[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Es gibt so ein paar Dinge, die für mich einfach nur laufen sollen, möglichst wenig und wenn nur idiotensicheres Handanlegen erfordern und mit denen man generell nicht herumspielt. ;) Dazu gehören für mich Routing, Firewall und VPN-Zugang. VPN hab ich darum in dedizierter Hardware. Firewall/Routing aktuell erstmal als VM (zum Lernen, vor allem was ich langfristig wirklich will), optional später evtl. auch mal in dedizierter Hardware.

Aus Neugier: welches Killerfeature hat den Opnsense, das die pfsense nicht hat?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
hä und das betreibst du alles auf der OPNSense oder was? Das hat doch jetzt mit OPNSense erstmal gar nichts zu tun.
Nein, aber du ja auch nicht.
Die Sense ist hier Mittel zum Zwecke, die Dienste nach außen einigermaßen sicher und komfortabel freizugeben.
Auf der Sense selbst laufen Wireguard, Adguard, Unbound für lokale DNS-Auflösung, HAProxy als reverse Proxy und natürlich IDS und die Firewall selbst.
Nebenher routet sie zwischen den VLANs den nötigen Verkehr.
 
Nachdem ich heute fast den ganzen Tag mit dem (nur teilweise erfolgreichen) Versuch verbracht habe, einen pfsense HA-cluster einzurichten, vielleicht habt Ihr ja eine Idee:

Ich versuche, HA zwischen einer Hyper-V VM und einer physischen Kiste einzurichten. Da die physische Kiste nur 2 NICs hat, habe ich als SYNC-Interface ein eigenes VLAN mit der ID 1000 eingerichtet. Entsprechend das VLAN auch auf dem physischen Switch und in der VM hinzugefügt (der hab ich dann auch keine weitere vNIC mehr hinzugefügt). Die VM soll Master/Primary sein (hat mehr Bumms), die physische Kiste Secondary.

Das klappte auch grundsätzlich soweit, dass sich die beiden pfSensen finden und alle Einstellungen vom Primary auf den Secondary gesynced wurden. Grundsätzlich Connectivität ist also gegeben.

Allerdings behaupten BEIDE pfSensen unter "Status --> CARP (failover)", dass sie der MASTER wären. Die Secondary müsste eigentlich BACKUP zeigen... Für die DHCP-Server ganz unten "Status --> DHCP Leases" funktioniert es witzigerweise, da ist einer Primary und der andere Secondary (wie es sein soll). Sobald ich aber über DHCP als Default-GW und DNS nicht mehr die IP (x.x.x.1) der Primary-pfSense sondern der virtuellen IP (x.x.x.254) an Clients verteile, kommen die dann auch leider nicht mehr ins Internet. Komischerweise funktioniert auch kein Ping mehr aus dem eigenen Subnetz raus, was vorher ging.

Ich vermute klassisches "Split-Brain"? Außerdem hab ich bisher die Firewall-Regeln ja anhand nur einer einzigen pfSense gebastelt - muss ich die nun alle anpacken und von "ADDRESS" z.B. auf "x.x.x.254" umbiegen, wo es um Regeln der pfSense selbst geht (Zugriff auf DNS, Web-GUI usw.) damit die auch im Falle eines Failovers weiter funktionieren? Aber wie erkläre ich der pfSense, dass die Dienste dann auch auf der vIP horchen und nicht (nur) auf den "echten" pfSense-IPs?

Wie finde ich heraus, wo es genau klemmt? Kommt so vieles in Betracht, evtl. macht mir ja schon der Hyper-V vSwitch einen Strich durch die Rechnung (irgendwo stand was, man solle v-Switches in den promiscuous mode setzen)? Muss ich auch auf dem physischen Switch irgendwas über das VLAN-tagging beachten (das funzt ja anscheinend, sonst würden die sich schon nicht syncen)?
 
@besterino Wozu HA. Das macht alles nur sehr kompliziert und steht meiner Meinung nach in keinem Verhältnis zum möglichen Gewinn, im Gegenteil. Und wenn Du virtualisierst, solltest Du eh immer ein Backup zurückspielen können. Ich mache um HA einen großen Bogen. Ich hab aber eh eine Fritzbox, die in vorderster Front ihren Dienst tut, zur Not auch alleine. Meinung Ende und letzter Kommentar zum Thema von mir.
 
Zuletzt bearbeitet:
Hab die Tage mal nach und nach alle *Sensen unter meiner Gewalt geupdated.
Migration auf den neuen DHCP steht noch aus bei meiner Moehre. Rest lief soweit erstmal Fehlerfrei und funktioniert auch scheinbar noch alles.
Was ein wenig doof war: Beim Update von 2 Remote-Standorten blieb der automatische Reboot aus bzw. das VPN kam nachm Update nichtmehr selbststaendig hoch. Musste haendisch nachgeholfen werden.
 
@p4n0 die Migration auf das "neue" DHCP hat auf meiner Sense vor Kurzem problemlos geklappt.

Hat schon jemand Erfahrungen mit der Migration der "alten" Firewall-Rules auf die "neuen" Rules gemacht?
Ich zögere mit der Umstellung, weil sowas immer ein hohes Gefahrenpotential mitbringt, dass am Ende irgendwas klemmt 😅
 
Hat schon jemand Erfahrungen mit der Migration der "alten" Firewall-Rules auf die "neuen" Rules gemacht?
Steht bei mir auch noch aus. Zumindest fuehlt sich die 'neue' Version noch so an als wuerde sie korrekt (mit den alten rules) arbeiten. Wer das ab Donnerstag alles nachholen.

Dinge wie ACME, Dyndns, HAProxy (Reverse) mit SSL Offloading etc funktioniert alles wie gewohnt.
 
Hat schon jemand Erfahrungen mit der Migration der "alten" Firewall-Rules auf die "neuen" Rules gemacht?
Ja ich hab den Assi benutzt, exportiert -> importiert, hat alles funktioniert.
Meine Regeln waren wohl nicht komplex genug um dabei was kaputt gehen zu lassen :d
 
Danke für euer Feedback. Habe jetzt auch keine superkomplexen Regeln, allerdings heute alles "Floating", was dann portiert werden muss. Werde mir das mal ansehen.
 
Ich seh den Task auch als gute Gelegenheit an alles sauber in Gruppen / Aliase zu packen und nur noch damit in Zukunft zu arbeiten.
Ist aktuell schon recht fragmentiert gewachsen und nichtmehr so einfach zu verstehen.
Grad wenn man mehrere S2S Standorte mit unterschiedlichen Netzen hat sollte man sich im Vorfeld ein valides Konzept ueberlegen wie man das Ruleset aufbaut. Wird nachgeholt :d
 
Ich hab da auch Nachholbedarf, wie ihr schon festgestellt habt. Bin bislang mit den Floating-Rules allerdings sehr gut gefahren muss ich sagen, keine Probleme für mein überschaubares Heimnetz mit ein bisschen VPN und ner handvoll Tunneln.
 
Moin,

ich will meine OPNsense neu machen. Das nötige Blech ist ausgewählt und steht bereit. Aber wie mach ich das denn am "bequemsten" aus meine vorhandenen LAN? Installation ist ja klar, via VGA direkt lokal - aber dann hab ich die wunderbare Konsole, das von da zu amchen "nervt" - aber ich kann die sense ja auch nicht einfach als Client in mein LAN zerren - irgendwelche Ideen wie man das am einfachsten macht?
Ziel soll sein: Zugriff via Browser, ohne das sich alte und neue sense in die Queere kommen...
 
Wuerde sie komplett Stand-Alone neu machen, alle Interfaces / Netze konfigurieren und im Big-Bang die alte Abschaltne und gegen die Neue ersetzen.
WAN wegen mir an dein bestehendes LAN, damit das Ding nach draußen kommt. Mehr jedoch nicht.
 
Aber dh alle Firewallregeln in Konsole machen, genau das will ich ja nicht...
 
Setz die 2te OPNSense als HA auf.
Dann die alte abschalten und die neue übernimmt.
Also in der Theorie, in der Praxis musst du natürlich mit CARP alle Interfaces parallel aufsetzen.
Und dann entweder HA lassen (für irgendwann beim nächsten Umzug) oder HA rückbauen.

Ansonsten: neue installieren, die neuen Interfacenamen für LAN/WAN/etc notieren
Dann ein Backup.XML der alten Ziehen und mit Suchen/Ersetzen die jeweiligen Interface Namen auswecheln und das Backup einspielen
 
Setz die 2te OPNSense als HA auf.
Dann die alte abschalten und die neue übernimmt.
Also in der Theorie, in der Praxis musst du natürlich mit CARP alle Interfaces parallel aufsetzen.
Und dann entweder HA lassen (für irgendwann beim nächsten Umzug) oder HA rückbauen.

Ansonsten: neue installieren, die neuen Interfacenamen für LAN/WAN/etc notieren
Dann ein Backup.XML der alten Ziehen und mit Suchen/Ersetzen die jeweiligen Interface Namen auswecheln und das Backup einspielen
Das funktioniert so wie du dir das vorstellst nicht, denn ich will unter anderem die Interfaces und Anbindung der neuen anders machen als die der alten.
Auch den Backup-Weg will ich aus diesem (und der Tatsache das ich neu mache weil ich die Regeln neu aufsetzen will - wegen der Änderungen an der Regelgeschichte hab ich noch nicht geupdatet) Grund ebenfalls nicht.
:(
 
Habe atm auch zwei Senses am laufen. Die neue Lab Sense hängt hinter der produktiv Sense. Habe halt im Desktop zwei NICs. Und die ESXi sind getagged an beiden Sensen/Switches, damit ich das Regelwerk durchklingeln kann. Reicht ja, wenn Du an der neuen Sense das LAN konfigurierst an der Konsole, danach kommst Du per Browser drauf und machst den Rest. Habe eh viel an den ESXi getestet, musste für meine ganze VLAN und Switch Konfiguration nicht mal den Laptop auspacken.
 
Zuletzt bearbeitet:
Das LAN sill ja das selbe sein, will ja an meinem sonstigen setup nichts ändern.
 
Okay, nächstes Problem: Wo muss genau mlx4en_load = yes hin?
Laut dieser Anleitung:
in eine Datei die nicht existiert...
Die Anleitung hier:
ist leider auch undeutlich...
 
Servus zusammen, bräuchte mal euren Rat: Was sollte ich nehmen wenn es um Layer 4 Routing zwischen verschiedenen VLANS geht und ich das ganze als VM auf dem HyperV Laufen lassen will?
Was ist da am intuitivsten und einfachsten?
Ich kenne nur Securepoint UTM Firewall lösungen, aber wollt mich auch mal im OpenSoruce Bereich umschauen.
 
Da ist OPNsense schon recht ideal meiner Meinung nach. Kannst es ja recht einfach über einen virtuellen Switch, der physisch an Deine Netzwerkkarte angebunden ist, realisieren. Gibt ja mittlerweile auch einige, gute Tutorials in Sachen OPNsense.
 
wenn es um Layer 4 Routing zwischen verschiedenen VLANS geht und ich das ganze als VM auf dem HyperV Laufen lassen will
Dann dürfte eher der Layer 3 gemeint sein (auch wenn ich das nicht gelernt habe).
OPNsense kannst Du einfach auf Hyper-V installieren, einen Trunk-Port musst Du aber per Power-Shell anlegen, wenn denn gewünscht. Das liegt aber an Hyper-V, dafür kann die VM nichts.
Intuitiv ist so ne Sache... wirklich intuitiv und für Laien ist keine der mir bekannten Lösungen.
 
Hmm okay. Meinte schon Layer 4, also ganz fein granular. Anhand IP Adresse, Protokoll und Portnummer, ggf. auch über NAT.
Da Werd ich mir das OPNsense mal anschauen. Danke euch :)
 
Aber dh alle Firewallregeln in Konsole machen, genau das will ich ja nicht...
Du kannst dich doch einfach per LAN mit deinem Rechner anstoepseln und 'von hinten' per GUI konfigurieren.
 
Er will glaube ich das "LAN" der beiden Senses gleichzeitig an seinem Netz, bzw. seiner NIC haben. Das geht halt so nicht. Drum sage ich ja, zweite NIC, Laptop, ESXi/Proxmox mit separater NIC, was weiss ich. Wenn er das wirklich an seinem bestehenden LAN haben will, wäre allenfalls VPN in die zweite Sense noch eine Option. Wenn auch selten kompliziert...
 
Servus zusammen, bräuchte mal euren Rat: Was sollte ich nehmen wenn es um Layer 4 Routing zwischen verschiedenen VLANS geht und ich das ganze als VM auf dem HyperV Laufen lassen will?
Was ist da am intuitivsten und einfachsten?
Ich kenne nur Securepoint UTM Firewall lösungen, aber wollt mich auch mal im OpenSoruce Bereich umschauen.

Ich hab das genau so mit einer pfsense laufen.

Ob „am intuitivsten und einfachsten“ weiß ich nicht. ;) Kannst ja mal ab hier in meinen Fred dazu reinschauen:

 
Hat schon jemand Netbird auf seiner OpnSense im Einsatz?
Wäre eine tolle alternative für Wireguard + Reverse Proxy
 
OPNsense 26.1.11 released
Back already with a bag of security advisories also for FreeBSD which came out
just yesterday.
Note that this update brings the outbound to source NAT migration page, but it
is only a formality as outbound NAT will stay in 26.7 although the legacy
firewall rules page will move to a plugin during the major upgrade. It is the
same process that was employed with ISC-DHCP. Due to this addition, however,
the source NAT rules entered in the system will no longer work unless the
mode is set to either "manual" or "hybrid".

With all preparations in place, you can export the legacy outbound NAT rules [2].

{tip} Use a tool like Microsoft Excel to inspect and modify rules in the CSV file before importing them or when certain validations fail.
:sneaky:
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh