Messages

Moin,
also ich nutze OPNsense auf einer uralten Atom D525-Hardware.
Aktiviert sind FW, Proxy, DNS-Blacklist, Netflow
Ich habe eine 100/40-Leitung und das kommt auch bei meinen Endgeräten an. Ich hatte das Teil mal an einer 250/50-Leitung und auch da gab es keine Probleme die Leistung in Netzt zu bringen.

Ich würde systematisch Stück für Stück vorgehen.
Also Config-Sichern und optimalerweise mit einer Neuinstallation der OPNsense anfangen. Erstmal Basic-Einrichtung mit minimalen Regelset und dann langsam herantasten, wo genau das Problem liegt.
BTW: Evtl. testweise mal einen Switch zwischen Bridge-Modem und WAN-Schnittstelle der APU4 hängen. Nicht, dass es hier ein Problem in der Netzwerkkommunikation APU/Bridge-Modem gibt.

Gruß
Dirk

Moin,
im Screenshot 3 vom TP-Link (SSID) musst Du VLAN aktivieren und auf das Wifi NW auf das VLAN20 taggen.
Ich hatte den TP-Link 901 früher auch mal. Funktioniert ganz fluffig das Teil, hat halt leider nur 2,5 Ghz Wifi.

Gruß
Dirk

Kommt halt darauf an.  ;)
In einem überschaubaren/privaten Netzwerk macht ein Proxy sicherlich keinen Sinn mehr.
In einem Firmennetzwerk mit mehreren 1000 Mitarbeitern aber durchaus. Mein AG hat z.B. gerade auf einen neuen Proxy umgestellt. Und klar, dass auf dem Proxy auch SSL-Inspection läuft. Der Proxy-Anbieter übernimmt auch die gesamte Betreuung der Filter- und AV-Lösung mit.

Bezüglich WLAN-AP: Wie siehts da mit Wifi 6 aus? Ich hätte schon das eine oder andere Endgerät mit entsprechender Unterstützung, Ubiquiti hat da ja noch nichts im Angebot soweit ich weiss. Gibt's da schon was bezahlbares auf dem Markt?

Hab noch ca. 4 Wochen Geduld.  ;)
Die Unifi AP mit Wifi6 sollen im Dezember kommen:
https://eu.store.ui.com/collections/unifi-network-access-points/products/unifi-ap-6-lite

@kj42m
Ich halte mich für mein Heimnetzwerk schlicht an das KISS-Prinzip. Keep it simple, stupid.
Und damit fahre ich eigentlich ganz gut.
Ähnlich wie micneu habe ich nur 2 Netze bei mir zu Hause. Mein Heimnetz (LAN/WLAN) und ein Gäste-WLAN.
Dafür ist dann der Internetzugriff meiner Geräte aus meinem Heimnetz recht streng reglementiert.
Dafür habe ich verschiedene Regelgruppen für die unterschiedlichen Geräte angelegt (z.B. Laptop, Tablet, Smartphone, usw.). D.H. wenn z.B. meine Frau ein neues Smartphone bekommt und Sie sich in unser Heim-WLAN einloggt, hat Sie erstmal kein Internetzugriff. Ich muss dem neuen Gerät erstmal eine Feste-IP-Lease zuweisen und diese IP/Device in die entsprechenden Regelgruppen auf der OPNsense aufnehmen. Erst dann kann das Smartphone per WLAN ins Internet oder z.B. WhatsApp nutzen.
Der Vorteil daran ist m.E. dass die Geräte untereinander sehr gut vernetzt sind, da Sie sich alle im gleichen Netz/IP-Bereich befinden. So gibt es z.B. keine Probleme mit dem Streamen vom Smartphone auf den Smart-TV.

1. Virtualisierung der FW
Kann man Alles machen. Und in einem Unternehmen mit entsprechender Ausfallsicherheit/Redundanz inzwischen durchaus häufig anzutreffen. Aber immer im Auge behalten, dass man zu Hause zumeist keine redundanten Systeme einsetzt. Wenn dann der VMHost ausfällt, geht gar nix mehr im Heimnetz.
Gut, mit 21 und ohne Familie mag es egal sein, aber was glaubst Du, was in vielen Familien los ist, wenn z.B. am Wochenende das Internet ausfällt?  ;)
Ich würde daher lieber auf eine eigene HW für die Firewall setzen.

2. WLAN-AP
Grundsätzlich sind AP von Ubiquiti eine gute Wahl. Habe ich selbst schon genutzt und Sie auch Bekannten empfohlen Aber, wenn Du mehrere AP nutzen willst benötigst Du einen Unifi-Controller um alle Features nutzen zu können (z.B. Handover). Den Controller kannst Du fertig kaufen, die Software herunter laden und als VM oder auf einen RasPI laufen lassen.
Die WLAN-AP von Mikrotik haben einen solchen Controller bereits integriert. Ist halt wieder eine mögl. Problemquelle weniger. Allerdings ist die Lernkurve bei Mikrotik deutlich steiler. Dafür kannst Du mit den Mikrotik wirklich jedes Detail konfigurieren.

Hi,
use the vga image to install opnsense.

best regards
Dirk

Understand, but this way I would use 2 devices instead of one... seems not the best ecologic trick.

I've use an external ap that need a 12V power supply like my OPNsense fw hw. So my fw and my ap both connected to the same power supply. So it takes ~15W for FW and perfect working wifi.

Zum Thema Securepoint HW.
Securepoint selbst stellt ja keine HW her, sondern nutzt OEM-Produkte. Früher wurden Barebones von Lexcom genutzt. Inzwischen nutzt Securepoint für den BlackDwarf bzw. die 100/200 Serie Barebones von AAEON (FWS-225x). Da es sich dabei prinzipiell um 08/15 x86 Hardware handelt, lässt sich problemlos auch eine beliebige FW-Distribution installieren. Ich habe hier diverse SP-Hardware mit OPNsense am laufen.
Es lassen sich auch FW von Sophos sowie Gateprotect mit OPNsense bestücken. Allerdings sind m.E. nach die Preise für gebrauchte Sophos Hardware höher als bei Securepoint.  :)
Und wie bereits geschrieben, so eine APU4D4 gibt es für ~ 200€

Ich habe hier eine FritzBox, die wir kostenlos von unserem Kabelnetzbetreiber zur Verfügung gestellt bekommen haben. Das Ding ist locked, wird also durch den Netzbetreiber mit FW-Updates versorgt, was sogar mal am Sonntag Nachmittag passiert ist. Dachte erst, Holy Shit, jetzt ist die OPNsense abgeschmiert, weil das I-Net plötzlich weg war. War aber 'nur' das FW-Update! Kann man so etwas nicht nachts einspielen!  >:(
Egal, Jeder wie er mag und Du willst halt partout keine Provider-HW.

Die Anschaffung eines Samsung Smart-TV war auch die Initialzündung für mich, sich mit einer eigenen FW zu Hause zu beschäftigen. Das Teil ist wirklich so etwas von gesprächig... Aber dank OPNsense kein Problem. Hin und wieder hakt es mal mit den Mediatheken, insbesondere bei Sat.1/Pro7, da es hier immer wieder Probleme mit dem Werbeblockern gibt.

[G3]

@inkasso
Ich habe jetzt nicht alle Beiträge en Detail gelesen, möchte aber meine Sichtweise als Denkanstoß beitragen.

Ich würde mir keine "Rechenleistung" langfristig auf Vorrat kaufen! Nur weil es in Deinem Anschlussbereich möglicherweise mal Gigabit geben könnte und ich z.B. OpenVPN machen will, würde ich mir jetzt noch keine HW anschaffen, die dass dann auch in 2 Jahren (noch) schafft. In den 2 Jahren gibt es dann wieder ganz andere Hardware für gas Gleiche oder sogar weniger Geld!
Kauf Dir jetzt eine vernünftige Einstiegslösung und komm erst einmal an und lerne die Möglichkeiten von OPNsense kennen. Die bereits genannten APU2D4 bekommst Du komplett für ~ 200€ neu.
Wenn Du etwas Zeit hast, kannst Du auch bei ebay nach einem Securepoint BlackDwarf G3 oder einer 100/200G3 schauen. Gebraucht bekommt man die Securepoint mit etwas Glück für nen schmalen Taler (~100€). Die sind mit dem Atom E38x5 und 4GB RAM auch ein guter Einstieg.
Achtung: Von den häufig angebotenen BlackDwarfG2 bzw. 100/200G2 würde ich inzwischen die Finger lassen!
Ach ja, Überleg genau, wie viele LAN Ports Du wirklich benötigst (>4 LAN Porst wird es i.d.R. immer teuer). OPNsense kommt prima mit VLAN zurecht, so dass man problemlos mehrere Netzwerksegmente per VLAN auf einen Port laufen lassen kann. Gerade bei WLAN absolut üblich, dass man das interne Netz und das Gäste-WLAN über einen Port und VLAN laufen lässt.

Du wirst ja wahrscheinlich von der Telekom einen Router gestellt bekommen (allein schon wegen Telefonie). Sollte das eine AVM FritzBox sein, spricht m.E. überhaupt nichts dagegen diese weiter zu nutzen. Machen hier neben mir einige so. FritzBox für Telefonie und die OPNsense läuft als Exposed Host  an der FritzBox und kümmert sich um Alles andere. Hat auch den charmanten Vorteil, dass man zur not mal eben über die Fritte ins Internet gehen kann, wenn es mit der OPNsense mal hakt.  ;)
EDIT: Gauss23 hat das Thema ja bereits ausführlich dargelegt.

Zum WLAN ist ja bereits gesagt worden, lass von FW-internen WLAN-Lösungen die Finger!!! Im SOHO Umfeld habe ich sehr gute Erfahrungen mit WLAN-AP (Access Points) von Ubiquiti gemacht. Sehr einfach zu konfigurieren und laufen sehr stabil. Gerade Dinge wie Band Steering und WLAN-Handover möchte man nicht mehr missen, wenn man das mal genutzt hat. Ist schon genial, mit seinem Tablet vom Keller in den Garten zu laufen, ohne dass die Videokonferenz abbricht.
Sogar noch etwas günstiger sind AP von Mikrotik. Aber leider ist die Lernkurve bei Mikrotik recht steil! Bei Mikrotik lässt sich jede Kleinigkeit konfigurieren. Nur leider muss eben auch jede Kleinigkeit konfiguriert werden.  ;D Da kommt schnell Frust auf.

Und dann noch etwas Grundsätzliches zum Thema FW. Nicht Alles was geht, macht auch in jedem Umfeld wirklich Sinn! Stell Dir immer die Frage, was Du überhaupt erreichen kannst (techn. Wissen) und wirklich erreichen willst. Ein Voll-Ausgerüstete FW mit allen möglichen Optionen ist ein fulltime Job! Wir haben in der Fa. 2 Kollegen, die sich ausschließlich um FW/Security kümmern. Das braucht man nicht im SOHO. Zumal ich gesehen habe, dass Du nach Außen hin keine Dienste anbieten willst. Und bisher scheinst Du ja mit der Lösung "Brain" auch nicht schlecht gefahren zu sein.  ;) Eine FW ist immer nur ein Baustein eines ganzen Sicherheitskonzepts. Und ich hatte etwas gelesen von Windows7 und Office 2000. :o Was nutzt Dir die FW, wenn Du Dich mit einem inzwischen unsupportetem BS und einem uralten Office dann noch per VPN in ein Firmennetz einwählst!? Sorry, aber da fehlt mir dann jegliches Sicherheitsbewustsein sowohl Deines AG als auch von Dir.

Gruß
Dirk

@W0nderW0lf
Ich würde mal auf suricata und sensei tippen!
Ehrlicherweise sehe ich in einem 08/15 Heimnetz nicht so recht den Nutzen von IDS/IPS (suricata) oder sensei. In meinem Heimnetz weiß ich ja, welche Geräte/User ich im Netzwerk habe.
In einem Unternehmen mit 100ten Usern und Devices sieht es natürlich Anders aus.

Ansonsten sehe ich nix, was Deine HW ans Limit bringen sollte. Ich lasse OPNsense auf einem alten D525 Atom laufen und komme auch mit aktivem Proxy auf die 100Mbit WAN Speed meines Internetanbieters.

@micneu
Hast Du ein Trauma seit der Nutzung von Realtek NIC!?  ;)
Ich habe seit Jahren unterschiedliche OPNsense-Installationen mit Realtek HW vollkommen problemlos genutzt. Laufen absolut stabil. Hatte auch noch nie ein Flaschenhals durch die Realtek NIC.

Hi,
since OPNsense 20.7 there is no support for x86-cpu anymore (32bit). Only x64 cpu's are supported.
So don't waste your time!

[neuer]

...nicht in einen accesspoint investieren.

Hmm, ein neuer Mikrotik AP kostet ~30€ und kann das WLAN auch zeitgesteuert deaktivieren.
Da wäre mir ehrlicherweise die Zeit zu schade um eine Lösung zu basteln, zumal die Qualität des WLAN mit einem AP ohnehin besser ist.
AP/Router mit dd-wrt drauf können das auch!
Ach ja, und richtig aus, sind die AP natürlich nicht. Die Stromersparnis hält sich also in Grenzen.

PS: Warum unbedingt das WLAN abschalten. Reicht nicht auch ein zeitgesteuertes Regelwerk?

Hmm,
ich bin noch auf OPNsense 20.1, aber sollte Unbound Plus nicht bei 20.7 fester Bestandteil von OPNsense werden!?
Schaut mal hier rein: https://forum.opnsense.org/index.php?topic=18425.msg83724#msg83724

Gruß
Dirk

@superwinni
Sonderlich konstruktiv bzw. hilfreich ist Dein Beitrag nicht gerade!  ::)
Nicht jeder Nutzer ist ein Programmierer und kann mal eben selbst coden. Aber man kann z.B. durch eine regelmäßige Spende auch aktiv zur Weiterentwicklung dieses tollen Projektes beitragen. So wie diverse 'rein OPNsense Nutzer' das hoffentlich tun (z.B. ich)!
Zunächst mal sollte man auch jede Kritik erstmal als Ansporn nehmen das Projekt besser zu machen und nicht jeden Kritiker vergraulen zu wollen...

@flexibug
RTFM -> Plugins werden durch das einspielen der Config nicht automatisch wieder installiert. Ich bei einer Neuinstallation bisher immer wie folgt vorgegangen.
1. OPNsense neu installieren
2. OPNsense Updates installieren
3. benötigte Plugins aktivieren
4. Config wieder einspielen

Hat bisher immer problemlos funktioniert. Ich habe allerdings auch nur wenige Plugins aktiv.

Ok,
that 5Ghz ist working is new to me. My last experiences with usb wifi an OPNsense are more than 2 years ago!
When it's working for your needs it is ok. I've used usb wifi for about 2 years on my old OPNsense box. Since 2018 i used an ap. I'll never change back to usb wifi.