Messages

Hat sich erledigt ... offensichtlich wird das nur angewendet, wenn man einen Prefix-Filter setzt. Ich hatte ursprünglich vermutet, dass es auch ohne geht und für alle Prefixes gilt. Falsch gedacht. Läuft jetzt!

Ich stehe aktuell auf dem Schlauch und habe schon länger kein BGP mehr mit der OPNsense gemacht. Einfach Setup:

- zwei BGP Peers advertisen jeweils default-route
--> local-preference über Route-Map bevorzugt eine gelernte Route (funktioniert einwandfrei)

- ein /29 wird an beide BGP Peers announced - eine Session soll ein AS Prepending erhalten
--> Route-Map angelegt und bei "route-map out" für den Neighbor hinterlegt - das funktioniert allerdings so garnicht

Gibts da einen Trick? Teilweise steht im Netz, dass das nicht über die GUI geht - ist das richtig?
Ich würde das gerne einrichten damit ich eine Redundanz aber kein ansynchrones Routing habe.

Von CWWK würde ich inzwischen abraten, die letzten zwei Geräte hatten selbst im voll funktionalen Zustand massive Mängel.

Man kann das zum Laufen bekommen, aber das Leben ist eigentlich zu kurz dazu.

Wieso? Also laufen tut das Ding bisher. Und war auch wie gewohnt eigentlich bisher alles ganz normal. Welche Probleme gab es?

Bei "China Boxen" generell: mach das Gerät mal auf und überprüf, ob ein guter Formschluss zwischen CPU und Gehäuse vorliegt und die richtige Menge Wärmeleitpaste aufgebracht wurde.

Das ist so einer der gängigen Schwachpunkte in der Endmontage.

Kannst dir natürlich auch erst mal die CPU-Temperatur angucken. Wenn die OK ist, musst du wahrscheinlich nichts machen.

Ja, hab ich auf dem Schirm. Wurde gestern direkt zerlegt und das Widget hinzugefügt :D Sieht soweit erstmal gut aus, behaupte ich. Liegt im Schnitt so bei 45 Grad. Aber Vollast steht noch aus :)

Ich habe zuvor eigentlich auch nur gute Erfahrungen mit solchen Geräten gemacht. Dazu noch der Verkauf über Amazon... Schauen wir mal wie das so läuft.

Hab mir jetzt die klassische kleine schwarze Mini-PC Kiste mit 2 SFP+ Ports gekauft.

Hast du einen Link zu der "Kiste"?

Jup. https://www.amazon.de/CWWK-Firewall-Appliance-Mini-Computer-4K-Display/dp/B0DSJ1492H/ref=sr_1_3?__mk_de_DE=%C3%85M%C3%85%C5%BD%C3%95%C3%91&crid=A4JLEVH1U6QF&dib=eyJ2IjoiMSJ9.c4rBlTpIADTVXsf7lD_GB6Ll3_visn24xignhTovwNKuQvwFoapY61-bb8hAp6OkTvCv7jg9Wa_qYj-DekKuHvy1KhSSMGDyJ489riyHDk5D4NZw1V116CaFfONOBVFSp8w_vfzUsaWVOvp9spgSHWJprpUvv3mS1SWddJzU04_nDUF8J6luMqpRgcLeRR-TP2e1GDigYcVGMZcrxxS4r2R63nqRc2tfCrvwPGiaanI.DcaJQ3VLFHQpEIr749UOGbKISMQqq94Z1fBQzarGqho&dib_tag=se&keywords=cwwk%2Bn355&qid=1765443912&sprefix=cwwk%2Bn355%2Caps%2C71&sr=8-3&th=1

Hat ein paar Tage gedauert, da die auch aus China kommt. Aber das Ding rennt erstmal - Tests konnte ich aber noch nicht machen. Anschluss verzögert sich noch, aber ich fand das so mit den SFP+ Ports gut.

Ok, jetzt nicht 10GbE, sondern nur 2,5GbE:
ThomasKrenn LES Systeme.

Oder bekommst Du wirklich 10GbE WAN Uplink? Wo ist das? Kann ich umziehen ;)

Ja, ich bekomme 10G :D Wie gesagt... arbeite selbst beim ISP und ja es wird auch in DE langsam XGS-PON ausgerollt. Braucht keine Sau ... aber ich will es bei mir testen. Geht da auch um weitere Test-Szenarien.

Hab mir jetzt die klassische kleine schwarze Mini-PC Kiste mit 2 SFP+ Ports gekauft.

DEC740/750 von Deciso?

Jau, die habe ich auf dem Schirm - habe ich vergessen zu erwähnen. Leider etwas teuer für den Privat-Gebrauch meiner Meinung nach. :) Ja, ich weiß... billig ist nicht alles.

Hallo zusammen,

ich bin inzwischen seit einigen Jahren überzeugter OPNsense User im Firmen-Umfeld. Jetzt ist es aber bald soweit, dass ich zuhause auch einen Glasfaser-Anschluss bekomme. In dem Zuge möchte ich die Fritzbox ablösen und eine OPNsense installieren. Mir geht es vorrangig darum einen 10G WAN und einen 10G LAN Port zu haben. Mehr benötige ich nicht. Ideal wäre wenn diese beiden Ports SFP+ wären sodass ich frei wählen kann ob Glasfaser oder Kupfer-Modul. Aktuell verfüge ich nur über eine 10G Kupfer Verkabelung von ONT zur Wohnung. Das wird sich so schnell auch nicht ändern.

Ziel wird es sein die OPNsense via BGP mit dem Provider zu verbinden. Das ganze soll zum XGS-PON Test dienen, da ich selbst der Backbone Techniker des Providers bin. :D

Gibt es Erfahrungen/Tests bezüglich solch einer Hardware? Ich hatte das Ganze mit einer Sophos XGS136 getestet. Aber da fehlen wohl noch immer die passenden Treiber der Netzwerk-Interfaces für FreeBSD. Wäre halt schön gewesen bezüglich Preis/Leistung und da es sich nicht um ein 19-Zoll Gerät handelt. Denn es ist kein Serverschrank vorhanden.

Und wie immer ... das ganze soll idealerweise kein Vermögen kosten.

Vielen Dank für eure Ideen :)

Das habe ich jahrelang vergebens versucht für meine IPsec VPNs zu basteln... Am Ende blieb wirklich immer nur ein ICMP Ping und/oder Test-Aufrufe von Ports auf der Gegenseite um die Verfügbarkeit zu prüfen.
Ist leider unschön, aber war die einzige Möglichkeit für mich den "Status" zu prüfen.

Nabend!

Also so richtig klar wird dein Vorhaben nicht. Wenn du ein IPsec VPN aufbaust und die Gegenseite mit einem öffentlichen Adress-Bereich durch den Tunnel kommt (was ja kein Thema ist), benötigst du ja noch viel weniger ein NAT als sonst beim Aufbauen von unzähligen Tunneln.

Das NAT sollte die Gegenseite dann als Source-NAT machen und die Phase 2 entsprechend konfigurieren. Alles andere macht keinen Sinn :D

Moin!
Das habe ich zu genüge im professionellen Umfeld auf hochproduktiven Firewalls gemacht :)
Es ging da um virtualisierte Instanzen und hat immer einwandfrei funktioniert. Lediglich die Interfaces sind in manchen Versionen durcheinander gegangen. Das habe ich in dem Hypervisor einfach wieder passend umkonfiguriert und somit war die Downtime nicht größer als 5 Minuten.

Es waren verschiedenste Dienste im Einsatz. IPsec, OpenVPN, BGP, NAT, etc ...

Ich habe damit auch gelegentlich mehrere Releases "übersprungen". Und im Zweifel schaltest du die alte Kiste wieder ein und gut. War aber nie notwendig.

Hallo zusammen,

ich möchte aktuell eine OPNsense mit einem DHCP-Server ausrollen. Die "Besonderheit" ist allerdings, dass ich die Option 43 an alle Clients senden möchte. Es ist die aktuellste OPNsense Version installiert und ich nutze den ISC-DHCP, da der KEA noch keine Options in der GUI ermöglicht. ISC-DHCP Option 43 konfiguriere ich normal in der GUI über Advanced und dann Option 43 als String und den entsprechenden HEX-Wert meiner URL, die mitgegeben werden soll.

Der DHCP-Client muss diese Information bei jedem DHCPOFFER vom Server gesendet bekommen. Das macht die Sense wohl nicht von sich aus.

Mit einem ISC-DHCP auf einer normalen Linux-Kiste geht das ohne Probleme mit folgenden Parametern:
option dhcp-parameter-request-list 3, 5, 6, 43;
option vendor-encapsulated-options 68:74:74:......;


Auch beim Mikrotik Board hat man im DHCP Server die Möglichkeit "force" mitzugeben, sodass dies funktioniert.

Kann mir da jemand einen Tipp geben oder hatte ein ähnliches Problem schon mal?

Danke euch!

Danke für die Rückmeldung. Klassischer Fall von: "wenn man nicht alles selber macht".

Es gab lediglich ein Problem mit dem VLAN in dem Hypervisor. Habe schon an mir selbst gezweifelt. :-D

Um deine Frage aber noch zu beantworten: Ich stelle den Einwahlserver selbst bereit und natürlich sitzt da irgendwo eine ONT davor.

Im Grunde ist das Glas. Aber der Virtualisierungs-Host ist entsprechend an das VLAN angebunden und das wird untagged übergeben. Für mein Verständnis sollte das dann ohne weitere VLAN Konfiguration funktionieren. Daher habe ich jetzt nur ein Interface in der OPNsense auf PPPoE konfiguriert und das Interface entsprechend in VMware angebunden.

Hallo zusammen,

ich verzweifle grade an der PPPoE Konfiguration meiner OPNsense. Ist nicht die erste Instanz unter meiner Administration, allerdings kam ich mit PPPoE nie in Berührung.

Ich habe eine virtualisierte OPNsense und möchte gerne eine PPPoE Einwahl über ein Interface machen. Das entsprechende VLAN und die Einwahl-Daten habe ich konfiguriert. Allerdings wird bisher keine Verbindung aufgebaut. Ich habe nicht wie viele andere ein physikalisches Modem im Einsatz. Daher nun meine Frage ob das überhaupt so funktionieren kann, wie ich mir das wünsche?

LG