Messages

Hey Alex,

Keine Ursache :-)

Ja, ich bin mittlerweile weiter gekommen.

Derzeit hab ich OPNsense 18.1.2_2-amd64 installiert.
BIOS weiss ich jetzt auch nicht mehr auswendig - aber auch das was empfohlen wird.

Ich war nur der Meinung dass das System generell "besser" läuft.

Wobei ich ehrlicherweise sagen muss dass die Probleme Tatsächlich von dem verdammten USB-Seriell Adapter in Kombination mit Kabeln kamen.
Nur wer denkt dass zuerst alles ok ist und dann keine Eingaben mehr angenommen werden kann nur annähernd mit Adapter/Kabel zu tun haben...

Jetzt habe ich jedenfall eine Kombination die läuft und OPNSense ist im Netzwerk meiner Mum seit 24 Tagen im Einsatz. Noch nicht viel was konfiguriert, aber es läuft mal.


Greets,
Michi

Hey guys,

I' now here and new to the APU2 board.

I'm just wondering as you guys are running BIOS versions such as 4.5/4.6
The PCEngines site states that for APU2 the legacy BIOS should be used.

Is there any specific reason running the mainline version?

Thanks.
Greets
Michi

Anyone?

Hi Alex

Auch ich gehe gerade den Leidensweg mit dem APU2C4.
Vielleicht hast du für das eine oder andere ja einen Tipp für mich - denn ich bin echt am verzweifeln mit dem Gerät.

Alleine das Updaten der Firmware war ja schon mal so eine Sache. Erst vom dritten Image konnte ich schlussendlich booten. Jedenfalls habe ich es geschafft die Firmware auf 4.0.12 upzudaten.

Dann habe ich es geschafft OPNsense zu installieren. nach dem Reboot jedoch die nächsten Überraschungen. Tastaturbefehle werden nicht bzw. nur teilweise angenommen.
Ich befinde mich im Menü und will das Interface Assignment machen - wähle "1" aus um die Interfaces festzulegen. Auf einmal steht "Login:" da. Bei der Passworteingabe springt das Ding automatisch weiter - so als wenn ich Enter gedrückt hätte.
Bis zur Installation wurde korrekt auf Tastaturbefehle reagiert. Jetzt kann ich nicht mal mehr das Boot Device auswählen.

Was kann ich da dagegen tun - das kanns ja nicht sein :-(
Ich habe alles in allem 3 Keyboards probiert.
* Logitech USB Funk Keyboard direkt an der APU2C4 angeschlossen und auch am PC auf dem die serielle Konsole läuft
* PS2 Keyboard mit Adapter auf USB - ebenfalls auf APU und dem Windows Rechner wo die Konsole läuft probiert.
* Keyboard meines Mac Mini - wenn die Konsole auf dem Mac läuft - da ging jedoch gar nichts

Generell verhält sich das Board sehr unresponsive. Ausgaben in der Seriellen Konsole erscheinen überlagert, aus dem Memtest der ständig automatisch startet - sofern kein boot Device verfügbar ist, kommt man nicht raus.


Was den RS232 Adapter angeht, so habe ich bisher nur mit zwei (gleichen) no-Name USB Adaptern testen können.
Ich habe heute noch einen Digitus USB-RS232 Adapter aufgetrieben und drei andere Nullmodem Kabel.

Vielleicht bringt das Besserung.



Vielleicht hast du wegen dem Keyboard Response und dem automatischen Starten von Memtest noch eine Idee.
hast du den Boad auf die Main Line oder ide Legacy Firmware upgedatet?


Danke
LG,
Michi

Hey guys,

I' now here and new to the APU2 board.

I'm just wondering as you guys are running BIOS versions such as 4.5/4.6
The PCEngines site states that for APU2 the legacy BIOS should be used.

Is there any specific reason running the mainline version?

Thanks.
Greets
Michi

I'm also interested in this :-)

Is there anybody installing OPNSense over PXE?
I'd like to use my Synology NAS as a TFTP Server as the NAS also provides PXE support.

Thanks

Evtl. ist ein 2 DHCP-Server im Netzt aktiv?

Nein, sonst gibt es in dem Netzwerk keinen DHCP Server. Nur der am IPCop - und da ich diese Hardware aber für OPNsense verwendet habe, war der DHCP des IPCop ja aus in dem Moment.
Ich habe wirklich keine Ahnung was diese Probleme verursacht hat.

Anfänglich sieht es gut aus, aber dann bekommen einzelne Clients keine Lease und verlieren die Verbindung obwohl sie eine Lease hatten usw usw.

PS: Grundsätzlich würde ich mich langsam nach einer aktuelleren Hardware umsehen (64 Bit!). Damit kannst Du dann auch die OPNsense parallel einrichten ohne, dass Du Zeitdruck hast.

Absolut.
Das habe ich ohnehin vor. Wollte mich nur vorab mal mit OPNsense vertraut machen.

Wenn ich das gleiche Problem hätte wäre mein nächstes Vorgehen:

- ipconfig /release auf Windows PCs
- auf fixe IP umstellen

Wenn fixe IP funktioniert Problem klar identifiziert, wenn nicht weiter suchen (DNS, tcpdump).
Eventuell hilft eine release, bei Mac kenne ich mich leider nicht aus.

Fixe IP habe ich nicht probiert.
IPConfig /release hatte ich probiert, aber da hatte der Windows Rechner schon eine automatisch zugewiesene IP. Da gab es dann so gesehen nichts mehr zu releasen.

Finde es aber generell verwunderlicht, dass Clients die mit der anderen Firewall eine IP bekommen, von OPNsense keine bekommen sollen.
Bei meinem zweiten Test was der Windows Rechner während dem Tausch der Firewall ausgeschalten - also kann ich es ausschließen, dass der noch die alte IP vom anderen DHCP Server hatte.

OPNsense hat auch der Dreambox, die eine alte IP hatte, keine neue zugewiesen. Selbst nicht als ich dort das LAN Kabel aus und wieder angesteckt habe....
Das war der Eintrag im DNS LOG von wegen "DHCP Request from.... - Unknown Lease"

Hi,

Jein, teilweise habe ich die Clients neu gestartet, teilweise nicht.

Im log des DHCP Servers fand ich sowas wie "DHCP request from 192.168.1.5 - unknown lease"
die IP hatte das Gerät vorher und sie lag außerhalb des Bereichs des DHCP servers von OPNsense.

Aber das scheint auch nicht das Problem zu sein.


Der PC von meiner Mutter zum Beispiel, der zum Zeitpunkt des Tauschs ausgeschalten war, bekommt von OPNsense einfach keine IP zugewiesen.
Ich hatte OPNsense dann mal über Nacht laufen gelassen. In der Früh war mein NAS nicht mehr erreichbar und auch der Mac von dem aus ich am Abend zuvor OPNsense ganz normal administriert habe.
Auch einer der Lautsprecher verliert ständig seine Verbindung/Lease.
Und es fehlen ständig Geräte in der Leaseliste, die aber definitiv online sind....

Und das kann ich mir nicht erklären. Dazu fand ich weder im DHCP Log etwas, noch war der Speicher voll.
Ganz im Gegenteil. Es waren mehr als 50% Speicher frei.

Klar, meine Hardware ist sicher am unteren Limit, aber dass es dann solche Zicken macht ist mir nicht erklärlich.


Einstweilen habe ich den Versuch auf OPNsene umzusteigen aufgegeben - zumindest auf dieser Hardware.

Unter IPCop läuft das Ding einwandfrei. Selbe Hardware nur eine andere CF Karte.

Ich habe zwischendurch auch die CPU und RAM Auslastung beobachtet.
Die waren nie über 50%

Laut den Hardware Requirements sollte meine Config auch funktionieren.
Schon klar - sicher nicht mit Proxy, Intrusion detection usw - das ist klar.

Aber ich hatte keinen dieser Dienste Aktiviert und ja auch extra das Nano Image installiert.


Danke
LG

Hey there,

Ich habe heute versucht meine Firewall von IPCop auf OPNsense umzustellen.  ;)

Dazu habe ich eine 4GB CF Karte mit dem für meinen Igel 564 LX Thin Client (1GHz C7, 512MB RAM)vorbereitet.
Zuerst unter MacOS via Terminal. Die so erstelle CF Karte hat leider nicht funktioniert.

Dann also unter WIndows 10 mit Win32 Disk Imager das OPNsense nano image aufgespielt.

• Von der CF Karte gebootet - sieht gut aus
• Dann blieb beim Interface Assignment der Rechner komplett hängen
• Hard Reset
• Seither fehlten in der Konsole immer die aktuellsten Zeilen - und ich konnte nicht lesen was die letzte Ausgabe war
• Also übers Webinterface eingeloggt
• Sieht alles gut aus - aber dann ging es los
• Plötzlich war der Rechner von dem aus ich die OPNsense Box administrierte auf einmal offline - Rechner Neustart, manuelles IP Setting, nichts half - irgendwann war er dann wieder online
• Einer meiner Online Lautsprecher verlor ständig die Verbindung (oder die Lease)
• Mein NAS war, nachdem ich eine feste IP im DHCP Server eingestellt habe überhaupt nicht mehr zu erreichen
• Ein andere Rechner bekam auch keine IP zugewiesen
• In der Leaseliste fehlern Geräte die aber definitiv derzeit eine Lease haben, online sind und Traffic verursachen -
  in der Traffic Übersicht konnte ich diese Geräte sehen
• DCHP Dienst mehrmals neu gestarten auf der OPNsense Box - keine Besserung
• Geschweige denn interne Namensauflösung zwischen den Geräten zum laufen zu bekommen - keine Chance! Ich muss auch dazusagen, dass ich die Kombination von Resolver, Forwarder, OpenDNS, dnsmasq DNS und Unbound DNS alles andere als ideal finde - speziell als Neuling auf der Plattform :-(

Nach alles in allem drei Stunden habe ich wieder meine IPCop CF Karte eingebaut und das Ding wieder eingeschalten - Läuft.

Ist die Hardware für OPNsense einfach zu schwach, oder was kann der Grund sein dass ich so irre Probleme hatte heute? Kanns die CF Karte sein? Aber dann würde ja gar nichts gehen oder?  :o

Bin euch sehr dankbar für Tipps, denn ich würde schon gerne umsteigen. IPCop ist in die Jahre gekommen, wird nicht mehr weiterentwickelt und neues macht ja auch Spass - solange es funktioniert ;-)

Tausend Dank
Michi

Hey there,

Would you rather buy this APU2C2 (AMD Serie Embedded G GX-412TC, 1 GHz Quad-Jaguar with AES-NI support)

Or get this appliance and load it with a Sandy/Ivy Bridge CPU (most of them support AES-NI) & RAM.
I uploaded an English version of the product description here.
One obvious advantage of this are the 6 LAN ports which could give additional opportunities.


Which one would you prefer and why?

Thanks
Michael

Why dont you have a look at intel NUCs,they have aes-ni and other features. I am using an Intel NUC5PPYH (quad core Pentium based) and running OPNsense in a Proxmox VM along with 2 other VMs (a NAS and Zabbix server), the power utilisation is very less (less than 10watts/hour) and performance is quite good. It doesn't have multiple NICs so you will need to rely on USB NICs, as the NUC comes with USB3 you can easily plugin a USB3 gigabit NIC.

Hi Thomas,

Running a firewall as a VM somewhat defeats the purpose of the firewall in my opinion.
I'm planning to use dedicated hardware for it :-)

I personally haven't used any USB NICs thus I can only rely on what I read online where PCI/PCIe NICS seem to be the much preferred option.

Ja, ich will Zuhause Miracast, Mediatheken und Youtube auf dem Samsung TV nutzen. Ich will aber nicht, dass Samsung jederzeit nachvollziehen kann welche Sendung ich grad schaue!

Das ist auf jeden Fall ein wichtiger Punkt. Daran habe ich so nicht wirklich gedacht. Hab selbst keinen Smart TV aber das betrifft ja auch andere Geräte.

Bridging ist hier das Zauberwort  ;)
Ich habe bei meiner OPNsense das LAN und das interne WLAN gebridget. Dann klappt das auch mit dem Zugriff der Geräte untereinander problemlos. Ist Übrigens bei jedem 08/15 Router auch so.
Das Gäste-WLAN darf dann nur ins Internet.

Bridging ist mir neu. Danke für den Input - da werde ich mich mal einlesen.
Hebelt das bridging nicht die physikalische Trennung zweier Netze aus? Kann ich dann icht gleich alles in ein Netz packen?

Danke
LG

Ich habe eine Hardware mit drei Netzwerkschnittstellen, WAN, LAN, WLAN. Ich überlege momentan tatsächlich, ob sich die Anschaffung einer Hardware mit mindestens 4 oder besser 5 NICs lohnt, da ich ein NAS habe welches ich gerne auch physikalisch getrennt zum Rest hätte. Allerdings ist es schon richtig, dass VLAN erprobt, sicher und praktikabel sind. Wie schon mal irgendwo hier angemerkt wurde, spielt auch ein gewisser Grad Paranoia mit.

Genau das ist die Frage - wie viel Paranoia ist im Privatumfeld "angebracht"?
Ich kenne vielleicht 1-2 Leute persönlich die eine Lösung wie OPNsense & Co daheim stehen haben. Der Rest verwendet nur den Router vom ISP - das wars.

Dass deren WLAN eine Katastrophe ist ist natürlich die andere Sache. Aber ansonsten scheinen mir die Leute ja nicht wirklich gröbere Probleme zu haben was eine derart Strickte Trennung der Netze erfordern würde.

Wobei das sicher auch andere Anforderungen/Ansprüche herrschen-  das sollte man natürlich nicht außer acht lassen.

Ich habe z.B. Sonos Boxen, mit denen ich Spotifiy etc. in der Wohnung streame. Die Boxen und das Steuergerät dazu sind in meinem WLAN Netzwerk, da gehören sie meiner Meinung nach auch hin. Schließlich will man ja meistens von seinen Mobilgeräten streamen. ich habe keine speziellen Ports dafür geöffnet (nur die Standardports für das Netzwerk, HTTP(S), etc.) und alles läuft einwandfrei.

Warum soll da irgendwas zwischen irgendwelchen Netzen kommunizieren? Vielleicht kannst Du das noch etwas detaillierter erklären?

Falls Du damit meinst, dass Du z.B. ein Setup hast, in dem Du einen festen Rechner im LAN hast und dann deine Streaming Geräte im WLAN erreichen möchtest, dann reicht es ja, dafür eine einfache Firewall Regel zu erstellen.

Wie gesagt, das Problem ist mir nicht ganz klar.

Gruß

So wie du sagst - zwischen den WLAN Geräten klappt ja alles. Sprich die Spotify App am iPhone sieht die Chromecasts die auch im WLAN hängen. Jedoch der Mac oder Windowsstandrechner der über Kabel am LAN hängt, sieht die Airplay/Spotify Boxen, den WLAN Drucker mit AirPrint etc. nicht.
Denn es geht ja nicht grundsätzlich um die Erreichbarkeit eines WLAN Clients vom LAN aus - die ist ja gegeben. Es geht um die Discovery Funktion dieser Dienste - die been auf Broadcasts basiert.

Und da hilft es meiner Erfahrung nach auch nicht eine Firewallregel zu erstellen - weil es sich dabei eben um Broadcast Dienste handelt - die nicht über Netzgrenzen hinweg kommunizieren.

ZyXel VMG-1312-B30A
APU2C4 für OPNsense
UniFi Switch 8
UniFi AP AC Pro

Uhhh - sehr gut. Bis auf die Zyxel Ziemlich exakt das Setup das mir vorschwebt!
Bitte berichten wies dir dann damit geht :-)

Dazu kommt noch ein Branch Office mit einer Ubiquiti USG die auch einen IPSec Tunnel zu uns bekommt
Als nächster Schritt nach der Migration, die zweite ASG 220 als Failover einrichten.

Wie schlägt sich denn das USG im Business Einsatz?
Ist ja doch eher ein Consumer Produkt.


LG,
Michi

You can buy the APU2C4 as a Bundle for a 19" rack:

That's probably exactly what I was looking for!

If you need an HA solution (based on 2 APU2C4 into one 19" case) you get it also here:

I think that a high availability system is kinda overkill for my home setup.
But good to know :-)

If the 3 NIC's is ok for you the APU-Boards by PCengines are the best solution for the money.

Should be plenty.
If I go for a VLAN setup actually two NICs could be enough.



Thanks a lot for your help Dirk!

why do you look at the APU3A!? Do you need more than 1 celular card into your firewall?
I think that an APU2C4 is the better choice for most SOHO installations.

You're absolutely right! 
I'm not planning to use any cellular connection on the appliance since it's located in the basement anyways.

If you don't want to use featueres like IDS/IPS or VPN then OPNsense work on rather old HW fine.

IPS/IDS are probably way overkill for a home setup I guess.

I might setup VPN to connect to my home network when I'm on the road.
But that'd only be one user.

And maybe - but only maybe setup a site to site VPN between my mums house and mine.

I've tested the speed into our company and the Dwarf ist good enough for > 50Mbit. More than enough for my 8Mbit DSL at home!

I currently got a 40MBit connection here. Which seems to work ok with my current Igel thin client. It just struggles with the heat in summer although being in the basement. Probably that's why a NIC died last week.

As I'm planning to do new cabling around the house I'll most likely also get a 19 inch rack and thus I was looking into 19" solutions to replace my current one ;-)

If not, either system will do fine, but keep in mind that the SuperMicro option is EOL.

Good to know - thanks.
Do you know of any predecessor to the SuperMicro one in the same price range?
I couldn't find anything online.