[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Das WAN Interface an der Sense hab ich auf DHCP
1762245492742.png

Die Fritzbox weißt diese Adresse zu
1762245639016.png



Dann hab ich:

LAN
1762245921116.png


PROD10
1762245963150.png

IOT20
1762245986239.png

GUEST30
1762246442233.png


Die Clients + Truenas hängt im PROD10. Im IOT hängen so Sachen wie Shield TV, Konsolen etc...
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Okay das würde asymmetrisches Routen erstmal ausschließen.
Wie sieht denn ein Speedtest direkt auf der Sense aus?
 
Wie mach ich das direkt auf der Sense? 😅
 
Tundor schrieb:
Läuft prinzipiell also auch, aber dann ist mir eingefallen, dass ich ja im gleichen VLAN 10 bin und die Sense da eigentlich gar nix zu tun hat weil es direkt über den Switch geht.
Zum Vergrößern anklicken....
Erklär mal den Aufbau genauer, warum sollte die OPNsense hier nicht involviert sein.

Edit:
Tundor schrieb:
- Ich hatte keine WAN block all rule eingerichtet, hab ich jetzt gemacht, jetzt ist ruhe :d
Zum Vergrößern anklicken....
Unnötig, da eh alles geblockt wird, was nicht erlaubt ist. Möglicherweise wird nur die Log-Ansicht dadurch verändert.

Tundor schrieb:
- Ich hatte auf dem WAN-Interface "Block Private Networks" aktiv, das sollte aber deaktiviert werden wenn ich die Fritzbox davor habe die in ner privaten Range liegt?
Zum Vergrößern anklicken....
Nur, wenn Du der Fritzbox nicht erlauben möchtest, eingehende Verbindungen auf/hinter deine Sense aufzubauen.
 
Zuletzt bearbeitet:
BobbyD schrieb:
Unnötig, da eh alles geblockt wird, was nicht erlaubt ist. Möglicherweise wird nur die Log-Ansicht dadurch verändert.
Zum Vergrößern anklicken....
Gut zu wissen, dachte mir schon dass die sowieso verworfen werden aber so ist jetzt im Log Ruhe.

BobbyD schrieb:
Nur, wenn Du der Fritzbox nicht erlauben möchtest, eingehende Verbindungen auf/hinter deine Sense aufzubauen.
Zum Vergrößern anklicken....
Ok also war das auch egal. Die einzige eingehende erlaubte eingehende Verbindung is Wireguard UDP.

BobbyD schrieb:
Erklär mal den Aufbau genauer, warum sollte die OPNsense hier nicht involviert sein.
Zum Vergrößern anklicken....
andrer250282 schrieb:
Die Sense ist doch der Router für vlan 10?
Zum Vergrößern anklicken....
Vlt hab ich da nen Denkfehler oder einfach nur falsches Wissen, ich versuche es daher mal nochmal anders zu erklären und dann könnt ihr mich gerne aufklären:

Meine Clients mit denen ich produktiv arbeite sind alle im PROD10 VLAN, also sprich in dem Fall z.B. mein PC und meine Truenas auf der der Speedtest im Container läuft. Bei diesem Test, lief der Speedtest mit vollen 2,5Gbit durch. Ich dachte jetzt, wenn ich vom PC auf die Truenas zugreife wird die Sense quasi umgangen da der Switch das erledigt (Layer2), sprich es findet kein Routing statt weil selbes Netz.
Die Sense wird doch fürs Routing nur benötigt wenn zwischen unterschiedlichen Netzwerken kommuniziert wird? Und eben bei diesem Fall (also sprich wenn irgendwas ins Internet geroutet wird oder aus unterschiedlichen Netzen intern) ist sie total lahm. Das war gestern tagsüber übrigens besser und hat erst gestern Abend angefangen, ich hab sie jetzt extra noch nicht neugestartet da ich zum Arbeiten mich einfach direkt auf das WiFi der FB hänge.

Ich hab noch schnell ein Meisterwerk für euch gezeichnet zur Visualisierung:
Die beiden Zyxel Switche sind XMG1915-10E


IMG_2731.jpeg

Beitrag automatisch zusammengeführt:

andrer250282 schrieb:
Letzter Beitrag.
Das ganze ist dann auf der Kommandozeile zu bedienen, das müsste man mal googeln, ich hab's gerade nicht im Kopf
Zum Vergrößern anklicken....
Danke, finde ich dann raus, notfalls hilft Perplexity :d Dazu komme ich aber erst heute Abend nach der Arbeit.
 
Wie kommen die ganzen VLANs an die unterschiedlichen Switche?
Nutzt du dafuer nen Trunkport, der an alle Switches geht ?

Switch 1 <> Switch 2 ebenfalls Trunkport ?
Wie sind AP1 und AP2 miteinander verbunden? Gepunktete Linie = Wireless-Uplink?
Ist vielleicht irgendwo ein Kabel beschaedigt, wenn der Speed an der Fritte direkt voll da ist ?


Sieht vom Aufbau her erstmal nachvollziehbar und in Ordnung aus.
 
Switch 1 an der Sense
1762259185311.png


Und Switch im Arbeitszimmer ist auch gleich eingestellt, also Trunk mit VLANs All. Ebenso für die Ports wo die WiFi APs angeschlossen sind.

Bei dem LAN Port für die Truenas und für PC hab ich es auf Access mit ID 10 gestellt:
1762259392091.png

p4n0 schrieb:
Gepunktete Linie = Wireless-Uplink?
Zum Vergrößern anklicken....
Genau, der Wifi AP2 steht im Wohnzimmer, daher ist nur WiFi Uplink möglich, die Geräte dahinter hab ich dann wieder über LAN dran.
 
Tundor schrieb:
Ich dachte jetzt, wenn ich vom PC auf die Truenas zugreife wird die Sense quasi umgangen da der Switch das erledigt (Layer2), sprich es findet kein Routing statt weil selbes Netz.
Zum Vergrößern anklicken....
Jau, dann passt das und hat tatsächlich keine Aussagekraft. Wenn es dir möglich ist, pack doch mal deinen Speedtest in ein separates VLAN und wenn damit die gleichen Probleme auftreten, kann man schon mal WAN ausschließen.

Edit: Da du keine offensichtlichen Fehler gemacht hast, tippe ich aktuell auf ein Hardware- oder Treiber-Problem. Kannst Du irgendwie die Temperaturen auslesen, wenn es Probleme gibt? Sind das Realtek-NICs? Deren Treiber-Support ist ja oft nicht recht gegeben.
 
Zuletzt bearbeitet:
BobbyD schrieb:
pack doch mal deinen Speedtest in ein separates VLAN
Zum Vergrößern anklicken....
Das hab ich gestern schon gemacht, waren diese Screenshots:

Der Screenshot unten war vom Trunk Port aus gemacht, aber ich hab mich auf über WiFi ins IOT Lan gehängt und hatte da ähnlich schlecht Ergebnisse.

1762260561453.png

Beitrag automatisch zusammengeführt:

Ich hab so viel umgestellt die letzten Tage, vlt. sollte ich mal nochmal ne Version von vor 2 Tagen oder so einspielen :fresse:
 
Tundor schrieb:
Ich hab so viel umgestellt die letzten Tage, vlt. sollte ich mal nochmal ne Version von vor 2 Tagen oder so einspielen :fresse:
Zum Vergrößern anklicken....
Kenne das :d
Am besten immer wieder mal ne Config ziehen und nen sauberen Stand bzw. ausgangslage haben.
An mehreren Stellen gleichzeitig herumdoktorn macht die Sache nur komplizierter und nicht nachvollziehbar.

Schuss ins Blaue: Spiel mal an den HardwareOffloading Settings bei deiner NIC in der Sense herum.
Braucht leider jedes mal nen Neustart, ist daher etwas Zeitraubend.
 
Hardware Offloading ist alles deaktivert, also sprich die Haken sind gesetzt. Das hatte ich gestern geprüft nachdem Perplexity mir das als häufiges Problem genannt hatte (also wenn das aktiviert ist).
Beitrag automatisch zusammengeführt:

Hab gerade mal ne 2 Tage alte Config eingespielt, (geil wie einfach das geht sich die verbastelte Bude wieder zurückzusetzen :d)
1762262667329.png

Nun läuft auch der Speedtest wieder o_O

Und hab nochmal den PC auf Trunk umgesteckt, d.h. ID1 wird zu 10 geroutet, geht jetzt auch mit max Speed.
1762262847874.png


Was ich noch gemacht habe (bevor ich mir offensichtlich die Bude verbastelt habe) ist im BIOS mal alles auf Default zu setzen. Ich hatte am Anfang als ich das Teil bekommen hatte, mal diverse C-State Einstellungen gemacht die ich in irgend nem Forum zu dem Gerät gefunden hatte eingestellt, nicht dass das noch irgendwie lustige Auswirkungen auf das Verhalten von dem LAN NIC hatte, was meint ihr dazu? Dass mein Provider nicht wirklich das Problem ist konnte ich inzwischen auch halbwegs sichern, da ich jetzt mehrere Tage direkt auf der FB hing zum Arbeiten und quasi keine relevanten Aussetzer mehr da waren.

*edit*
Und Generell frage ich mich ob das Aliexpress Teil vlt. mit Verursacher der Probleme ist, meistens sind die ja nicht gerade bekannt für die beste Firmware und Treibersupport.
 
Zuletzt bearbeitet:
Denke nicht, dass die Ali-Kiste was mit dem Problem zu tun hat - Ich nutze selbst auch ne Minisforum Kiste aus Fernost. (Am ehesten noch die Netzwerkkarten/Treiber.)
Hat mehr als genug Leistung, sofern kein IPS/IDS/VPN etc verwendet wird. Doch selbst dann wuerden mehr als die paar lausigen Megabits raustroepfeln.
So ne OPNSense ist leider ein wenig 'Frickelei' und kann immer zu komischem Verhalten fuehren. GRAD wenn man gerne mal dran rumspielt/herumprobiert.

Versuch in Zukunft einfach immer nen Configbackup zu machen, dann herumzudoktorn. Somit haste alles getracked und kansnt auch besser nachvollziehen wieso dein Setup
bei gewissen Settings klemmt.
 
Das ursprüngliche Problem ist ja leider noch nicht gelöst (ist schon ein paar Posts zurück, dann hatte ich das Performance Problem von gestern nach dem Basteln :d). Aber jetzt hab ich ja zurückgesetzt auf vor 2 Tage + BIOS Reset, ich beobachte mal ob sich jetzt was bessert. Die Performance fühlt sich aktuell gut an, aber das war schon öfters und plötzlich klemmt's dann wieder.
Beitrag automatisch zusammengeführt:

p4n0 schrieb:
Minisforum Kiste
Zum Vergrößern anklicken....
Minisforum ist aber auch der Ferrari unter den Ali Kisten :d
 
Zuletzt bearbeitet:
Tundor schrieb:
Minisforum ist aber auch der Ferrari unter den Ali Kisten
Zum Vergrößern anklicken....
Bei dem Ding scheint manchmal ploetzlich der BSOD einzutreten wenn man's abschaelt. Von Ferrari kenne ich sowas nicht dass die einfach verrecken und nie wieder starten, obwohl sie nicht kaltverformt wurden :d

Was mir bei der ganzen Bastelei @ Home immer wieder geholfen hat:
Extrem strukturiertes Vorgehen und den Fehler so gut es geht eingrenzen. Sei es jetzt Freiluftverkabelungen, nen 'unbefleckter' Client etc...
Das ganze OpenSource Zeug ist schoen und gut, leider nie so richtig bulletproof getestet. Machste 4 Aehnliche Setups, haste 4 unterschiedliche Baustellen und Probleme :d
 
Eigentlich macht es ja spaß, aber wenn es dann so dreckig läuft wie bei mir nervt es einfach irgendwann nur noch :d
p4n0 schrieb:
Bei dem Ding scheint manchmal ploetzlich der BSOD einzutreten wenn man's abschaelt.
Zum Vergrößern anklicken....
Ja stimmt, die Teile sollen ja auch gerne mal überhitzen. Schade, dass es kaum gute Lösungen im Low Energy Bereich gibt. Die N100 Boards sind ja völlig ausreichend aber dann basteln die immer die billigsten Chips drauf und sparen an vernünftiger Firmware (updates bekommt man meistens auch kein) o_O Als ich mich hier am Anfang mal habe beraten lassen was ich kaufen soll, hat jemand sein Setup mit diesen Lenovo Mini PCs wo man mit Riser zusätzliche Karten einbauen kann in den Ring geworfen. Bereue ein bisschen nicht sowas genommen zu haben, weil ich damals zu faul war mich da einzulesen.

Das MS01 ist halt komplette Overkill für das was ich mache und scheinbar braucht der im Idle ja 25-30W, das wäre deutlich mehr als mein N100.
 
Tundor schrieb:
Eigentlich macht es ja spaß, aber wenn es dann so dreckig läuft wie bei mir nervt es einfach irgendwann nur noch :d
Zum Vergrößern anklicken....
Find ich auch. Man lernt auf jeden fall viel dazu und uebt auch sein Nervenkleid unter Kontrolle zu halten... :d

Was du sicher noch nachholen kannst bei deiner Sense Kiste: Nen Emergency LAN Port, wo du deinen Rechner/Laptop einafch direkt anstoepseln kannst damit du auf die Sense kommst falls mal dein Trunkport/Switch platt is und du ueber das 'normale' Netz nichtmehr auf die Sense GUI kommst...

Tundor schrieb:
Das MS01 ist halt komplette Overkill für das was ich mache und scheinbar braucht der im Idle ja 25-30W, das wäre deutlich mehr als mein N100.
Zum Vergrößern anklicken....
Das Ding wuerde ich auch nur empfehlen wenn man viel mit VPN/Hosting/10G Kram etc macht. Ansonsten isses nur laut und frisst strom ^^
 
Ich hab leider nur zwei LAN Ports, weil ich dachte, dass ich auf jeden Fall die zwei SFP+ Ports brauche weil mir beim Ausbau damals gesagt wurde, dass das noch auf 4-5Gbit hochgeht. Seitdem hab ich die 1,8Gbit Leitung und gehört hab ich nix mehr seitdem, d.h. die SFP+ Ports brauche ich nicht und stattdessen hätte ich viel lieber besagten Notfall Port :ROFLMAO:

Man kann ja aber zum Glück auch in der Konsole nen vorherigen Snapshot laden wenn man mal wieder das Assignment verkackt hat :poop:
 
Tundor schrieb:
Man kann ja aber zum Glück auch in der Konsole nen vorherigen Snapshot laden wenn man mal wieder das Assignment verkackt hat
Zum Vergrößern anklicken....
🤡

Was die Kisten gar gar gar gar nicht moegen: Einfach Netzwerkkarten rausreißen/gegen andere tauschen. Da geht intern recht viel durcheinander ^^
So nen Notfallport kansnt doch im SFP+ Slot realisieren. Einfach nen SFP+ --> RJ45 Modul organisieren, alles vorkonfigurieren und bei Bedarf reinschieben. Je nachdem wie haeufig du das Ding plattfaehrst kann sich das schnell rentieren :d
 
p4n0 schrieb:
Was die Kisten gar gar gar gar nicht moegen: Einfach Netzwerkkarten rausreißen/gegen andere tauschen. Da geht intern recht viel durcheinander ^^
Zum Vergrößern anklicken....
Aber wie macht man es dann vernünftig wenn man ein Assignment ändern möchte? Ich dachte wenn ich z.B. jetzt auf 10G gehe, würde ich LAN auf IX0 ändern und dann kurz alle VLANs durchklicken und das parent aktualisieren. Macht das auch schon Probleme? :poop:
 
Ne das sollte passen. Komisch wirds immer dann wenn man die NICs
Physikalisch anpackt ohne sie komplett in den Assignments/Rules etc zu entfernen.
 
Anmelden, um zu antworten.

Ähnliche Themen

spyfly
  • Artikel
[User-Review] Synology ActiveProtect Appliance DP320 im Lesertest
Antworten
4
Aufrufe
908
maxblank
M
Man-in-Black
  • Artikel
[User-Review] Die Synology DP320 ActiveProtect Appliance im Lesertest
Antworten
13
Aufrufe
2K
Man-in-Black
Man-in-Black
T
  • Frage / Lösungssuche
[Ungelöst] Hilfe bei der Konfiguration von pfSense hinter einer FritzBox (NetCologne)
Antworten
5
Aufrufe
2K
Zeitmangel
Z
L
Welche NVME für Proxmox/Firewall
Antworten
11
Aufrufe
1K
loaded
L
XST3RN
HomeKit/UniFi: Hue-Bridge im gleichen VLAN wie iPhone/HomePod – Option A (eigenes VLAN) vs. Option B (alles im PROD-USERS) + Egress-Firewall?
Antworten
0
Aufrufe
423
XST3RN
XST3RN
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh