OPNsense Forum

Hallo zusammen,

nachdem die USG3 ausgestiegen ist, musste ich mich an die eigentlich schon vorbereitete opnsense machen und sie zügig online bringen.
Funzt soweit auch und sogar Voip Telefonie der FritzBox hat mit einer einfachen Regel sofort funktioniert.

Nun muss ich noch ein paar Sachen anpassen und um heben, da ich mit der neuen opnsense auch etwas die IP Adressen ändere und auch mehrere vlans einsetzen werde. (was fürs Wochenende, da während der Woche ja das HO in Benutzung ist und ich keine Wartungsdownzeit tagsüber bekomme ;-)  )

Jetzt meine Fragen zum möglichen best practice:

Ich hatte bis vor dem Umstiegt ein Pi-hole am laufen, jetzt stellt sich die Frage, soll ich den weiter nutzen oder opnsense Teile benutzen? Wenn opensense, was müsste man da alles machen?

Ich hatte bis vor dem Umstieg einen Nginx Proxy Manager auf einem Pi am laufen, sollte ich den weiter nutzen (DMZ) oder einen der Proxy von opnsense nutzen und wenn, welchen?

Habe gehört das der IDS/IPS problematisch ist, wenn man als WAN keine statische IP hat, was ja leider bei privaten DSL Anschlüssen meistens der Fall ist. Stimmt das? Wenn ja, was kann man dann machen bzw. auf was sollte man achten, um es trotzdem gescheit nutzen zu können.
Welche Regeln, sind für den Anfang empfehlenswert?

Viele Grüße und schonmal vielen Dank für die möglichen Antworten,
Oliver


      WAN / Internet
            :
            : PPPoE-Provider
            :
      .-----+-----.
      |  Gateway  |  (DrayTek Modem)
      '-----+-----'
            |
        WAN | IP or Protocol
            |
      .-----+------.   private DMZ       .------------.
      |  OPNsense  +-----------------+ DMZ-Server |
      '-----+------'   172.30.20.0/24   '------------'
            |
        LAN | 172.20.0.0/24 (Es kommen noch mehrere vlans dazu)
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers/FritzBox)

Quote from: oliverr on February 23, 2022, 06:55:59 PM
Ich hatte bis vor dem Umstiegt ein Pi-hole am laufen, jetzt stellt sich die Frage, soll ich den weiter nutzen oder opnsense Teile benutzen? Wenn opensense, was müsste man da alles machen?

Ich hatte bis vor dem Umstieg einen Nginx Proxy Manager auf einem Pi am laufen, sollte ich den weiter nutzen (DMZ) oder einen der Proxy von opnsense nutzen und wenn, welchen?

Habe gehört das der IDS/IPS problematisch ist, wenn man als WAN keine statische IP hat, was ja leider bei privaten DSL Anschlüssen meistens der Fall ist. Stimmt das? Wenn ja, was kann man dann machen bzw. auf was sollte man achten, um es trotzdem gescheit nutzen zu können.
Welche Regeln, sind für den Anfang empfehlenswert?

Hallo,

PiHole:  klar kannst ud den weiter nutzen, trägst eben in den DHCP-Einstellungen die IP des PiHoles als DNS-Server ein.  Bei mehreren VLAn musst du dann eben DNS-Anfragen aus dem VLAN zum PiHole erlauben, ist aber kein Problem.

Alternativen:
- Pihole wie bisher + unbound auf OPNSense als Upstream-DNS-Server
- nur Unboudn auf OPNSense, den der kann auch Filterlisten nutzen
- über ein extra Repository kannst du AdGuard auf der OPNSense installieren + den unbound, das ist derzeit mein Weg, den ich nutze

schaust dir in Ruhe an, mache erst mal den Pihole wieder erreichbar, den Rest kannst später problemlos umbauen.

Nginx ProxyManager: 
Ich denke, nutze einfach das, womit du am besten klar kommst, ich bleibe vorher auch beim Nginx PM und werde mir in einer ruhigen Zeit mal den HAPRoxy von OPNSense vornehmen, derzeit hab ich da aber keine dringende Eile zu.

IDS/IPS:
ja das mit statischer IP hab ich auch gelesen und auch aufgrund von einem recht interessanten YT-Video erst mal Abstand vom IDS/IPS genommen.  Das Problem ist einfach, das man mit dem Regelwerk erschlagen wird und man sich genau damit beschäftigen muss, welche Regeln man aktiviert und welche nicht.
Das ist bei weitem nicht os, wie bei Unifi wo du 35 Funktioneren ein/auschalten kannst.
Bei OPNSense sind das auf die Regeln runtergebrochen ein Vielfaches mehr und es mal lange keinen Sinn, einfach blind ohne sich damit zu beschäftigen, alles einzuschalten.

Wenn ich statische IP'S vom Provider habe, werde ich nochmal drüber nachdenken, ob IDS/IPS für mich Sinn machen.