*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Dort steht, dass Analytics-Daten so oder so gesammelt werden, Personal-Daten sind dagegen opt-in.
Das Ganze wundert mich nicht und ist inzwischen ja fast normal.
Und eigentlich ist das Thema hier ja pf-/OPNsense.
Für die pfSense Plus 26.03 ist der erste RC erschienen, wirklich Interessantes scheint mir aber nicht dabei zu sein.
toscdesign
Enthusiast
OK, dann habe ich das falsch verstanden. D.h. erstmal dem Access-Point den Internetzugriff blockieren.
Weiß ich, es ging um eine Alternative für die OpnSense, nach dem aktuellen Update Ärger.
toscdesign
Enthusiast
Ich bleibe jetzt erstmal bei OpnSense mit allen Vir- und Nachteilen. Muss erstmal mit dem alten Regelsystem weiterlaufen.
OpenWRT wäre für einfache Dinge ggf. noch ne Lösung oder wenn man keinen Mikrotik Router kaufen möchte, kann man deren Software auch in einer VM laufen lassen. Die Preise sind sehr human für eine Lizenz (kein Abo):
www.mikrotik-store.eu
OpenWRT wäre für einfache Dinge ggf. noch ne Lösung oder wenn man keinen Mikrotik Router kaufen möchte, kann man deren Software auch in einer VM laufen lassen. Die Preise sind sehr human für eine Lizenz (kein Abo):
[MikroTik] - Cloud Hosted Router (CHR) - VM/64Bit
Was ist Cloud Hosted Router (CHR) Cloud Hosted Router (CHR) ist eine RouterOS-Version, die für die Ausführung als virtuelle Maschine vorgesehen ist. Sie unterstützt die x86-64-Bit-Architektur (die ISO-Installations-Medien von RouterOS hingegen nur 32-Bit) und kann auf den meisten gängigen...
www.mikrotik-store.eu
Gute Frage. Die APs von denen sind P/L eigentlich super. Wuerde die ungern alle rauswerfen. Auch wenn man groeßere Setups betreibt haelt sich der admin-aufwand echt in Grenzen.
Habe hier mittlerweile 5 Sites auf einem Controller. Da haengen sicher 7 Switche und ~13 APs dran. Habe kaum Aufwand das alles 'sauber' zu halten.
Luckysh0t
Enthusiast
Draytek oder auch teltonika könnten Alternativen haben - wenn auch vermutlich nicht günstiger.
GGf. Lohnt auch ein Blick Richtung TP-Link Omada.
GGf. Lohnt auch ein Blick Richtung TP-Link Omada.
Zuletzt bearbeitet:
toscdesign
Enthusiast
Kann ich nur abraten von. Zumindest bei mir das WLAN ne Katastrophe. Bin dann wieder zurück zu einem Unifi AP
Sannyboy111985
Experte
- Mitglied seit
- 19.08.2016
- Beiträge
- 235
Meine Opnsense ist mir im letzen Jahr auc 2x mit Updates bzw. Bei Backups unter Proxmox Ärger gemacht, dass ich neu aufsetzen musste bzw. alte backups brauchte… das eine Mal war echt frickelig… die Umstellung von DNS und Regelwerk habe ich noch vor mir, überlege aber ob ich dann Wechsel, nur bisher keine gute Idee wohin…
Ich bin mit WLAN von Unifi AC-Lite auf Omada EA653 umgestiegen und habe keine Probleme.
Omada hat meiner Kenntnis nach keine im Preis-Leistungsbereich von Unify. Auch ist der Controller für WLAN auch nicht ganz so chic wie der Unifi.
Hatte mich wegen der Telemetrie gegen Unifi entschieden. Aber die Gateways sind schon nice.
Ich bin mit WLAN von Unifi AC-Lite auf Omada EA653 umgestiegen und habe keine Probleme.
Omada hat meiner Kenntnis nach keine im Preis-Leistungsbereich von Unify. Auch ist der Controller für WLAN auch nicht ganz so chic wie der Unifi.
Hatte mich wegen der Telemetrie gegen Unifi entschieden. Aber die Gateways sind schon nice.
Luckysh0t
Enthusiast
Es ist halt wie immer, jeder macht andere Erfahrungen. Ich kann bei mir nicht klagen, allerdings habe ich auch nur einen EAP660 HD und keinerlei roaming/mesh etc. Sachen.
Für meine zwei Stockwerke in der Maisonette Wohnung reicht er. Wobei mein alter UniFi AP AC LR auch gereicht hatte, der läuft nun im Keller für meine Steckdosen der Waschmaschine und Trockner.
toscdesign
Enthusiast
Ich hatte 10 Jahre einen Unifi AC-lite, der lief problemlos.
Bin dann beim Upgrade auf Omada mit dem TP-Link EAP-653 (neue HW Revision)
Der machte leider nur Ärger:
www.hardwareluxx.de
Daher nach 4 Monaten nochmals Geld inn die Hand genommen und einen Unifi U7-lite gekauft.
Ich habe auch kein mesh oder ähnliches in Betrieb.
Bin dann beim Upgrade auf Omada mit dem TP-Link EAP-653 (neue HW Revision)
Der machte leider nur Ärger:
[Kaufberatung] - Netzwerkupgrade durch neue Anforderungen
Denke, Du musst nur sicherstellen, dass die OPNsense ebenfalls unifi.localdomain auflösen kann. Das hatte ja leider nicht funktioniert. Aber gut, wenn Du es mit DHCP hinkriegst. Ja das hat dann gut funktioniert 👍 In einer Hinsicht verstehe ich die Philosophie von Unifi nicht. Bei den...
www.hardwareluxx.de
Daher nach 4 Monaten nochmals Geld inn die Hand genommen und einen Unifi U7-lite gekauft.
Ich habe auch kein mesh oder ähnliches in Betrieb.
Luckysh0t
Enthusiast
Verstehe, wer will, aber so ist das mit Technik- leider.
toscdesign
Enthusiast
Sieht so aus als hättest du recht, hab die IP vom Unifi Server sowie von Access-Point in der OpnSense geblockt.
Der Accesspoint versucht nichts zu erreichen, aber der Server:
Ok der Acces-Point versucht zumindest einen Zeitserver zu erreichen:
FreeBSD Security Advisory FreeBSD-SA-26:09.pf
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ============================================================================= FreeBSD-SA-26:09.pf Security Advis...
bsdsec.net
Weltherrscher
Enthusiast
- Mitglied seit
- 28.04.2008
- Beiträge
- 1.096
CVSS 7,5...
not good, not terrible...
außer DOS geht damit wohl nix?
not good, not terrible...
außer DOS geht damit wohl nix?
Liest sich ja alles nicht so benutzerfreundlich hier. Klar ein Thema wo man sich auskennen muss, aber schon nervig wenn es ständig große Änderungen gibt die Arbeit erfordern.
Mich würde mal interessieren wofür überhaupt OPNSense oder eine andere Software.
Ich hab jetzt selbst nur eine "dumme" Fritzbox 4690 im Einsatz, aber auch schon mal überlegt ob ich mir zumindest mal was anderes anschaue. Aber ich hätte keinen richtigen Grund dafür, klar würde mich das Thema Firewall schon interessieren, direkt mal sehen was so drüber läuft usw. aber ansonsten würde ich alles nur verkomplizieren.
Wofür habt ihr es überhaupt gemacht? Mehr aus Spaß und Interesse oder wirklich einen Grund dafür gehabt? Ich hatte früher mal ne Sophos UTM am laufen gehabt, ist aber schon ewig her.
Generell würde es mich schon reizen, aber das einzigen was mir einfällt wäre eben die direkte Einsicht in die Firewall zu haben, was läuft drüber etc.. denn zuhause fange ich mit unterschiedlichen Netzen/VLANs etc. gar nicht erst an.
Hab auch früher mal ne Zeit lang um zumindest den kompletten Traffic zu sehen einen Mirrorport konfiguriert und den ganzen WAN Verkehr mit ntopng ausgewertet bzw. beobacht.
Ansonsten bin ich mit der All in One Fritzbox sehr zufrieden. DNS mache ich über meine Technitium DNS Server, ne statische Route zu meinem VPS über Wireguard konnte ich anlegen das klappt eigentlich alles gut.
Mich würde mal interessieren wofür überhaupt OPNSense oder eine andere Software.
Ich hab jetzt selbst nur eine "dumme" Fritzbox 4690 im Einsatz, aber auch schon mal überlegt ob ich mir zumindest mal was anderes anschaue. Aber ich hätte keinen richtigen Grund dafür, klar würde mich das Thema Firewall schon interessieren, direkt mal sehen was so drüber läuft usw. aber ansonsten würde ich alles nur verkomplizieren.
Wofür habt ihr es überhaupt gemacht? Mehr aus Spaß und Interesse oder wirklich einen Grund dafür gehabt? Ich hatte früher mal ne Sophos UTM am laufen gehabt, ist aber schon ewig her.
Generell würde es mich schon reizen, aber das einzigen was mir einfällt wäre eben die direkte Einsicht in die Firewall zu haben, was läuft drüber etc.. denn zuhause fange ich mit unterschiedlichen Netzen/VLANs etc. gar nicht erst an.
Hab auch früher mal ne Zeit lang um zumindest den kompletten Traffic zu sehen einen Mirrorport konfiguriert und den ganzen WAN Verkehr mit ntopng ausgewertet bzw. beobacht.
Ansonsten bin ich mit der All in One Fritzbox sehr zufrieden. DNS mache ich über meine Technitium DNS Server, ne statische Route zu meinem VPS über Wireguard konnte ich anlegen das klappt eigentlich alles gut.
besterino
Legende
@Anarchist: ich war ewig ähnlich wie Du unterwegs (FRITZ!Box plus extra-Box für VPN), aber bin trotzdem gerade dabei, mein Netzwerk umzustellen.
Haupt-Motivation dafür war, dass in jüngerer Vergangenheit zum einen ziemlich viele neue Geräte ins Netz gekommen sind (Smarthome) und zum anderen einige Dienste (insb. Nextcloud) dazu kamen, die irgendwie von draußen erreichbar sein sollen. Dadurch wurde mir mit „so allem in einem Netz etwas mulmig“. Bei den ganzen Smarthome-Dingern weiß ja kein Mensch ob die nicht doch irgendwie ab Werk nach Hause telefonieren (oder mit dem nächsten Firmware-Update der Hardcore-Trojaner einzieht). Und mich nervte schon lange, dass die Inhalte-Filter der FRITZ!Box auch nur so mittelmäßig funktionieren. Außerdem drohten mir die IP-Adressen im /24er Subnet auszugehen, so dass ich eh irgendwann irgendwas hätte machen müssen.
Also wollte ich VLANs aufsetzen, was die Fritze nicht wirklich kann, man braucht mehr Routing, als die Fritze kann, und ein besseres WLAN, als das von der Fritze, durfte es auch gerne geben (hatte ich aber schon, zumindest teilweise).
Bin noch nicht am Ende, bisschen was dazu (Warnung: und viel unqualifiziertes Gelaber von mir drumrum) findest Du hier:
www.hardwareluxx.de
Haupt-Motivation dafür war, dass in jüngerer Vergangenheit zum einen ziemlich viele neue Geräte ins Netz gekommen sind (Smarthome) und zum anderen einige Dienste (insb. Nextcloud) dazu kamen, die irgendwie von draußen erreichbar sein sollen. Dadurch wurde mir mit „so allem in einem Netz etwas mulmig“. Bei den ganzen Smarthome-Dingern weiß ja kein Mensch ob die nicht doch irgendwie ab Werk nach Hause telefonieren (oder mit dem nächsten Firmware-Update der Hardcore-Trojaner einzieht). Und mich nervte schon lange, dass die Inhalte-Filter der FRITZ!Box auch nur so mittelmäßig funktionieren. Außerdem drohten mir die IP-Adressen im /24er Subnet auszugehen, so dass ich eh irgendwann irgendwas hätte machen müssen.
Also wollte ich VLANs aufsetzen, was die Fritze nicht wirklich kann, man braucht mehr Routing, als die Fritze kann, und ein besseres WLAN, als das von der Fritze, durfte es auch gerne geben (hatte ich aber schon, zumindest teilweise).
Bin noch nicht am Ende, bisschen was dazu (Warnung: und viel unqualifiziertes Gelaber von mir drumrum) findest Du hier:
Setup VLANs (vor allem für 2 WLANs)?
Irgendwie fehlt mir hier ein "Laber-Thread", wo man mal relativ unauffällig dumme Fragen stellen kann... ;) Gibt's aber nicht, also muss ich mich outen und meine dumme Fragen in einem eigenen Thread stellen. Ich habe bisher um VLANs einen weiten Bogen gemacht, vor allem, weil ich sie -...
www.hardwareluxx.de
Ja ich hab aus dem Internet auch vieles erreichbar und offen.
Also auf der Fritzbox selbst hab ich nichts offen bei mir sieht das so aus:
Eigene Domain z.B. domain.de für meine Dienste. dienst1.domain.de, dienst2.domain.de usw.
Interner Aufruf -> DNS Eintrag am Technitium Server der zum internen Nginx Proxy Manager zeigt mit Sternzertifikat der dann zum Dienst weiterleitet.
Externer Aufruf -> DNS Eintrag für * der zu meinem externen 2,99€ VPS zeigt mit Nginx Proxy Manager mit Sternzertifikat, der dann über einen Wireguard VPN zu mir nach Hause zum Dienst zeigt.
D.h. ich hab zwei Nginx Proxy Manager und rufe alle meine Dienste über die gleiche URL auf. Wenn ich ihn nur intern will, dann mach ich nur am internen den Eintrag. Wenn ich ihn auch extern will dann auf beiden.
Im Internet ist dann auch immer nur die IP vom VPS erkennbar und nerviges DynDNS etc. hab ich gar nicht. Ändert sich meine WAN IP doch mal ist alles sofort wieder erreichbar da ich den Tunnel von mir zum VPS aufbaue.
Ich habs dann am VPS so abgesichert, dass ich aktuell nur IPs aus Deutschland, Österreich und Schweiz überhaupt zulasse zu den Dockerdiensten bzw. Webseiten und der Rest wird komplett abgelehnt.
Zusätzlich habe ich die ganzen Nginx Proxy Manager Logs vom VPS im Blick und bekomme täglich ne Auswertung.
Bisher hatte ich damit keine Probleme und auch quasi keine Angriffsversuche etc.
Klar sind das nur Dienste oder Seiten die ich persönlich oder mal Freunde/Verwandtschaft nutzt und somit geht das mit der Ländereingrenzung auf DACH halt auch easy. Der Rest der Welt kann mir damit erstmal egal sein
Also auf der Fritzbox selbst hab ich nichts offen bei mir sieht das so aus:
Eigene Domain z.B. domain.de für meine Dienste. dienst1.domain.de, dienst2.domain.de usw.
Interner Aufruf -> DNS Eintrag am Technitium Server der zum internen Nginx Proxy Manager zeigt mit Sternzertifikat der dann zum Dienst weiterleitet.
Externer Aufruf -> DNS Eintrag für * der zu meinem externen 2,99€ VPS zeigt mit Nginx Proxy Manager mit Sternzertifikat, der dann über einen Wireguard VPN zu mir nach Hause zum Dienst zeigt.
D.h. ich hab zwei Nginx Proxy Manager und rufe alle meine Dienste über die gleiche URL auf. Wenn ich ihn nur intern will, dann mach ich nur am internen den Eintrag. Wenn ich ihn auch extern will dann auf beiden.
Im Internet ist dann auch immer nur die IP vom VPS erkennbar und nerviges DynDNS etc. hab ich gar nicht. Ändert sich meine WAN IP doch mal ist alles sofort wieder erreichbar da ich den Tunnel von mir zum VPS aufbaue.
Ich habs dann am VPS so abgesichert, dass ich aktuell nur IPs aus Deutschland, Österreich und Schweiz überhaupt zulasse zu den Dockerdiensten bzw. Webseiten und der Rest wird komplett abgelehnt.
Zusätzlich habe ich die ganzen Nginx Proxy Manager Logs vom VPS im Blick und bekomme täglich ne Auswertung.
Bisher hatte ich damit keine Probleme und auch quasi keine Angriffsversuche etc.
Klar sind das nur Dienste oder Seiten die ich persönlich oder mal Freunde/Verwandtschaft nutzt und somit geht das mit der Ländereingrenzung auf DACH halt auch easy. Der Rest der Welt kann mir damit erstmal egal sein
Zuletzt bearbeitet:
Wie hast Du das mit der von Dir erwähnten Software gemacht?
iptables mit ipset, nicht direkt in nginx proxy manager
kleines Script, einmal pro Nacht lädt er die DE/AT/CH Sets runter und aktualsiert die Regeln.
Zusätzlich, weil es könnte ja auch bekannte BAD IPs aus den Ländern geben hole ich mir noch von ipsum (https://github.com/stamparm/ipsum) die IPs für den zusätzlichen Block. Da hast du im Level1.txt auch nochmal fast 140000 auffällige.
Es hilft auch schon viel wenn man gar keinen Geoblock macht und nur die Ipsum blocken würde.
Das ganze dann in die docker-user chain gepackt.
Beitrag automatisch zusammengeführt:
kein Bock auf DynDNS bei Selfhosting. Ich will eine dauerhaft gleiche IP für die Dienste draußen. Bei Glasfaser hab ich die IP zwar lange aber ein Wechsel kommt trotzdem vor. Und so ist innerhalb weniger Sekunden der Tunnel wieder da und läuft.
pfSense Plus 26.03 Release
Some new features include:
Ein Aprilscherz durfte auch nicht fehlen...
Some new features include:
- WebGUI Optimizations - The WebGUI code has been optimized. Users may experience a dramatic increase in GUI performance.
- System Patches Package - All installations now include it by default.
- SSH Algorithms - Increase security by including post-quantum key exchange algorithms and by removing older and weaker algorithms.
- TLS Certificate Strength - Weak (<2048 bits) TLS Server Certificates have been deprecated. This version checks the GUI certificate during the upgrade process and will re-generate a new GUI certificate if the current certificate is invalid, expired, or weak.
- TLS Certificate Auto-Renew - This version automatically renews TLS server certificates, whether self-signed or signed by an internal CA configured in pfSense Plus.
Ein Aprilscherz durfte auch nicht fehlen...
wenzilinho
Experte
- Mitglied seit
- 21.09.2018
- Beiträge
- 205
Beides.
Hatte vorher auch eine UTM auf einer APU2C4, aus Performancegründen dann zu OPNsense gewechselt.
Dann umgezogen, am neuen Wohnort gab es nur einen Arris Router, Fritzbox nur gegen Aufschlag. Der Arris Router kann quasi nichts, ändern des DNS auf Pihole oder ähnliches nicht möglich, daher in Bridge-Mode gesetzt und wieder die OPNsense dran.
Vor 1,5 Jahren dann OPNsense von der APU auf einen Dell SFF mit Proxmox umgezogen, und nie Probleme gehabt. Dazu mehr Performance und mehr Komfort durch Snapshots und Backups.
Weltherrscher
Enthusiast
- Mitglied seit
- 28.04.2008
- Beiträge
- 1.096
Email-Server.
Adguard.
Nextcloud.
Immich.
Matrix.
.
.
.
Minecraft.
Wozu VPS, wenn ich dann eh alles daheim hoste?
Da kann ich für 3 € im Monat auch Strom für ne kleine Firewall ziehen und habe volle Kontrolle (und eben auch die Verantwortung, muss man dazu sagen).
Da es mich aber interessiert und ich gerne bastel -> win win.
Ähnliche Themen
- Artikel
[User-Review]
Synology ActiveProtect Appliance DP320 im Lesertest
