Messages

Vielen Dank für die Gedanken!
Bisher war ich der Meinung, dass nur diese Dienste echte Firewalldienste mit Mehrwert sind. Gerade solche "Extended Detection Systeme" sind es doch, die Angriffe erkennen und ggf. abwehren lassen? Alles andere macht ja der hier häufig erwähnte Baumarkt-Router von Haus aus.
Oder verwechsle ich da was?

Nein. Fritte und Co. machen das nicht. Nur das was Patrick schon beschrieben hat. 
Es sind ganz sicher Mehrwert-Dienste. Die sind auch nicht per-se zu verteufeln. Aber man muss sich bei der Nutzung über die Risiken im klaren sein, insbesondere wenn die direkt auf der Firewall laufen. 
Man kann allerlei Dienste auf die OpnSense packen. Das funktioniert auch. Aber wenn man alles und jeden Dienst auf der Sense hat muss man die Konsequenzen bedenken. Das kann dann ggf. zu einer 24/7 Überwachung der Sense ausufern... 

Ich sehe in dem Aufbrechen der Verschlüsselung ganz allgemein 2 gewaltige Sicherheitsprobleme:

1. ISD und TLS-Inspektion sollte m. E. nicht auf der Firewall selber laufen. Denn die ist die erste Verteidigungslinie für das lokale Netz. Wenn dann gut gesichert dediziert auf einem separatem System. Denn wenn die Firewall fällt, liefert Ihr so einem Angreifer auch gleich Zugriff auf die Zertifikate aller dahinter liegenden Systeme. Dieser Punkt gilt genauso für solche Spässe wie ein AD etc.

2. ISD und TLS-Inspektion haben den großen Nachteil (kenne ich aus eigener Erfahrung mit der EDV meiner Dienststelle) das der Anwender niemals das Zertifikat der aufgerufenen Seite im Browser angezeigt bekommt und es demzufolge nicht prüfen kann.  Er sieht nur das Zertifikat der Sense. Denn dort wird die verschlüsselte Übertragung ja faktisch beendet. Heißt für den Anwender und für Euch als Admins: Ihr habt keinerlei Kontrolle ob nicht hinter eurer Firewall der Anwender mittels BGP oder anderweitig auf Fakeseiten geschickt wird. Problematisch, wenn da jemand Sozial-/Personendaten rüberschickt oder Bezahldaten oder gar Homebanking....

[...]
Das muss ich nicht - ich will ja nicht den absoluten Wert berechnen. Mein Hinweis auf P = U² / R bezog sich darauf, dass die Leistung quadratisch von der eingespeisten Spannung abhängig ist. Dummerweise ist es auch so, dass die Leistung auch quadratisch mit der Taktfrequenz steigt (das liegt an der konstanten Steilheit der Taktflanken). Wenn man also den Takt auf 120% erhöht, steigt die Leistung auf 144% - muss man dazu noch die Spannung auf 110% erhöhen, um Stabilität zu erreichen, kommen da nochmals 21% drauf, insgesamt also erhöht sich die Leistung auf 174% des ursprünglichen Werts (für eben nur 20% mehr Performance).

Umgekehrt ist eine Reduktion der Spannung um 10% (wenn es trotzdem stabil läuft) eben eine Einsparung von 19% in der Leistung (bei gleicher Taktfrequenz). Mehr wollte ich damit gar nicht sagen.
[...]

Danke für deine einleuchtende Erklärung.  Allerdings spielt beim Takt nicht nur die Steilheit der Taktflanke als solche eine Rolle. Denn die verringert sich zwangsläufig mit steigendem Takt.

In jeder Schaltung und selbstverständlich auch auf einem Chip findest du nebeneinander verlaufende Leiterbahnen und auch einzeln verlaufende Leiterbahnen die auch mal etwas länger sind. Was auf einem Chip zwar nur Nano- oder bestenfalls Mikrometer sind. In der Folge bilden erstere Kapazitäten (in dem Fall eher unerwünscht/parasitär)  und Leiterbahnen als solche besitzen eine Induktivität. Beim Chip zwar nur mit winzigen Werten. Aber auch die Summieren sich bei Millionen oder gar Milliarden Transistoren.
Kondensatoren - und nichts anderes sind ja die störenden Kapazitäten - besitzen einen "kapazitiven Blindwiderstand" und der nimmt mit steigender Frequenz ab.
Bei den Induktivitäten (= Spulen) nimmt hingeben der "induktive Blindwiderstand" mit steigender Frequenz zu. Beides "verschleift" oder "verwischt" sowohl die steigenden als auch die fallenden Taktflanken. Und die kapazitiven Blindströme sorgen für zusätzliche Leistungsaufnahme bei steigendem Takt - auch ohne zusätzliche Erhöhung der Kernspannung. Die ist u. a. auch aus diesen Gründen so gering. Aber ein Siliziumhalbleiter benötigt recht genau 0,7 Volt um überhaupt leitend werden zu können. Man kann an dieser Schraube also nur recht wenig weiter drehen.

Danke @meyergru  für deine ausführlichen Hinweise. Ich habe die Liste vorhin in Ruhe "abgearbeitet".

Punk 1
Externe Kühlung hatte ich ja bereits erledigt.

Punkt 2 
Die Werte konnte ich problemlos herunter stellen. Allerdings zeigt das BIOS die Werte an mehreren Stellen an. Da muss ich mal sehen, ob ich ein Handbuch zu fassen bekomme.
Auch den GPU-Takt konnte ich direkt runter stellen.

Punkt 3
Da gab es einen kleinen Aha-Effekt. Beim Abbau der Platine habe ich einen winzigen CPU-FAN-Stecker gefunden. Von oben ohne Handbuch nicht sichtbar. Auf dem Gehäuse war keine Kupferplatte sondern eine aus Aluminium verschraubt. Leider nicht sauber. An einer Seite konnte man zwischen Platte und Gehäuse hindurch sehen. Aber alles immerhin mit anständiger Silber-Wärmeleitpaste (WLP). So habe ich das auch wieder sauber und vor allem fest zusammen geschraubt. Hatte zum Glück noch WLP zu liegen.
An der CPU-Kernspannung habe ich nicht rumgedreht. Nur mal eine Frage zu dem Punkt: Woher nimmst du bei deiner Berechnung die Werte für R (oder alternativ I) ? Die dürftest du kaum messen können? Was aber natürlich nichts an der Energieeinsparung an sich ändert.

Punkt 4
Geht bei meiner Intenso-SSD nicht. Die kennt nur einen Eintrag mit 6 Watt.

ABER:  Die Maßnahmen zusammen haben die CPU-Temperatur von bisher 70 - 75 °C auf durchschnittlich 23 ° C gesenkt. Leistungsaufnahme aktuell  insges. ca. 12,5W; dürfte vorher mehr gewesen sein.

 

[...]
Finde das Produkt trotz "Billig-Kram" ziemlich genial:

https://www.amazon.de/dp/B08QYY87XW

3 wählbare Drehzahlen, selbst in der höchsten Stufe leise, per USB hängt man den Lüfter idealerweise direkt an das zu kühlende Gerät. Die Gummi-Füße sorgen für guten Stand egal ob horizontal oder vertikal.

Grüße,
Patrick

"Nichts ist so haltbar wie ein Provisorium." -- mein Physiklehrer

In der Tat. Eine simple aber universell einsetzbare Lösung. Die schlägt meine Lösung beim Aufwand natürlich um Längen :-))
Wieder was dazugelernt.

[...] Nur noch keine rechte Idee, wie ich beide Seiten kühlen kann.

Eine Idee habe ich inzwischen gehabt und sie jetzt umgesetzt:

Für meinen TopTon-MiniPC mit den Gehäuse-Abmessungen B=135mm; T=125mm habe ich eine Lösung gefunden. Ist etwas aufwendiger gewesen als gedacht, aber da ich gesundheitlich bedingt viel Zeit habe und zudem Spass am Basteln....  Man kann das sicher auch einfacher lösen.

Ich habe im Netz passende 3D-Druckdateien gefunden:

- Gehäuseunterschale als Ersatz für den Originalboden, vorbereitet für einen 80mm Lüfter; da passt ein 25mm dicker Lüfter problemlos rein.
- Untergestell, damit der Lüfter in der Gehäuseunterschale etwas frei über dem Boden steht und ungehindert Luft ziehen kann
- Befestigungsstege für den 120mm Lüfter

Die beiden Befestigungsstege  haben zu meinem Gehäuse nicht ganz optimal gepasst, deshalb außen die 4 Federn. In der Gehäuseunterschale habe ich den 80mm Lüfter für die "Innereien" sowie 2 kleine Spannungsregler eingebaut. Ich musste feststellen, das der MiniPC lediglich einen Anschluss für eine SATA-SSD bietet (+12V, +5V), aber keinen Lüfteranschluss. Das ist aber anscheinend bei unterschiedlichen Herstellern/Modellen auch z. B. von Protectli der Fall - soweit es die jeweils verfügbaren Bilder nahe legen. Teilweise besitzen solche Geräte nicht mal einen SATA-Anschluss. Da muss man dann notfalls die Lüfter fremd mit Strom versorgen.

Ich habe in meinem Gerät die 12V angezapft. Funktioniert mit den beiden Spannungsreglern tadellos- natürlich nur mit fest eingestellter Drehzahl.

Ich erreiche an statt der bisherigen ca. 75° Kerntemperatur jetzt im Leerlauf durchaus Werte von Anfang 30°. Jetzt bei voller Auslastung Down (100MBit) sind es 51°. Also durchaus besser und mit etwas Probieren bei den Lüfterdrehzahlen sicher noch etwas zu verbessern.

Nachtrag: Ich habe es endlich hinbekommen, die Bilder einzufügen.

You cannot view this attachment.

You cannot view this attachment.

Nur mal so ein Einwurf, ich habe nicht alles gelesen: Redet Ihr aneinander vorbei, wenn Ihr über "Trunks" sprecht?

[...]

Das will ich nicht ausschließen. Ich verstehe einen Trunk als einen Zusammenschluss bzw. Kaskadierung von 2 oder mehreren Switchen. Ggf. auch über Portaggregation auf beiden Switchen.
Wenn das verkehrt ist, berichtigt mich bitte. Ich lerne gern dazu. Bin leider nicht der große Netzwerkspezi. Netzwerken hat man uns vor Ort im RZ einer bundesweiten Behörde nicht gelassen. Konnte mir also Netzwerkkenntnisse nur selbst aneignen.

Bei meinem Netgear GS116Ev2 kann ich die PortVID 1 problemlos von allen Port's herunternehmen. Und da alle Regeln der OpnSense greifen, muss der Switch die Einstellungen wohl korrekt akzeptieren.

[bevor]

[...]

// Hab gerade gesehen das der AP selbst die Pakete taggt, dann muss ich den Switchport am GS105E gar nicht auf das VLAN einstellen. Ich befürchte jedoch das dann die Kommunikation zum GS308E nicht funktioniert über das VLAN und ich mir eine aktuelleren Switch holen muss.

Ich weiß nicht, wie du auf die Idee kommst, den Port für den AP keiner PVID zuzuweisen oder warum du einen anderen Switch kaufen willst. Das System, was bei den Geräten hinter den PVID's steckt ist doch ganz einfach. PVID=Vlan - eins oder mehrere je Port, je nach Anwendungsfall. Entweder getaggt, oder ungetaggt für Geräte die das selbst nicht können. Was weiß ich, älterer PC , IoT-Hardware , Fritzbox für Telefonie etc. Ich habe bei mir alles 24er Subnetze. Das 3. Oktett ist bei mir gleichlautend zur PVID (192.168.125.0 / PVID 125 usw.). Du musst es nur sauber einstellen. Ich hatte damals was zu vlans u. a. bei Administrator(.de  .com ?) gefunden - bevor ich damit angefangen habe. Suche einfach mal.

Selbst habe ich den NETGEAR GS116Ev2 im Einsatz. Deine Switches dürften da auch problemlos funktionieren. Allerdings  war/ist das Eintragen/Ändern der PVID bei meinem GS116Ev2 immer etwas Frickelei - aber es geht. Allerdings habe ich den Switch auch bei mir zu Hause "eingesperrt", weil ich es absolut nicht leiden kann, wenn die Dinger alles "nach Hause telefonieren".

Der Port des 1. Switch zur zur Sense bekommt alle PVID's als getaggt. Der Trunk-Port am 1. Switch und der Trunk am 2. Switch bekommen alle PVID's getaggt, die auch am 2. Switch benötigt werden.
Du musst auf jeden Fall dem Switchport für den AP genau die eine oder mehrere Port-VID als getaggt zuweisen, die der AP bedienen soll. Und natürlich eine weitere getaggte PVID für die Administration des AP. Was du da im Zusammenhang mit dem AP machen willst, wird nicht funktionieren.

Was du da schreibst, ist leider nur die halbe Miete. Mach dir mal die Mühe, und schraube das Ding auf. Du wirst staunen, wie pottenwarm auf der Platine u. a. SSD usw.  sind. Die wollen bestimmt auch nicht so "braten". Habe die Feststellung auch bei meinem Router gemacht. Nur noch keine rechte Idee, wie ich beide Seiten kühlen kann.

[WARNUNG]

...
Nun haben wir ein Kabel vom Nachbar seiner Fritzbox an meine OPNsense gezogen
...

Ich kann dir in der Sache nicht wirklich helfen, weil ich keine vergleichbare Konfig habe.

Aber ich muss eine klare WARNUNG aussprechen:
Man verbindet unter keinen Umständen einfach mal so zwei getrennte Elektroanlagen miteinander. Du hast das aber indirekt mit den Geräten gemacht. Im einfachsten Fall bekommst du bei ungünstigen Potentialdifferenzen beider Elektroanlagen unerklärbare (und ggf. sporadische) Fehler auf der Verbindung. Im weniger günstigen Fall verabschiedet sich deine deine oder Nachbars Routerhardware oder Teile derselben ins Nirwana.

Der nicht sehr wahrscheinlich aber mögliche SUPERGAU  wäre, wenn durch Hardwaredefekt Fremdspannung von einer Elektroanlage auf die im anderen Haus gelangt. Das kann im Extremfall tödlich enden weil 1. keiner damit rechnet und 2. eine E-Anlage durch so etwas nicht spannungsfrei durch Ausschalten der Sicherungen wird (durch Fremdstromeinspeisung hinter den Sicherungen) .


Wenn du das ordentlich und absolut risikofrei machen willst, verlege so eine Kunststoff-LWL-Leitung von FUBA. Nicht so preiswert wie deine Lösung aber 100% elektrisch sicher.

Den unbound hatte ich bereits neu gestartet.  AdGuardHome hat einen Button zum Cache leeren. Den habe ich auch bereits gefunden.

Als letztes hat anscheinend der Cache auf dem Linux-Rechner noch alte Daten intus. Habe heute nach einigen Tagen Nichtnutzung auf meinen Laptop die Domain-Änderung nachgezogen. Der hat mittels "dig"  sofort ein NXDOMAIN geliefert. Funktioniert jetzt also alles so wie gewünscht.

Nochmals Danke für deine Hilfe.

Ich habe die Domain "intern.privateDomain.de" in die Sperrliste vom unbound eingetragen. Am Rechner liefert "dig" noch die öffentliche IP meiner Domain zurück. Aber das scheint nur aus dem Cache von unbound oder AdGuardHome zu stammen.
Denn wenn ich die gleiche Abfrage mit "drill" direkt auf der Sense ausführe, bekomme ich ein NXDOMAIN zurück. So möchte ich das ja auch haben.
Trotzdem bleibt "www.privateDomain.de" erreichbar. Alles soweit bestens.
Danke @viragomann
Hast du evtl. einen Tipp, wie ich AdGuardHome auf der Sense dazu überrede, den Inhalt des Caches zu vergessen?

Füge deine Domain zur Wildcard Domains Blocklist hinzu.

Das funktioniert scheinbar nicht. Ich bekomme sowohl die Internetseite angezeigt als auch die IP-Adresse meiner Domain zurück geliefert.

Ich habe nach einiger Lektüre der Fürs und Widers zum Thema interne Domain jetzt mein Netzwerk zu Hause umgestellt.

Bisher hatte ich etwas in der Art von teil-domain.teil-domain (abgeleitet aus meiner privaten Domain).   Jetzt habe ich umgestellt auf intern.meinedomain.de

So wie ich das bisher verstanden habe, würde unbound Anfrage nach unbekannten Clients (die ich nicht in die Overrides eingetragen habe)  den Root-Server meines Domain-Hosters befragen. Kann ich das unterbinden? Ich habe es mal mit Query-Forwarding nach 127.0.0.1 versucht, aber das erzeugt anscheinend Endlosschleifen bei entsprechenden Anfragen.
Gibt es für diesen Fall irgend einen speziellen Dreh? Oder sehe ich da nur nicht den Wald vor Bäumen?

Hast du noch einen Port an der Sense frei oder ein separates Vlan?  Dann hänge die Fritte dort an und spare dir die Mühe mit AdGuard.  Wenn es ein dedizierter NIC ist, hast du da eben eine DMZ. Habe ich auch so gemacht. AdGuard ist dort nicht aktiv und aus die Maus. Fällt natürlich das Wlan der Fritte weg. Aber vielleicht ist ja ein entsprechender Wlan-AP besser?
Ansonsten müsstest du sehen, ob du die Systeme für VOIP als Withelisting bei ADG einträgst.