Aktuelles

[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)



1200px-PfSense_logo.png
pfSense ist eine auf FreeBSD aufsetzende Firewall- und Routing-Appliance der Firma Netgate, von der zwei Editionen existieren.
  • Zum einen die Community Edition (CE), die open source ist und auf eigener Hardware oder auch virtualisiert kostenlos genutzt werden darf, deren Weiterentwicklung aber unklar bleibt.
  • Zum anderen die Plus Edition (+), die closed source ist und auf Hardware von Netgate vorinstalliert daherkommt, aber auch separat erworben werden kann.
    Für Home- oder Lab-Use kann aus dem Netgate Store kostenfrei ein Activation Token bezogen werden, der die CE zu einer + umwandelt.

🟢 komplett im Browser konfigurierbar
🟡 nicht für jeden, sondern für fortgeschrittenere Netzwerkenthusiasten
🔴 wer schnelle Ergebnisse erwartet, ohne Zeit und Mühen zu investieren, sollte woanders schauen



Ich habe mit einer virtualisierten pfSense meinen Home-Router ersetzt und betrachte diese hier nur aus diesem Blickwinkel. Wobei "ersetzt" natürlich relativ zu verstehen ist, so bedarf es weiterhin eines Modems oder Kombi-Gerätes für den jeweiligen Internetanschluss, für WiFi zusätzlich eines APs. Dank VLANs aber alles gut managebar.

Der Funktionsumfang von pfSense ist deutlich größer als hier dargestellt, wird entsprechend kommerziell genutzt und von Profis bedient.
pfSense Features



Besonders gefällt mir an pfSense, dass ich meine ganz persönliche Routing-Strategie verfolgen kann. So leite ich port-basiert an meinem PC den Web-Traffic, abgesehen von ein paar Ausnahmen, über eine OpenVPN-Verbindung an einen VPN-Provider aus, alles andere, wie z.B. Games und Echtzeitkommunikation, läuft weiterhin über den normalen Internetanschluss.
vpn.PNG


Netze können einfach segmentiert werden und Server oder IoT ihre eigene DMZ bekommen.
dmz.PNG

Port forwarding und NAT können für IPv6 genauso umgesetzt werden, wie schon für IPv4.
port forwarding.PNG

Ob man das möchte, ist dabei eine andere Frage. :sneaky:



pfSense kann mit Packages erweitert werden. Diese Packages haben wiederum eigene Entwickler.

Mittels des Packages pfBlockerNG(-Devel) kann ich Port-Freigaben zusätzlich schützen, in dem ich IPs aus bestimmten Ländern blockiere oder umgekehrt erlaube. So kann ich z.B. meinen eigenen VPN-Server nur für deutsche IPs öffnen oder gar nur für das Netz meines Mobilfunkbetreibers.
wan.PNG
Dafür muss ich aber nicht nur das besagte Package installieren und konfigurieren, auch brauche ich einen (kostenlosen) Account bei der Firma, die die Zuordnung der IPs zu Ländern macht. Und erst zu guter Letzt kann ich die entsprechenden Regeln wirklich absichern. Dies ist also ein Beispiel dafür, wie kleinteilig die Arbeitsschritte sind und warum es soviel Zeit und Know-How beansprucht.

pfBlockerNG kann als DNS-Sinkhole auch im gesamten Heimnetzwerk Werbung blockieren.
pfblocker.PNG

Wirklich effektiv ist ein rein DNS-basierter Ad-Blocker aber heutzutage nicht mehr.

So könnte die Startseite aussehen, das Dashboard ist mittels Widgets anpassbar :
Status Dashboard.png



Die Möglichkeiten sind fast grenzenlos, die nötige Einarbeitung vorausgesetzt. :geek:

Ich empfehle dringendst Backups anzulegen, bei virtualisierten Lösungen kann man dafür die Snapshot-Funktion nutzen. Tägliche Backups sind sehr sinnvoll, gerade wenn man viel probiert oder schon viel Konfigurationsarbeit vollbracht hat.

pfSense auf eigener Hardware zu installieren wird vor allem dadurch erschwert, dass es passende FreeBSD-Treiber geben muss. Netzwerkhardware von intel ist wohl kein Problem, Realtek dagegen schwieriger. Generell gibt es eher Treiber für ältere und eher im Enterprise-Segment anzutreffende Hardware.



Opnsense-logo.svg.png
Nicht unerwähnt bleiben kann OPNsense, welches ein Fork von pfSense ist und von der niederländischen Firma Deciso open source weiterentwickelt wird. Der Release-Zyklus ist schneller als von pfSense CE, sowohl die Bedienung als auch der Funktionsumfang unterscheiden sich eher geringfügig.



Für komplexere Fragestellungen bieten sich die jeweils offiziellen Foren an: Netgate Forum, OPNsense Forum


Regel-Grundsätze, die Anfängern oft unbekannt sind. [🐺🐺🐺🦊]
  • Alles, was nicht explizit erlaubt ist, wird geblockt. Bis auf das erste LAN enthält auch kein Interface ootb irgendwelche Regeln. Ausnahmen gibt es z.B. für DHCP, welches unsichtbar abläuft und keinerlei Regeln durch den Nutzer bedarf.
  • Traffic wird grundsätzlich nur einmal, nämlich eingehend (immer aus Sicht der Firewall) pro Interface gefiltert, der Rest ist dann statefull und wird nicht mehr reguliert. Das bedeutet, dass originärer Traffic aus dem Internet am WAN-Interface erlaubt werden muss. Wenn Traffic von LAN1 auf LAN2 erlaubt sein soll, dann muss dies auf LAN1 geregelt werden usw.
  • WAN net ist nicht das Internet, sondern das Netz, welches sich unmittelbar am WAN-Port befindet. Das kann z.B. das Netz einer vorgeschalteten Fritzbox sein oder eines des ISPs.
    Deshalb gilt es, schleunigst einen "RFC1918"-Alias zu erstellen, der mindestens die privaten Netzwerke enthält:
    10.0.0.0/8
    172.16.0.0/12
    192.168.0.0/16
    Mit diesem Alias kann man nun Regeln erstellen, die z.B. nur für das Internet gelten, in dem das Ziel als invertierter "RFC1918"-Alias definiert wird.


Selektives Routing einzelner Programme unter Windows Pro. [🦊🦊🦊🦊]

Ich möchte auf einem Windows-Host nur Traffic eines bestimmten Webbrowsers über ein VPN ausleiten, der Rest soll über den ISP gehen. Da diese Unterscheidung nicht rein über die Angabe des Ports möglich ist, hier kurz erklärt, wie man Traffic in Windows mittels Differentiated Services (DiffServ) taggt, damit daraufhin eine ebenfalls getaggte Regel in pfSense greifen kann. Wenn das Programm eigenes DNS machen kann, wird sogar dieses getunnelt.

In Windows Pro lege ich mittels regedit unter Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ einen neuen Key namens QoS an und erstelle in diesem einen neuen REG_SZ namens Do not use NLA mit dem Wert 1.
qos.PNG
Anschließend muss Windows neu gestartet werden.

Im lokalen Group Policy Editor lege ich eine neue QoS Policy an, in der ich das Programm anhand seines Namens definiere (chrome.exe) und einen DSCP Value vergebe (30).
qosedit.PNG
Darüber hinaus könnten hier auch noch weitere Feineinstellungen wie Protokoll (TCP/UDP), Ports und IP Ranges getroffen werden.

In pfSense erstelle ich nun die gewünschte Regel, indem ich dort in den Advanced Options das Gateway definiere und den entsprechenden DiffServ Code Point auswähle (af33).
rule.PNG

Welcher DSCP Value zu welchem DiffServ Code Point passt, lässt sich z.B. hier ablesen.

Vielen Dank an @0 8 15 User für den Hinweis auf die Differentiated Services! 🏆



Guides & Links

Eine FRITZBox als "VDSL-Modem" und zur Telefonie an einer Firewall nutzen
OPNsense (kein pfBlocker): Blocklisten nutzen: #380 und einen ASN-Alias erstellen: #706 ff

 
Zuletzt bearbeitet:

0 8 15 User

Experte
Mitglied seit
31.08.2016
Beiträge
1.538
Denke, dass ein Neustart von unbound eher kein Problem ist, weil das keine Sekunde dauert.
Ja und danach ist der DNS Cache komplett weg und alle folgenden Anfragen dauern erst mal wieder entsprechend lange.
Sprich, Du suchst nach allen unbound Problemen und beziehst sie dann auf deine Situation und wunderst dich, dass dem nicht sofort abgeholfen wird.
Nein, tue ich nicht. Ohne manuelles Einspielen obigen Patches, der erst seit wenigen Tagen verfügbar ist, startet Unbound in 2.5.2 und 2.6.0 gar nicht neu und bleibt auf den fraglichen Interfaces tot bis man ihn händisch neu startet. Mag sein dass ich eine Memme bin, aber für mich ist das kein Zustand. Außerdem funktioniert es in 2.4.5-p1 astrein. Es ist eine 1 Jahre alte Regression, um die man sich nicht kümmert, weil man keinen Bock dazu hat.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

Weltherrscher

Experte
Mitglied seit
28.04.2008
Beiträge
583
Was macht ihr für abgefahrene Sachen mit Unbound?
Ich nutz den nur als Upstream für interne DNS-Namen, den Rest macht je ein Pihole und ein Adguard in ner VM.
Keine Probleme mit opnSense seit jeher.
Die beiden DNSn werden brav vom DHCP auf die jeweiligen VLANs verteilt.
 

0 8 15 User

Experte
Mitglied seit
31.08.2016
Beiträge
1.538
Was willst du uns damit sagen? Dass Unbound keine Probleme macht, wenn man ihn nicht benutzt?
 

Bob.Dig

Urgestein
Thread Starter
Mitglied seit
10.05.2007
Beiträge
15.462
Ort
Capital City 🇩🇪
Startpost um einen Eintrag zu Selektives Routing einzelner Programme unter Windows Pro ergänzt, dank @0 8 15 User !!
 

KurantRubys

Enthusiast
Mitglied seit
26.08.2012
Beiträge
5.148
Ort
Bayern
Nach nem Jahr Speedport muss doch wieder was anderes her…bisher hatte ich pfSense auf einem ausrangiertem ThinClient mit 3 NICs laufen, absol problemlos. Ich will jetzt aber dann beim neuen Setup nicht wieder 8 Geräte am laufen haben. Ich hab hier auch noch einen deutl aktuelleren OptiPlex, auf dem läuft gerade Home Assistant nativ. Jetzt zum neuen Plan:

- Optiplex als Proxmox Host
- OPNsense und HA jeweils virtualisiert auf dem Optiplex
- USB NIC mit AX88772A

Irgendwelche Einwände zu dem Setup? Hat das so ggf. sogar schon jemand umgesetzt?
 

andrer250282

Experte
Mitglied seit
05.10.2015
Beiträge
179
Guten Morgen,

ich doktor hier schon den ganzen gestrigen Tag rum und habe wahrscheinlich nur einen Denkfehler, aber ich komme nicht drauf...

Folgendes Szenario: OPNsense an einem Glasfasermodem mit /29 IPv4 Subnetz soll eine IPSec Verbindung zu einem Dienstleister für Remoteservice für 2 Telefonanlagen bekommen.

Die Telefonanlagen liegen in den Netzen:
172.23.1.0/24
172.24.252.0/24

Die Firewall hat die IP 192.168.206.253/24 und kann alle Netze auf unserer Seite (also die 172.2x.y.0/24) über das Interace LAN erreichen

vom Dienstleister ist folgende Vorgabe gegeben:network_settings.png
Der Kontrollhost zum Pingen auf der SPS Seite ist: 172.23.100.252

Der Tunnel ist folgendermaßen konfiguriert und baut sich auch problemlos auf:
tunnel_settings.png
vpn_status.png
tunnel_spd.png
Und der Einfachheit halber dem IPSec Interface erstmal alles erlauben
fw_ipsec_rule.png
Ich scheitere jetzt am NAT...
Ich möchte die Netze 1:1 natten, also eine 1:1 Regel (bzw. 2) und halte mich mehr oder minder daran:

1to1_Settings.png

Aber egal was ich mache, ich bekomme keinen Ping auf die 172.23.100.252, weder vom Firewall CLI noch von einer beliebigen Adresse im 172.23.1.0/24 Netz noch dem 172.24.252.0/24 Netz...

Irgendwas fehlt mir, aber was?
Ich steh gerade völlig auf dem Schlauch...
 

KurantRubys

Enthusiast
Mitglied seit
26.08.2012
Beiträge
5.148
Ort
Bayern

KurantRubys

Enthusiast
Mitglied seit
26.08.2012
Beiträge
5.148
Ort
Bayern
Hm das merke ich mir mal, könnte interessant sein. Mein Fujitsu für die pfSense war groß genug, da hab ich einfach ne Dual NIC dazu gesteckt. Sollte das mit dem USB Adapter nicht so rund laufen werde ich glaub ich darauf umschwenken, jetzt muss das Ding erstmal laufen damit Frau arbeiten kann :d
 

ragnar440

Profi
Mitglied seit
14.01.2021
Beiträge
71
Hey @andrer250282,

hast du schonmal geschaut ob der tunnel überhaupt zustande kommt? Auf dem einen Bild ist bei Traffic Rx und Tx jeweile 0 Byte.
 

KurantRubys

Enthusiast
Mitglied seit
26.08.2012
Beiträge
5.148
Ort
Bayern
Kurzes Update zum Optiplex, Installation von Proxmox und OPNsense ist soweit erfolgreich, PPPoE über die USB NIC läuft soweit auch. Wird jetzt über Proxmox direkt durchgereicht und die interne NIC ist die Bride zu Proxmox/dem LAN. Ich kann jetzt natürlich noch nichts dazu sagen wie stabil das läuft, macht aber bisher einen guten Eindruck. Mal schauen ob es auch dabei bleibt. Auf jeden Fall könnte die Kiste mehr als 8GB RAM vertragen :d
 

asche77

Experte
Mitglied seit
22.07.2013
Beiträge
784
Update 22.1.3 verfügbar: https://forum.opnsense.org/index.php?topic=27523.0

Update 22.1.4 mit security fixes soll nächste Woche folgen.

This update (scil. 22.1.3) includes groundwork for interface handling improvements
making the boot more flexible in complex interface assignment scenarios
involving GIF, GRE and bridge devices.

Please note this update does not include the current OpenSSL security
advisory due to overlapping time schedules. 22.1.4 will include these
and will likely be released next week.
 

hs_warez

Enthusiast
Mitglied seit
11.10.2007
Beiträge
767
So, habe jetzt meine Hardware (Fujitsu Futro S930 + Intel i350-T4 Quad-Port LAN) zusammen und habe gestern mal OPNsense installiert und die Grundeinstellung vorgenommen.

Gibt es für Anfänger eine empfehlenswerte "Anleitung/HowTo/...."-Quellen für die Einrichtung/den Betrieb?


umsetzen möchte ich als Erstes gerne:
  • VLAN1 - für mein "normales" Heimnetz (Server, Laptop, Drucker, WLAN, ....)
  • VLAN2 - HomeOffice meiner Freundin - Zugriff auf Internet und auf den Drucker des VLAN1
  • VPN-Dienst - damit ich von unterwegs auf mein TrueNAS zugreifen kann

Danke!


LG
 

Bob.Dig

Urgestein
Thread Starter
Mitglied seit
10.05.2007
Beiträge
15.462
Ort
Capital City 🇩🇪
@hs_warez Ich würde den Drucker in ein eigenes VLAN packen und ggf. VLAN-fähige Switche einsetzen. Wenn Du eh alles direkt an die Sense anschließen möchtest, brauchst Du aber keine VLANs.

Learning by Doing würde ich sagen, wo bleibt sonst der Spaß... 😉
 

hs_warez

Enthusiast
Mitglied seit
11.10.2007
Beiträge
767
Mein Zyxel Switch kann VLan.

Macht es irgendeinen Unterschied, ob ich die Netze via VLan über den Switch trenne, oder ob ich sie separat an eigenen Lan-Schnittstellen an der Firewall trenne?
 

Bob.Dig

Urgestein
Thread Starter
Mitglied seit
10.05.2007
Beiträge
15.462
Ort
Capital City 🇩🇪
@hs_warez Wenn alles über ein einziges Firewall Interface läuft, ist dort halt ein potentielles Bottleneck, je nachdem, was Du so darüber schiebst. VLANs sind aber flexibler, auch kannst Du natürlich beides kombinieren.
 
Zuletzt bearbeitet:

asche77

Experte
Mitglied seit
22.07.2013
Beiträge
784
Mein Zyxel Switch kann VLan.

Macht es irgendeinen Unterschied, ob ich die Netze via VLan über den Switch trenne, oder ob ich sie separat an eigenen Lan-Schnittstellen an der Firewall trenne?
Wie Bob schon sagte: Performance.

Verkehr innerhalb eines VLAN kann vom Switch geroutet werden und entlastet damit die Firewall (sowohl CPU als auch Bandbreite). Verkehr zwischen VLANs muss durch die Firewall durch (da Du vermutlich keinen L3 switch verwenden willst).
 

hs_warez

Enthusiast
Mitglied seit
11.10.2007
Beiträge
767
@hs_warez Wenn alles über ein einziges Firewall Interface läuft, ist dort halt ein potentielles Bottleneck, je nachdem, was Du so darüber schiebst. VLANs sind aber flexibler, auch kannst Du natürlich beides kombinieren.

Wie Bob schon sagte: Performance.

Verkehr innerhalb eines VLAN kann vom Switch geroutet werden und entlastet damit die Firewall (sowohl CPU als auch Bandbreite). Verkehr zwischen VLANs muss durch die Firewall durch (da Du vermutlich keinen L3 switch verwenden willst).


Hm, ja habe nur einen Layer 2 Switch.


Habe gelesen, dass generell empfohlen wird Drucker in einem eigenen VLAN zu betreiben.

Sollte ich es dann am besten so umsetzen?

Firewall – LAN-Anschluss 1:
VLAN1 – mein privates Netz mit Server, Laptops, ….
VLAN2 – mein privates Netz mit den Druckern

Firewall – LAN-Anschluss 2:
Quasi Gast-Netzwerk für Homeoffice – welches nur Zugriff auf die Drucker haben soll – ansonsten wird es hier keinen übergreifenden Datenverkehr geben.


Danke!

LG
 

Bob.Dig

Urgestein
Thread Starter
Mitglied seit
10.05.2007
Beiträge
15.462
Ort
Capital City 🇩🇪
@hs_warez Wobei ich nicht verstehe, was in diesem Zusammenhang "mein privates Netz" heißt. Ein Drucker kommt bei mir auch in ein Netz, wo er genau garnichts von sich aus machen kann.
Ok, da MuFu, darf er dann doch ein zwei Sachen.
Capture.PNG
 

hs_warez

Enthusiast
Mitglied seit
11.10.2007
Beiträge
767
@hs_warez Wobei ich nicht verstehe, was in diesem Zusammenhang "mein privates Netz" heißt. Ein Drucker kommt bei mir auch in ein Netz, wo er genau garnichts von sich aus machen kann.
Ok, da MuFu, darf er dann doch ein zwei Sachen.
Anhang anzeigen 742453


Mit "privates Netzwerk" meine ich, mein komplettes Heimnetzwerk außer dem Netzwerk für Homeoffice - sprich, wo der Firmenlaptop meiner Freundin draufhängt - der soll nix von meinem Netzwerk sehen können - außer den Druckern.
 

0 8 15 User

Experte
Mitglied seit
31.08.2016
Beiträge
1.538
Firewall – LAN-Anschluss 1:
VLAN1 – mein privates Netz mit Server, Laptops, ….
VLAN2 – mein privates Netz mit den Druckern

Firewall – LAN-Anschluss 2:
Quasi Gast-Netzwerk für Homeoffice – welches nur Zugriff auf die Drucker haben soll – ansonsten wird es hier keinen übergreifenden Datenverkehr geben.
Klingt vernünftig, aber wenn alles über einen Switch laufen soll, dann muss der Switch natürlich dafür sorgen, dass die Trennung der drei Broadcast-Domänen erhalten bleibt.
 

asche77

Experte
Mitglied seit
22.07.2013
Beiträge
784
Jedenfalls kümmern sie sich um die entsprechenden Sicherheitsupdates.

Ich hatte mit Opnsense bisher bessere Erfahrungen als mit pfsense.

So oder so lohnt es etwas zu warten vor dem Update.
 

Speeddeamon

Experte
Mitglied seit
13.06.2013
Beiträge
874
Ort
Metropolregion Hamburg
Moin,

werden die von OpenSense gefressen?

P225P - 2 x 25/10G PCIe NIC​


Möchte damit meinen OptiPlex 7040 zur FW aufrüsten.
Der hat einen i5 drin und 16GB RAM.
Damit sollte man doch alles nutzen können oder?
Speicher ist eine 256GB M2 SSD
 
Oben Unten