[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Der ursächliche Bug, der die ganzen DNS Resolver Probleme in pfSense nach sich zieht, ist seit 6 Jahren bekannt und immer noch nicht behoben. ^^

Was mich aktuell am meisten abfuckt, ist die Tatsache, dass sie die Probleme nicht anständig beheben, sondern stattdessen einfach nur kaschieren. Beispiel: https://redmine.pfsense.org/issues/12612

Ich bin echt kurz davor pfSense in die Tonne zu klopfen, aber ich will natürlich auch nicht vom Regen in die Traufe kommen.
 
Notfalls halt Mal BIND ausprobieren? Oder Adguard Home als DHCP und local resolver mit BIND als upstream?
 
@*******, wenn man Geräte direkt an der Firewall hängen hat, die regelmäßig neu gestartet werden, dann ist Unbound in pfSense ab 2.5.x quasi komplett unbenutzbar. Seit ein paar Tagen gibt es einen pfuschigen Patch, den man via System Patches einspielen kann, der das Problem entschärft, aber von einer sauberen Lösung ist das noch meilenweit entfernt.
Das heißt im Umkehrschluss, dass man akzeptiert, dass Unbound die Grätsche macht, wenn ein direkt an der Firewall hängendes Gerät neugestartet wird.
Notfalls halt Mal BIND ausprobieren? Oder Adguard Home als DHCP und local resolver mit BIND als upstream?
Klar kann man irgendwie drumherumdoktern, mach ich ja jetzt schon seit dem Release von 2.6.0, aber mir geht die Lust dazu zunehmend aus, insbesondere wenn es absolut keine Aussicht auf Besserung gibt.
 
Denke, dass ein Neustart von unbound eher kein Problem ist, weil das keine Sekunde dauert.
Ja und danach ist der DNS Cache komplett weg und alle folgenden Anfragen dauern erst mal wieder entsprechend lange.
Sprich, Du suchst nach allen unbound Problemen und beziehst sie dann auf deine Situation und wunderst dich, dass dem nicht sofort abgeholfen wird.
Nein, tue ich nicht. Ohne manuelles Einspielen obigen Patches, der erst seit wenigen Tagen verfügbar ist, startet Unbound in 2.5.2 und 2.6.0 gar nicht neu und bleibt auf den fraglichen Interfaces tot bis man ihn händisch neu startet. Mag sein dass ich eine Memme bin, aber für mich ist das kein Zustand. Außerdem funktioniert es in 2.4.5-p1 astrein. Es ist eine 1 Jahre alte Regression, um die man sich nicht kümmert, weil man keinen Bock dazu hat.
 
Was macht ihr für abgefahrene Sachen mit Unbound?
Ich nutz den nur als Upstream für interne DNS-Namen, den Rest macht je ein Pihole und ein Adguard in ner VM.
Keine Probleme mit opnSense seit jeher.
Die beiden DNSn werden brav vom DHCP auf die jeweiligen VLANs verteilt.
 
Was willst du uns damit sagen? Dass Unbound keine Probleme macht, wenn man ihn nicht benutzt?
 
Nach nem Jahr Speedport muss doch wieder was anderes her…bisher hatte ich pfSense auf einem ausrangiertem ThinClient mit 3 NICs laufen, absol problemlos. Ich will jetzt aber dann beim neuen Setup nicht wieder 8 Geräte am laufen haben. Ich hab hier auch noch einen deutl aktuelleren OptiPlex, auf dem läuft gerade Home Assistant nativ. Jetzt zum neuen Plan:

- Optiplex als Proxmox Host
- OPNsense und HA jeweils virtualisiert auf dem Optiplex
- USB NIC mit AX88772A

Irgendwelche Einwände zu dem Setup? Hat das so ggf. sogar schon jemand umgesetzt?
 
Guten Morgen,

ich doktor hier schon den ganzen gestrigen Tag rum und habe wahrscheinlich nur einen Denkfehler, aber ich komme nicht drauf...

Folgendes Szenario: OPNsense an einem Glasfasermodem mit /29 IPv4 Subnetz soll eine IPSec Verbindung zu einem Dienstleister für Remoteservice für 2 Telefonanlagen bekommen.

Die Telefonanlagen liegen in den Netzen:
172.23.1.0/24
172.24.252.0/24

Die Firewall hat die IP 192.168.206.253/24 und kann alle Netze auf unserer Seite (also die 172.2x.y.0/24) über das Interace LAN erreichen

vom Dienstleister ist folgende Vorgabe gegeben: network_settings.png
Der Kontrollhost zum Pingen auf der SPS Seite ist: 172.23.100.252

Der Tunnel ist folgendermaßen konfiguriert und baut sich auch problemlos auf:
tunnel_settings.png
vpn_status.png
tunnel_spd.png
Und der Einfachheit halber dem IPSec Interface erstmal alles erlauben
fw_ipsec_rule.png
Ich scheitere jetzt am NAT...
Ich möchte die Netze 1:1 natten, also eine 1:1 Regel (bzw. 2) und halte mich mehr oder minder daran:

1to1_Settings.png

Aber egal was ich mache, ich bekomme keinen Ping auf die 172.23.100.252, weder vom Firewall CLI noch von einer beliebigen Adresse im 172.23.1.0/24 Netz noch dem 172.24.252.0/24 Netz...

Irgendwas fehlt mir, aber was?
Ich steh gerade völlig auf dem Schlauch...
 
Hm das merke ich mir mal, könnte interessant sein. Mein Fujitsu für die pfSense war groß genug, da hab ich einfach ne Dual NIC dazu gesteckt. Sollte das mit dem USB Adapter nicht so rund laufen werde ich glaub ich darauf umschwenken, jetzt muss das Ding erstmal laufen damit Frau arbeiten kann :d
 
Hey @andrer250282,

hast du schonmal geschaut ob der tunnel überhaupt zustande kommt? Auf dem einen Bild ist bei Traffic Rx und Tx jeweile 0 Byte.
 
Kurzes Update zum Optiplex, Installation von Proxmox und OPNsense ist soweit erfolgreich, PPPoE über die USB NIC läuft soweit auch. Wird jetzt über Proxmox direkt durchgereicht und die interne NIC ist die Bride zu Proxmox/dem LAN. Ich kann jetzt natürlich noch nichts dazu sagen wie stabil das läuft, macht aber bisher einen guten Eindruck. Mal schauen ob es auch dabei bleibt. Auf jeden Fall könnte die Kiste mehr als 8GB RAM vertragen :d
 
Update 22.1.3 verfügbar: https://forum.opnsense.org/index.php?topic=27523.0

Update 22.1.4 mit security fixes soll nächste Woche folgen.

This update (scil. 22.1.3) includes groundwork for interface handling improvements
making the boot more flexible in complex interface assignment scenarios
involving GIF, GRE and bridge devices.

Please note this update does not include the current OpenSSL security
advisory due to overlapping time schedules. 22.1.4 will include these
and will likely be released next week.
 
So, habe jetzt meine Hardware (Fujitsu Futro S930 + Intel i350-T4 Quad-Port LAN) zusammen und habe gestern mal OPNsense installiert und die Grundeinstellung vorgenommen.

Gibt es für Anfänger eine empfehlenswerte "Anleitung/HowTo/...."-Quellen für die Einrichtung/den Betrieb?


umsetzen möchte ich als Erstes gerne:
  • VLAN1 - für mein "normales" Heimnetz (Server, Laptop, Drucker, WLAN, ....)
  • VLAN2 - HomeOffice meiner Freundin - Zugriff auf Internet und auf den Drucker des VLAN1
  • VPN-Dienst - damit ich von unterwegs auf mein TrueNAS zugreifen kann

Danke!


LG
 
Mein Zyxel Switch kann VLan.

Macht es irgendeinen Unterschied, ob ich die Netze via VLan über den Switch trenne, oder ob ich sie separat an eigenen Lan-Schnittstellen an der Firewall trenne?
 
Mein Zyxel Switch kann VLan.

Macht es irgendeinen Unterschied, ob ich die Netze via VLan über den Switch trenne, oder ob ich sie separat an eigenen Lan-Schnittstellen an der Firewall trenne?
Wie Bob schon sagte: Performance.

Verkehr innerhalb eines VLAN kann vom Switch geroutet werden und entlastet damit die Firewall (sowohl CPU als auch Bandbreite). Verkehr zwischen VLANs muss durch die Firewall durch (da Du vermutlich keinen L3 switch verwenden willst).
 
@hs_warez Wenn alles über ein einziges Firewall Interface läuft, ist dort halt ein potentielles Bottleneck, je nachdem, was Du so darüber schiebst. VLANs sind aber flexibler, auch kannst Du natürlich beides kombinieren.

Wie Bob schon sagte: Performance.

Verkehr innerhalb eines VLAN kann vom Switch geroutet werden und entlastet damit die Firewall (sowohl CPU als auch Bandbreite). Verkehr zwischen VLANs muss durch die Firewall durch (da Du vermutlich keinen L3 switch verwenden willst).


Hm, ja habe nur einen Layer 2 Switch.


Habe gelesen, dass generell empfohlen wird Drucker in einem eigenen VLAN zu betreiben.

Sollte ich es dann am besten so umsetzen?

Firewall – LAN-Anschluss 1:
VLAN1 – mein privates Netz mit Server, Laptops, ….
VLAN2 – mein privates Netz mit den Druckern

Firewall – LAN-Anschluss 2:
Quasi Gast-Netzwerk für Homeoffice – welches nur Zugriff auf die Drucker haben soll – ansonsten wird es hier keinen übergreifenden Datenverkehr geben.


Danke!

LG
 
@hs_warez Wobei ich nicht verstehe, was in diesem Zusammenhang "mein privates Netz" heißt. Ein Drucker kommt bei mir auch in ein Netz, wo er genau garnichts von sich aus machen kann.
Ok, da MuFu, darf er dann doch ein zwei Sachen.
Anhang anzeigen 742453


Mit "privates Netzwerk" meine ich, mein komplettes Heimnetzwerk außer dem Netzwerk für Homeoffice - sprich, wo der Firmenlaptop meiner Freundin draufhängt - der soll nix von meinem Netzwerk sehen können - außer den Druckern.
 
Firewall – LAN-Anschluss 1:
VLAN1 – mein privates Netz mit Server, Laptops, ….
VLAN2 – mein privates Netz mit den Druckern

Firewall – LAN-Anschluss 2:
Quasi Gast-Netzwerk für Homeoffice – welches nur Zugriff auf die Drucker haben soll – ansonsten wird es hier keinen übergreifenden Datenverkehr geben.
Klingt vernünftig, aber wenn alles über einen Switch laufen soll, dann muss der Switch natürlich dafür sorgen, dass die Trennung der drei Broadcast-Domänen erhalten bleibt.
 
Jedenfalls kümmern sie sich um die entsprechenden Sicherheitsupdates.

Ich hatte mit Opnsense bisher bessere Erfahrungen als mit pfsense.

So oder so lohnt es etwas zu warten vor dem Update.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh