[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Ja, wenn der AppleTV an einem anderen Port wie Dein PC an der Sense hängt, musst Du das Interface natürlich separat beregeln und einrichten. Schnittstellenzuordnung, DHCP, Firewall. Falls Du das gemacht hast und es ein mDNS Problem ist, kannst Du das Plugin mDNS Repeater installieren und einrichten.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
wieso hast du denn auf eine opnsense gewechselt wenn du sowieso keine vlans usw. nutzt ? du machst es dir quasi unnötig schwer bei keinerlei verbesserung der sicherheit.
 
Ok Kurzabriss:
Weil ich bei verschiedenen Kunden meistens gezwungen bin, Meraki, Sophos oder Barracuda einzusetzen.
Das funktioniert, aber seit dem ich diesen Thread verfolge, wollte ich immer OPNsense einsetzen.
Nun hab ich endlich einen Kunden, der es schon im Einsatz hat und nur die Hardware getauscht worden ist (hatte auf paar Seiten weiter vorn danach gefragt) und nun bin ich Feuer und Flamme.

Daher hab ich mir eine Appliance bestellt und losgelegt. Die Netzsegmentierung steht als nächstes an.

@AliManali
alle Clients hängen am selben Port aktuell.
1xWAN 1xLAN
DMZ und Co sind später dran.
 
XTaZY schrieb:
Hat hier Jemand schon Erfahrungen bzgl. WAN-Throughput mit einem Intel N305 auf einer Sense gemacht ?

- Suricata IPS aktiv (5-6x ETPRO telemetry rules) auf WAN
- Zenarmor auf LAN bzw. 9 VLANs

Kommt er locker über die 1Gbit/s und hat noch ein paar Reserven oder ist er am Brechen ?

IRQs, Suricata & Zenarmor auf verschiedene Kerne gepinnt.
Zum Vergrößern anklicken....

Ich hol die Frage nochmal auf.
Hat hier schon Jemand Erfahrung mit CPU-Pinning / Affinity gemacht ?

ChatGPT gibt mehr irgendwie immer andere Vorschläge.

Aktuell bin ich bei:
Kern 0 - System / frei
Kern 1 - LAN IRQ ix0 - Zenarmor Worker 1
Kern 2 - LAN IRQ ix1 - Zenarmor Worker 2
Kern 3 - WAN IRQ igc0, igc1, igc2
Kern 4 - Suricata Management
Kern 5 - Suricata Receive / Worker (low)
Kern 6 - Worker (medium)
Kern 7 - Worker (high)
 
Es wundert mich nicht, das ChatGPT immer andere Vorschläge macht.
Ich würde die Frage stellen ob es ohne CPU Pinning geht oder es Performance Probleme gibt. Wenn nicht würde ich grundsätzlich darauf verzichten wollen.

Ich weiß nicht sicher ob ein pinning gleichzeitig verhindert dass andere als die gepinnten Prozesse auf die CPU kommen. Ich gehe davon aus, dass Prozesse ohne Pinning überall laufen können.
Ansonsten gilt, die interfaces und Prozesse die Latenz kritisch oder eine hohe Last haben sollten gepinnt werden. Da helfen sicher Top und irq-stat um die relevanten Dinge zu finden.
Da wo nicht viel passiert entweder gar nicht pinnen oder auf die ungenutzten Cores pinnen.

Grundsätzlich solltest du dir beim Pinning Gedanken über NUMA und Caches machen, damit die Dinge die zusammen gehören bzw. Kurze Wege zum IO haben auf den zusammenhängenden Cores laufen.

Ansonsten gilt, ohne zu wissen was wo angeschlossen ist, welche Last anliegt, wo es Probleme gibt, mehr Leistung oder besseres Reaktionsverhalten gewünscht ist kann dir keiner sinnvolle Vorschläge geben.
 
Sannyboy111985 schrieb:
Es wundert mich nicht, das ChatGPT immer andere Vorschläge macht.
Ich würde die Frage stellen ob es ohne CPU Pinning geht oder es Performance Probleme gibt. Wenn nicht würde ich grundsätzlich darauf verzichten wollen.

Ich weiß nicht sicher ob ein pinning gleichzeitig verhindert dass andere als die gepinnten Prozesse auf die CPU kommen. Ich gehe davon aus, dass Prozesse ohne Pinning überall laufen können.
Ansonsten gilt, die interfaces und Prozesse die Latenz kritisch oder eine hohe Last haben sollten gepinnt werden. Da helfen sicher Top und irq-stat um die relevanten Dinge zu finden.
Da wo nicht viel passiert entweder gar nicht pinnen oder auf die ungenutzten Cores pinnen.

Grundsätzlich solltest du dir beim Pinning Gedanken über NUMA und Caches machen, damit die Dinge die zusammen gehören bzw. Kurze Wege zum IO haben auf den zusammenhängenden Cores laufen.

Ansonsten gilt, ohne zu wissen was wo angeschlossen ist, welche Last anliegt, wo es Probleme gibt, mehr Leistung oder besseres Reaktionsverhalten gewünscht ist kann dir keiner sinnvolle Vorschläge geben.
Zum Vergrößern anklicken....

Ja scheinbar hab ich mir durch das Pinnen der IRQs direkt mal Zenarmor zerschossen :d

Ich schau mal wie sich das Ganze schlägt wenn reale Last anliegt und kann dann ggf. mich nochmal an die Fein-Justierung machen.
 
Hi, ich habe eine Hardwarefrage bzgl. Opnsense.

Ich plane schon länger meine Fritzbox gegen eine Opnsense auszutauschen und auch die Repeater dann nach und nach auszutauschen.

Zunächst hatte ich geplant einen N100 oder N150 Mini-PC anzuschaffen.

Derzeit hätte ich allerdings noch ein B450 Mainboard mit einem Ryzen 3 2400G rumliegen. Die überlegen war jetzt einfach noch eine 2,5Gbit Netzwerkkarte anzuschaffen und das ganze für die Opnsense zu benutzen.

Wäre das ganze Overkill oder sogar zu langsam?

Wir werden demnächst an Glasfaser mit 1Gbit angeschlossen. Laufen müsste darauf Wireguard, ein Reverseproxy, Adguard etc.

VPN bin ich mir noch nicht sicher.
 
DeGhost89 schrieb:
Wäre das ganze Overkill oder sogar zu langsam?
Zum Vergrößern anklicken....
Die N100 Büchsen sind ja nicht wirklich flott, von daher sollte das schon mehr als ausreichend sein. Stromverbrauch würde ich aber im Auge behalten.
 
Stromverbrauch werde ich vorher nochmal checken. Das Teil läuft derzeit als Streaming Gerät im Wohnzimmer.

Ich schaue mal was er so im Standby zieht.
 
So, nach 238 Tagen wieder mal Updates gemacht - nach mehreren Durchläufen/Neustarts wieder auf Stand - bisher scheint alles zu laufen.

LG
 
Tolle Wurst.
Gerade ist mein LetsEncrypt-Zertifikat abgelaufen und konnte (seit Wochen) nicht erneuert werden (weil LE OCSP must staple nicht mehr unterstützt).
Nur leider bastelt die acme.sh der aktuellsten OPNsense (25.7.4) das OCSP-Glump trotzdem in den Request rein, obwohl der Haken in der Config draußen ist.
Habe jetzt quick'n'dirty die if-Zeilen raus kommentiert und siehe da: fluppt.
:wall:
 
Genau so n Muell kotzt mich bei solchen Projekten immer an. Wenn breaking changes passieren verrecken oft irgendwelche Sachen die einem dann viel Zeit und Nerven rauben. Hatte auch irgend nen Theater mit LetsEncrypt auf der Opnsense die letzten Wochen.
 
Ihr macht das LetsEncrypt mit der OpnSense?

Ich mache das mit NPM (nginx proxy manager).
Musste ich damals machen das DNS Challenge bei Netcup nicht möglich war. Ich habe ungern Ports offen und so ne Wildcard Domain ist auch was feines.
 
Klaro. ACME Client un HAProxy. Maechtige Kombination und funktioniet idR einwandfrei
 
Funktioniert bei mir auch einwandfrei mit DNS challenge.
 
Shihatsu schrieb:
Funktioniert das auch bei Doppel-Nat ohne Exposed Host? Denke mal nicht?
Zum Vergrößern anklicken....
Mit der DNS-Challenge ja, gibt doch verschiedene Templates für die unterschiedlichsten DNSn.
Falls du auf die IP des Zertifikats abziehst:
HA-Proxy und die Server dahinter nutzen ein internes, selbstsigniertes Zertifikat.
Einzig der Terminierungspunkt und der Email-Server nutzen das LE-Zertifikat direkt.
 
Okay, dann muss ich damit mal rumfummeln. will keinen Host exposen, hätte aber gerne LE-Zertifikate für meine interne Services und betreibe meine sense hinter einer Fritzbox und einem LTE-Router (Dual-Wan).
 
Solange du nen internen DNS hast, welcher deine Domäne auflösen kann, kannst mit DNS01 ein Wildcard-Zertifikat ausstellen und dann intern ausrollen.
Die IPs tauchen im Zertifikat ja nicht auf.

Frage: warum reicht dir intern kein selbstsigniertes Zertifikat?
Alle drei Monate meine ganzen Server zu aktualisieren war mir zu stressig, dashalb gibts hier ein internes, welches 10 Jahre gültig ist.
Das LE geht nur auf die Services, welche nach draußen offen sind (Mail, Wolke, TS, etc.)
 
Weltherrscher schrieb:
Das LE geht nur auf die Services, welche nach draußen offen sind
Zum Vergrößern anklicken....
Genau so sehe ich das auch. Natürlich kann man einen Reverse Proxy mit Wildcard-Zertifikat und DNS-Challenge aufsetzen und wenn das läuft, ist es auch nicht mehr stressig, aber wozu? Der FF merkt sich bei mir jegliche Ausnahmen für Self signed ohnehin, also erspare ich mir das einfach.
 
des LE brauche ich primär für den Mailserver, sonst spacken die "großen" Mailanbieter rum und wollen nicht ohne weiteres Mails an mich durchstellen...
 
Seit die WG App so sauber läuft mit der OnDemand Verbindung, hab ich meinen Reverseproxy abgeschaltet und greif nur noch über VPN auf zuhause gehostete Services zu. So hab ich nur ein Scheunentor offen, das ich regelmäßig kontrollieren und patchen muss.
 
Anmelden, um zu antworten.

Ähnliche Themen

spyfly
  • Artikel
[User-Review] Synology ActiveProtect Appliance DP320 im Lesertest
Antworten
4
Aufrufe
822
maxblank
M
Man-in-Black
  • Artikel
[User-Review] Die Synology DP320 ActiveProtect Appliance im Lesertest
Antworten
13
Aufrufe
2K
Man-in-Black
Man-in-Black
T
  • Frage / Lösungssuche
[Ungelöst] Hilfe bei der Konfiguration von pfSense hinter einer FritzBox (NetCologne)
Antworten
5
Aufrufe
2K
Zeitmangel
Z
L
Welche NVME für Proxmox/Firewall
Antworten
11
Aufrufe
1K
loaded
L
Eisbear93
DIY OPNSense mit Lenovo Notebook
Antworten
2
Aufrufe
500
Eisbear93
Eisbear93
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh