Messages

Also Router beim aktuellen Fall ein TP-Link Omada Router eingesetzt.
.......
Ist die OPNsense für einen quasi Firewall Anfänger überhaupt das Richtige?

Frage 1: macht keine Sinn, da gebe ich pmhausen vollkommen Recht, da du damit schon einen Router hast.
Du baust dir damit mehr Problem rein als du hoffst zu lösen.
Daher OMADA-Router oder OPNSense aber nicht beides.

Frage 2: die Frage kannst du dir selber beantworten.
OPNSense ist ein professionelle Firewall, die als Business-Edition mit Hardware verkauft wird und in Unternehmen eingesetzt wird.
Entweder du nimmst dir die Zeit, dich darin einzuarbeiten, viel zu lesen und zu testen oder lasse es besser direkt bleiben.
Ich kann aus eigener Erfahrung sagen, die Lernkurve ist verdammt steil, mir hat es Spass gemacht. Vor etwas über einem Jahr kannte ich OPNSense nicht mal.
Allerdings komme ich aus der IT und hab im letzten Job schon viel Netzwerk/Firewall gemacht und war daher nicht unbedarft in dem Thema.

Aber wenn ich keine DMZ habe und einen extra Proxmox Host, dann fülle ich mich dabei irgendwie nicht wohl :-)

Da bin ich bei dir, ich fühle mich da überhaupt nicht wohl, eine Firewall als VM auf einem Virtualisierungshost zu betreiben, gerade für Anfänger nicht. Ich lese doch jeden Tag in einem anderen Forum, was die Leute sich da zusammen konfigurieren und dann nicht mehr weiter kommen - weil die nach 20min YT-Video glauben, eine OPNSense aufsetzen zu können, aber nicht mal IPv4 verstanden haben ( nicht böse gemeint )

Könnte dran liegen, das ich einige Zeit bei einen IT-Dienstleister gearbeitet habe und wir einigen Kunden aus der Sch.... geholfen haben, der Netzwerke durch Angreifer lahm gelegt wurden. Oft auch durch mangelndes KnowHow bei der Firewall-Einrichtung.

Mein Vorschlag - eigene Hardware für die OPNSense und zum lernen, spielen, üben diese hinter der aktuellen Router ( Fritzbox etc. ) hängen, dann kann nichts passieren. Selbst wenn das Teil man richtig kaputt konfiguriert wird, notfalls eben vom USB-Stick neu installieren und letztes laufendes Backup einspielen, das dauert auch keine 20min.
Ich hab damals genauso mit OPNSense angefangen und viel ausprobiert, gelesen und gelernt

Was stört dich an der FritzBox oder was erhoffst du an "mehr" bei eine Software/Hardware-PBX-Lösung ?

Für den Hausgebrauch ist die FritzBox für mich immer noch der beste All-In-One Router wenn man keine eigene Firewall etc. betreiben will.
Bei mir läuft die Fritzbox am KabelAnschluss im BridgeModus und stellt eben als Modem das Intern für die OPNsense bereit und ist bei mir VoIP-Telefonanlage, DECT-Basis, Anrufbeantworter, zentrales Telefonbuch, Werbeanrufblocker und Fax-Gerät ( falls man das noch braucht ) in einem Gerät., weil die das 1a kann und sowieso läuft.

Ich hab mal testweise eine 3CX aufgebaut, aber wozu brauch ich zuhause die tausend Einstellmöglichkeiten, die ich eh nicht nutze, das ist für Firmen interessant. Wenn ich dann aktuell lese, das der 3CX-Client kompromittiert wurde und Backdoors erstellt, verzichte ich auf weitere Experimente damit.

Bei einer Firma könnte ich noch verstehen, eine eigene Telefonanlage aufzubauen, dann würde ich aber auch eine eigenen Hardware-Appliance dafür vorziehen und die nicht als VM etc. laufen zu lassen. Alleine schon weil man die Anlage dann komplett getrennt von restlichen Netzwerk hat.

Das speedtest paket hab ich nicht installiert und speedtest.conf wie von Tuxtom007 beschrieben gibt es auch nicht, war aber bisher auch nie notwendig.

Das ist auch nicht unbedingt notwendig, da die Konfig für den Speedtest, den mal über die WebGUI aktiviert direkt in der Telegraf.conf eingetragen wird.
Da könnte man das auch reinpacken, aber so ist sauberer und überlegt auch Updates :-)

Evtl. muss du auf der Shell mal "speedtest" aufrufen und die License-Bestimmungen bestätigen. damit hatte ich einige Zeit Probleme.


Ansonsten hier mal meine Konfig, die ist frei nach der Anleitung:  https://github.com/pedrolsazevedo/TICK-Speedtest-Grafana

mache vorher ein "speedtest -L" um die relevanten Testserver aufzulisten, die ID trägst dann als Parameter "-s xxxxx" ein um immer mit dem selben Server zu testen, sonst bringt das ja nicht viel.

/usr/local/etc/telegraf.d/speedtest.conf

Code Select Expand


[[inputs.exec]]
commands = ["/usr/local/bin/speedtest -s 17392 --accept-license -f json-pretty"]
name_override = "Speedtest"
timeout = "5m"
interval = "10m"
data_format = "json"
json_string_fields = [
  "host",
  "interface_externalIp",
  "server_name",
  "server_id",
  "server_location",
  "server_host",
  "server_ip",
  "result_url"
  ]


Der Rest ist dan Datentransfer aus Telegraf in Influx und das Dashboard aus dem Link in Grafana.

Ich werde mal ein Auge drauf haben, hab den Updtae für heute nachmittag geplant nach HomeOffice-Feierabend.

Wie hast du den Speedtest eingerichtet - über die WebGUI oder direkt über die Telegraf-Config. Ich nutze letzteres und schreibe die Daten dann in meine InfluxDB rein für Grafana

EDIT:  ich hab gestern nachmittag den Update auf 23.1.5 gemacht und mein Speedtest läuft weiterhin problemlos.

Korrekt,

Services: Unbound DNS: Overrides
dort die Domain mit der lokalen IP hinterlegen und dann sollte es gehen.

Alternative wäre PiHole, den ich nutzen, benötigt aber dann einen eigenen Host oder VM, Unbound läuft mit auf der OPNSense, das macht die Einrichtig deutlich einfacher.

Soweit war ich auch schon. Da kommt nichts an.
Das komische ist, dass ich nicht mal das GAteway 192.168.5.1 anpingen kann.

Nutzt du Unbound auf der OPNSense ?
Hast du dem auch das neue Interface / VLAN bekannt gemacht, damit er auf Anfrage davon reagiert ?

Ein Firewall ist ja dazu da, die Zugriffe zwischen Netzwerk-Segmenten und / oder einzelnen Geräte untereinander zu regeln.

Du kannst dir Firewall-Regeln einrichten, die einen Zugriff von deinem PC aus VLAN-x  auf z.b. den Stromspeicher in VLAN-z einrichten und zwar nur in diese Richtung.
Klar geht das, ist alles eine Frage der Firewall-Regeln.

Kann mir nicht vorstellen, das ein APU-Board die Bandbreite verkraftet.
Ich habe folgendes Gerät von NRG-Systems im Einsatz:

Ich hab auch damals deswegen ein NRG-System den Vorzug gegeben, nutze nen Core-i5 der sich aber eher langweilt.  Aber lieber genug Reserven haben, als das Teil läuft ständig unter Volldampf

Ich auch ... gibt es hierzu etwas Neues?

Wenn dir hilft, es gibt eine Webseite, die dir die Config für eine Anzahl x an clients erstellt und direkt QR-Code dazu.

Hab den Link gerade aber nicht zu hand, kann ich zuhause raussuchen

Du kannst in Observium auch eine IP-Adresse eintragen oder dem System, auf dem das Observium läuft, einen statischen Hosts-Eintrag verpassen.

Letztes hab ich gemacht, das funktioniert

Magst du mir die OIDs davon geben? :)

Würde ich machen, wenn ich die hätte, da am einfachen mal im Netz suchen oder einen MIB-Browser auf die OPNSense loslassen

Ich lasse das ganze von OPNSense ( per Telegraf Plugin ) in die InfluxDB schreiben und Grafana holt sich das daraus und baut das Dashboard mit den Daten, hier das zugehörige Dashboard:
https://grafana.com/grafana/dashboards/13386-opnsense-firewall/

Observium ist noch einfacher, es braucht auf der OPNSense nur das Plugin "Net-SNMP" und in Observium wird nur noch der Client mit Hostnamen eingetragen, dann bau Observium sich die Graphen komplett selber nach wenigen Minuten.
Wie geschrieben, das funktioniert bei mir derzeit nicht, da die Namensauflösung des OPNSense-Hostnamens ständig andere IP's liefert ( für die diversen VLAN ) und da hat Observium ein Problem mit.

Monitoring heisst das Zauberwort.

z.b. mit Grafana oder Obserivum ( wobei letztes bei mir immer die wieder die OPNSense als Offline meldet, das scheint der SNMP nicht rund zu laufen ).

Ansonsten könnte man auf die schnelle z.b. aber auch ein "iostat 5" in eine Dateischreiben und hat dann alle 5 Sekunden einen Datenwert - kostet dann aber auch Systemresourcen

Wenn du unterschiedliche Geräte-Gruppen ( Kind, Eltern, usw. ) einrichten willst, ist das aufwendiger, da würde sich auch PiHole anbieten, der aber nicht auf der OPNSense läuft, sondern ein eigenen Rechner benötigt ( RaspberryPi reicht für zuhause locker aus )

AdGuard kann keine Gerätegruppen, da werden alle System gleich behandelt und eben alle Filterlisten angewendet - Vorteil weniger Aufwand, lässt sich recht leicht auf er OPNSense installieren und konfigurieren.
Für Unbound gilt das selbe, der kann auch keine Gerätegruppen ( soweit mir bekannt ).

Mein Tip, so habe ich es bei einem Bekannten auch gemacht:
- extra VLAN's + WLAN's für die Kinder und Gäste der Kinder und die haben entsprechende entsprechende Regeln auf den PiHole bekommen.
- die anderen VLAN's + WLAN's haben haben einen weiteren PiHole bekommen der dann "eltertaugliche" Filter hat.

Die PiHole laufen als Linux-Container auf einem Proxmox-server, kosten somit fast nichts an Resourcen