem Master den Slave zu machen, inkl komplettem Tausch der IPs? Hintergrund: Mein Master ist virtualisiert und hat einen physischen Slave. Da ich eine ganze Zeitlang meinen Hypervisor "verlieren" werde (großformatige Umbaumassnahmen ob möglichem geplanten Switch auf 100g, Java4ever ist schuld) ist das temporär nötig. Und später dann auch wieder zurück...
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
Warum solltest du das tun wollen?
HA ist doch dafür da, Ausfälle zu kompensieren?
Gibt's dann Stress, wenn du den Master abschaltest?
Falls ja, würde ich den Master auf ne kleine Kiste klonen und von da aus weiter betreiben.
HA ist doch dafür da, Ausfälle zu kompensieren?
Gibt's dann Stress, wenn du den Master abschaltest?
Falls ja, würde ich den Master auf ne kleine Kiste klonen und von da aus weiter betreiben.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
Ah, ok.
Dann, klonen ist keine Option?
Dann, klonen ist keine Option?
AliManali
cpt sunday flyer
Dachte ich erst auch, habe den Post aber wieder gelöscht. Weil die Interfacebezeichnungen des Blechs dürften sich von denen auf der VM unterscheiden. Gilt genauso für Configs austauschen.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
Diese Anpassung sollte doch das geringste Problem sein?
Anderes Thema:
24.7 kam gerade rein.
embedded Epyc , connectX3 und die vier onboard-Intels vom M11SDV-4C-LN4F fluppen bislang ohne Stress.
Upgrade lief auch ohne zu meckern durch.
WG, HA-Proxy, unbound, DHCPs und AdGuard fluppen prima.
Anderes Thema:
24.7 kam gerade rein.
embedded Epyc , connectX3 und die vier onboard-Intels vom M11SDV-4C-LN4F fluppen bislang ohne Stress.
Upgrade lief auch ohne zu meckern durch.
WG, HA-Proxy, unbound, DHCPs und AdGuard fluppen prima.
Ich habe meine OPNsense vorhin auch auf 24.7 hochgezogen und das neue Dashboard ist sehr gewöhnungsbedürftig. Wenn ich die Wahl hätte, würde ich weiterhin das alte, bewährte Dashboard weiterverwenden. Habe aber sehr ähnliche Erfahrungen mit dem neuen Dashboard gemacht. Ganz ausgereift scheint das noch nicht zu sein.
AliManali
cpt sunday flyer
Naja, Clonezilla halt. Wobei die Config sichern und tauschen einfacher sein wird.
Habe vorher auch 6 Stunden lang das Update heruntergeladen - da waren die Mirrors wohl überlastet.
Es läuft alles. Sehr angenehm, das mimugmail repo, div. fremdpakete und Adguard Home haben das Update überlebt..
Leider immer noch unglaublich langsam, der FreeBSD14 Unterbau. 50 Sekunden zum booten. Debian 12 in der selben VM ~9 Sekunden. Schade.
Es läuft alles. Sehr angenehm, das mimugmail repo, div. fremdpakete und Adguard Home haben das Update überlebt..
Leider immer noch unglaublich langsam, der FreeBSD14 Unterbau. 50 Sekunden zum booten. Debian 12 in der selben VM ~9 Sekunden. Schade.
AliManali
cpt sunday flyer
Ich habe erst die Updates gemacht, und dann die Firmware rauf gezogen in 10 min inkl 2 Restarts. Aus der GUI raus. Die Installation war allerdings noch nicht so alt, kam von 24.1. Baremetal auf der ollen Haswell.
Das neue Dashboard mag ich, kommt mir vor wie Endian vor 15 Jahren, bisschen auf Stereoiden. Sicher mehr fürs Auge, als die olle Zywall zu bieten hat, welche aktuell noch im Einsatz ist. Bei den Senses bin ich noch nicht lage dabei. Früher nur als VPN Gateway genutzt, und mochte sie nicht so. War immer bisschen Gefrickel in meinem Setup. Aber denke, die opnsense wird meine bisherige Combo Modem/Firewall als einzelnes Gerät ablösen. Bin seit Monaten am testen mit opnsense/pfsense/sophos. Virtuell tendierte ich zu sophos, aber baremetal gefällt mir die opnsense recht gut. Ging mir auch um den Durchsatz. Da gibt es z.T. erhebliche Unterschiede. Drum war auch die Sophos lange mein Favorit. Aber mit der opnsense baremetal kriege ich auch deutlich über 5/5 hin. Wobei von produktiv sind wir noch weit entfernt.
Das neue Dashboard mag ich, kommt mir vor wie Endian vor 15 Jahren, bisschen auf Stereoiden. Sicher mehr fürs Auge, als die olle Zywall zu bieten hat, welche aktuell noch im Einsatz ist. Bei den Senses bin ich noch nicht lage dabei. Früher nur als VPN Gateway genutzt, und mochte sie nicht so. War immer bisschen Gefrickel in meinem Setup. Aber denke, die opnsense wird meine bisherige Combo Modem/Firewall als einzelnes Gerät ablösen. Bin seit Monaten am testen mit opnsense/pfsense/sophos. Virtuell tendierte ich zu sophos, aber baremetal gefällt mir die opnsense recht gut. Ging mir auch um den Durchsatz. Da gibt es z.T. erhebliche Unterschiede. Drum war auch die Sophos lange mein Favorit. Aber mit der opnsense baremetal kriege ich auch deutlich über 5/5 hin. Wobei von produktiv sind wir noch weit entfernt.
toscdesign
Enthusiast
- Mitglied seit
- 17.02.2022
- Beiträge
- 5.515
Ich warte mal lieber das erste Punkt Release ab.
Aktuell läuft alles, da hab ich keinen Bock mir was zu zerschießen.
Da meine OpnSense in einer VM läuft, kann ich zwar vorher ein Backup machen, auf das ich notfalls zurück kann.
Aber der Aufwand ist es aktuell nicht wert, da warte ich lieber bis zu den ersten Bugfixes.
Edit:
Bin auf eure Erfahrungen mit dem neuen Release gespannt
Aktuell läuft alles, da hab ich keinen Bock mir was zu zerschießen.
Da meine OpnSense in einer VM läuft, kann ich zwar vorher ein Backup machen, auf das ich notfalls zurück kann.
Aber der Aufwand ist es aktuell nicht wert, da warte ich lieber bis zu den ersten Bugfixes.
Edit:
Bin auf eure Erfahrungen mit dem neuen Release gespannt
Naja, wie oft startest du deine OPNsense? Wenn die ansonten 24/7 läuft, kann man das vernachlässigen. Ich hatte vor Jahren mal OPNsense auf dem HPE Proliant DL360e Gen8 installiert. Da dauert ein Reboot wirklich lang. Bis der Server selbst initialisiert ist und mit dem Booten von OPNsense beginnt, vergeht eine Menge Zeit.
Sannyboy111985
Experte
- Mitglied seit
- 19.08.2016
- Beiträge
- 122
Hallo zusammen,
ich habe eine OpnSense auf Proxmox virtualisiert, die auch mein WAN-GW ist. Bis Juni konnte ich Backups der VM über PBS auf einen Remote Host im Internet machen. Seid neusten hängt sich die Sense dann aber immer weg und blokiert solange das Backup läuft. Nach einem Abbruch läuft alles wieder.
Mir ist bewusst, dass dieses Setup einige Probleme verursachen kann... mir erschließt sch aber nicht, warum das Bckup plötzlich nicht mehr möglich ist.
ich habe eine OpnSense auf Proxmox virtualisiert, die auch mein WAN-GW ist. Bis Juni konnte ich Backups der VM über PBS auf einen Remote Host im Internet machen. Seid neusten hängt sich die Sense dann aber immer weg und blokiert solange das Backup läuft. Nach einem Abbruch läuft alles wieder.
Mir ist bewusst, dass dieses Setup einige Probleme verursachen kann... mir erschließt sch aber nicht, warum das Bckup plötzlich nicht mehr möglich ist.
Code:
INFO: starting new backup job: vzdump 200 --notification-mode auto --notes-template '{{guestname}}' --storage z-cloud --mode snapshot --node pve --remove 0
INFO: Starting Backup of VM 200 (qemu)
INFO: Backup started at 2024-07-27 14:08:52
INFO: status = running
INFO: VM Name: opnsense
INFO: include disk 'scsi0' 'NVME:vm-200-disk-0' 26G
INFO: backup mode: snapshot
INFO: ionice priority: 7
INFO: creating Proxmox Backup Server archive 'vm/200/2024-07-27T12:08:52Z'
INFO: enabling encryption
INFO: issuing guest-agent 'fs-freeze' command
INFO: issuing guest-agent 'fs-thaw' command
INFO: started backup task 'a7b6d25a-c562-42a4-ad86-0f63c14c0f09'
INFO: resuming VM again
INFO: scsi0: dirty-bitmap status: existing bitmap was invalid and has been cleared
INFO: 2% (596.0 MiB of 26.0 GiB) in 3s, read: 198.7 MiB/s, write: 24.0 MiB/s
ERROR: interrupted by signal
INFO: aborting backup job
INFO: resuming VM again
ERROR: Backup of VM 200 failed - interrupted by signal
INFO: Failed at 2024-07-27 14:09:29
ERROR: Backup job failed - interrupted by signal
INFO: notified via target `mail-to-root`
TASK ERROR: interrupted by signalShihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.904
Aufgrund des fehlenden Displays bin ich jetzt folgendermaßen vorgegangen:
Backup der Physischen sense gemacht
sense als VM installiert und die 4 physischen IFs assigned
Backup der virtuellen sense gemacht
IF namen aus der VM auf das physische BU kopiert bzw. massenhaft ersetzt
BU eingespielt, plugins installiert, rebootet, feddsch.
Danke!
Mein OPNSense update lief auch geschmeidig durch.
Neues Dashboard finde ich auch nicht cool. Naja - egal. Hauptsache das Ding laeuft fehlerfrei.
Neues Dashboard finde ich auch nicht cool. Naja - egal. Hauptsache das Ding laeuft fehlerfrei.
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 328
Update lief sauber durch, HA hat normal während des Updates funktioniert.
Was mir auffiel: im WAN Interface war bei meiner Installation "Block bogon networks" und "Block private networks" deaktiviert, die waren danach wieder aktiv und mussten erneut deaktiviert werden
Was mir auffiel: im WAN Interface war bei meiner Installation "Block bogon networks" und "Block private networks" deaktiviert, die waren danach wieder aktiv und mussten erneut deaktiviert werden
Dann faehrst du aber nen recht spezielles Setup. Das macht schon Sinn wenn das im Default so ist. Wird kaum wer anfassen ^^
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 328
Klar, das ist für das Netz im Netz 
Ich betreue aber tatsächlich 6 von insgesamt 11 Opnsense Instanzen in denen WAN eine LAN Adresse ist und die Internet Sense davor hängt noch
Das sollte auch nicht als Vorwurf an die Macher gemeint sein, aber wer hier mitliest und das Update noch vor sich her schiebt hat es ab jetzt offiziell schonmal gehört
Ich betreue aber tatsächlich 6 von insgesamt 11 Opnsense Instanzen in denen WAN eine LAN Adresse ist und die Internet Sense davor hängt noch
Das sollte auch nicht als Vorwurf an die Macher gemeint sein, aber wer hier mitliest und das Update noch vor sich her schiebt hat es ab jetzt offiziell schonmal gehört
Naja, ab und zu macht man die Updates tagüber, und bootet durch in der Hoffnung das es keine(r) merkt :PNaja, wie oft startest du deine OPNsense? Wenn die ansonten 24/7 läuft, kann man das vernachlässigen. Ich hatte vor Jahren mal OPNsense auf dem HPE Proliant DL360e Gen8 installiert. Da dauert ein Reboot wirklich lang. Bis der Server selbst initialisiert ist und mit dem Booten von OPNsense beginnt, vergeht eine Menge Zeit.
Heute gab es auf 24.7 einen Kernel-Crash mit Reboot.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
Wenn ich das tagsüber mache, kommt sofort das Nudelholz geflogen.
Zum Thema:
Update lief auch gut durch, jedoch habe ich ein eher spezielles Problem:
Seit neuestem habe ich ja zwei Unifi APs, die laufen mit der Controller-Software in ner VM.
Die Software nutzt jedoch selbstsignierte Zertifikate, welche dann bei mir Fehlermeldungen schmeißen, weil ich das WebUI über FQDNs aufrufe.
Also, austauschen.
Gesagt getan, das interne Zertifikat von der OPNsense als PKCS12 exportiert und wollte es im Keystore Explorer laut Anleitung in den Unifi-Keystore importieren.
*peng* Fehlermeldung, die PKCS12 sei entweder kaputt oder ich hätte ein falsches PW eingegeben (ganz, ganz sicher nicht, 4x)
Jetzt kommts:
Hab dann ne Config samt Zertifikaten aus der OPNsense exportiert und händisch die PEMs von Cert und Key extrahiert.
Diese ganz normal mit openssl in ein PKCS12 (mit demselben Passwort!) gewandelt und das neue dann importiert.
DAS ging!
Wieso ging das über das WebUI der OPNsense exportierte PKCS12 nicht?
Zum Thema:
Update lief auch gut durch, jedoch habe ich ein eher spezielles Problem:
Seit neuestem habe ich ja zwei Unifi APs, die laufen mit der Controller-Software in ner VM.
Die Software nutzt jedoch selbstsignierte Zertifikate, welche dann bei mir Fehlermeldungen schmeißen, weil ich das WebUI über FQDNs aufrufe.
Also, austauschen.
Gesagt getan, das interne Zertifikat von der OPNsense als PKCS12 exportiert und wollte es im Keystore Explorer laut Anleitung in den Unifi-Keystore importieren.
*peng* Fehlermeldung, die PKCS12 sei entweder kaputt oder ich hätte ein falsches PW eingegeben (ganz, ganz sicher nicht, 4x)
Jetzt kommts:
Hab dann ne Config samt Zertifikaten aus der OPNsense exportiert und händisch die PEMs von Cert und Key extrahiert.
Diese ganz normal mit openssl in ein PKCS12 (mit demselben Passwort!) gewandelt und das neue dann importiert.
DAS ging!
Wieso ging das über das WebUI der OPNsense exportierte PKCS12 nicht?
Bin wieder von OPNSense zurück zu pfSense, da klappen wenigstens Updates. Hatte auch nen Kernel Panic nach Update. Und meine Portforwardings klappten beim vorigen Update nicht mehr. Keine Lust mehr auf sowas.
Die Frage kann ich dir leider nicht beantworten, aber ich würde den Fehler im OPNsense-Forum melden.
Ja, da kann ich nur zustimmen.
Nutze OPNSense jetzt seit ca. 2 Jahren und habe 2-3x pro Jahr irgendwelche Baustellen (Konfig. Seit 1,5 Jahren gleich) und die Fehler dann zu finden ist für mich als „Nicht-IT-Profi“ immer sehr aufwändig/lästig!
LG
Zeitmangel
Experte
Ich frag mich auch langsam, ob da nicht irgendein... Maulwurf, zwar nicht per Code, aber per solches social engineering zu solchen Änderungen drängt und das Ding damit stark zurückfahren will.
Und dieses gegenüber der pfSense haben neuer, haben besser und jetzt wieder einmal mit enhnaced security und enhanced performance... Sind wir da bei QVC oder was ist los?
Und dieses gegenüber der pfSense haben neuer, haben besser und jetzt wieder einmal mit enhnaced security und enhanced performance... Sind wir da bei QVC oder was ist los?
Zuletzt bearbeitet: