[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Ja, wenn der AppleTV an einem anderen Port wie Dein PC an der Sense hängt, musst Du das Interface natürlich separat beregeln und einrichten. Schnittstellenzuordnung, DHCP, Firewall. Falls Du das gemacht hast und es ein mDNS Problem ist, kannst Du das Plugin mDNS Repeater installieren und einrichten.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
wieso hast du denn auf eine opnsense gewechselt wenn du sowieso keine vlans usw. nutzt ? du machst es dir quasi unnötig schwer bei keinerlei verbesserung der sicherheit.
 
Ok Kurzabriss:
Weil ich bei verschiedenen Kunden meistens gezwungen bin, Meraki, Sophos oder Barracuda einzusetzen.
Das funktioniert, aber seit dem ich diesen Thread verfolge, wollte ich immer OPNsense einsetzen.
Nun hab ich endlich einen Kunden, der es schon im Einsatz hat und nur die Hardware getauscht worden ist (hatte auf paar Seiten weiter vorn danach gefragt) und nun bin ich Feuer und Flamme.

Daher hab ich mir eine Appliance bestellt und losgelegt. Die Netzsegmentierung steht als nächstes an.

@AliManali
alle Clients hängen am selben Port aktuell.
1xWAN 1xLAN
DMZ und Co sind später dran.
 
XTaZY schrieb:
Hat hier Jemand schon Erfahrungen bzgl. WAN-Throughput mit einem Intel N305 auf einer Sense gemacht ?

- Suricata IPS aktiv (5-6x ETPRO telemetry rules) auf WAN
- Zenarmor auf LAN bzw. 9 VLANs

Kommt er locker über die 1Gbit/s und hat noch ein paar Reserven oder ist er am Brechen ?

IRQs, Suricata & Zenarmor auf verschiedene Kerne gepinnt.
Zum Vergrößern anklicken....

Ich hol die Frage nochmal auf.
Hat hier schon Jemand Erfahrung mit CPU-Pinning / Affinity gemacht ?

ChatGPT gibt mehr irgendwie immer andere Vorschläge.

Aktuell bin ich bei:
Kern 0 - System / frei
Kern 1 - LAN IRQ ix0 - Zenarmor Worker 1
Kern 2 - LAN IRQ ix1 - Zenarmor Worker 2
Kern 3 - WAN IRQ igc0, igc1, igc2
Kern 4 - Suricata Management
Kern 5 - Suricata Receive / Worker (low)
Kern 6 - Worker (medium)
Kern 7 - Worker (high)
 
Es wundert mich nicht, das ChatGPT immer andere Vorschläge macht.
Ich würde die Frage stellen ob es ohne CPU Pinning geht oder es Performance Probleme gibt. Wenn nicht würde ich grundsätzlich darauf verzichten wollen.

Ich weiß nicht sicher ob ein pinning gleichzeitig verhindert dass andere als die gepinnten Prozesse auf die CPU kommen. Ich gehe davon aus, dass Prozesse ohne Pinning überall laufen können.
Ansonsten gilt, die interfaces und Prozesse die Latenz kritisch oder eine hohe Last haben sollten gepinnt werden. Da helfen sicher Top und irq-stat um die relevanten Dinge zu finden.
Da wo nicht viel passiert entweder gar nicht pinnen oder auf die ungenutzten Cores pinnen.

Grundsätzlich solltest du dir beim Pinning Gedanken über NUMA und Caches machen, damit die Dinge die zusammen gehören bzw. Kurze Wege zum IO haben auf den zusammenhängenden Cores laufen.

Ansonsten gilt, ohne zu wissen was wo angeschlossen ist, welche Last anliegt, wo es Probleme gibt, mehr Leistung oder besseres Reaktionsverhalten gewünscht ist kann dir keiner sinnvolle Vorschläge geben.
 
Sannyboy111985 schrieb:
Es wundert mich nicht, das ChatGPT immer andere Vorschläge macht.
Ich würde die Frage stellen ob es ohne CPU Pinning geht oder es Performance Probleme gibt. Wenn nicht würde ich grundsätzlich darauf verzichten wollen.

Ich weiß nicht sicher ob ein pinning gleichzeitig verhindert dass andere als die gepinnten Prozesse auf die CPU kommen. Ich gehe davon aus, dass Prozesse ohne Pinning überall laufen können.
Ansonsten gilt, die interfaces und Prozesse die Latenz kritisch oder eine hohe Last haben sollten gepinnt werden. Da helfen sicher Top und irq-stat um die relevanten Dinge zu finden.
Da wo nicht viel passiert entweder gar nicht pinnen oder auf die ungenutzten Cores pinnen.

Grundsätzlich solltest du dir beim Pinning Gedanken über NUMA und Caches machen, damit die Dinge die zusammen gehören bzw. Kurze Wege zum IO haben auf den zusammenhängenden Cores laufen.

Ansonsten gilt, ohne zu wissen was wo angeschlossen ist, welche Last anliegt, wo es Probleme gibt, mehr Leistung oder besseres Reaktionsverhalten gewünscht ist kann dir keiner sinnvolle Vorschläge geben.
Zum Vergrößern anklicken....

Ja scheinbar hab ich mir durch das Pinnen der IRQs direkt mal Zenarmor zerschossen :d

Ich schau mal wie sich das Ganze schlägt wenn reale Last anliegt und kann dann ggf. mich nochmal an die Fein-Justierung machen.
 
Hi, ich habe eine Hardwarefrage bzgl. Opnsense.

Ich plane schon länger meine Fritzbox gegen eine Opnsense auszutauschen und auch die Repeater dann nach und nach auszutauschen.

Zunächst hatte ich geplant einen N100 oder N150 Mini-PC anzuschaffen.

Derzeit hätte ich allerdings noch ein B450 Mainboard mit einem Ryzen 3 2400G rumliegen. Die überlegen war jetzt einfach noch eine 2,5Gbit Netzwerkkarte anzuschaffen und das ganze für die Opnsense zu benutzen.

Wäre das ganze Overkill oder sogar zu langsam?

Wir werden demnächst an Glasfaser mit 1Gbit angeschlossen. Laufen müsste darauf Wireguard, ein Reverseproxy, Adguard etc.

VPN bin ich mir noch nicht sicher.
 
DeGhost89 schrieb:
Wäre das ganze Overkill oder sogar zu langsam?
Zum Vergrößern anklicken....
Die N100 Büchsen sind ja nicht wirklich flott, von daher sollte das schon mehr als ausreichend sein. Stromverbrauch würde ich aber im Auge behalten.
 
Stromverbrauch werde ich vorher nochmal checken. Das Teil läuft derzeit als Streaming Gerät im Wohnzimmer.

Ich schaue mal was er so im Standby zieht.
 
So, nach 238 Tagen wieder mal Updates gemacht - nach mehreren Durchläufen/Neustarts wieder auf Stand - bisher scheint alles zu laufen.

LG
 
Tolle Wurst.
Gerade ist mein LetsEncrypt-Zertifikat abgelaufen und konnte (seit Wochen) nicht erneuert werden (weil LE OCSP must staple nicht mehr unterstützt).
Nur leider bastelt die acme.sh der aktuellsten OPNsense (25.7.4) das OCSP-Glump trotzdem in den Request rein, obwohl der Haken in der Config draußen ist.
Habe jetzt quick'n'dirty die if-Zeilen raus kommentiert und siehe da: fluppt.
:wall:
 
Genau so n Muell kotzt mich bei solchen Projekten immer an. Wenn breaking changes passieren verrecken oft irgendwelche Sachen die einem dann viel Zeit und Nerven rauben. Hatte auch irgend nen Theater mit LetsEncrypt auf der Opnsense die letzten Wochen.
 
Ihr macht das LetsEncrypt mit der OpnSense?

Ich mache das mit NPM (nginx proxy manager).
Musste ich damals machen das DNS Challenge bei Netcup nicht möglich war. Ich habe ungern Ports offen und so ne Wildcard Domain ist auch was feines.
 
Klaro. ACME Client un HAProxy. Maechtige Kombination und funktioniet idR einwandfrei
 
Funktioniert bei mir auch einwandfrei mit DNS challenge.
 
Shihatsu schrieb:
Funktioniert das auch bei Doppel-Nat ohne Exposed Host? Denke mal nicht?
Zum Vergrößern anklicken....
Mit der DNS-Challenge ja, gibt doch verschiedene Templates für die unterschiedlichsten DNSn.
Falls du auf die IP des Zertifikats abziehst:
HA-Proxy und die Server dahinter nutzen ein internes, selbstsigniertes Zertifikat.
Einzig der Terminierungspunkt und der Email-Server nutzen das LE-Zertifikat direkt.
 
Okay, dann muss ich damit mal rumfummeln. will keinen Host exposen, hätte aber gerne LE-Zertifikate für meine interne Services und betreibe meine sense hinter einer Fritzbox und einem LTE-Router (Dual-Wan).
 
Solange du nen internen DNS hast, welcher deine Domäne auflösen kann, kannst mit DNS01 ein Wildcard-Zertifikat ausstellen und dann intern ausrollen.
Die IPs tauchen im Zertifikat ja nicht auf.

Frage: warum reicht dir intern kein selbstsigniertes Zertifikat?
Alle drei Monate meine ganzen Server zu aktualisieren war mir zu stressig, dashalb gibts hier ein internes, welches 10 Jahre gültig ist.
Das LE geht nur auf die Services, welche nach draußen offen sind (Mail, Wolke, TS, etc.)
 
Weltherrscher schrieb:
Das LE geht nur auf die Services, welche nach draußen offen sind
Zum Vergrößern anklicken....
Genau so sehe ich das auch. Natürlich kann man einen Reverse Proxy mit Wildcard-Zertifikat und DNS-Challenge aufsetzen und wenn das läuft, ist es auch nicht mehr stressig, aber wozu? Der FF merkt sich bei mir jegliche Ausnahmen für Self signed ohnehin, also erspare ich mir das einfach.
 
des LE brauche ich primär für den Mailserver, sonst spacken die "großen" Mailanbieter rum und wollen nicht ohne weiteres Mails an mich durchstellen...
 
Seit die WG App so sauber läuft mit der OnDemand Verbindung, hab ich meinen Reverseproxy abgeschaltet und greif nur noch über VPN auf zuhause gehostete Services zu. So hab ich nur ein Scheunentor offen, das ich regelmäßig kontrollieren und patchen muss.

Und wenn ich mir eure Probleme beim Updaten von *sense so durchlese, bin ich froh, weniger Gefrickel zu haben und meine Nerven zu schonen :fresse:
 
sch4kal schrieb:
Und wenn ich mir eure Probleme beim Updaten von *sense so durchlese, bin ich froh, weniger Gefrickel zu haben und meine Nerven zu schonen :fresse:
Zum Vergrößern anklicken....
So schlimm isses nicht. Lass es jedes halbe Jahr mal 2h 'ungeplante' Arbeit sein. So zumindest bei mir in den letzten 3 Jahren.
Ich seh's positiv - dadurch bleibe ich einigermaßen Fit bei diesen Themen ^^

Alternativen gibt's ja kaum sinnvolle wenn man ein wenig tiefer Bohren will als nur n einfaches Port-Forwarding ^^
 
Ich finds so schlimm auch nicht, es gab JETZT mal Stress mit dem ACME Client, weil LE was umgestellt hat.
Vorher lief das ewig ohne Probleme.
Mein AG sperrt im Gästenetz leider WG, deshalb ist das momentan keine Option.
Das Handy ist aber auch dauerhaft in WG eingebucht.
Das finde ich tatsächlich auch sehr entspannt, gerade für persönliche Services wie Paperless und Immich, welche ich nicht wirklich nach außen auf machen mag.
 
p4n0 schrieb:
Klaro. ACME Client un HAProxy. Maechtige Kombination und funktioniet idR einwandfrei
Zum Vergrößern anklicken....
HAProxy hatte ich damals auch erst eingerichtet (mit viel Aufwand) um dann festzustellen, das Netcup mit DNS Challange von der damalig aktuellen OpnSense Version nicht unterstützt wird.

Ja ich weiß, vorher informieren :d

Edit:
Außerdem ist der npm viel einfacher zu bedienen und man kann innerhalb wenigen Sekunden ein neuen Dienst einbinden.

Tundor schrieb:
Funktioniert bei mir auch einwandfrei mit DNS challenge.
Zum Vergrößern anklicken....
Ja bei mir auch, macht alles der npm automatisch im Hintergrund.
Nur das Geld spenden an LetyEncrypt mache ich noch selbst.

Shihatsu schrieb:
Funktioniert das auch bei Doppel-Nat ohne Exposed Host? Denke mal nicht?
Zum Vergrößern anklicken....
Natürlich funktioneirt das. Da bei der DNS Challenge die Domain über DNS Einträge beim Hoster verifiziert wird.
letsencrypt.org

Challenge Typen

Wenn Sie ein Zertifikat von Let’s Encrypt erhalten, überprüfen unsere Server, ob Sie die Domänennamen in diesem Zertifikat mithilfe von “Challenges” steuern, die im ACME-Standard definiert sind. Meistens wird diese Validierung automatisch von Ihrem ACME-Client durchgeführt. Wenn Sie jedoch...
letsencrypt.org

Weltherrscher schrieb:
Solange du nen internen DNS hast, welcher deine Domäne auflösen kann, kannst mit DNS01 ein Wildcard-Zertifikat ausstellen und dann intern ausrollen.
Die IPs tauchen im Zertifikat ja nicht auf.
Zum Vergrößern anklicken....
Exakt das habe ich gemacht. Aktuell läuft noch ein bind9 vor dem pihole. Dieser schaut ob *.meinedomain.de angefragt wurd und wenn ja leitet der direkt an den npm weiter. Wenn dies nciht der Fall ist geht die Anfrage ans pihole.

Habe aber gerade parallel ein Adguard als Test am laufen, da braucht man den bind9 nicht mehr, da Adguard das Umleiten einer Wildcarddomain selbst kann.

BobbyD schrieb:
Natürlich kann man einen Reverse Proxy mit Wildcard-Zertifikat und DNS-Challenge aufsetzen und wenn das läuft, ist es auch nicht mehr stressig, aber wozu?
Zum Vergrößern anklicken....
Einige Apps funktionieren dann ohne ständiges gemecker. Außerdem kann ich mir "jelly.meinedomain.de" eben besser merken als 192.168.220.149 oder war es 192.168.110.74?

sch4kal schrieb:
Seit die WG App so sauber läuft mit der OnDemand Verbindung, hab ich meinen Reverseproxy abgeschaltet und greif nur noch über VPN auf zuhause gehostete Services zu. So hab ich nur ein Scheunentor offen, das ich regelmäßig kontrollieren und patchen muss.
Zum Vergrößern anklicken....
Ich nutze auch nur einen WG VPN um ins Heimnetz zu kommen, nutze aber dort LetsEncrypt und meine eigene Domain.

sch4kal schrieb:
Und wenn ich mir eure Probleme beim Updaten von *sense so durchlese, bin ich froh, weniger Gefrickel zu haben und meine Nerven zu schonen :fresse:
Zum Vergrößern anklicken....
Deshalb lässt man die auch virtualisiert laufen und macht einen snapshot vor dem Update, spart zusätzlich sogar noch strom.
Wenn man heute OpnSense mit ZFS auf Baremetal aufsetzt, kann diese selbst Snapshots vor den Updates erstellen, welche man beim Booten notfalls aufrufen kann.

Weltherrscher schrieb:
Mein AG sperrt im Gästenetz leider WG, deshalb ist das momentan keine Option.
Zum Vergrößern anklicken....
Auch auf Port 443?
Denn dort muss UDP offen sein für HTTP/3 und QUIC

Ich nutze aber ungern das Gastnetz meines Arbeitgebers, das Wlan ist langsamer als mein Mobilfunkt, obwohl wir fette Internetleitungen hier haben.
 
toscdesign schrieb:
Natürlich funktioneirt das. Da bei der DNS Challenge die Domain über DNS Einträge beim Hoster verifiziert wird.
Zum Vergrößern anklicken....
Habe keinen Hoster, will im Homelab LE certs haben
Weltherrscher schrieb:
Solange du nen internen DNS hast, welcher deine Domäne auflösen kann, kannst mit DNS01 ein Wildcard-Zertifikat ausstellen und dann intern ausrollen.
Die IPs tauchen im Zertifikat ja nicht auf.

Frage: warum reicht dir intern kein selbstsigniertes Zertifikat?
Alle drei Monate meine ganzen Server zu aktualisieren war mir zu stressig, dashalb gibts hier ein internes, welches 10 Jahre gültig ist.
Das LE geht nur auf die Services, welche nach draußen offen sind (Mail, Wolke, TS, etc.)
Zum Vergrößern anklicken....
Weil ich keine Lust habe selfsigned certs auf alle clients auszurollen die meine services im lan nutzen
 
Auch das habe ich nicht, ich habe eine Domain die über meine opnsense definiert wird.
 
@Shihatsu
Da bin ich mir nicht sicher ob das geht. Denn die Domain muss für beide Challenge Arten über das Internet erreichbar sein, da LetsEncrypt diese prüfen muss.

Vorteil bei der DNS Challenge, ist das die Verifizierung ohne offene Ports abläuft.

Die 18ct im Monat für eine .de Domain kann man verschmerzen.

Einfach ab und zu hier schauen:

netcup Deals | Günstige Server, Webhosting und Domains

Die besten netcup Deals für günstige VPS, Root-Server, Webhosting und Domains findest du hier.
www.netcup.com www.netcup.com
 
Anmelden, um zu antworten.

Ähnliche Themen

spyfly
  • Artikel
[User-Review] Synology ActiveProtect Appliance DP320 im Lesertest
Antworten
4
Aufrufe
822
maxblank
M
Man-in-Black
  • Artikel
[User-Review] Die Synology DP320 ActiveProtect Appliance im Lesertest
Antworten
13
Aufrufe
2K
Man-in-Black
Man-in-Black
T
  • Frage / Lösungssuche
[Ungelöst] Hilfe bei der Konfiguration von pfSense hinter einer FritzBox (NetCologne)
Antworten
5
Aufrufe
2K
Zeitmangel
Z
L
Welche NVME für Proxmox/Firewall
Antworten
11
Aufrufe
1K
loaded
L
Eisbear93
DIY OPNSense mit Lenovo Notebook
Antworten
2
Aufrufe
500
Eisbear93
Eisbear93
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh