*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 847
Ich habe alle Webinterfaces im Management-VLAN.
Ist sauberer so.
Gerade Canon-Drucker mit WLAN spacken richtig rum, sobald du VLANs am Start hast.
Es ist richtig, das Drucken geht dann NUR im selben VLAN.
Habe das Problem so am Glotzofon, das ist im IoT-Netz, weils ein Ding ist.
Allerdings sieht die Glotze dann den DLNA aus dem Service-VLAN nicht, wo das NAS und die VMs drin hängen.
Momentan behelfe ich mir mit dem VLC, damit die Frau wenigstens Downton Abbey gucken kann...
Finde den Vorschlag von Shihatsu ganz gut, werde ich mal probieren.
Warum sollte das Drucken nur aus dem gleichen VLAN gehen?
Ich habe ein eigenes VLAN für Drucker und drucke aus 2 anderen VLAN's problemlos darauf aus.
LG
Luckysh0t
Enthusiast
Kommt darauf wie du den Drucker ansprichst, zB mit AirPrint etc.
p4n0
Legende
Wollte nur mal kurz allgemein erwaehnen dass mir die PFSense immer mehr ans Herz waechst. Nutze sie seit ca einem Jahr ernsthafter und freue mich wie gut das Ding funktioniert.
//edit:
Mittlerweile laufen auf dem Ding auch Sachen wie Site2Site mit nem VTI IPSEC und FRR und so spaeßchen. Hatte davor recht wenig Ahnung von dem Kram aber mit dem Teil
laeuft das super und die Lernkurve war nice
//edit:
Mittlerweile laufen auf dem Ding auch Sachen wie Site2Site mit nem VTI IPSEC und FRR und so spaeßchen. Hatte davor recht wenig Ahnung von dem Kram aber mit dem Teil
laeuft das super und die Lernkurve war nice
Wollen die nicht jetzt Geld? Bezahlst Du dafür?
p4n0
Legende
Noe, alles kostenfrei bisher. Wuesste nicht wo ich etwas zu bezahlen haette.
Die Plus-Version auf nicht von Netgate stammender Hardware kostet inzwischen Geld. Die alten noch kostenfreien Installationen der Plus wurden bis jetzt nicht aufgekündigt. Die CE ist nach wie vor kostenfrei und gerade mit pfBlockerNG immer einen Blick wert.
Ich hab mir jüngst auch eine OPNsense installiert. Es gibt feine Unterschiede, selbst im Basispaket, aber wer die eine kann, kann auch die andere.
Ich hab mir jüngst auch eine OPNsense installiert. Es gibt feine Unterschiede, selbst im Basispaket, aber wer die eine kann, kann auch die andere.
Zuletzt bearbeitet:
Okay. Bin noch am evaluieren. Bin erst gerade erst von Sophos auf OPNsense gewechselt. Dann gebe ich der pfsense noch mal eine Chance, die war auf dem ESXi auch deutlich performanter als die OPNsense. So wird mir nicht langweilig.
toscdesign
Enthusiast
- Mitglied seit
- 17.02.2022
- Beiträge
- 5.774
Hat schonmal jemand eine OpnSense auf nem VServer bei nem Hoster installiert?
Bzw. hat Erfahrungen damit?
Mir geht es im Grunde darum, wenn man mal einen Internetanbieter erwischt, welcher nur noch IPv6 mit CGNAT unterstützt, würde ich diese OpnSense mit einer Wireguard Verbindung als IPV4 Gateway nutzen um die häufig überlasteten AFTRs zu umgehen.
Oder um schlechtes Peering zu umschiffen.
So zu sagen einen Site to Site von zu Hause zum VServer und diesen als Eintrittspunkt ins Internet nutzen.
Ist jetzt erstmal nur ne Idee.
Das gleiche wird ja oft mit ner nackten Linux Distro + Wireguard gemacht, was ich aber nicht so toll finde.
Bzw. hat Erfahrungen damit?
Mir geht es im Grunde darum, wenn man mal einen Internetanbieter erwischt, welcher nur noch IPv6 mit CGNAT unterstützt, würde ich diese OpnSense mit einer Wireguard Verbindung als IPV4 Gateway nutzen um die häufig überlasteten AFTRs zu umgehen.
Oder um schlechtes Peering zu umschiffen.
So zu sagen einen Site to Site von zu Hause zum VServer und diesen als Eintrittspunkt ins Internet nutzen.
Ist jetzt erstmal nur ne Idee.
Das gleiche wird ja oft mit ner nackten Linux Distro + Wireguard gemacht, was ich aber nicht so toll finde.
toscdesign
Enthusiast
- Mitglied seit
- 17.02.2022
- Beiträge
- 5.774
Das ist ja das was ich nicht so "sauber" finde.
Einfach ein Linux auf den VServer installieren und Wireguard einrichten.
Da muss man eben die ganze Absicherung des Servers von 0 händisch machen.
Bei Opensense wäre quasi das Grundsetup schon erledigt
Einfach ein Linux auf den VServer installieren und Wireguard einrichten.
Da muss man eben die ganze Absicherung des Servers von 0 händisch machen.
Bei Opensense wäre quasi das Grundsetup schon erledigt
Netgate Releases pfSense Plus Software Version 24.03
We are excited to announce the release of pfSense Plus software version 24.03.
www.netgate.com
Und für die CE gibt es wichtige Security Fixes via System Patches.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 847
mit mDNS?
Wie soll das ohne Repeater gehen?
//Edith:
Ich hab auch nen CUPS-Server am Laufen und einen nativen Netzwerkdrucker (mit Kabel, von OKI).
Die funktionieren auch ohne mDNS VLAN-übergreifend, aber das "Consumer-Glump" was PnP fluppen soll, macht dauernd Sperenzchen mit etwas fortgeschritteneren Netzwerkstrukturen (aka >1 VLAN)...
Beitrag automatisch zusammengeführt:
Auch seit 1.1 nicht?
Zuletzt bearbeitet:
Hi
Bin letzthin von Sophos auf pfsense geschwenkt. Nun kann ich bei einem Flugsimulator nicht mehr auf andere Sessions connecten, und andere Piloten nicht bei mir. Muss da immer über VPN (NordVPN vom Client aus) gehen, dann klappt es. Für die Sessions ist im Normalfall kein NAT notwendig. Wenn ich über die alte Firewall (Zywall 110) gehe, klappt die Verbindung. Habe eine fixe IPv4.
Die pfsense ist sozusagen noch im Defaultzustand. Hat da wer einen Plan, an was das liegen könnte?
Bin letzthin von Sophos auf pfsense geschwenkt. Nun kann ich bei einem Flugsimulator nicht mehr auf andere Sessions connecten, und andere Piloten nicht bei mir. Muss da immer über VPN (NordVPN vom Client aus) gehen, dann klappt es. Für die Sessions ist im Normalfall kein NAT notwendig. Wenn ich über die alte Firewall (Zywall 110) gehe, klappt die Verbindung. Habe eine fixe IPv4.
Die pfsense ist sozusagen noch im Defaultzustand. Hat da wer einen Plan, an was das liegen könnte?
Das würde ich mit OpenWRT erledigen. Weniger unnötig komplex, deutlich weniger Ressourcen (150 mb Disk, 250 MB Ram ist schon reichlich), und hat alles an Board, was Du brauchst.
p4n0
Legende
Du kommst aus dem internen Netz?
Dann mal hier schauen:
Ansonsten koennte ich mir noch vorstellen, dass du evtl aehnlich wie bei SIP statisches PortMapping brauchst beim NAT:
Das waeren meine 2 Punkte an denen ich suchen wuerde.
Tracert sollte dir dabei helfen nachvollziehen zu koennen welchen Weg deine Pakete nehmen und wo sie evtl. falsch abbiegen.
p4n0
Legende
Kann mir jemand dabei helfen meinem Problem auf die Schliche zu kommen?
Folgender Aufbau:
SiteA:
ESX @ Zen4, genug Cores, Leistung satt.
(VM) PFsense - mit durchgereichter X550 NIC.
(VM) FreeNas ZFS Appliance
SiteB:
ESX @ Xeon 2224G, auch genug Power.
(VM) PFsense - mit durchgereichter Intel Server NIC, welche genau, kp.
Zwischen beiden Sensen besteht ein IPSEC Tunnel.
Wenn ich von SiteB per SMB auf das NAS zugreife bekomme ich maximal ~16mbit durch den Tunnel.
Wenn ich von SiteB gegen die Sense auf SiteA mit iperf fahre, kommen ~109 mbit (DSL Maximum SiteB) durch den Tunnel.
Auch mehrere Uebertragungen per SMB vom NAS erhoehen die Bandbreite nicht.
Was ich schon getestet habe:
MSS auf beiden Sensen auf ~1000 gestellt. An den IPSEC Parametern habe ich auch schon herumgespielt und testweise die Algos auf AES only umgestellt.
Aenderte genau nichts am Throughput. Wobei das komische ja ist, dass per IPERF ja das DSL Maximum erreicht wird. Also grundsaetzlich scheint der Tunnel ja performant zu sein.
Habe testweise auf SiteA einen public share erstellt und durchs www von Site A nen testfile gedownloaded.
Das ging komischerweise auch nur relativ lahm. Vllt. 20-30mbit.
Ein Freund aus dem gleichem Anschlussgebiet hat ebenfalls einen DSL Anschluss von der Telekom. Er kann das File mit fullspeed ~250mbit von mir herunterladen.
Daher kann man wohl auch irgendwelche Peering-Probleme oder so ausschließen.
Wie und wo suche ich am besten?
Danke fuer eure Unterstuetzung!
Folgender Aufbau:
SiteA:
ESX @ Zen4, genug Cores, Leistung satt.
(VM) PFsense - mit durchgereichter X550 NIC.
(VM) FreeNas ZFS Appliance
SiteB:
ESX @ Xeon 2224G, auch genug Power.
(VM) PFsense - mit durchgereichter Intel Server NIC, welche genau, kp.
Zwischen beiden Sensen besteht ein IPSEC Tunnel.
Wenn ich von SiteB per SMB auf das NAS zugreife bekomme ich maximal ~16mbit durch den Tunnel.
Wenn ich von SiteB gegen die Sense auf SiteA mit iperf fahre, kommen ~109 mbit (DSL Maximum SiteB) durch den Tunnel.
Auch mehrere Uebertragungen per SMB vom NAS erhoehen die Bandbreite nicht.
Was ich schon getestet habe:
MSS auf beiden Sensen auf ~1000 gestellt. An den IPSEC Parametern habe ich auch schon herumgespielt und testweise die Algos auf AES only umgestellt.
Aenderte genau nichts am Throughput. Wobei das komische ja ist, dass per IPERF ja das DSL Maximum erreicht wird. Also grundsaetzlich scheint der Tunnel ja performant zu sein.
Habe testweise auf SiteA einen public share erstellt und durchs www von Site A nen testfile gedownloaded.
Das ging komischerweise auch nur relativ lahm. Vllt. 20-30mbit.
Ein Freund aus dem gleichem Anschlussgebiet hat ebenfalls einen DSL Anschluss von der Telekom. Er kann das File mit fullspeed ~250mbit von mir herunterladen.
Daher kann man wohl auch irgendwelche Peering-Probleme oder so ausschließen.
Wie und wo suche ich am besten?
Danke fuer eure Unterstuetzung!
Steggi
Enthusiast
- Mitglied seit
- 31.12.2010
- Beiträge
- 3.483
Wie siehts mit der TCP Windows Size aus?
Hast du mit IPERF TCP oder UDP gemessen?
Lässt die Latenz zwischen den beiden Sites die Bandbreite per TCP überhaupt zu?
Ggf. mal nachrechnen --> https://network.switch.ch/pub/tools/tcp-throughput/
p4n0
Legende
iperf3.exe -c 10.254.1.254 -R -P 8 -t 10000
Also TCP. Damit geht die DSL Leitung voll (109 mbit).
Soll das die MTU sein oder was ist damit genau gemeint?
Ja, da liegen nur ca 12ms dazwischen.
//edit gerade getestet:
Jeder Thread bei IPERF macht ca ~25mbit.
Bei -P 1 = ~25mbit
- P 2 = ~50mbit
[...] etc...
Dumme Frage: vergleichst Du evtl Download mit Upload? DSL ist ja typischerweise asymmetrisch...
Versehentlich MByte bei SMB mit MBit bei iperf3 verwechselt hast Du ja wohl auch nicht?
Beitrag automatisch zusammengeführt:
Edit: "-R" testet ja den upstream von SiteA, also in der Tat ein eklatanter mismatch zur SMB Performance.
Versehentlich MByte bei SMB mit MBit bei iperf3 verwechselt hast Du ja wohl auch nicht?
Zuletzt bearbeitet:
p4n0
Legende
p4n0
Legende
Gibt ne kleine Planänderung,
die virtuelle PFSense fliegt raus und wird gegen Hardware + OPNSense ersetzt.
Das Teil frisst auf dem ESX zuviel Leistung, darum wird es ausgelagert.
Basis wird ein MINISFORUM MS-01, ist ein kleiner mini-computer mit ner 13900h CPU und 2xSFP+ onboard.
( https://store.minisforum.de/products/ms-01 )
Dazu kommt noch ne Quadport SFP+ NIC in den PCI-E Slot.
Wird zwar etwas oversized aber ich finde ne ziemlich geile Kiste, Basteltrieb wird definitiv befriedigt
die virtuelle PFSense fliegt raus und wird gegen Hardware + OPNSense ersetzt.
Das Teil frisst auf dem ESX zuviel Leistung, darum wird es ausgelagert.
Basis wird ein MINISFORUM MS-01, ist ein kleiner mini-computer mit ner 13900h CPU und 2xSFP+ onboard.
( https://store.minisforum.de/products/ms-01 )
Dazu kommt noch ne Quadport SFP+ NIC in den PCI-E Slot.
Wird zwar etwas oversized aber ich finde ne ziemlich geile Kiste, Basteltrieb wird definitiv befriedigt
Ja, ist für eine Sense total überdimensioniert. Bin gespannt, ob Du geroutet die 8 Gbit/s knackst. Das scheint irgend so eine magische Grenze zu sein, zumindest bei Speedtests. Wobei die gehen ja mit mehreren Streams raus, standardmässig afaik per UDP. Bin dann gespannt, wie es mit einem einzelnen TCP Stream aussieht, noch nicht getestet.
Mein Modem/Router liefert 8 Gbit/s, meine Firewall macht bei 8 Gbit/s zu, letzthin hat einer an der Swisscom Leitung gemessen 8 Git/s, ein User hier hat mit einer Ubiquiti UDM Pro 8 Gbit/s gemessen.
Und ich nutze die asbach uralt E3 v3 Xeon mit 1333 DDR3, wo mir prophezeit wurde, dass die eh zu langsam sei für 10 Gbit/s.
Mein Modem/Router liefert 8 Gbit/s, meine Firewall macht bei 8 Gbit/s zu, letzthin hat einer an der Swisscom Leitung gemessen 8 Git/s, ein User hier hat mit einer Ubiquiti UDM Pro 8 Gbit/s gemessen.
Und ich nutze die asbach uralt E3 v3 Xeon mit 1333 DDR3, wo mir prophezeit wurde, dass die eh zu langsam sei für 10 Gbit/s.
Zuletzt bearbeitet:
Evtl. könnt ihr mir weiterhelfen.
Ich wollte mal WireGuard auf meiner Opnsense testen, aber leider bekomme ich keine Verbindung hin und das Netz spuckt auch nichts passendes raus.
Auf meinem iPhone mit Congstar (Telekom) bekomme ich immer die Fehlermeldung:
"Handshake did not complete after 5 seconds"
Ich poste mal ein paar Screens inkl. mit geschwärztem Inhalt. Wir nehmen mal als Beispiel
Post: 51820
IP: 192.168.178.1/24
Meine Internet IP: 1.1.1.1
Peer: iPhone
Instance:
Peer:
Wurde mit dem Generator erzeugt. Aber auch von Hand gab es das gleiche Ergebnis.
Rules WAN:
Rules VPN:
Das Interface ist ebenfalls aktiviert und wurde beim Unbound DNS hinzugefügt.
Die Keys stimmen auch und wurden mehrfach kontrolliert. Ich finde da einfach keine Lösung.
Ich wollte mal WireGuard auf meiner Opnsense testen, aber leider bekomme ich keine Verbindung hin und das Netz spuckt auch nichts passendes raus.
Auf meinem iPhone mit Congstar (Telekom) bekomme ich immer die Fehlermeldung:
"Handshake did not complete after 5 seconds"
Ich poste mal ein paar Screens inkl. mit geschwärztem Inhalt. Wir nehmen mal als Beispiel
Post: 51820
IP: 192.168.178.1/24
Meine Internet IP: 1.1.1.1
Peer: iPhone
Instance:
Peer:
Wurde mit dem Generator erzeugt. Aber auch von Hand gab es das gleiche Ergebnis.
Rules WAN:
Rules VPN:
Das Interface ist ebenfalls aktiviert und wurde beim Unbound DNS hinzugefügt.
Die Keys stimmen auch und wurden mehrfach kontrolliert. Ich finde da einfach keine Lösung.
Zuletzt bearbeitet:
Jetzt fehlt immer noch die Konfiguration des Phones.
Und hast Du überhaupt eine öffentliche IPv4-Adresse? Schon etwas anderes erfolgreich nach draußen freigegeben?
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 333
Was sagt die Live Ansicht auf DST Port 51820? Kommt da überhaupt was an? (Ggf Protokollierung der Regel aktivieren)