[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
BobbyD schrieb:
Und Steam lauft auf dem selben Rechner, der im Browser-Speedtest abkackt? Dann mal die kompletten Regeln des betreffenden Interfaces hier einstellen.
Zum Vergrößern anklicken....
Rückzug - das klingt nun sehr doof. Ich hatte seit dem Problem die FritzBox mehrmals neu gestartet und der Fehler blieb. Nun dachte ich, komm startest nochmal neu und aufmal ist alles ok. Ich kann mir das echt nicht erklären..
 
Setzt hier jemand CrowedSec auf seiner Sense ein? Mich würde interessieren wie die Erfahrungen damit sind.
 
Da der verehrte Fachthread die Anfrage des Kollegen zu seinem Pech einfach null vernahm und vor paar Monaten hier wieder das Thema Doppel-NAT (und Fritte) grassierte: Ist das denn so richtig? (letzter Absatz) Hier jedenfalls irgendwei schon.
www.hardwareluxx.de

[Ungelöst] - Hilfe bei der Konfiguration von pfSense hinter einer FritzBox (NetCologne)

Hallo zusammen, ich hoffe, jemand von euch kann mir bei meinem aktuellen Setup helfen. Ich möchte eine pfSense-Firewall hinter meiner FritzBox 7590 betreiben, die ich von NetCologne gestellt bekommen habe. Ziel ist es, doppeltes NAT zu vermeiden und die FritzBox idealerweise nur als Modem zu...
www.hardwareluxx.de www.hardwareluxx.de
Wie man das mit z.B. mit ner Fritte macht - kein Doppel-NAT mehr, statische Route - hat "Dennis" auch mal am Beispiel von Ubikitty erklärt (ich nehme aber auch an hier ist das eh Binse-Wissen)

Das Thema mit den VMs weil ähh... ist eben so und Effizienz und keine Ahnung was man da noch erwähnt: Bauvorschlag dedizierte HW von agtech (habs auch schon erwähnt, Link unten).
Ich bin da auch eher bei Weltherrscher. Wenn das Netz nicht geht ist das heutzutage als wenn gleich komplett Strom nicht geht. Oder mindestens der Kaffee-Vollautomat... Und da ich auch mal 7-9 Tage unterwegs sein kann, müssen auch worst cases bis zu light outs durchgespielt sein. Und auch die Redundanz existieren.
Es gibt eine zweite identische Fritte die ohne das Zeug dahinter das Netz komplett bereit stellt und die Holde ist nun in der Lage die Gateway-Fritte zu tauschen oder die ggf. tote sense zu überbrücken. Oder auch nur das Netzteil der Fritte zu tauschen. Kabel und Ports einfach farblich markieren. Edding sei Dank :hust: Aus diesem Grund auch keine Virtualisierung der sense:

PS:
Glücklicherweise leben wir in DE, wodurch wohl noch ewig keine Schmerzen aufkommen ggf. zukünftig die Überprovisionierung bei 1Gbit Glasfaser brach liegen zu lassen. Dank den meist Wucherpreisen. Wir wollen es jedenfalls auf keinen Fall haben und ehrlich gesagt kann hier zum Glück auch keiner was sinnvolles damit anfangen.
 
Moin!
Nur mal ein Hinweis an alle, die evtl mit einer VLAN-Einrichtung verzweifeln:
Ich habe nun 5x VLAN-Interfaces mit je DHCP-Server (kea) eingerichtet. Switche: Cisco 2960S per CLI, Ubi ES 16XG und TP 3008SX über WebGui mit Trunk -Ports unter sich und zu den Wlan-APs eingerichtet. Und nix lief.
Sieben Abende (und Nächte) an der Verzweiflung gehangen, Schokolade und Alkohol halfen wenig.
Geholfen hat der zweifache Neustart der pF-Sense...
Der erste Neustart half, dass DHCP bei den kabelbasierten Endgeräten / tagged Ports funktionierte.
Nach dem zweiten Neustart, allerdings dazwischen auch ein Neustart der Unifi-Controllersoftware, konnten auch WLAN-Endgeräte auf ihren tagged SSIDs vom DHCP-Server abholen, die bis dahin die bereits seit über einer Woche gelöschten statischen Adressen aus dem falschen IP-Bereich weiter "gezogen" hatten... Leasetime bei 120min...
Das geht mir wirklich an die Nieren: Warum?! In der pF-Sense hatte ich den DHCP-Dienst mehrfach neu gestartet. Die Vermutung liegt bei einer Blockade durch pfblocker-ng, der evtl von neuen VLANs/IP-Bereichen erst bei Neustart erfährt?
Mann, Mann,.... Meine Nerven...
 
danielmayer schrieb:
Die Vermutung liegt bei einer Blockade durch pfblocker-ng, der evtl von neuen VLANs/IP-Bereichen erst bei Neustart erfährt?
Zum Vergrößern anklicken....
Denke nein, denn der filtert alle privaten IPs raus, nicht nur die, die in Verwendung sind. Bei Snort/Suricata mag das anders sein, aber in jedem Falle gäbe es doch Logs? Ich nutze nun schon seit Ewigkeiten VLANs auf pfSense und mir ist noch nie derartiges aufgefallen. Würde das Problem eher bei den anderen Geräten vermuten, solange wir von IPv4 sprechen.
Vielleicht ist das Problem aber auch was ganz anderes, dann wären wieder alle im Spiel. 😉
 
Die einzige Änderung war der Neustart. Ich habe auch suricata aktiv, ja. So richtig gefunden habe ich aber keine logs, da ja beim DHCP keine Anfrage ankam.
Ist ja auch verrückt: die pF-Sense lief 29 Tage ohne Neustart...;)
 
danielmayer schrieb:
die pF-Sense lief 29 Tage ohne Neustart...;)
Zum Vergrößern anklicken....
Kea ist ja in der CE noch ziemlich beta, mag also damit zu tun haben. Was die langen Laufzeiten betrifft, das ist mir persönlich so was von egal... reboot tut halt gut.
 
Wenn ich auf einer OPNsense zwischen einem Netzwerk und einem VLAN auf einem anderen Interface Interzone Verkehr zulassen will, reicht da eine Firewall Regel, oder brauche ich da zusätzlich eine NAT Regel?

Zwischen VPNs auf dem selben Interface klappt es, von einem anderen Interface aus nicht.
 
Okay danke. Handelt sich um einen ESXi vmkernel in einem VLAN, dem kann man kein Gateway zuweisen. Das war das Problem. Lasse ich die Adresse per DHCP beziehen, klappt die Verbindung. Aber da hilft mir schon in einem anderen Forum wer weiter. Zumindest erreiche ich den ESXi jetzt mal aus meinem Quellnetzwerk. Aber dürft sonst natürlich auch hier Euren Senf dazu da lassen. Zumindest bin ich schon weiter.
 
Vielleicht (Wahrscheinlich?) ist das eine total blöde Frage...
Vorweg... IPv6 ist immer noch nicht so ganz mein Thema... daher ist das wohl auch eine Frage die aufgrund fehlendem Verständnis fusst, aber ich bin immer gern bereit zur Weiterbildung, brauche halt nur nen Schubs in die richtige Richtung...

Folgendes Problem: ich habe ein paar wenige Dienste, die im Internet per IPv6 only erreichbar sind, da sie hinter einem DS-Lite Anschluss hängen. Z.B. mit dem Handy und einer IPv6 ADresse geht das einwandfrei alles.

Jetzt hab ich meine OPNSense am anderen Standort, die hat einen IPv4 /28 Anschluss. Dazu einen IPv6/48 Netz, davon habe ich exakt 3 Adressen in Nutzung: die ::2 auf der primären FIrewall, die ::3 auf der sekundären und die ::1 als CARP Adresse. Damit biete ich aktuell einen eingehenden Wireguard IPv6 Endpunkt an - das funktioniert einwandfrei...

Jetzt würde ich gern aus dem internen LAN einen per DNS erreichbaren IPv6 Dienst hinter dem DSLite Anschluss erreichen wollen? Das interne LAN ist IPv4 only und ich möchte da auch gern kein IPv6 haben.
Geht das überhaupt? Die OPNSEnse kommt ja per IPv6 auch raus, kann nach extern pingen und Namensauflösung geht auch...

Oder ist die Idee völlig ab der Realität?
 
andrer250282 schrieb:
Jetzt würde ich gern aus dem internen LAN einen per DNS erreichbaren IPv6 Dienst hinter dem DSLite Anschluss erreichen wollen?
Zum Vergrößern anklicken....
Nicht ganz einfach nachzuvollziehen, aber wenn Du nur meintest, Du wolltest einen Dienst per IPv4 erreichen, der hinter der DS-Lite Sense ist, dann ginge das natürlich per VPN-Tunnel. Ich vermute aber, das war nicht gemeint.
Von CARP hab ich keine Ahnung und auch nie gebraucht.
 
Das war vielleicht zuviel Details... ich möchte aus einem IPv4 only Client Netz einen Server in einem V6 only Netz erreichen, wobei die OPNSense (und nur die) auf IPv4 Seite eine aktive V6 Verbindung hat


Also
Client 1 (v4) -> OPNSense LAN (v4) -> OPNSense WAN (v4+v6) --> DSLite Router (v6) --> Server (v6 only)
Ich möchte von Client 1 zu Server, aber ohne im Client1 Netz ein V6 Netz zu stellen. Der DNS im Client1 Netz gibt die v6 vom Server zurück, also nur den AAA Eintrag, keinen A Eintrag (den gibt es nicht)
 
Zuletzt bearbeitet:
Warum ist denn das andere Netz v6 only, wer macht so was. V4 und v6 können nicht miteinander sprechen, da muss was dazwischen, wie ein Proxy. Aber einfacher wäre es, v4 überall auszurollen.
Vielleicht hat wer anders noch eine Idee, mir ist das Thema zu akademisch. 😉
 
Okay das 2te Netz ist nicht v6 only aber der Serverdienst ist nur v6 only

Quasi ein v6 only Webserver den ich aus einem v4 Netz heraus erreichen möchte
 
Hallo Community,

hat jemand eine einfache und praktikable Lösung um von der Sophos UTM 9.x auf OPNSense zu migrieren? Gibt es hierfür entsprechende Tools oder HowTos, um die Objekte und Firewall-Regeln zu übertragen?

VG
MrDeluxe
 
@MrDeluxe nie gesehen sowas. Denke neu machen macht mehr sinn. Bei der OPNSense sind die Objekte sowieso komplett verschieden (und teils auch etwas buggy).
 
Moin, ich bräuchte bitte mal ein kurzes Brainstorming für Neuaufbau Routing/VPN:

Warum? Nach einem Neustart kommt überraschend mein Brume2 nicht mehr hoch - hängt wohl im Bootvorgang, zumindest behauptet die LED das. Kurze Recherche im Internet ergibt, dass das wohl immer mal wieder vorkommt und in der Regel die Hardware komplett ausgetauscht werden muss, man also ein neues Gerät bekommt. Nun dauert das ja in der Abwicklung und wenn ich nun eh alles wieder neu machen muss, kann man ja auch nochmal von vorne neu denken.

Ich hab den Brume2 ausschließlich für VPN als Wireguard-Server. Der hing einfach stumpf hinter meiner Fritzbox, die für Internetzugang zuständig ist (und zuständig bleiben soll) und eben rudimentär Routing und gewisse Beschränkungen/Filter verwaltet. Die Wireguard-Implementation der Fritzbox selbst taugt leider nicht für meine Anforderungen. Und so richtig happy bin ich mit den Verwaltungsfeatures der Fritzbox auch nicht, tut aber zur Not.

Ich brauch' also EIGENTLICH nur wieder einen VPN-Server. Vor dem Brume hatte ich dafür ne OpenVPN-VM auf dem ESXi-Host, aber die hatte auch immer mal wieder Problemchen nach Updates und daher wollte ich ne klicki-bunti-Hardware-Lösung weil problemlos. Soweit, so gut bis halt vorgestern - bis Vorgestern was ich mit dem Brume zufrieden...

Ich tendiere gerade irgendwie wieder zu einer VM. Leistungsfähige Hardware ist vorhanden, Hypervisor auch. Besondere Sicherheitsbedenken hab ich eigentlich auch nicht, ein Port für VPN-Zugang wird halt dann in der Fritzbox für Zugriff von außen auf die VM freigegeben. Diesmal würde ich das dann eher nicht mit ner blöden Ubuntu-VM als OpenVPN Umgebung umsetzen, sondern vielleicht irgendwas Schmalspur-mäßiges, halbwegs Fertiges mit Management per Weboberfläche von Haus aus... Wenn's die Möglichkeit bietet, mit der Zeit evtl. weitere Features, Filter, Routing usw. in Betrieb zu nehmen, sage ich auch nicht nein.

Was würdet Ihr machen? Auch 'ne VM? Oder Intel n100-basierte Minibox kaufen? Richtige Hardware-Appliance? Wieder 'n Brume 2 (oder Vergleichbares)?
 
Naja, wenn Du eh schon einen Server am laufen hast bietet sich eine VM ja an. Hatte dazu immer entweder eine Firewall oder Router Software verwendet. Ist halt bisschen oversized, aber wayne. Hatte mit Endian und OpenVPN begonnen, das ist aber nicht besonders performant. Später dann OpenWRT mit CJDNS und halt Senses mit wireguard, welches ich heute noch bevorzugen würde.
 
Schwanke derzeit zwischen opnsense und openWRT... Im Prinzip muss ja nur eine Verbindung zwischen meinem Fritzbox-Netz und dem VPN-Netz hergestellt werden (und auch nur für letzteres brauch ich noch einen separaten DHCP-Server). Kann einer von den beiden das ganze Wireguard-Management auch über die GUI?
 
Bei OpenWRT bin ich nicht sicher, hatte da eine Custom Appliance in Betrieb. Laut gemini musst Du mit dem opkg das Wireguard Paket installieren.

Bei der opnsense kannst Du Wireguard aus der GUI raus konfigurieren. Falls was fehlt mit Plugins nachhelfen. Aber glaube das ist mittlerweile alles schon in der Grundinstallation enthalten. Bin nicht mehr sicher, ob ich das mal nachinstalliert hatte. Wäre sonst das Plugin "os-wireguard".

Sonst einfach mal eine VM aufsetzen und testen. Hier läuft die Sense jetzt aber auf Blech. Funtioniert virtuell (fast) genauso gut, war bei mir bisschen langsamer als nativ. Bin aber selbst Anfänger auf der opnsense, die ist bislang noch im Labor. Da muss sonst wer helfen, habe da noch genügend eigene bzw. andere Baustellen.
 
Jo, ich glaub ich mach einfach mal und schaue, wie weit ich komm. Parallel kann ich ja mal die Freunde von GL-inet anschreiben, was ich nach deren Meinung mit meinem Brume machen soll... :d Ne "unbrick"-Anleitung habe ich auch schon gefunden. Aber ich bin halt gerade irgendwie so gar nicht in Bastellaune...
 
besterino schrieb:
Schwanke derzeit zwischen opnsense und openWRT...
Zum Vergrößern anklicken....
OpenWRT ist mir von der Bedienung zu kompliziert, da will ich meine Sense nicht missen. Da ich aber gefühlt mit OpenWRT stabilere WireGuard-Verbindungen zu den Privacy-VPN-Anbietern habe, nutze ich dafür tatsächlich OpenWRT-VMs, das Routing meiner Netze erfolgt aber mit der Sense. 🤪
 
Danke für Euern Input Männers (geh ich jetzt mal von aus ;) - sollte ich daneben liegen, Beschwerden gerne per PN)!

Es ist mir mit diversen Resets und Firmware Flashes doch recht kurzfristig gelungen, den Brume zu reaktivieren. Keine Ahnung was da schief gelaufen ist und zwischendurch hatte ich die Hoffnung auch schon fast aufgegeben, aber jetzt isser wieder da und sogar mit aktueller Firmware…

Die Config ist natürlich weg (hmpf), aber das Setup steht sogar schon wieder (herrlich simpel aufzusetzen) und die ersten beiden Clients können auch schon wieder ne VPN-Verbindung aufbauen. Der unmittelbare Druck ist also erstmal raus und ich werde mal beobachten, wie sich der Gute in den nächsten Wochen so verhält.

Vielleicht spiele ich ja trotzdem parallel mal mit ner VM herum, aber wie gesagt: so richtig in Bastellaune bin ich gerade nicht.
 
besterino schrieb:
Moin, ich bräuchte bitte mal ein kurzes Brainstorming für Neuaufbau Routing/VPN:

Ich hab den Brume2 ausschließlich für VPN als Wireguard-Server. Der hing einfach stumpf hinter meiner Fritzbox, die für Internetzugang zuständig ist (und zuständig bleiben soll) und eben rudimentär Routing und gewisse Beschränkungen/Filter verwaltet. Die Wireguard-Implementation der Fritzbox selbst taugt leider nicht für meine Anforderungen.
Zum Vergrößern anklicken....
Was taugt dir denn da nicht ? S2S und Mobile WG klappt ja eigentlich mit einer Fritte problemlos.
 
Die FRITZ!Box unterstützt WireGuard nur in Verbindung mit einer MyFRITZ!- oder Dynamic-DNS-Adresse. Weder brauch noch will ich sowas, ich hab ne feste IP und habe keine Lust, wieder einen Account anzulegen und meine Daten irgendwo zu hinterlassen wo‘s schlicht nicht nötig ist.
 
Anmelden, um zu antworten.

Ähnliche Themen

F
Neuer PfSense / Opnsense Router bzw. Mainboard, stromsparend, ECC RAM fähig, PCiex für Connect-X 4 Netzerkkarte, gesucht
Antworten
12
Aufrufe
855
Zyxx
Z
T
  • Frage / Lösungssuche
[Ungelöst] Hilfe bei der Konfiguration von pfSense hinter einer FritzBox (NetCologne)
Antworten
5
Aufrufe
285
Zeitmangel
Z
O
PfSense, OPNsense Hardware - Eure Empfehlungen?
Antworten
11
Aufrufe
1K
Aragonion
A
P
[Kaufberatung] Zwei Heimserver für OPNsense und Proxmox
Antworten
5
Aufrufe
980
Pixolantis
P
O
pfSense Hardware - Empfehlungen / Kaufberatung / Erfahrungen
Antworten
0
Aufrufe
929
OsiMosi
O
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh