[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

*Inhalt gelöscht*

 

[Luckysh0t]

Da ich beides noch nicht eingesetzt habe, kann ich nicht wirklich sagen, ob es eine adäquate Alternative ist, aber wie wäre es mit crowdsec, wenn suricata so wählerisch ist?

 

[BobbyD]

aber wie wäre es mit crowdsec

Da hat die pfSense was besser, pfBlocker. Crowdsec dagegen gibt es nicht als offizielles Package für die pfSense. Ich weiß aber auch von Nutzern, die inzwischen davon wieder abgekommen sind, es auf der OPNsense zu nutzen, da die Blocklisten zumindest in der kostenlosen Version wohl sehr zu wünschen übrig lassen.

 

[Sannyboy111985]

Ich nutze die Blocklisten von IPv64.net
Die treffen zumindest beim incomming Traffic schon einiges.

 

[FieserOstfriese]

Es gab mal ein Update für die PfSense: 2.8.0-RELEASE

 

[BobbyD]

Netgate Releases pfSense® Community Edition Version 2.8.0

Key Highlights Include:
✅ AutoConfigBackup – enhanced UI, encryption, and key management
✅ New PPPoE Driver – boosts performance and reduces CPU usage
✅ Kea DHCP Integration – improved HA, DNS registration, and IPv6 support
✅ NAT64 Support – seamless IPv6 to IPv4 access
✅ Gateway Fail-Back – smarter traffic recovery to preferred gateways
✅ System Aliases + State Policy Updates – better security and flexibility
✅ Critical Security Fixes – including multiple XSS and config-related patches

Important Upgrade Notes:
Due to major system and PHP changes, please uninstall all packages before upgrading and review the Upgrade Guide thoroughly.

Netgate Releases pfSense® Community Edition Version 2.8.0

Announcing pfSense® CE 2.8.0—now with features from pfSense Plus, major enhancements, and critical bug fixes. All pfSense CE users are encouraged to upgrade to this new version.

www.netgate.com

2.8.0 New Features and Changes | pfSense Documentation

docs.netgate.com

Für Neuinstallationen gilt: Ein ISO-Image zum Downloaden gibt es (aktuell?) nicht. Wie bei der pfSense Plus muss also der Net-Installer aus dem Netgate-Shop geladen werden oder man macht ein Inplace-Upgrade, sofern man noch ein ISO-Image von 2.7.2 findet.

 

[FieserOstfriese]

bei mir blockt er nun aufmal IGMP obwohl das vorher alles funktioneirte. Warum bisher nicht den fehler gefunden

 

[Tundor]

In den Docs steht, dass man vorher alle installierten Zusatzpakete entfernen soll und dann wieder nachinstallieren.

Due to major changes in PHP and base OS versions, there is a higher than usual chance that packages will interfere with the upgrade process.

To give an upgrade the best possible chance of going smoothly, uninstall all packages before starting the upgrade.

Die Einstellungen der Pakete werden behalten, wenn man das macht?

 

[BobbyD]

bei mir blockt er nun aufmal IGMP obwohl das vorher alles funktioneirte. Warum bisher nicht den fehler gefunden

Das ist inzwischen normal und bei der Plus schon eine Weile so. Wenn Du den Block nicht in den Logs sehen willst, braucht es eine Regel wie bei mir.

Die Einstellungen der Pakete werden behalten, wenn man das macht?

In der Regel ja. In einigen Paketen kannst Du das aber auch explizit deaktivieren, also im Zweifel lieber vorher nachgucken.

Die Beta für die CE war ja recht kurz, also ich bin mal gespannt. Gerade bei dem Kram, der noch nicht in der finalen Plus ist.

 

[What9000]

Kurze Noob-Frage zur OPNSense:
Wenn ich in der Firewall eine Freigabe für einen DNS-Host (z.B. eine Website hinter CloudFlare) anlege: Ist es möglich, dass die Sense bei jeder Anfrage den DNS-Host auflöst?

 

[Shihatsu]

Kurze Noob-Frage zur OPNSense:
Wenn ich in der Firewall eine Freigabe für einen DNS-Host (z.B. eine Website hinter CloudFlare) anlege: Ist es möglich, dass die Sense bei jeder Anfrage den DNS-Host auflöst?

Ich verstehe die Frage nicht.
Wenn du eine Freigabe für einen Host auf einem bestimmten Interface einrichtest (warum eigentlich, blockst du outgoing alles?) und dein benutzter DNS-Resolver diesen Host auflösen kann (oder du die IP als Alias einrichtest) kannst du diesen Host immer erreichen.
Wenn du möchstest das deine Sense einen Host imemr versucht anzusprechen, egal was dein dNS sagt, kannst du dafür unbound overrides setzen.

Was möchtest du erreichen? Was ist dein Ziel?

 

[oNyX`]

Netgate Releases pfSense® Community Edition Version 2.8.0

Netgate Releases pfSense® Community Edition Version 2.8.0

Announcing pfSense® CE 2.8.0—now with features from pfSense Plus, major enhancements, and critical bug fixes. All pfSense CE users are encouraged to upgrade to this new version.

www.netgate.com

2.8.0 New Features and Changes | pfSense Documentation

docs.netgate.com

Für Neuinstallationen gilt: Ein ISO-Image zum Downloaden gibt es (aktuell?) nicht. Wie bei der pfSense Plus muss also der Net-Installer aus dem Netgate-Shop geladen werden oder man macht ein Inplace-Upgrade, sofern man noch ein ISO-Image von 2.7.2 findet.

Hast Recht, als ich neulich das ISO downloaden wollte (wie früher…) und dann von dem Drecks Store begrüsst wurde > abfuck. Darum lass ich das mal hier

Index of /mirror/downloads/

 

[andrer250282]

Kurze Noob-Frage zur OPNSense:
Wenn ich in der Firewall eine Freigabe für einen DNS-Host (z.B. eine Website hinter CloudFlare) anlege: Ist es möglich, dass die Sense bei jeder Anfrage den DNS-Host auflöst?

Du meinst dein Ziel-Host hat wechselnde (dynamische?) IPs und du kannst/willst keine "starre" QuellIP - Ziel IP Regel anlegen?
Ich meine mit einem Alias müsste das gehen - vorausgesetzt natürlich die Sense kann den auflösen.

 

[BobbyD]

vorausgesetzt natürlich die Sense kann den auflösen

Sie tut das aber "nur" alle 5 Minuten. Für irgendwas hinter einem CDN etc. taugt das nicht. Da muss man dann anders 'rangehen, aber einfach wird es nicht.

 

[andrer250282]

Guter Einwand @BobbyD
für Just in Time ist das nicht optimal... Da müsste man wahrscheinlich irgendwie Scripten aber da hört es bei mir auf

 

[What9000]

Ok also ist es ca. so, wie ich es vermutet hatte. Konkret ging es darum, eine ASN bis auf die in einem Alias befindlichen Domains zu blocken. Wie @BobbyD erwähnte, ist das bei CDN (und das ist diese ASN) eher Grütze.

 

[Mac_leod]

Hi,
ich such gerade für einen Kunden mit 3x "PC Engines APU2E4" (AMD GX-412TC, 4 Kerne, 4 GB DDR3 Ram, 128 GB M-SATA) an 3 Standorten einen neuen Unterbau für die OPNSense.
Die Nics reichen nicht mehr aus, ich würde sowieso gern auf SFP+ gehen.

Raid1 fürs OS
4x RJ45
2(4)xSFP+
19" Rack
preiswert, ohne Support.
Kann mir das wer was empfehlen?

Ich denke gerade an Dell PowerEdge R220 mit extra NICs oder Supermicro SYS-5018D-FN4T, aber evtl gibts ja was viel besseres.

 

[spyfly]

aber evtl gibts ja was viel besseres.

1U Edge Network Systems | Supermicro

Application-optimized embedded servers for space-constrained deployments. Multiple form factors supporting low-power Intel® processors for maximum efficiency

www.supermicro.com

Würde heute kein 10 Jahre altes System mehr kaufen.

 

[H_M_Murdock]

Hallo zusammen,

ich bin aktuell dabei mir eine kleine Spielwiese einzurichten.
Dort nutze ich für die Verbindung nach außen eine virtualisierte pfSense in Version 2.8.0 hinter einem Vodafone LTE Router mit einem inoffiziellen NetBird Plugin damit ich von außen Zugriff habe.

Das NetBird Interface ist Opt1 und hat eine Firewallregel die theoretisch den Zugriff von überall überallhin erlauben sollte.
Leider habe ich aber das Problem dass ich vom NetBird Interface aus nicht auf die pfSense zugreifen kann. Weder Ping, noch SSH, noch Webinterface.

Jetzt wäre es natürlich toll vom VPN aus direkt vollen Zugriff auf die pfSense zu haben, ich vermute dass da irgendwo außerhalb der "sichtbaren" Firewall Regeln noch was gesetzt sein wird das die Kommunikation blockiert. Wird vermutlich an sich gut gemeinte Sicherheitsgründe haben.

Weiß da von euch jemand woran es liegen kann?

Natürlich kann ich mir anderweitig helfen indem ich dann halt von einem System innerhalb des LAN Netzes aus zugreife, vom VPN aus würde ich auf mittlere Sicht aber auch gerne den DNS der pfSense nutzen.

 

[spyfly]

inoffiziellen NetBird Plugin

Nimm doch Tailscale mit ggf. selbstgehostetem Headscale Server?
Dafür gibt's auch offiziellen Support.

 

[BobbyD]

@H_M_Murdock Oder besser die OPNsense, wobei das Plugin für NetBird wohl doch noch nicht soweit ist. Wo läuft NetBird jetzt konkret?

Grundsätzlich erlauben die Sensen den Zugriff nur von einem lokalen Interface (und dessen IP-Range). Wenn Du das ändern möchtest, musst Du den Haken bei Disable HTTP_REFERER enforcement check setzen (System>Advanced>Admin Access). DNS ggf. dann noch zusätzlich freigeben. Oder Du baust irgendwo ein NAT ein, dann ist das alles überflüssig.

 

[H_M_Murdock]

Oder besser die OPNsense

Habe ich tatsächlich auch schon überlegt, aber tatsächlich ist da auch noch kein offizielles Plugin verfügbar.
Ist OPNsense aus irgendeinem speziellen Grund empfehlenswerter als pfSense?

Grundsätzlich erlauben die Sensen den Zugriff nur von einem lokalen Interface (und dessen IP-Range). Wenn Du das ändern möchtest, musst Du den Haken bei Disable HTTP_REFERER enforcement check setzen (System>Advanced>Admin Access). DNS ggf. dann noch zusätzlich freigeben. Oder Du baust irgendwo ein NAT ein, dann ist das alles überflüssig.

Jetzt scheint es damit zu klappen, vielen Dank!
Auf Anhieb ging es nicht, nachdem ich aber noch an ein paar anderen Einstellungen gefummelt hatte ging es dann wohl doch.
Was ich noch nicht weiß ist ob das mit dem DNS geht, das muss ich noch testen. Aber da ich den DNS Resolver vom pfSense etwas unübersichtlich finde bin ich sowieso am überlegen mir da separat was aufzusetzen das mir alles innerhalb vom Lab auflöst.