Messages

Hello Community,
I'm about to take a closer look at the Sensei plugin for OPNsense.
In general I think it's great that the developers offer it freely as a community variant. Thank you very much for that.
But I have also just looked at the prices for the Premium Subscription. If I see that correctly, I find the website a bit confusing, there is only the annual fee of almost 500,-€ as the smallest unit. This starts with 25 users.

Would it be possible, or maybe it already exists and I just don't see it, to offer a SOHO or Home variant?

I was thinking of a home license for max. 5-10 users and a price which also appeals to home users (about 50-80,-€ per year???).
The SOHO license then for 10-25 users and the price adjusted accordingly somewhere in between.

I am aware that many home and SOHO users may be able to do without the premium features. However, there are certainly many who would like to use these features and are a little deterred by the price.

Maybe an idea, which it is worth to think about.

Many thanks

BOSSJoe

Hi NR,

vielen Dank für das Schaubild. Jetzt hab ich kapiert was du mit dem LACP gemeint hast. Ich dachte mir schon wie soll ich den ein VLAN Interface trunken???

Also soweit alles klar. Was ich jetzt noch nicht verstehe ist wie ich das mit den Gateways mache. Bei den Clients ist das klar, hier hinterlege ich die jeweilige VLAN IP der OPNsense als Gateway und DNS.

Aber:

- 1. Ich kann ja immer nur ein Gateway mitgeben und in dem Szenario hab ich ja zwei???
- 2. Wie würde ich die beiden Provider Router in der OPNsense eintragen? Als Gateway Group?

Vielen Dank

Gruß

Joe

Hi NR,

vielen Dank für die schnelle und ausführliche Antwort.

In einem anderen Forum kam dieser Vorschlag auf:



Vorteile:
- Ich brauche nicht all zuviel an den Netzwerkeinstellungen der einzelnen Clients machen
- Ich nutze vorhandene Hardware
- HA Lösung räumlich getrennt mit jeweils dediziertem Internetzugang

Nachteile / eventuelle Probleme:
- Jeder Internetzugang hat eine eigene fixe externe IP mit bestimmten Services am laufen. Mir ist nicht ganz klar wie ich es hinbekommen soll das nicht mindestens einer der Services immer über die Funkstrecke läuft und diese auslastet
- Generell die Funkstrecke. Ich bin ein wenig unsicher wie stabil das ganze ist wenn ich die als HA Sync verwende
- ...

Soweit erst einmal meine ersten Gedanken dazu.

Ich habe auch einmal deinen Vorschlag aufgefasst und eine Zeichnung angefertigt. Ich hoffe ich habe dich korrekt verstanden:



Vielleicht könntest du das auch mit OSPF noch einmal näher erläutern. Bin zwar noch nicht so tief in der Materie drin, würde es aber gerne einmal probieren...

Vielen Dank

Joe

Hallo zusammen,

ich könnte einmal eure Hilfe gebrauchen bezüglich Netzwerkdesign. Ich habe hier ein Bestandssetup und komme irgendwie nicht ganz weiter. Wahrscheinlich sehe ich den Wald vor lauter Bäumen nicht... ::)

Folgendes ist gegeben:

-2 Gebäude (eigentlich sogar 3, allerdings ist das 3. mit dem 2. per Glasfaser verbunden und im gleichen Subnetz)
-zwischen dem Hauptgebäude besteht schon immer eine WLAN Richtfunkverbindung zu einem der Nebengebäude
-Die Nebengebäude sind per Glasfaser miteinander vernetzt (gleiches Subnetz)
-das Häuptgebäude hat einen Internetzugang die Nebengebäude keinen
-Alles in einem Subnetz (192.168.0.0/24), außer GastWLAN (seperates VLAN mit eigenem Subnetz 172.23.0.0/24)
-In den Nebengebäuden sind eigentlich nur VoIP Geräte und Access Points sowie Switche

- Neu hinzu gekommen ist ein seperates Nebengebäude welches zwei bis drei Büroarbeitsplätze hat
- Dieses Gebäude war bisher per VPN angebunden und hat einen eigenen Internetzugang sowie ein eigenes Subnetz (192.168.178.0/24)
- Durch die niedrige Uploadrate der Internetzugänge und die gute Performance der WLAN Richtfunk Geschichte hat man sich entschlossen auch dieses Gebäude per WLAN einzubinden und den dortigen Internetzugang als Backup zu verwenden

Ich hab das ganze mal versucht als Diagramm darzustellen:



Was soll gemacht werden:
- beide Netzwerke sollen bis auf weitere bestehen bleiben
- beide Netze sollen uneingeschränkt miteinander kommunizieren (eventuell werde ich das noch ein bisschen beschränken)
- Die Gebäude benutzen weiterhin ihre jeweiligen Internetzugänge, bei einem Ausfall kann aber der jeweils andere Zugang mitgenutzt werden
- das Netzwerk sollte Zukunftsfähig sein (zu dem VLAN für das GästeWLAN werden wahrscheinlich noch weitere VLANs kommen, eigenes VoIP VLAN, etc...)
- im Zuge des Netzumbaus wird im Hauptgebäude eine opnSense HA Lösung implemetiert, welche eine weitere Backupinternetleitung über LTE bekommt (das Unternehmen benötigt dringenst immer einen funktionierenden Internetzugang, da viele Dienste mit Cloudanbietern geregelt sind)

Bei den verwendeten Geräten handelt es sich um:

Hauptgebäude:
- aktuell Eigenbau pfSense mit zwei NICs (wird gegen eine opnSense HA Lösung auf Appliance Basis getauscht, btw. ich suche noch nachpassender Hardware)
- Cisco SG300 Switche
- Ubiquiti Lite Beam AC Gen2 (https://www.ubnt.com/airmax/litebeam-ac-gen2/)

Nebengebäude alt:
- Cisco SG300 Switche
- Ubiquiti NanoBeam5 AC - 16 kein Gen2 (https://www.ubnt.com/airmax/nanobeam-ac-gen2/)

Könnte mir bitte jemand grob auf die Sprünge helfen? Ich stehe glaube ich grad total auf dem Schlauch wie ich das am sinnvollsten umsetzen kann.

Vielen Dank

Joe

Hi,

ich hatte befürchtet das es darauf hinausläuft... :o :(

Dann werd ich das die Tage mal einplanen. Vielleicht mach ich das aber in einer VM und exportiere die Konfig dann ins Live System. Dann ist die Downtime geringer.

BTW. Sollte ich eine VGA Installation machen oder eine Embedded? Sollte doch eigentlich egal sein weil ich ja bei der VGA Variante ja auch noch das RAM Laufwerk aktivieren kann, oder?

Vielen Dank

Gruß

Joe

Edit: BTW, ich habe kein IPSec sondern OpenVPN am laufen. Kommt aber denke ich auf selbe raus...

Hi,

vielen Dank für die Antwort. Da diese beiden Howtos doch sehr umfangreich waren hab ich bis jetzt nur die OpenVPN Verbindungen deaktiviert, die Gateways genauso und als DNS einen öffentlichen eingetragen.

Bis jetzt hab ich keine große Geschwindigkeitsverbesserung bemerkt, allerdings gibt es keine Abstürze der Internetverbindung mehr.

Ich hab ja immer noch den Verdacht das die eingebaute SSD einfach nicht schnell genug liefern kann, daher die langsame Gui und die ständigen Abbrüche. Sind ja immerhin 3 VPN Verbindungen welche gehändelt werden müssen.

Gruß

Joe

Hi zusammen,

ich habe mich die Tage wieder mal ein bisschen mit dem Thema VPN und OPNsense tiefgehender beschäftigt und unter anderem diese:

https://nguvu.org/pfsense/pfsense-2.3-setup/

und diese:

https://nguvu.org/pfsense/pfsense-multi-vpn-wan/

Anleitung bei mir umgesetzt.

Leider ist seitdem meine OPNsense sehr träge und bis Befehle in der WebGUI umgesetzt werden kann es bis zu ein paar Minuten dauern. Auch habe ich bis zu 4 komplette Netzabbrüche bei welchen ich aus heiterem Himmel keinen Zugang mehr zum Internet habe. Ich vermute derzeit das die OpenVPN Clientdienste einfach neu starten, weil ich nach ca. 2 Minuten wieder Zugriff habe.

Meine OPNsense Box ist diese hier:

http://varia-store.com/Hardware/PC-Engines-Bundles/APU-2C4-Bundles/APU2C4-19-Rack-Bundle-Netzteil-SSD-Board-Gehaeuse::28815.html

mit OPNsense 17.1 und den neuesten Updates.

Dashboard zeigt keine besondere Auslastung und ich habe sogar schon RAM Disk aktiviert.

Momentan fürchte ich habe ich entweder einen Fehler in der Konfig oder die SSD in diesem Bundle ist zu lahm...

Hat das auch schon mal jemand umgesetzt und kann mir einen Tipp geben?

Vielen Dank

Joe

Okay trotzdem vielen Dank. Ich werde es erst einmal ohne DMZ einrichten und wenn das alles passt die DMZ dazu nehmen...

Gruß Joe

Gesendet von meinem SM-P605 mit Tapatalk

Hi, hab mich heute noch einmal den ganzen Tag mit der Thematik beschäftigt. Ich glaube ich hab es kapiert. Vielen Dank für die Geduld...
Vielleicht noch eins, ich bin nicht so der Crack was Docker angeht. Die Container zum laufen bringen ist eines, richtig konfigurieren und vor allem Bridges einrichten was anderes. Kannst du mir hier auch noch einmal eine kurze Beschreibung geben?
Ach so und noch was... Eigentlich müsste der Nginx Server ja in einer DMZ stehen. Kann ich das dann auch noch so realisieren wenn ich Beispielsweise ein VLAN für die DMZ einrichte?
Vielen Dank  Gruß Joe

Gesendet von meinem SM-G920F mit Tapatalk

Ich glaube so langsam macht es bei mir klick! Vielen Dank, vorallem der Begriff Split DNS bringt mir sehr viel Futter zum lesen. Das war mir nicht bekannt das man das so macht, bzw machen kann.
Ich versuche jetzt mal rauszubekommen wie ich das auf dem Synology DNS einsetzte.
Zur Not mach ich halt einen Docker Container mit Bind oder so auf...
Gruß Joe

Gesendet von meinem SM-G920F mit Tapatalk

Hi, vielen Dank für die Antwort.
Sorte ich glaube ich habe mich ein bisschen irreführend ausgedrückt.

Mir ist schon klar was ein DNS ist und wie er funktioniert und auch die Funktionsweise für einen Zugriff von extern ist mir jetzt nahezu klar. Was mir noch ein bisschen abgeht ist der interne Zugriff.
Okay Namensauflösung intern. Ich erstelle also eine interne Domain die gleich lautet wie meine externe?
Wenn ich das so mache kann ich aber auch nur meine Diskstation aufrufen (diskstation.meinedomain.de) nicht aber die Applikation direkt über den passenden Port (appa.meinedomain.de)
Könntest du mir das noch ein bisschen detaillierter beschreiben? Auch Wie du das mit den Firewalleinstellungen machen würdest, das mit den Pass Regeln für die jeweiligen Interfaces.
Sorte aber ich glaube ich stehe echt neben mir. Bin sonst eher nicht so schwer von Begriff...😀

Vielen Dank
Gruß Joe

Gesendet von meinem SM-P605 mit Tapatalk

Hi,
Kannst du das noch einmal detaillierter erklären?

Vielen Dank Joe

Gesendet von meinem SM-G920F mit Tapatalk

Hi, vielen Dank für die schnelle Antwort.
So wie du es im letzten Absatz beschreibst hatte ich mir das schon gedacht. Also als Container auf der Synology. Ich bin kein Freund davon meine Firewall mit allem möglichen Zusätzen auszustatten. Sie soll in erster Linie das interne Netzwerk sichern.
Was ich noch nicht so ganz weiß oder kapiere, wie genau müsste das aufgebaut sein. Ist es wirklich nur der Proxy Container mit einer Weiterleitung auf die jeweiligen Ports und die Portweiterleitung auf der Firewall? Was ist zum Beispiel mit Zugriffen von intern? Ich glaube ich denke zu kompliziert...

Gruß Joe

Gesendet von meinem SM-G920F mit Tapatalk

Hallo zusammen,

ich habe da mal eine etwas generelle Frage und hoffe bei euch damit richtig aufgehoben zu sein... ;D

Folgendes:

Ich habe hier eine Synology Diskstation mit einer Dockerinstallation. Hierauf laufen verschiedene Container welche alle über eine Webgui verfügen.

Momentan erreiche ich diese über die unterschiedlichen Ports, also etwa so:

Applikation A --> 192.168.0.1:32700
Applikation B --> 192.168.0.1:32701
etc...

Ich möchte jetzt folgendes erreichen. Einmal sollen diese GUIs von extern erreichbar sein (fixe IP vorhanden, Domain beim Registrar registriert aber Namenssever noch nicht eingerichtet). Ideal wäre eine Namensaulösung wie diese:

Applikation A --> appa.meinendomain.de
Applikation B --> appb.meinendomain.de
etc...

Außerdem sollen die Seiten auch intern per Namen erreichbar sein. Idealerweise genau so wie oben, geht aber auch so in etwa:

Applikation A --> diskstation/appa
Applikation B --> diskstation/appb
etc...

Ich hab mich jetzt einmal ein wenig schlau gemacht und glaube mit einem Reverse Proxy das richtige Tool gefunden zu haben. Was mir noch nicht ganz klar ist, an welcher Stelle im Netz wäre der den sinnvoll. Bzw. brauche ich vielleicht sogar zwei Proxys einmal intern und einmal extern?

Am liebsten wäre mir außerdem ein SSL Zertifikat mit Let´s Encrypt, speziell für die externen Zugriffe. Das Thema Sicherheit muss hier natürlich ganz hoch gehalten werden.

Vielleicht kann mir jemand ein paar Tipps geben und meine Gedanken in die richtige Richtung schubsen. Momentan sehe ich glaube ich den Wald vor lauter Bäumen nicht.

Gerade fällt mir ein, ein Reverse Proxy bei einem externen Hoster wäre ja auch eine Option, oder?

Vielen Dank schon einmal für eure Hilfe,

Gruß

Joe

Hallo zusammen,

ich hab mal eine Visio Zeichnung gemacht für unser Netzwerk. Ich hoffe ich hab alles wichtige mit drin. Ansonsten einfach fragen...  ;D

Gruß

Joe