[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

*Inhalt gelöscht*

 

[Gen8 Runner]

Die Windows-eigene Firewall selbst blockt so einiges aus fremden Subnets, ggf. mal zum Testen abschalten.
Auch interessant ist die Firewall-State-Table, wie ich heute lernen musste.
Aber auch sämtliche Logging-Optionen von Firewall-Regeln können aufschlussreich sein.

Zur (ich hoffe dauerhaften) Auflösung des ganzen, was für eine nervige Geburt:
Ich musste noch in meinem LAN Interface eine Regel hinzufügen UND diese auch in die richtige Position sortieren. Hierzu hatte ich nochmals Google 2.0 (=ChatGPT) gefragt, wie die Regeln in PFSense genau gestaltet sind.

Und somit waren all deine Punkte richtig.
Auch die Regel im Wireguard-Interface Pass - Any - Any - Any - Any ...... war richtig.

Und zusätzlich:

Diese Regel musste noch nach ganz oben gesetzt werden, da PFSense die Regeln von oben nach unten abklopft. Jetzt läuft es, wie man sieht!

Danke für deine Hilfe!

 

[BobbyD]

Zur (ich hoffe dauerhaften) Auflösung des ganzen

Hier erfährts Du kurz und knapp alles wesentliche zu den Regeln.

Beitrag automatisch zusammengeführt: 15.01.2026

OPNsense 25.7.11 released

This release brings the new host discovery service which resolves and remembers
MAC addresses for IPv4 and IPv6 hosts in your connected networks and provides
this data for the firewall MAC aliases and captive portal clients. It is now
enabled by default, but you can choose to opt out by disabling the automatic
discovery option.
A lot of work went into IPv6 improvements over the holidays as is tradition
with the help of users debugging their networks during that time. A number
of kernel fixes have been supplied and dhcp6c will also receive a larger update
in 26.1 soon.

 

[AliManali]

So, mal IDS, abuseipdb und crowdsec eingerichtet. Das brasilianische Botnet geht mir schon länger auf den Senkel. Die kommen zwar immer noch so halb durch, mal sehen, wie das in ein paar Tagen aussieht. GeoIP war mir dann doch zu restriktiv.

 

[AliManali]

Hihi, dürft mich gerne scannen Ihr Asseln. Habe mir einen Honeypot eingerichtet. Wer da anklopft, wird gleich mal für 72h gebannt.

 

[Sannyboy111985]

Gerade einen merkwürdiges Problem gefunden und gelöst....
Mein 3d Drucker hat einen statischen Lease mit der IP .198. Habe ein neues Gerät (ESP8266 Board) ins Netz gebracht und alles lief.
Heute morgen hat dann das ESP8266 Probleme gemacht, dachte erst an WLAN Empfang, da kein gutes Signal anliegt.
Pustekuchen, die Opnsense mit ISC-DHCP hat die IP Adresse .198 auch an den ESP vergeben.

Konnte das Problem lösen nachdem ich den dynamischen Lease für den ESP gelöscht habe.
Aber sowas sollte eigentlich nicht passieren....

 

[AliManali]

Zufällig China Ware mit der selben MAC Adresse? Hatte/habe auch ein Mainboard mit generischer MAC.

 

[Sannyboy111985]

Nope. Das eine ist ein Elegoo Neptune 4 Pro (aa:80:xx:xx:3e:2d) und das andere ein Wemos D1 Mini mit ESP 8266 (98:f4:xx:xx:bd:88)

 

[Weltherrscher]

---snip---
Aber sowas sollte eigentlich nicht passieren....

Warum nicht?
Wenn du den Lease-Pool nicht eingrenzt, kann die *sense sehr wohl IPs vergeben, welche du (ohne ihr Wissen) bereits statisch vergeben hast.

 

[p4n0]

Richtig statische IP's wuerde ich immer nur bei ganz grundlegenden Dingen wie ILOs, Servern, VMs und so Kram vergeben.
Den Rest per dhcp statisch auf der Firewall regeln. Dann gibts auch keine Probleme.
Auch wuerde ich immer nen gewissen Pool 'Frei' lassen fuer die ganzen 'echten' statischen IPs. Damit laeuft man dann auch nicht in solche Probleme.

 

[BobbyD]

Neulich hab ich in den DHCP-Einstellungen nicht aufgepasst und die pfSense hat ihre eigene Interface-Adresse einem Client zugewiesen.

 

[craxity]

@Weltherrscher @p4n0 Ich habe das so verstanden, dass die IP statisch vom DHCP-Server vergeben wird und dann nochmal dynamisch vergeben wurde. Anders kann "hat einen statischen Lease" kaum meinen.

 

[Sannyboy111985]

Korrekt @craxity , die IP für den Drucker ist als statisches Lease im DHCP Server eingetragen und der DHCP hat sie nochmals dynamisch vergeben.
Ich hebe keine IP aus dem DHCP statisch vergeben.

Ich habe einen Bereich für echte statische IPs reserviert/freigelassen und nutze den.

 

[Weltherrscher]

ok, welchen dhcp nutzt du?
ISC, KEA, dnsmasq oder was ganz anderes?
Vielleicht nochn Konfigurationsrest übrig?
Ich weiß noch, dass ich beim Umstieg von ISC über KEA auf dnsmasq nen ziemlichen Pita hatte, bzgl. KEA oder ISC, welcher sich nicht ganz abschalten ließ...

 

[BobbyD]

ist als statisches Lease im DHCP Server eingetragen und der DHCP hat sie nochmals dynamisch vergeben.

In der pfSense ist es so, dass diese Bereiche immer getrennt sind. Ich kann einem Client gar keine IP aus diesem Pool zuweisen. Handhabt die OPNsense das anders, etwas so, wie eine Fritzbox? Wurde Dnsmasq, ISC oder Kea genutzt?

 

[Sannyboy111985]

Es wird der ISC genutzt und auf der Instanz waren weder KEA noch DHCPD im Einsatz.
Es ist kein anderer DHCP Service im Einsatz.

 

[Gen8 Runner]

In der pfSense ist es so, dass diese Bereiche immer getrennt sind. Ich kann einem Client gar keine IP aus diesem Pool zuweisen. Handhabt die OPNsense das anders, etwas so, wie eine Fritzbox? Wurde Dnsmasq, ISC oder Kea genutzt?

Genau das wollte ich auch sagen.

Wenn einem Gerät eine statische IP im DHCP Bereich zugewiesen wird, kommt i.d.R. nur eine Fehlermeldung, dass die IP nicht im DHCP Bereich liegen dürfe und die Änderung wird auch nicht akzeptiert, gibt auch keine override-Funktion, dass man das versehentlich / absichtlich doch machen könne.

Aber trotzdem gut sowas im Hinterkopf zu haben.

 

[besterino]

Aus eigener leidvoller Erfahrung in ganz junger Vergangenheit kann ich nur beitragen, dass zwei DHCP-Server im gleichen physischen Subnetz (mit unterschiedlichen Adressbereichen) großer Käse sind... und es ganz schön lange dauern kann, bis man darauf kommt....

 

[Fusseltuch]

OPNsense 26.1 released

OPNsense 26.1 released

OPNsense 26.1 released

forum.opnsense.org

 

[BobbyD]

Hier gab es viele, interessante Änderungen, konservative User sollten es nicht zu eilig haben...

 

[Fusseltuch]

Ja, das würde ich so unterschreiben. Eine Testmaschine lässt sich vom RC2 gerade nicht aktualisieren. Und gerade in Richtung IPv6 gab es einige Änderungen, die man berücksichtigen muss. Ich würde, Stand jetzt, auch noch etwas warten.

 

[BobbyD]

OPNsense 26.1 released

Migration notes, known issues and limitations:

o ISC-DHCP moves to a plugin. It will be automatically installed during upgrades. It is not installed on new installations because it is not being used, but you can still install and keep using it.
o To accommodate the change away from ISC-DCHP defaults the "Track interface" IPv6 mode now has a sibling called "Identity Association" which does the same except it is not automatically starting ISC-DHCPv6 and Radvd router advertisements to allow better interoperability with Kea and Dnsmasq setups.
o Dnsmasq is now the default for DHCPv4 and DHCPv6 as well as RA out of the box. One thing that the upstream software cannot cover is prefix delegation so that is no longer offered by default. Use another DHCPv6 server in this case.
.
.
.
o The new host discovery service "hostwatch" is enabled by default (since 25.7.11). You can always turn it off under Interfaces: Neighbors: Automatic Discovery if you so choose.
o The firewall migration page is not something you need to jump into right away. Please make yourself familiar with the new rules GUI first and check the documentation for incompatibilities. Single interface from the floating interface will not be considered "floating" in priorities.
o Firewall: NAT: Port Forwarding is now called "Destination NAT". Firewall rule associations are no longer supported, but the old associated firewall rules remain in place with their last known configuration and can now be edited to suit future needs.
o Firewall: NAT: Source NAT is from the set of pages formerly known as automation, but Outbound NAT is still the main page for these types of rules.

Rules — OPNsense documentation

docs.opnsense.org