[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Wobei, ich betreibe meine virtualisierte Sense hinter einer Fritzbox, d.h. einige Kisten sind eh direkt damit verbunden und bei potentiellen Problemen bin auch mit dem Rest ganz schnell wieder online. Gerade bei DSL-Problemen ist es ganz nützlich, wenn man auf die Fritte verweisen kann und nicht groß irgendwas mit einer Firewall erklären muss. Hindert gewisse Hotliner aber trotzdem nicht daran, Blech zu reden...

Und Doppel-NAT ist performance-technisch auch kein Problem. Hatte es auch mal deaktiviert, das erfordert dann aber schon wieder etwas mehr Know-How, wenn man es denn ganz richtig machen will (also NAT nur an der Fritte und dabei jeglichen asymmetrischen Traffic verhindern).
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
@hs_warez Ich denke, dass dein DNS (Warscheinlich unbound) nicht auf dein VPN Netz hoert bzw. jenes bedient.
Dort wuerde ich deinen Fehler vermuten.
Eventuell auch falsche default search domain am VPN Server hinterlegt.

Hm, ok - danke für deinen Input - muss ich mir am WE mal ansehen.

LG
 
Hm, ok - danke für deinen Input - muss ich mir am WE mal ansehen.

LG
Falls das nicht hilft oder dir zuviel wird. Nen STATIC DNS Override auf dein gewuenschtes Zielsystem sollte auch sauber an alle Netze propagiert werden.
Wichtig ist halt dass deine OPNSenseBox auch als DNS fuer deine VPN Geraete agiert.

Viel Erfolg, wirst du gut fixen koennen! :)
 
So ein Kopfschmerz würd ich mir nicht antun wollen: Hypervisor down -> Internet weg würde daheim im ersten Haushaltskrieg enden. Dafür sind Geräte wie Zb der Flint2 mittlerweile einfach zu billig geworden.
Dafür liegt direkt daneben ein alter Mikrotik HAP AC, komplett vorkonfiguriert. Mit Aufkleber, welches Kabel wo rein muss. Strom rein, zwei Kabel rein, läuft. Also wenn es den Proxmox zerlegt, und ich nicht da bin, ist trotzdem in zwei Minuten alles wieder da :)
 
Ich antworte mir mal selber: Ich habe mir ein Mini PC von Hunsn bestellt (klick). Unter den China-Geräten soll die Marke ganz gut sein (in Punkto Qualität).
CPU ist ein N100. Sollte für Zuhause reichen, inkl. Zenarmor.
 
Ich würde mir eher sorgen machen wegen zu viel Gefummel an der fw machen.
Du meinst gefummel an der Proxmox FW? Hab ich nie was gemacht :fresse: WAN Port hat n eigenes Interface was direkt durchgereicht (wurde), das war’s.
 
Falls das nicht hilft oder dir zuviel wird. Nen STATIC DNS Override auf dein gewuenschtes Zielsystem sollte auch sauber an alle Netze propagiert werden.
Wichtig ist halt dass deine OPNSenseBox auch als DNS fuer deine VPN Geraete agiert.

Viel Erfolg, wirst du gut fixen koennen! :)

Ja, mal sehen.
Ev. liegt der Fehler nur darin, dass ich bei der Wireguard-Konfig der Endgeräte als DNS-Server die IP vom WG-Server eingetragen habe und nicht die von OPNSense = Unbound = DNS!?
 
Zuletzt bearbeitet:
Ev. liegt der Fehler nur darin, dass ich bei der Wireguard-Konfig der Endgeräte als DNS-Server die IP vom WG-Server eingetragen habe und nicht die von OPNSense = Unbound = DNS!?
Als Fehler würde ich das nicht bezeichnen.
Was ist dein DNS-Server unter Windows, wenn Du mit dem Gerät zuhause verbunden bist.
Was ist dein DSN-Suffix, wenn Du mit dem Gerät zuhause verbunden bist.
Beides kannst Du mit ipconfig -all ermitteln und letzteres ist der unterste Eintrag beim Adapter.
 
Also, ich spiel schon viel an PX rum, und bei jedem Kernel-Update ja auch neu starten...
Selbst abends kommt dann noch ein unzufriedenes murren ausm Schlafzimmer, dass "das Internet MAL WIEDER NICHT GEHT!"...
(Ist zwar "nur" das NAS und die Mediaserver-VM, aber das hat die Holde noch nie interessiert...)
Diese WE kommt meine Tesla M60 (hoffentlich) dann ist da wohl auch ne längere Downtime des Servers zu erwarten und wenn nicht alles gleich geht auch mal stundenlang...

Wenn DA das Internet nicht fluppt hab selbst ich Stress (Anleitungen gucken usw...).

Vor allem aber wegen Punkt eins ist ein AIO keine Option für mich. =)
 
Vielleicht hat hier jemand noch einen Input.
Ich versuche folgendes umzusetzen bin aber auf ein Problem gestoßen, was ich mir selbst nicht genau erklären kann. Will einen WatchyourLan Container installieren der auf all meinen VLAN/LANs lauscht, jedoch nur von spezifischen Geräten Zugiff darauf gewähren. Also ufw installieren und routing vom docker selbst übernehmen, somit iptables für docker ausschalten. Dies hat soweit funktioniert, bis ich das Interface hinzufüge, von welchem Subnet aus ich die VM manage per SSH.

Somit VM zurückgesetzt und nur die Interfaces mal hinzugefügt und siehe da Problem gefunden, die OPNSense blockiert nach einer gewissen Zeit den SSH Traffic.
Anhang anzeigen 1032213
Überblick.:
VM - 10.20.20.16/24 - VLAN ID 20 Homelab
Anhang anzeigen 1032209
PC - 10.20.10.2/24 - VLAN ID 10 User

VM als auch OPNSense läuft auf Proxmox als VM
Sobald ich mit dem PC im gleichen Subnetz befinde kein Problem, klar wird auch nicht geroutet
Erstellen einer Firewallregel die den Traffic erlaubt, wird die Verbindung nach 30 sec geblockt von OPNSense
MAC Adressen gecheckt ob irgendwo ident, nein nur die des VLANs mit dem parent Interface

Anhang anzeigen 1032212
Des Weiteren sind im ARP Table unter OPNSense die für die VM hinterlgeten fixen IPs jener VLAN/LANs nicht ersichtlich bzw. kurz und verschwinden wieder.

Proxmox Hardware
Anhang anzeigen 1032214
Warum ich bis jetzt noch nicht auf das Problem gestoßen bin, weil ich keine VM habe welche ein gleiches Interface hat in welchem sich mein Management-PC befindet.
Ich antworte mir mal selbst, mit der/den Lösung/Lösungen.

Eine Möglichkeit wäre, das Gerät nur auf demselben Subnetz anzusprechen.

Ansonsten mit all den IPs in jedem Subnetz, ist die saubere Möglichkeit, asymmetrisches Routing zu vermeiden, eine Outbound NAT Regel dafür anzulegen und die Quell-IP durch die Interface IP der Firewall zu ersetzen. Die Filterung kannst du ja dann auf der OPNsense machen.

Die unschöne Lösung ist, auf allen betroffenen Interfaces eine "Sloppy State" Regel zu erstellen (Floating od. Interface Gruppe), die die Antwortpakete durchlässt, ohne deren Zustand zu prüfen.
Das findest du in der Firewall Regel in den Advanced features > State Type > sloppy state.

Ich hab jetzt letzteres am Laufen, da ich die geringere Sicherheit zwischen den beiden Geräten in Kauf nehme.
 
Mir geht das Peering der Telekom aktuell total auf den Sack! Gestern waren wieder einige Seiten die ich nutze, extrem langsam.

Bei etwas Recherche habe ich das hier gefunden, anscheinend kann man bei pfsense mit pfblockerng ganze ASN umleiten, z.B. über einen VPN oder VPS:

Gibt's so ne Möglichkeit auch in opnsense?
ggf. mit einem andern Tool?
 
Zuletzt bearbeitet:
Gibt's so ne Möglichkeit auch in opnsense?
ggf. mit einem andern Tool?
Klar kannst du dir nen Site2Site bauen und das Routing an deiner Box anpassen.
Aber du addest dauerhaft nen Hop dazu und halt die Verschluesselung. Weiß nicht ob das so zielfuehrend sein wird.

Zudem brauchst du irgendwo im WWW ne Buechse, die potent genug ist und nicht hoffnungslos over-provisioned ist. Ich wuerde eher schauen von der Telekom wegzukommen
bevor ich mir dauerhaft solche 'Krueckenloeseungen' antue.
 
wuerde eher schauen von der Telekom wegzukommen
bevor ich mir dauerhaft solche 'Krueckenloeseungen' antue.
Leider erst in 1,5Jahren möglich 😕
Beitrag automatisch zusammengeführt:

Aber du addest dauerhaft nen Hop dazu und halt die Verschluesselung. Weiß nicht ob das so zielfuehrend sein wird.
Was immer noch besser ist, als wenn eine Webseite sich zu Tode lädt 😅

Meine Frage bezog sich eher darauf ob ich bei Opnsense auch nur bestimmte ASN umleiten kann, habe im Netz nicht genaues Datum gefunden
 
Meine Frage bezog sich eher darauf ob ich bei Opnsense auch nur bestimmte ASN umleiten kann, habe im Netz nicht genaues Datum gefunden
Bestimmt, ist immerhin ein vollwertiger Router, welcher alle gaengigen Protokolle spricht.
Bin da jedoch zu weit weg von, vllt kann @sch4kal was dazu sagen. Der steckt da beruflich drinne :d
 
Kann man einfach beim Alias auswählen...
 
Hi

Werde hoffentlich irgendwann dann doch mal den Provider wechseln. Wobei das kann sich noch hin ziehen. Da soll eine Fiber direkt auf meine 10 Gbit opnsense. Denke werde da das /29er Subnet für CHF 60.- pro Monat dazu buchen. Weil eine einzelne IP kostet schon 20.-.

Die opnsense hat 6x 10 Gbit Kupfer, und kommt dann noch 2x SFTP+ für WAN dazu.

Wenn ich jetzt an einem 10 Gbit Kupfer einen Server für jemanden house, entweder mit dedizierter IPv4, oder halt eine durch mehrere Benutzer geteilte: kann ich in der opnsense verschiedene Benutzer anlegen, dass die für ihre Hardware selber auf der Firewall rum wuseln können per VPN? Auch so, dass die meine Konfig gar nicht einsehen können? Geht das/ist das kompliziert einzurichten?

Gruss und danke
 
@AliManali Nein, was du suchst sind vermutlich VSYS Instanzen, so schimpft sich das beispielsweise bei Palo.
Quasi ne eigene Firewallinstanz fuer jeden Kunden. Das wird von ner OpenSource Firewall meines Wissens nach nicht unterstuetzt.

Du muesstest demzufolge eine 'Zentrale' FW Hosten, darauf laeuft dein WAN auf, von dort gehts dann weiter an unterschiedliche FIrewalls, die du dann auch anderen
Menschen zugeanglich machen koenntest. ICH Persoenlich wuerde jedoch davon abraten. Weil am Ende bist du fuer den Anschluss in der Haftung, sofern irgend jemand dort was tut was er nicht soll
wird ggf. deine Tuer eingetreten.
 
Hallo zusammen,

ich habe da ein kleines Netzwerkproblem, mit dem ich nicht weiterkomme. Vielleicht kann das jemand besser als ich :-)

Mein Heimnetz hat eine Fritzbox als Router, das Netz ist dort wie immer 192.168.178.0/24. Nun habe ich einen Server mit Proxmox, mit dem ich relativ viel ausprobiere. Immer wenn ich eine neue VM erstelle oder einen LCX-Container, bekommt dieser aus dem Netz der Fritzbox eine IP. Für meine Spielwiese würde ich nun gerne ein eigenes Subnetz einrichten, was dann aber mit dem Netz der Fritzbox kommunizieren kann und auch soll.

Erster Versuch war eine virtuelle OPNSense Instanz mit 2 NICs, als WAN das Netz der Fritte, als LAN ein eigenes Netz (in Proxmox als vmbr1 eingeriechtet). Alle VMs dann in das Netz vmbr1 und damit im LAN von OPNSense -> das funktioniert. Nur leider kann ich aus dem Netz der Fritzbox nicht ohne NAT auf die Proxmox-Hosts zugreifen. Das ist unpraktisch, ich hätte gerne eine Lösung ohne NAT.

Zweiter Versuch mit OPNSense: WAN unverändert, über OPT1 ein eigenes Subnetz ohne NAT, Firewallregeln angepasst, in der Fritzbox eine statische Route auf das Proxmox-Subnetz eingerichtet -> geht nicht

Dritter Versuch mit OPNSense: ein Interface OPT1 mit einer IP im Netz der Fritzbox, ein Interface OPT2 mit dem Subnetz und den Proxmox hosts. Das funktioniert auch soweit - von beiden Subnetzen aufeinander zugreifen, das Routing geht. Nur leider komme ich damit nicht ins Internet...

Wahrscheinlich ist das alles etwas verwirrend. Kann mir jemand einen Tip geben, wie ich das ganze realisieren kann?
Danke...

PS: ICH VERSTEHE JETZT GAR NICHTS MEHR. Habe mich gerade nochmals eingeloggt in eine der VMs ... Variante 3 funktioniert jetzt, so wie ich das will....
 
Zuletzt bearbeitet:
Erster Versuch war eine virtuelle OPNSense Instanz mit 2 NICs, als WAN das Netz der Fritte, als LAN ein eigenes Netz (in Proxmox als vmbr1 eingeriechtet). Alle VMs dann in das Netz vmbr1 und damit im LAN von OPNSense -> das funktioniert. Nur leider kann ich aus dem Netz der Fritzbox nicht ohne NAT auf die Proxmox-Hosts zugreifen. Das ist unpraktisch, ich hätte gerne eine Lösung ohne NAT.
Du könntest das NAT in der Sense deaktivieren. Das führt zwar zu einem gewissen asymmetrischen Routing, aber es sollte funktionieren. Dafür deaktivierst Du SNAT auf dem WAN und hinterlegst in der Fritte eine statische Route zu deinen LAN(s), z.B. 192.168.0.0/20. Außerdem benötigst Du eine Regel auf dem WAN, die Zugriff auf das LAN-Subnet erlaubt.
Poste ein paar Bilder, wenn Du auf Probleme stößt. Ich bin mir auch nichts sicher, ob die Fritte im aktuellen OS nicht ein Problem mit statischen Routen hat, aber das sehen wir dann. 😉 War ein Layer-8-Problem.
 
Zuletzt bearbeitet:
Du könntest das NAT in der Sense deaktivieren. Das führt zwar zu einem gewissen asymmetrischen Routing, aber es sollte funktionieren. Dafür deaktivierst Du SNAT auf dem WAN und hinterlegst in der Fritte eine statische Route zu deinen LAN(s), z.B. 192.168.0.0/20. Außerdem benötigst Du eine Regel auf dem WAN, die Zugriff auf das LAN-Subnet erlaubt.
Poste ein paar Bilder, wenn Du auf Probleme stößt. Ich bin mir auch nichts sicher, ob die Fritte im aktuellen OS nicht ein Problem mit statischen Routen hat, aber das sehen wir dann. 😉

Vielen Dank! Habe es jetzt nochmals mit Variante 1 probiert ... und es funktioniert .... vielen Dank!
Mein Fehler war, dass ich offensichtlich für meine Proxmox-VMs ein falches Subnet gewählt habe ... nehme ich (wie von OPNSense primär eingerichtet) 192.168.1.0/24, dann geht es, in meinen manuellen Versuchen hatte ich 10.0.0.0/24, das ging nicht...
 
Weil am Ende bist du fuer den Anschluss in der Haftung, sofern irgend jemand dort was tut was er nicht soll wird ggf. deine Tuer eingetreten.

Wäre in dem Fall ja dann schnell ermittelt, von welcher IP aus Schabernack getrieben wurde. Aber hast da natürlich recht: trau schau wem.
 
Meine eiserne Grundregel: ALLE im Internet sind böse.
 
Hi

Habe eine opnsense mit 3x X540 RJ45. Meint Ihr, die kommt klar mit einem 2.5 oder 5 Gbit Client?

Gruss und danke
 
Meinte auch gelesen zu haben, dass die opnsense selber schon kein 2.5 und 5 Gbit mag. Weiss aber nicht mehr genau, in welchem Zusammenhang.

Sprich da komme ich beim Client wohl nicht um eine zusätzliche Karte drum herum.

Hatte auch gemini dazu befragt. Die meinte, aber ja klar doch, geht sicher. :shake:
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh