*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Du kannst die Config ja händisch anpassen, solange Du durch den Einrichtungsassistenten kommst. Ich weiß aber nicht, wie gut sich die Fritte mit diversen WG-Verbindungen schlägt, bevorzuge da natürlich die Sense mit ihren vielen Einstellmöglichkeiten zu Routing, NAT etc.
besterino
Legende
Der Brume 2 ist nach meinem Verständnis am Ende ja auch nur eine OpenWRT Box mit einer zusätzlichen GUI, die einem für gewisse Sachen die Konfiguration erleichtert.
Man kommt sogar angeblich an die GUI des drunter liegenden OpenWRT dran, allerdings frag ich mich etwas, ob das dann nicht ggf. Knatsch gibt, wenn man sowohl als auch nutzt. Keine Ahnung. Werde wohl als erstes mal schauen, ob man die Config für einen späteren Restore wegsichern kann.
Dann hol ich mir ggf. noch einen, zieh den Restore da drauf und leg mir den ins Regal. Kostet ja nicht die Welt und für mich halt gut genug. Die Erfahrung zeigt, dass ich viele „könnte man auch mal von Grund auf neu / besser machen“ Ideen am Ende doch nicht angehe (oder angehe aber dann nicht konsequent zuende bringe), weil Zeit, Lust und Mehrwert/Bedarf fehlen bzw. in keinem angemessenen Verhältnis stehen… nicht die richtige Einstellung im Profi-Segment, fürs Homelab gönn ich mir das aber.
Man kommt sogar angeblich an die GUI des drunter liegenden OpenWRT dran, allerdings frag ich mich etwas, ob das dann nicht ggf. Knatsch gibt, wenn man sowohl als auch nutzt. Keine Ahnung. Werde wohl als erstes mal schauen, ob man die Config für einen späteren Restore wegsichern kann.
Dann hol ich mir ggf. noch einen, zieh den Restore da drauf und leg mir den ins Regal. Kostet ja nicht die Welt und für mich halt gut genug. Die Erfahrung zeigt, dass ich viele „könnte man auch mal von Grund auf neu / besser machen“ Ideen am Ende doch nicht angehe (oder angehe aber dann nicht konsequent zuende bringe), weil Zeit, Lust und Mehrwert/Bedarf fehlen bzw. in keinem angemessenen Verhältnis stehen… nicht die richtige Einstellung im Profi-Segment, fürs Homelab gönn ich mir das aber.
Geht auch ohne Myfritz oder andere DDNS Dienste:
besterino
Legende
Ah das ist schonmal neu und wäre dann schonmal kein k.o. Kriterium mehr. Behalte ich mal im Hinterkopf, danke.
Shihatsu
Legende
- Mitglied seit
- 16.08.2005
- Beiträge
- 5.122
Ach das ist ja super praktisch. Damit könnte man dann Wireguard in die "DMZ" (also nach Fritzbox, aber vor sense) endlich vernünftig realisieren!
Das Problem der IP könnte man dann mittels eines einfachen Skripts das auf einer VM läuft erledigen:
-Prüfe in Schleife ob sich externe IP geändert hat
Und dann:
-Wenn geändert, schreibe eine Mail/Telegram/Whatever mit neuer IP
-Schreibe die IP in ein File (das per Syncthing auf dem Handy landet)
oder oder oder
Ich glaub damit spiel ich mal rum. Mal checken welche Version mein fritzOS hat...
Das Problem der IP könnte man dann mittels eines einfachen Skripts das auf einer VM läuft erledigen:
-Prüfe in Schleife ob sich externe IP geändert hat
Und dann:
-Wenn geändert, schreibe eine Mail/Telegram/Whatever mit neuer IP
-Schreibe die IP in ein File (das per Syncthing auf dem Handy landet)
oder oder oder
Ich glaub damit spiel ich mal rum. Mal checken welche Version mein fritzOS hat...
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 871
Das ist ganz blöd, Wireguard auf dem Handy blockiert den gesamten Verkehr, wenn die Ziel-IP nicht mehr geht.
D.h. du bekommst auch gar keine Infos von außen.
Ich hab den Wireguard als separates Interface auf der OPNsense, das kann man dort nach Belieben in ne DMZ schieben.
Fluppt seit Ewigkeiten prima.
FB-WireGuard geht nur auf neueren Boxen, die "alten" sind zu schwachbrüstig...
Habe jetzt nicht alles genau gelesen. Aber er hat ja eine fixe IP.
Shihatsu
Legende
- Mitglied seit
- 16.08.2005
- Beiträge
- 5.122
Öhm, ich würde das nur on-demand anmachen das VPN.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 871
Ok, ich hab WG bei meinem Telefon 24/7 an, weil ich dadurch vom AdGuard auf der Sense profitiere.
Fluppt prima auch übers häusliche WLAN (jaja, dann geht halt alles 2x durch die Sense, aber beim Telefon ist es nicht viel =) ).
Fluppt prima auch übers häusliche WLAN (jaja, dann geht halt alles 2x durch die Sense, aber beim Telefon ist es nicht viel =) ).
Luckysh0t
Enthusiast
Du kannst in der WG App auch on demand aktivieren und bestimmte SSIDs ausschließen.Zumindest unter iOS geht das.
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 361
Hallo,
Mal eine Frage... ich hab 2 OPNSense als HA Cluster mit 8 CARP Interfaces. Das funktioniert soweit auch gut.
Jetzt habe von der Backupfirewall die Konfig gesichert, hab sie ausgeschaltet und eine neue Instanz installiert (die hat mehr Power :-D)
Backup zurückgespielt, interfaces angepasst und läuft.
Jetzt steh ich vor der Frage, das hab ich noch nie gemacht...
ich würd gern den Master/SLave Status tauschen? Wie macht man das am besten? Also die Backupfirewall soll die neue Hauptfirewall werden
1) CARP auf der Hauptfirewall deaktivieren (damit wandern die IPs zur sekundären)
2) advbase/skew auf den Firewalls anpassen (kleinere Timings auf der sekundären Firewall
3) das XMLRPC Sync auf der Hauptfirewall deaktivieren
4) das XMLRPC Sync auf der sekundären Firewall aktivieren
5) CARP auf der (alten) Hauptfirewall aktivieren
Oder fehlt da was elementares?
Mal eine Frage... ich hab 2 OPNSense als HA Cluster mit 8 CARP Interfaces. Das funktioniert soweit auch gut.
Jetzt habe von der Backupfirewall die Konfig gesichert, hab sie ausgeschaltet und eine neue Instanz installiert (die hat mehr Power :-D)
Backup zurückgespielt, interfaces angepasst und läuft.
Jetzt steh ich vor der Frage, das hab ich noch nie gemacht...
ich würd gern den Master/SLave Status tauschen? Wie macht man das am besten? Also die Backupfirewall soll die neue Hauptfirewall werden
1) CARP auf der Hauptfirewall deaktivieren (damit wandern die IPs zur sekundären)
2) advbase/skew auf den Firewalls anpassen (kleinere Timings auf der sekundären Firewall
3) das XMLRPC Sync auf der Hauptfirewall deaktivieren
4) das XMLRPC Sync auf der sekundären Firewall aktivieren
5) CARP auf der (alten) Hauptfirewall aktivieren
Oder fehlt da was elementares?
Hallo,
spricht eigentlich etwas gegen eine alte Sophos SG210 o.Ä. und darauf OPNSense zu bügeln? Der Stromverbrauch hält sich eigentlich auch in Grenzen von 30W bei Volllast. Vorteil ist auch die große Portanzahl sowie 10G via SFP+ Jedoch wäre bei Letzterem auch die Frage, ob die OPNSense diese unterstützt.
Danke!
spricht eigentlich etwas gegen eine alte Sophos SG210 o.Ä. und darauf OPNSense zu bügeln? Der Stromverbrauch hält sich eigentlich auch in Grenzen von 30W bei Volllast. Vorteil ist auch die große Portanzahl sowie 10G via SFP+ Jedoch wäre bei Letzterem auch die Frage, ob die OPNSense diese unterstützt.
Danke!
danielmayer
Enthusiast
- Mitglied seit
- 30.03.2005
- Beiträge
- 1.013
Das solltest Du modellspezifisch nachschauen. Grds sollte aber nichts dagegen sprechen, siehe https://administrator.de/forum/opnsense-auf-sophos-utm-installieren-7980827951.html
Hardwarecheck auf FreeBSD-Kompatibilität durchführen.
Hardwarecheck auf FreeBSD-Kompatibilität durchführen.
Luckysh0t
Enthusiast
Da wir bei uns so nach und nach an die 6 Sophos SG austauschen müssen, habe ich mich die Tage damit auch beschäftigt - wenn auch erstmal generell ohne nach Modellabhängigkeiten zu schauen. Ich muss sagen, das war sehr durchwachsen, was ich gefunden habe, von SFP+ Ports die nicht gehen, bis zu "du musst nach jedem größeren OPNSense Update das und das auf dem Terminal machen", das hat mir irgendwie die Lust genommen mich damit weiter zu befassen, ich hab ja eine OPNSense daheim.
Schade ist es dennoch um die HW..mal sehen xD
Edit.
www.leibling.de
Ok, das klingt doch erstmal viel versprechend ^^
Schade ist es dennoch um die HW..mal sehen xD
Edit.
Sophos SG 230 Rev. 1 mit OPNsense (inkl. Display) – Leibling.de
www.leibling.de
Ok, das klingt doch erstmal viel versprechend ^^
Zuletzt bearbeitet:
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 361
Um mir selbst zu antworten: genauso hat es einwandfrei funktioniert. Falls ich noch was vergessen habe, dann ist es bisher nicht aufgefallen
Hi
Versuche gerade, meine neue opnsense in Betrieb zu nehmen. Aber scheitere am NAT. Wenn ich eine NAT Regel erstelle, macht opnsense eigenständig eine WAN FW Regel. Reicht das aus, oder muss ich auf dem Ziel VLAN auch noch eine Regel erstellen? Auf dem Ziel VLAN hat es nur eine Regel, dass das nach aussen telefonieren darf, aber nicht nach RFC1918.
Aber irgendwie klappt das noch nicht mit dem NAT, leider.
Verwirrt mich eh noch maximal alles. Was auf der Zywall eingehend ist, ist bei der sense ausgehend. Muss da jedes mal den Handstand machen, um zu verstehen, was nun gemeint sei.
Gruss und danke
Versuche gerade, meine neue opnsense in Betrieb zu nehmen. Aber scheitere am NAT. Wenn ich eine NAT Regel erstelle, macht opnsense eigenständig eine WAN FW Regel. Reicht das aus, oder muss ich auf dem Ziel VLAN auch noch eine Regel erstellen? Auf dem Ziel VLAN hat es nur eine Regel, dass das nach aussen telefonieren darf, aber nicht nach RFC1918.
Aber irgendwie klappt das noch nicht mit dem NAT, leider.
Verwirrt mich eh noch maximal alles. Was auf der Zywall eingehend ist, ist bei der sense ausgehend. Muss da jedes mal den Handstand machen, um zu verstehen, was nun gemeint sei.
Gruss und danke
Interface-Rules bei OPNsense gelten grundsätzlich nur für auf diesem Interface eingehende Pakete. Ist das Paket nicht für die Firewall selbst bestimmt gewesen (Destination IP != self), dann wird das Paket geroutet und verlässt die Firewall in ausgehender Richtung. Letzteres wird durch eine automatische Rule immer erlaubt ("allow any out from this firewall", siehst du oben, wenn du den Reiter "Automatisch generierte Regeln" aufklappst).
Ausnahme sind Floating-Rules: Hier kannst du explizit die Richtung mit angeben (in/out/any).
Eine Rule auf dem VLAN-Interface ist somit nicht notwendig, da das Paket ja auf dem WAN-Interface reinkommt (Rule notwendig), aber dann auf dem VLAN-Interface rausgeht (keine Rule notwendig).
Wenn ich mir die NAT-Rule anschaue, so fällt mir auf, dass bei Ziel -> Adresse PhoenixServerDebian steht, und den gleichen Alias hast du auch bei NAT -> IP eingetragen. Das würde so nur Sinn ergeben, wenn du lediglich den Destination-Port umändern möchtest. Der ist aber bei dir identisch. Ich gehe daher davon aus, dass du eingehend UDP 26500-26505 auf deiner öffentlichen WAN-IPv4 auf den Debian-Server forwarden möchtest? Dann ändere mal Ziel -> Adresse in "WAN address" und probiers erneut.
Ausnahme sind Floating-Rules: Hier kannst du explizit die Richtung mit angeben (in/out/any).
Eine Rule auf dem VLAN-Interface ist somit nicht notwendig, da das Paket ja auf dem WAN-Interface reinkommt (Rule notwendig), aber dann auf dem VLAN-Interface rausgeht (keine Rule notwendig).
Wenn ich mir die NAT-Rule anschaue, so fällt mir auf, dass bei Ziel -> Adresse PhoenixServerDebian steht, und den gleichen Alias hast du auch bei NAT -> IP eingetragen. Das würde so nur Sinn ergeben, wenn du lediglich den Destination-Port umändern möchtest. Der ist aber bei dir identisch. Ich gehe daher davon aus, dass du eingehend UDP 26500-26505 auf deiner öffentlichen WAN-IPv4 auf den Debian-Server forwarden möchtest? Dann ändere mal Ziel -> Adresse in "WAN address" und probiers erneut.
Bei der OPNsense kannst Du die Richtung immer ändern, nicht nur unter Floating. Machen sollte man es nicht, möglich wäre es aber. 😉
Ja, genau, hat funktioniert. Wie gesagt, das ist für mich von der Zywall her kommend maximal verwirrend alles.
MS-01. Direkt all-in gehen.
Ich dachte eher an so ein Kassenmodell
Bin neu im Game und hatte bis jetzt nur ne Standard Fritz Box 6690 im Einsatz. Wollte mich jetzt mal an das Thema VLANs rantasten. Würde dann vermutlich erstmal die FB behalten, Extern Zugriff brauch ich eh nur auf die NAS und das geht notfalls über Tailscale direkt auf der Synology, d.h. Doppeltes NAT wäre erstmal kein Problem. Die FBs lassen sich ja leider nicht mehr in den Bridge Mode versetzen ...
Frage mich nur ob ich gleich zum N305 greifen sollte oder ob der N100 reichen würde? Plan wäre erstmal wirklich nur pfsense, hab gerade auch die Synology neu gekauft und Docker läuft dort ganz hervorragend, d.h. ich brauche ziemlich sicher keine Virtualisierung/Proxmox etc. auf dem Gerät wo auch die pfsense läuft. Der Preisunterschied der Barebones ist mir ehrlicherweise egal, aber was den Stromverbrauch angeht bin ich geizig
Mit dem N100 liegen die Geräte ja eher so um die 10W im Idle, während es mit dem N305 schon eher 15 sind. Hab natürlich schon google / reddit etc. durchsucht, aber nur widersprüchliche Aussagen gefunden wo mir nicht ganz klar war ob die Leute einfach zu doof waren ober ihr N100 zu langsam. Manche behaupten sie würden z.B. nur 800Mbit traffic übers WAN kriegen auf dem N100.
Ich hab ne 2GBit Kabel Anbindung und die soll natürlich auch Vollgas da durchrauschen können. Aktuell liegt Fiber bis zum Haus, aber die Verkabelung in der Wohnung ist noch Koaxial. Angeblich soll in den nächsten 2 Jahren das Fiber noch in die Wohnung gelegt werden, hoffentlich wird's dann noch schneller (und ich könnte die FB dann gegen ein Modem tauschen)
Fehlt noch irgendwas an Infos?
Bin neu im Game und hatte bis jetzt nur ne Standard Fritz Box 6690 im Einsatz. Wollte mich jetzt mal an das Thema VLANs rantasten. Würde dann vermutlich erstmal die FB behalten, Extern Zugriff brauch ich eh nur auf die NAS und das geht notfalls über Tailscale direkt auf der Synology, d.h. Doppeltes NAT wäre erstmal kein Problem. Die FBs lassen sich ja leider nicht mehr in den Bridge Mode versetzen ...
Frage mich nur ob ich gleich zum N305 greifen sollte oder ob der N100 reichen würde? Plan wäre erstmal wirklich nur pfsense, hab gerade auch die Synology neu gekauft und Docker läuft dort ganz hervorragend, d.h. ich brauche ziemlich sicher keine Virtualisierung/Proxmox etc. auf dem Gerät wo auch die pfsense läuft. Der Preisunterschied der Barebones ist mir ehrlicherweise egal, aber was den Stromverbrauch angeht bin ich geizig
Mit dem N100 liegen die Geräte ja eher so um die 10W im Idle, während es mit dem N305 schon eher 15 sind. Hab natürlich schon google / reddit etc. durchsucht, aber nur widersprüchliche Aussagen gefunden wo mir nicht ganz klar war ob die Leute einfach zu doof waren ober ihr N100 zu langsam. Manche behaupten sie würden z.B. nur 800Mbit traffic übers WAN kriegen auf dem N100.
Ich hab ne 2GBit Kabel Anbindung und die soll natürlich auch Vollgas da durchrauschen können. Aktuell liegt Fiber bis zum Haus, aber die Verkabelung in der Wohnung ist noch Koaxial. Angeblich soll in den nächsten 2 Jahren das Fiber noch in die Wohnung gelegt werden, hoffentlich wird's dann noch schneller (und ich könnte die FB dann gegen ein Modem tauschen)
Fehlt noch irgendwas an Infos?
Zuletzt bearbeitet:
Ähnliche Themen
- Frage / Lösungssuche