ComputerBase Menü
Aktuelles

OPNsense als virtueller Router?

  • Ersteller Ersteller Bob.Dig
  • Erstellt am Erstellt am
@esb315 Jau, fragt sich wie einfach die Integration von beidem zusammen ist, wobei es muss schon LE sein, aber das können sie auch beide. Auch OPNsense hatte das, da ich aber in meiner VM auf meinem Desktob kein LAN/WAN-Routing hinbekommen habe, konnte ich es nicht final testen. Dürfte so auch nicht gehen...
 
Nochmal ein kleiner Einwurf, der nicht direkt um virtuelle Router geht.
Falls dir die virtuelle Sache etwas zu instabil ist oder doch nicht ganz deinen Vorstellungen entspricht, du aber Interesse hast, dich weiter mit Netzwerk zu beschäftigen, lege ich dir Mikrotik ans Herz.
So ein kleiner Router für 40 € ist unglaublich potent für das Geld und steht vom Funktionsumfang (nicht der Geschwindigkeit) einem 5000 € Cisco-Router in wenig nach.

Ansonsten erstmal viel Spaß beim Werkeln :)
 
  • Gefällt mir
Reaktionen: Raijin und Bob.Dig
Ich habe schon IPFire, pfSense und OPNsense genutzt. Mein Weg war IPFire -> pfSense -> OPNsense. IPFire war mit Abstand die einfachste, sowohl was Bedienung als auch Features betrifft. Für die meisten sollte das aber wohl absolut ausreichend sein. Ich empfehle dir das vor den anderen auszuprobieren. pfSense und OPNsense sind was Features betrifft sehr ähnlich (oder waren es zumindest zur der Zeit). Letzlich bin ich bei OPNsense gelandet - primär weil es freier ist und sekundär weil mir die Oberfläche besser gefällt. https://techcorner.max-it.de/wiki/OPNsense_vs._pfSense_-_Im_Vergleich
Mittlerweile benutze ich keines der 3 mehr.

Als Reverse-Proxy kann ich dir absolut Caddy empfehlen, der macht das Handling mit den Zertifikaten völlig automatisch. Die Konfigurationsdatei ist wesentlich einfacher als Apache oder Nginx. Wirklich einfacher geht beides nicht.

Ich würde Firewall und Anwedungen von einander trennen. Nebst der Firewall-VM dann noch eine Debian/Ubuntu/CentOS/whatever VM mit Docker drauf. Falls du den Weg mit Docker gehst, solltest du dir auch Traefik anschauen. Der macht das ganze Routing zu den Applikationen dann ebenfalls automatisch über Labels an den Containern. LE beherrscht es auch.
 
  • Gefällt mir
Reaktionen: Bob.Dig
Bob.Dig schrieb:
@dj-melo Deren Site scheint down zu sein. Da ich nicht soviel Ahnung von Netzwerken habe, könnte mich das Farbmodell interessieren, aber wichtiger ist mir der GUI-basierte Funktionsumfang gerade was reverse proxy mit LE-Zertifikat betrifft, was ich selbst so nicht hinkriege und zu faul bin mir beizubringen. Wenn IPFire das auch kann, dann sach bescheid.
DNS-Server im LAN und sowas bieten sie hoffentlich alle OOTB.
Zum Vergrößern anklicken....


Ipfire.org macht grade Umzug daher down. Morgen ggf mal Wiki.ipfire.org anschauen.
 
  • Gefällt mir
Reaktionen: Bob.Dig
Ich habe schon einige Jahre mit OpnSense und pfSense zu tun. Wenn du dir deine Nerven schonen willst, dann nimm pfSense. OpnSense ist dagegen die reinste Frickelsoftware. Bei jedem! Update funktioniert irgendwas nicht mehr. Jede Nacht nach einem Update hat mich mein Monitoring rausgehauen und ich konnte das Backup-Gerät in Betrieb nehmen. Dagegen gab es bei pfSense bei mir noch nie Probleme und ich habe in der ganzen Zeit noch nie die Ersatzbox benötigt. Eine korrekte Konfiguration vorausgesetzt, funktioniert dort auch alles auf Anhieb richtig. Das ist bei OpnSense eher Glückssache.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Bob.Dig
@Helge01 das selbe was du zu pfSense schreibst, kann ich über OPNsense (und auch pfSense) sagen. OPNsense habe ich auch einige male aktualisiert und nie Probleme gehabt.
 
Kommt vielleicht auch auf den Umfang der Konfiguration an. Um so komplexer diese ist, um so anfälliger wurde OpnSense. Der "Klassiker" von ausfällen war IPSec.
 
Zuletzt bearbeitet:
So wird es wohl sein. IPSec habe ich nie genutzt.
 
pfsense sollte man aber nicht in der Beta-Version nehmen. Da hatte ich auch schon interessante Fehler nach Updates. Die normale Version hat bisher immer funktioniert. Aber wie schon gesagt es kommt auf die Konfiguration an.
 
Bin jetzt auf pfsense gegangen und muss mich erst mal zu recht finden. Einige Sachen, die mein Asus von alleine gemacht hat, musste ich erst händisch einstellen.

Was nicht richtig funktioniert ist "Internet", nach dem Wechsel der MAC-Adresse der WAN-Schnittstelle.
Wenn ich als Kabelkunde eine neue IP brauche, dann ist das über eine gespoofte MAC-Adresse zu erreichen und anschließendem Neustart des Modems.
802147


Hab überlegt, ob es an der Virtualisierung liegt, dass das "Internet" danach nicht geht, trotz Reboot etc. Wenn ich aber die MAC-Adresse in HyperV ändere, dann funktioniert das Ganze wie früher. 🙏
802148


Mein Eindruck ist, dass es an pfsense selbst liegt, dass es sein eigenes Feature nicht richtig nutzen kann. Wer hierzu eine Idee hat, gerne hier posten.

Ansonsten werd ich wohl morgen versuchen mein VPN einzurichten und ggf. den reverse proxy, wenn ich es hinkriege.
 
Zuletzt bearbeitet von einem Moderator:
Gerade bei Kabel sind die Anschlüsse doch MAC gebunden, weil es ein shared Medium ist. Wenn man ein neues Gerät hat, muss das vom Anbieter erst freigeschaltet werden. Zumindest war das bei mir vor einiger Zeit mal so (Unitymedia).
 
@Bagbag Jein, das ist es hier aber nicht. Hat ja vorher auch geklappt.
Was Du beschreibst gilt bei meinem Anbieter nur für das Modem, das ist aber immer das selbe in meinem Setup und nicht virtualisiert. 😉
Mein "Gefühl" ist, dass pfsense der eigenen gespooften MAC-Adresse irgendwie nicht traut und deswegen "blockiert".
 
Stimmt. Ich hatte dein Setup nicht mehr genau im Kopf.
 
Habe jetzt meine "Migration" abgeschlossen. Zusammenfassend muss ich als interessierter Laie feststellen, dass vieles länger gedauert hat als erhofft und dies trotz GUI und einer ordentlichen Online-Hilfe. Fast für jedes Vorhaben muss ich besagte Anleitungen "wälzen", statt mir einfach was zusammen klicken zu können.
Insgesamt zeigt das, dass alles seinen Platz hat (z.B. der nicht unbedingt günstige Asus-Router) und es gibt keine Abkürzungen.😉
 
  • Gefällt mir
Reaktionen: memmex
Macht es Sinn, dass ich mit meiner virtualisierten pfSense Box meinen Fileserver nicht per WoL wecken kann, wohl aber mit dem Asus, der nur noch als AP (und Switch) dient und nicht unmittelbar mit den betreffenden Rechnern verbunden ist?
Langsam regt mich pfSense auf... 😡
 
Bob.Dig schrieb:
Macht es Sinn, dass ich mit meiner virtualisierten pfSense Box meinen Fileserver nicht per WoL wecken kann, wohl aber mit dem Asus, der nur noch als AP (und Switch) dient und nicht unmittelbar mit den betreffenden Rechnern verbunden ist?
Zum Vergrößern anklicken....
Kommt drauf an wie dein Netzwerk aufgebaut ist. pfsense ist primär eine Firewall. Der must du natürlich sagen was ok ist und was nicht.
 
  • Gefällt mir
Reaktionen: Bob.Dig
OMG, Du hast Recht. 🤝
Was ich nicht gesehen habe, das statische Wake-on-LAN Feature wählt bei mir standardmäßig das WAN-Interface aus, warum auch immer. 😣
Ergänzung ()

DNS-Leaks

Folgende Frage an die absoluten *Sense Profis, habe zumindest online keine komplette Lösung dafür finden können, vielleicht geht es einfach nicht wie gewünscht.

Bei meinem vorherigen Asus-Router konnte ich diesen auch als OpenVPN-Client einrichten und bestimmte Rechner im LAN, anhand ihrer Adresse, "zwingen", ausschließlich den VPN-Tunnel zu einem der bekannten Anbieter zwecks "Anonymität" etc. zu nutzen, um sich mit dem Internet zu verbinden. Soweit so gut, auch das geht recht mühsam mit pfSense.

Aber was die DNS-Anfragen betrifft, auch diese konnte der Asus zwingen über den Tunnel zu gehen, so, dass es zu keinen "DNS-Leaks" kam. Wie er das gemacht hat? Keine Ahnung.

Jetzt in pfSense kommt es leider zu besagten "Leaks", da ja einfach weiterhin der inkludierte DNS-Resolver genutzt wird.

Eine Umgehungslösung wäre wohl, einfach alle DNS-Anfragen über den Tunnel zu machen. Nachteil, wenn dieser down geht, wären alle Rechner betroffen und nicht nur die, die ohnehin getunnelt werden sollen. Also keine gute Lösung. Ebenfalls keine gute Lösung, weil zu mühsam, allen zu tunnelnden Rechnern einen eigenen DNS-Server per DHCP einzutragen.

Daher noch mal die Anforderungen zusammengefasst:
  1. Die getunnelten Rechner sollen ihre DNS-Anfragen ausschließlich durch den Tunnel machen, auf welche DNS-Server sollte dabei vermutlich unerheblich sein.
  2. Die anderen Rechner sollen ihre DNS-Anfragen nie durch den Tunnel machen.
  3. Alle Rechner sollen uneingeschränkt im LAN erreichbar sein.
 
Zuletzt bearbeitet von einem Moderator:
Bob.Dig schrieb:
DNS-Leaks

Folgende Frage an die absoluten *Sense Profis, habe zumindest online keine komplette Lösung dafür finden können, vielleicht geht es einfach nicht wie gewünscht.

Bei meinem vorherigen Asus-Router konnte ich diesen auch als OpenVPN-Client einrichten und bestimmte Rechner im LAN, anhand ihrer Adresse, "zwingen", ausschließlich den VPN-Tunnel zu einem der bekannten Anbieter zwecks "Anonymität" etc. zu nutzen, um sich mit dem Internet zu verbinden. Soweit so gut, auch das geht recht mühsam mit pfSense.

Aber was die DNS-Anfragen betrifft, auch diese konnte der Asus zwingen über den Tunnel zu gehen, so, dass es zu keinen "DNS-Leaks" kam. Wie er das gemacht hat? Keine Ahnung.

Jetzt in pfSense kommt es leider zu besagten "Leaks", da ja einfach weiterhin der inkludierte DNS-Resolver genutzt wird.

Eine Umgehungslösung wäre wohl, einfach alle DNS-Anfragen über den Tunnel zu machen. Nachteil, wenn dieser down geht, wären alle Rechner betroffen und nicht nur die, die ohnehin getunnelt werden sollen. Also keine gute Lösung. Ebenfalls keine gute Lösung, weil zu mühsam, allen zu tunnelnden Rechnern einen eigenen DNS-Server per DHCP einzutragen.

Daher noch mal die Anforderungen zusammengefasst:
  1. Die getunnelten Rechner sollen ihre DNS-Anfragen ausschließlich durch den Tunnel machen, auf welche DNS-Server sollte dabei vermutlich unerheblich sein.
  2. Die anderen Rechner sollen ihre DNS-Anfragen nie durch den Tunnel machen.
  3. Alle Rechner sollen uneingeschränkt im LAN erreichbar sein.
Zum Vergrößern anklicken....
Scheine die Lösung selbst gefunden zu haben. Wenn es wen interessiert, hier fragen.
Edit: Zu früh gefreut, auf dem Smartphone leaked es weiter. ☹
 
Zuletzt bearbeitet von einem Moderator:
memmex schrieb:
In HyperV erstellst du erstmal 2 vSwitches und ordnest dem ersten NIC1 zu und die restlichen NICs mit Failover dem zweiten vSwitch.
Zum Vergrößern anklicken....
Kann es sein, dass das nicht geht unter WinPro?
806148


Kam heute heim und nix ging, auf den Server geguckt und alles lief. Erst nach einem Neustart des ganzen Servers ging wieder alles... ☹
 
Bob.Dig schrieb:
Kam heute heim und nix ging, auf den Server geguckt und alles lief. Erst nach einem Neustart des ganzen Servers ging wieder alles... ☹
Zum Vergrößern anklicken....
Und heute wieder das selbe Spiel, kein Internet, Neustart der vm brachte nix, Neustart des Host allerdings schon. Ist das ein Problem mit Hyper-V? Das lief allerdings jetzt Jahre zuvor ohne solcherlei Probleme. Es scheint vielmehr eine Kombination aus beidem zu sein, pfSense und Hyper-V.... So kann es aber nicht bleiben, werde wohl doch zurück müssen auf meinen altgedienten Router, es sei denn, jemand hat noch eine Idee.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

CoMo
OPNsense als Router auf Proxmox
2 3
Antworten
50
Aufrufe
3.868
IchiTheChiller
IchiTheChiller
IBISXI
Probleme mit WAN Interface bei Virtualisierter OPNSense
Antworten
12
Aufrufe
3.381
IBISXI
IBISXI
Rego
Leserartikel Lesertest Synology DS220+ - Backup virtueller Maschinen mit Active Backup for Business
Antworten
0
Aufrufe
5.349
Rego
Rego
M
Virtueller Router mit gleichen Einstellungen wie Fritzbox einrichten
Antworten
4
Aufrufe
1.369
Mr. Brooks
M
M
Virtueller Router ohne Firewall
Antworten
6
Aufrufe
1.549
LinuXfr3ak
L
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz