[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Tundor schrieb:
Danke! Was heißt sparsam, also auf was läuft das Ding so im Idle bzw. wenn wenig los ist? Meine Aliexpress Kiste hängt irgendwo bei 20-22W dauerhaft rum, finde das schon ganz schön viel. Was ich mir auch vorstellen könnte wär evtl. ein ZimaBoard2 zu kaufen, das hat von der Hardware her alles was ich brauche und liegt anscheinend bei 6-8W im Idle.
Zum Vergrößern anklicken....


Hallo!

HIER hab ich mal eine Verbrauchsmessung gemacht und auch auf andere Geräte verwiesen.


LG
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Tundor schrieb:
Ich melde Vollzug, es läuft alles wunderbar jetzt. Auch Pihole hat keine Fehlermeldung mehr, dass seine Queue volläuft. Es waren tatsächlich diese scheiß BIOS Einstellungen :wut:
Danke an alle, die versucht haben mir zu helfen. Irgendwie bin ich jetzt aber auch froh, dass ich nicht zu blöd war ne Sense zu konfigurieren (abgesehen von der Hardware :fresse:)
Zum Vergrößern anklicken....
Ich wollte hier noch etwas hinzufügen, vlt. hilft das mal jemand der ähnliche Probleme hat. Nach dem BIOS Reset lief soweit alles wesentlich besser, keine ewigen Aussetzer mehr, DNS Fehler und im Heimnetzwerk ist jetzt eigentlich alles perfekt. Aber eine Sache hat immer noch sporadisch Probleme gemacht und das war hauptsächlich im Online Gaming und im Home Office wenn ich Google Meet genutzt habe bemerkbar und zwar hatte ich immer wieder sekundenweise Aussetzer, das verhalten war aber anders als vor dem BIOS reset. In Google Meet äußerte sich das vorallem so, dass in Calls ständig das Videobild der anderen Teilnehmer weg war und nur ein Hinweis kam, dass ich Verbindungsprobleme hätte, die Tonspur ging aber weiterhin klar. Das Internet an sich lief während der Zeit aber ganz normal einigermaßen flüssig. Dann hab ich mal in meiner Fritz Box alles durchgeklickt, und gesehen dass in der Kabel-Information Übersicht extrem viele nicht korrigierbare Fehler auftreten (war im Millionenbereich und die FB lief zum Zeitpunkt gerade mal wenige Stunden durch weil ich sie am Vormittag schon resettet hatte.

Und dann fiel es mir wie Schuppen von den Augen, als ich damals die neue Hardware für die Sense gekauft habe, hab ich auch die Fritzbox anders positioniert und daher ein neues 5m Koaxkabel gekauft.
Mutmaßlich war das totaler Schrott weil nun hab ich es wieder mit dem 3m Vorgänger Kabel in Betrieb und die Fehler sind quasi verschwunden bzw. in nem irrelevanten Bereich. Nun läuft seit gestern Abend alles extrem flüssig, hatte seitdem überhaupt keine Aussetzer mehr. Es ist echt keine gute Idee zu viel Hardware gleichzeitig zu ändern, an dieses scheiß Kabel hab ich gar nicht mehr gedacht :wall:

D.h. ich hatte die ganze Zeit zwei Probleme, einmal intern das fehlerhafte Powerprofil auf der Sense Hardware und einmal ein schrottiges Koaxkabel. Ich vermute mal, dass davon vorallem der UDP Traffic betroffen war, weswegen die Videocalls und Online Gaming besonders mies liefen. Ich hoffe, jetzt ist endlich mal alles erledigt :rolleyes2:

1763909431256.png
 
Die sind aber normal. Scheinbar werden im Kabelnetz so ne Art Testpakete geschickt die die FB dann korrigiert und so eine niedrige Anzahl von Fehlern ist völlig i.O. Wenn man ein Problem hat wie ich vorhin, sind die nicht korrigierbaren Fehler schnell im 6-7 Stelligen Bereich nach wenigen Stunden. Ärgerlich ist vorallem, dass ich mich hier überhaupt noch mit dem Koax Scheiß rumschlagen muss, wir haben im Keller eigentlich schon Glasfaser liegen aber weil man sich den Ausbau bis in die Wohnung spart, hab ich die 1,8Gbit Leitung jetzt weiterhin über Kabel :rolleyes2:
 
Tundor schrieb:
Meine Aliexpress Kiste hängt irgendwo bei 20-22W dauerhaft rum, finde das schon ganz schön viel.
Zum Vergrößern anklicken....
Tausche das Netzteil aus, die mitgelieferten sind schrott.
Ich hab ein altes Netzteil einer USB Festplatte fran gehängt (gleiche Spannung, gleiche Leistung) und der Verrbauch ist von ca. 20W auf 11W runter.
Dann noch ein bissel im BIOS und unter Proxmox optimiert und bin nun bei 8W Idle
 
BobbyD schrieb:
Netgate Releases pfSense Plus Software Version 25.11

25.11 New Features and Changes | pfSense Documentation

docs.netgate.com docs.netgate.com
Zum Vergrößern anklicken....
Ein neues Feature in der Plus, welche nun auf FreeBSD 16 aufsetzt, ist Endpoint-Independent (Port Restricted Cone) Mapping Network Address Translation (EIM-NAT) für UDP-Verbindungen.
Screenshot 2025-12-14 102019.png

Dieses kann man an Stelle von z.B. Static Port Outbound NAT konfigurieren.
Screenshot 2025-12-14 095338.png

Es gehört wohl zu einem der ersten Features, welches Netgate von pf aus OpenBSD in das neuste FreeBSD übernehmen lässt, weitere sollen folgen.

Was es erlaubt ist eine bessere Konnektivität zu erzielen, wenn es um UDP Hole Punching geht. Davon können Online Games, VoIP, etc. profitieren. Dabei wird einem ursprünglichen Source Port beim SNAT immer ein fester, anderer Source Port zugewiesen. Das erlaubt, auch ohne das klassische Static Port Outbound NAT, ein vereinfachtes UDP Hole Punching, da der betreffende Port sich eben nicht mehr ändert und damit von einem Rendezvous-Server an weitere Teilnehmer kommuniziert werden kann.

Das Problem an Static Port Outbound NAT ist, dass es effektiv nur für einen einzigen Hosts verwendet werden kann. Wenn aber mehrere Hosts im privaten LAN existieren, die auch noch das selbe online Game zocken wollen, oder mehrere VoIP Sessions stattfinden, dann braucht es weitere Lösungen für IPv4 und eine solche ist jetzt (erst) für FreeBSD gegeben.

Vergleich OOTB OutboundNAT zu EIM-NAT
1765625328468-screenshot-2025-12-13-122731.png
 
Zuletzt bearbeitet:
Ja genau, das Problem mit UDP Verbindungen zu einem Rendezvous Server (hoste einen Sim der darauf aufbaut) auf meinem Server hinter doppelt NAT beschäftigt mich auch schon länger. Hatte da schon ellenlange Diskussionen mit der KI bezüglich STUN/TURN/Holepunching über UDP, und wie sich das alles nennt. Für die meisten User läuft es gut. Kann aber sein, dass sich welche Clients die den selben Provider haben (selbes CGNAT) sich untereinander nicht joinen können. Oder User die einen Handyhotspot zur Verbindung nutzen kann es auch treffen. Und wie von Dir richtig angemerkt haben auch Nutzer aus dem selben privaten Segment (LAN) Probleme. Obwohl der Sim einen LAN Modus hat, aber der funktioniert eher bescheiden bis gar nicht.

Auch das mit Outbound NAT und allem hatte ich durchgetestet. Bin aber allerdings kein Profi. Hatte aber auch schon Threads hierzu im Forum, wir haben es bislang nicht besser hin gekriegt.

So wie ich verstanden habe, connecten sich die Clients untereinander direkt. Haben die mal eine Sitzung offen, kann ich den Server herunterfahren, die Clientsitzungen laufen munter weiter, ohne dass die Nutzer NAT mässig was beregelt hätten oder gar eine eigene IP haben. Finde ich noch ganz spannend die Technik. Die ganzen Parameter wie Flugrichtung, Geschwindigkeit, Höhe, Modell, Wetter, das wird alles zwischen den Clients direkt verhandelt.

Ich selber hänge ja hinter doppelt NAT. Ich komme zwar auf den Rendezvous Server, aber kann anderen nicht beitreten, bzw. sie mir nicht. Nutze dazu VPN, dann geht es. Will aber dann mal den Provider wechseln, damit ich die Sense die Einwahl machen lassen kann um von dem blöden doppelt NAT weg zu kommen.

Nutze leider die OPNsense, das neue Feature hätte ich gerne angetestet. Aber ein Wechsel zur pfsense kommt nicht in Frage. Hatte ellenlang evaluiert zwischen sophos, pfsense und opnsense. Bin dann aber bei der OPNsense gelandet, mit der bin ich soweit ganz zu frieden.

Bastelbude halt.
 
Zuletzt bearbeitet:
Hm, Update macht Probleme.

Habe gerade das Update von 25.7.3_7 auf 25.7.10 durchlaufen lassen und habe nun folgende Fehler.

***GOT REQUEST TO CHECK FOR UPDATES***
Currently running OPNsense 25.7.10 (amd64) at Sat Dec 20 16:36:42 CET 2025
Fetching changelog information, please wait... fetch: Host does not resolve
Updating OPNsense repository catalogue...
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
repository OPNsense has no meta file, using default settings
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
Unable to update repository OPNsense
Updating mimugmail repository catalogue...
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
repository mimugmail has no meta file, using default settings
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
Unable to update repository mimugmail
Error updating repositories!
Upgrading package manager from version '2.3.1_1' to ''
Updating OPNsense repository catalogue...
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
repository OPNsense has no meta file, using default settings
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
Unable to update repository OPNsense
Error updating repositories!
***DONE***
Zum Vergrößern anklicken....


Hat jemand einen Tipp?


Danke!

Werde vorerst via Snapshot wieder auf die alte Version gehen.
 

Anhänge

  • Screenshot 2025-12-20 164037.jpg
    Screenshot 2025-12-20 164037.jpg
    68,3 KB · Aufrufe: 15
Zuletzt bearbeitet:
Ich hab mal ne Frage (oder mehrere), vielleicht verstehe ich das aber auch nur total falsch. Thema IPv6

Hintergrund ist, das ich in 4 Monaten meinen DSL Vertrag wechsle und endlich vom dem miesen Telekom Peering wegkomme.
Normalerweise wollte ich zu O2 wechseln, da es dort noch richtiges Dualstack gibt, aber deren Preise sind extrem gestiegen (auch mit Angeboten)
und oft wird der Anschluss über Kabel realisiert, das ich auf keinen Fall wieder haben möchte.

Daher habe ich mich ein wenig über 1&1 schlau gemacht, welche ja nur noch DSlite schalten, insbesondere wenn man einen günstigen Vertrag über eine der Drillisch Töchter wie z.B. sim.de, winsim oder premiumsim abschließt.
Immerhin hat 1&1 in seinem Netz inzwischen PCP aktiv (meines wissens der einzige Provider in Deutschland) und man bekommt 20 Ports auf der geteilten IPv4 Adresse zugewiesen, welche man für IPv4 Portfreigaben nutzen kann.

Aktuell habe ich nur IPv4 aktiv (der Einfachheit halber) würde gerne aber schon mit IPv6 "spielen" um in 4 Monaten nicht mit runtergelassenen Hosen dazustehen.
Meine OpnSense hängt hinter einer Fritzbox als DSL Modem (war günstig und funktioniert stabil), aber bekanntermaßen eben mit Doppel-NAT.
In der Fritzbox wie auch in der OpnSense ist alles IPv6 relevante noch abgeschaltet.

Meine Fragen zu IPv6 mit der OpnSense wären stand heute erstmal:
  • Bekommt die OpnSense hinter der Fritzbox das komplette Präfix oder nur eine Adresse?
  • Muss ich mein ganzes Heimnetz IPv6 fähig machen oder kann man das irgendwie Tunneln
  • Falls ich IPv6 in der OpnSense konfigurieren muss, ändern sich dann die IPv6 Adressen der Geräte dahinter, wenn sich das Präfix des Providers mal ändert?
    Wie behandle ich diesen Fall in den Firewallregeln?
  • Wie verhält sich das mit den IPv6 Adressen bei meinen VLANs da ja alle aus dem gleichen Präfix stammen?
    Oder muss ich einen internen DHCPv6 Server aufsetzen?

Ich hatte schon mal vor langer Zeit mit IPv6 gespielt (damals noch ohne OpnSense), das ganze aber ziemlich schnell wieder fallen gelassen, da es wirklich für mich extrem anders als das gelernte IPv4 Wissen (als nicht ITler) war. Aber eigentlich will ich ja was lernen und mich auf das Thema einlassen.
Daher habe ich heute fast den genzen Tag mir Material zu dem Thema angeschaut/gelesen und es sind mir die oben aufgelisteten Fragen einfach nicht klar geworden.
Natürlich auch mal die KI bemüht, aber selbst diese blickt bei dem Thema nicht richtig durch bzw, widerspricht sich dauernd selbst. :hust:


Ich will jetzt keine Musterlösung von euch, auch wenn es für mich schön einfach wäre, aber ich würde einfach gerne mal bei dem Thema durchblicken wie ich es eben bei IPv4 auch kann. Im Grunde hätte ich gerne IPv4 und IPv6 parallel laufen (was ja heute Standard sein sollte) damit bei mir alles auf dem aktuellen Stand ist.
 
toscdesign schrieb:
Bekommt die OpnSense hinter der Fritzbox das komplette Präfix oder nur eine Adresse?
Zum Vergrößern anklicken....
Einen Teil des Prefix: /57 vom /56.
toscdesign schrieb:
Muss ich mein ganzes Heimnetz IPv6 fähig machen oder kann man das irgendwie Tunneln
Zum Vergrößern anklicken....
Da wo Dir Konnektivität wichtig ist, würde ich auf Dual-Stack wert legen, also PCs, Phones, etc.
toscdesign schrieb:
Falls ich IPv6 in der OpnSense konfigurieren muss, ändern sich dann die IPv6 Adressen der Geräte dahinter, wenn sich das Präfix des Providers mal ändert?
Zum Vergrößern anklicken....
Ja. Und bei 1u1 ändert der sich täglich. Ein Umgang damit ist weniger auf einzelne IP-Adressen zu setzen und mehr auf ganze Subnets, also das Subnet X darf das, Subnet Y aber nicht.
Es gibt auch Lösungen für einzelne Hosts in der OPNsense, ist mir aber gerade nicht geläufig.
toscdesign schrieb:
Wie verhält sich das mit den IPv6 Adressen bei meinen VLANs da ja alle aus dem gleichen Präfix stammen?
Zum Vergrößern anklicken....
Der Prefix wird ja aufgeteilt unter deinen LANs (und VLANs), da musst Du dir keine Gedanken machen. Jedes LAN bekommt einen eigenen /64. Der /57 von oben enthält 128* /64.

Grundsätzlich würde ich auch mal beim ISP nachfragen, ob Du nicht vollen Dual-Stack bekommen kannst, weil Du den brauchst für Tele-Arbeit etc. Bei 1u1 selbst funktioniert das oft.
 
Zuletzt bearbeitet:
BobbyD schrieb:
Bei 1u1 selbst funktioniert das oft.
Zum Vergrößern anklicken....
Inzwischen nicht mehr, insbesondere wenn du ein Drillisch Angebot nutzt.

Aber danke für deine Erklärungen, die bringen mich weiter als das was ich bisher so gelesen habe 👍
 
Anmelden, um zu antworten.

Ähnliche Themen

spyfly
  • Artikel
[User-Review] Synology ActiveProtect Appliance DP320 im Lesertest
Antworten
4
Aufrufe
1K
maxblank
M
Man-in-Black
  • Artikel
[User-Review] Die Synology DP320 ActiveProtect Appliance im Lesertest
Antworten
13
Aufrufe
2K
Man-in-Black
Man-in-Black
XST3RN
HomeKit/UniFi: Hue-Bridge im gleichen VLAN wie iPhone/HomePod – Option A (eigenes VLAN) vs. Option B (alles im PROD-USERS) + Egress-Firewall?
Antworten
0
Aufrufe
499
XST3RN
XST3RN
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh