Messages

Ich bin selbst auch nicht der große Crack, was die OpnSense betrifft. Ich verfahre nach dem Prinzip, minimaler Aufwand zur Erreichung meines gewünschten Ziels.  Zur Virtualisierung kann ich nichts beitragen. Das mache ich aus Prinzip nicht bei wichtigen Basisdiensten. Und Internet ist für mich ein wichtiger Basisdienst.

Was hast du für eine Fritte? Bei Kabel ist es klar, geht nicht anders. Ansonsten ersetze die Fritte durch ein Modem und lass OpnSense die pppoe-Einwahl machen. Funktioniert tadellos.

Ich verstehe allerdings nicht wirklich, was du mit deinen - aus meiner Sicht maximal umständlichen - Standard-Regeln 1. und 2. erreichen willst. Die OpnSense stellt bei der Installation die Regeln automatisch so ein, das du aus jedem lokalen Netz ohne weiteres Zutun ins Internet und natürlich in jedes lokale Netz kommst. 
Was das Blocken der Zugriffe zwischen den (V)Lans und dem Internet betrifft, musst du erst mal festlegen WAS du erreichen willst.
1. Entweder Zugang für jedes LAN nach irgendwohin zu und nur erlaubte Protokolle etc. einzeln aufmachen. Dann ist eine eingehende Sperre nach Any auf jeden Lan der Ansatz.
2. Oder du erlaubst allen LANS den ungehinderten Zugriff ins Internet, sperrst aber dafür jedes einzelne LAN mittels Sperr-Regel ausgehend, damit die Lans voneinander getrennt sind.

Ersteres ist mir persönlich für Zuhause schlicht zu aufwendig. Da bin ich alle Nase lang am Nachjustieren der FW-Regeln weil irgend etwas nicht geht. Auch nicht ins Internet!
Also Letzteres. Da brauche ich nur noch auf jedem LAN die notwendigen Regeln ausgehend erstellen, für das was gehen soll. Ist erheblich einfacher zu überschauen und vor allem wesentlich weniger fehleranfällig.

Und wenn du "This Firewall" erreichen willst, musst du selbstverständlich die IP-Adresse des Interfaces verwenden, nicht das Netz selbst. Du erreichst doch jeden anderen Host auch mit seiner IP, nicht mit der seines Subnetzes. Und bei allen FW-Regeln kannst du als Quelle oder Ziel natürlich ein Netz oder einen Host angeben. Die Regel greift dann aber natürlich auch völlig unterschiedlich.

[...]
Mit Flexibilität meine ich: Für beide Varianten - Bare-Metal oder virtualisiert - sind die üblichen China-Modelle mit 4x I226V eine super Basis. Und die gibt es auch in Deutschland mit Garantie zu kaufen.

Ein Anbieter für die Dinger ist u. a. die Fa. nrg-systems.de. Die verkaufen sie als IPU-Systeme.  Geht preislich ohne RAM und SSD mit einem N5105 in 4x i226 bei 320,- los. Habe selbst so eine China-Box. Allerdings gekauft dann doch etwas günstiger als reinen Barbone bei Ali. Habe es bisher nicht bereut. 

Ich werfe für alle Stater mal das Gerät von Thomas-Krenn Edge4Go in den Ring, da es nur 100 EUR kostet. Dafür hat es halt nur 4GB DDR3 Speicher.
https://www.thomas-krenn.com/de/produkte/low-energy-systeme/edge4go-konfigurator?xtxsearchselecthit=1

Das ist in der Tat ein sehr guter Preis. Ich habe 2018 für meinen APU.2C4 von PC-Engines mit ähnlichen CPU-und Speicherdaten aber wesentlich kleinerer SSD noch gut 190,- gelöhnt. Der ist aber an sich gut gelaufen. Nur Wireguard war nicht ganz sein Ding...

Ich halte es ebenso wie Patrick. Raus darf jeder Client. Nur eingehend ist auf dem WAN dicht. Zusätzlich habe ich das VLan, in dem meine Rechner und vor allem mein NAS (mit 2 ..3 kleinen virt. Servern) hängen ausgehend dicht gemacht. Damit kann ich sehr sauber kontrollieren wer mit seinem Gerät (Laptop, Handy etc.) auf welche Resource (u. a. Rezept-Datenbank, paperless ) in dem Vlan zugreifen darf. Zusätzlich ist auf meinem Hauptrechner, auf dem paperless läuft, jeglicher Zugriff mit der Firewall des PC eingeschränkt.

DNS halte ich genauso wie Patrick. (kein Wunder, habe das Konzept letztlich von ihm übernommen,-). Nur das ich auf dem unbound auf der OpnSense zusätzlich die DoH-Filterliste von hagezi und 2 ..3 manuell eingetragende Blockaden verwende. Ob das bei DoH 100%-ig funktioniert, wage ich zu bezweifeln, aber besser als nichts. Habe an der Stelle bislang nicht das Gefühl, das da etwas zuviel geblockt wird.

Ich habe vor kurzem (vor/letzte? Woche) von ISC / unbound / AdGh umgestellt.

Nutze jetzt AdGh zusammen mit dnsmasq und unbound. Das funktioniert stabil.
AdGh leitet an unbound weiter. Dnsmasq macht DHCP und ist autoritativer DNS-Server für meine interne Domain. Anfragen dazu werden von unbound dorthin umgeleitet. Funktioniert im dnsmasq mit statischen Überschreibungen und auch mit dynamischen IPs.

Ich bin derzeit dabei, von ISC auf dnsmasq umzustellen. Ich habe die Konfiguration von DHCP weitgehend nach diesem Beitrag vorgenommen. 
Soll heißen- DHCP-Interfaces und Adressbereiche eingerichtet, Host-Überschreibungen und auch feste IP-Zuweisungen eingetragen. Einstellungen bis auf AR (nutze kein ipv6) eingetragen.
dnsmasq startet auch, wenn ich ISC stoppe. So weit so gut. Allerdings kann ich derzeit nicht prüfen, ob dnsmaq auch als DNS-Server fungiert. Wie kann ich den Dienst gezielt unter Linux "befragen"?


Was ich derzeit habe:
Ich habe AH-Home installiert (port 53053, der leitet derzeit direkt an unbound  (port 53) weiter. In unbound sind die Überschreibungen von Geräten mit fester IP (ohne DHCP auf dem vlan) eingetragen., IP-Zuweisungen in ISC.

Künftig:
Soll AGH an dnsmasq weiterleiten, dort sollen auch die festen Adresszuordnungen und Überschreibungen für Clients liegen.  dmsmasq wiederum soll dann an unbound weiterleiten.

Wie  muss ich das konfigurieren, geht das überhaupt?
Bin für jede Hilfe dankbar.

Vielen Dank für die Erklärung. 
Ich versuche immer noch etwas dazu zu lernen. Ist halt kein Vergleich als HeimNetzwerkadmin im Vergleich zu euch Fachleuten, die beruflich bedingt die Netzwerkmöglichkeiten und Eigenheiten bis in die hintersten Winkel kennen.

Und ja, die Regeln auf dem WAN sind vorhanden. 

Du stellst Unbound auf "alle Interfaces" und Port 53 ein.
[...]
Das sind die 4 Einstellungen, die du machen musst.

Warum stellst du unbound auf "alle Interfaces" ? Ist es nicht besser, den WAN-Anschluss da auszuschließen? Ich habe es jedenfalls so gemacht und das Duo unbound/AGH tut brav seinen Dienst.

Vielen Dank für die Gedanken!
Bisher war ich der Meinung, dass nur diese Dienste echte Firewalldienste mit Mehrwert sind. Gerade solche "Extended Detection Systeme" sind es doch, die Angriffe erkennen und ggf. abwehren lassen? Alles andere macht ja der hier häufig erwähnte Baumarkt-Router von Haus aus.
Oder verwechsle ich da was?

Nein. Fritte und Co. machen das nicht. Nur das was Patrick schon beschrieben hat. 
Es sind ganz sicher Mehrwert-Dienste. Die sind auch nicht per-se zu verteufeln. Aber man muss sich bei der Nutzung über die Risiken im klaren sein, insbesondere wenn die direkt auf der Firewall laufen. 
Man kann allerlei Dienste auf die OpnSense packen. Das funktioniert auch. Aber wenn man alles und jeden Dienst auf der Sense hat muss man die Konsequenzen bedenken. Das kann dann ggf. zu einer 24/7 Überwachung der Sense ausufern... 

Ich sehe in dem Aufbrechen der Verschlüsselung ganz allgemein 2 gewaltige Sicherheitsprobleme:

1. ISD und TLS-Inspektion sollte m. E. nicht auf der Firewall selber laufen. Denn die ist die erste Verteidigungslinie für das lokale Netz. Wenn dann gut gesichert dediziert auf einem separatem System. Denn wenn die Firewall fällt, liefert Ihr so einem Angreifer auch gleich Zugriff auf die Zertifikate aller dahinter liegenden Systeme. Dieser Punkt gilt genauso für solche Spässe wie ein AD etc.

2. ISD und TLS-Inspektion haben den großen Nachteil (kenne ich aus eigener Erfahrung mit der EDV meiner Dienststelle) das der Anwender niemals das Zertifikat der aufgerufenen Seite im Browser angezeigt bekommt und es demzufolge nicht prüfen kann.  Er sieht nur das Zertifikat der Sense. Denn dort wird die verschlüsselte Übertragung ja faktisch beendet. Heißt für den Anwender und für Euch als Admins: Ihr habt keinerlei Kontrolle ob nicht hinter eurer Firewall der Anwender mittels BGP oder anderweitig auf Fakeseiten geschickt wird. Problematisch, wenn da jemand Sozial-/Personendaten rüberschickt oder Bezahldaten oder gar Homebanking....

[...]
Das muss ich nicht - ich will ja nicht den absoluten Wert berechnen. Mein Hinweis auf P = U² / R bezog sich darauf, dass die Leistung quadratisch von der eingespeisten Spannung abhängig ist. Dummerweise ist es auch so, dass die Leistung auch quadratisch mit der Taktfrequenz steigt (das liegt an der konstanten Steilheit der Taktflanken). Wenn man also den Takt auf 120% erhöht, steigt die Leistung auf 144% - muss man dazu noch die Spannung auf 110% erhöhen, um Stabilität zu erreichen, kommen da nochmals 21% drauf, insgesamt also erhöht sich die Leistung auf 174% des ursprünglichen Werts (für eben nur 20% mehr Performance).

Umgekehrt ist eine Reduktion der Spannung um 10% (wenn es trotzdem stabil läuft) eben eine Einsparung von 19% in der Leistung (bei gleicher Taktfrequenz). Mehr wollte ich damit gar nicht sagen.
[...]

Danke für deine einleuchtende Erklärung.  Allerdings spielt beim Takt nicht nur die Steilheit der Taktflanke als solche eine Rolle. Denn die verringert sich zwangsläufig mit steigendem Takt.

In jeder Schaltung und selbstverständlich auch auf einem Chip findest du nebeneinander verlaufende Leiterbahnen und auch einzeln verlaufende Leiterbahnen die auch mal etwas länger sind. Was auf einem Chip zwar nur Nano- oder bestenfalls Mikrometer sind. In der Folge bilden erstere Kapazitäten (in dem Fall eher unerwünscht/parasitär)  und Leiterbahnen als solche besitzen eine Induktivität. Beim Chip zwar nur mit winzigen Werten. Aber auch die Summieren sich bei Millionen oder gar Milliarden Transistoren.
Kondensatoren - und nichts anderes sind ja die störenden Kapazitäten - besitzen einen "kapazitiven Blindwiderstand" und der nimmt mit steigender Frequenz ab.
Bei den Induktivitäten (= Spulen) nimmt hingeben der "induktive Blindwiderstand" mit steigender Frequenz zu. Beides "verschleift" oder "verwischt" sowohl die steigenden als auch die fallenden Taktflanken. Und die kapazitiven Blindströme sorgen für zusätzliche Leistungsaufnahme bei steigendem Takt - auch ohne zusätzliche Erhöhung der Kernspannung. Die ist u. a. auch aus diesen Gründen so gering. Aber ein Siliziumhalbleiter benötigt recht genau 0,7 Volt um überhaupt leitend werden zu können. Man kann an dieser Schraube also nur recht wenig weiter drehen.

Danke @meyergru  für deine ausführlichen Hinweise. Ich habe die Liste vorhin in Ruhe "abgearbeitet".

Punk 1
Externe Kühlung hatte ich ja bereits erledigt.

Punkt 2 
Die Werte konnte ich problemlos herunter stellen. Allerdings zeigt das BIOS die Werte an mehreren Stellen an. Da muss ich mal sehen, ob ich ein Handbuch zu fassen bekomme.
Auch den GPU-Takt konnte ich direkt runter stellen.

Punkt 3
Da gab es einen kleinen Aha-Effekt. Beim Abbau der Platine habe ich einen winzigen CPU-FAN-Stecker gefunden. Von oben ohne Handbuch nicht sichtbar. Auf dem Gehäuse war keine Kupferplatte sondern eine aus Aluminium verschraubt. Leider nicht sauber. An einer Seite konnte man zwischen Platte und Gehäuse hindurch sehen. Aber alles immerhin mit anständiger Silber-Wärmeleitpaste (WLP). So habe ich das auch wieder sauber und vor allem fest zusammen geschraubt. Hatte zum Glück noch WLP zu liegen.
An der CPU-Kernspannung habe ich nicht rumgedreht. Nur mal eine Frage zu dem Punkt: Woher nimmst du bei deiner Berechnung die Werte für R (oder alternativ I) ? Die dürftest du kaum messen können? Was aber natürlich nichts an der Energieeinsparung an sich ändert.

Punkt 4
Geht bei meiner Intenso-SSD nicht. Die kennt nur einen Eintrag mit 6 Watt.

ABER:  Die Maßnahmen zusammen haben die CPU-Temperatur von bisher 70 - 75 °C auf durchschnittlich 23 ° C gesenkt. Leistungsaufnahme aktuell  insges. ca. 12,5W; dürfte vorher mehr gewesen sein.

 

[...]
Finde das Produkt trotz "Billig-Kram" ziemlich genial:

https://www.amazon.de/dp/B08QYY87XW

3 wählbare Drehzahlen, selbst in der höchsten Stufe leise, per USB hängt man den Lüfter idealerweise direkt an das zu kühlende Gerät. Die Gummi-Füße sorgen für guten Stand egal ob horizontal oder vertikal.

Grüße,
Patrick

"Nichts ist so haltbar wie ein Provisorium." -- mein Physiklehrer

In der Tat. Eine simple aber universell einsetzbare Lösung. Die schlägt meine Lösung beim Aufwand natürlich um Längen :-))
Wieder was dazugelernt.

[...] Nur noch keine rechte Idee, wie ich beide Seiten kühlen kann.

Eine Idee habe ich inzwischen gehabt und sie jetzt umgesetzt:

Für meinen TopTon-MiniPC mit den Gehäuse-Abmessungen B=135mm; T=125mm habe ich eine Lösung gefunden. Ist etwas aufwendiger gewesen als gedacht, aber da ich gesundheitlich bedingt viel Zeit habe und zudem Spass am Basteln....  Man kann das sicher auch einfacher lösen.

Ich habe im Netz passende 3D-Druckdateien gefunden:

- Gehäuseunterschale als Ersatz für den Originalboden, vorbereitet für einen 80mm Lüfter; da passt ein 25mm dicker Lüfter problemlos rein.
- Untergestell, damit der Lüfter in der Gehäuseunterschale etwas frei über dem Boden steht und ungehindert Luft ziehen kann
- Befestigungsstege für den 120mm Lüfter

Die beiden Befestigungsstege  haben zu meinem Gehäuse nicht ganz optimal gepasst, deshalb außen die 4 Federn. In der Gehäuseunterschale habe ich den 80mm Lüfter für die "Innereien" sowie 2 kleine Spannungsregler eingebaut. Ich musste feststellen, das der MiniPC lediglich einen Anschluss für eine SATA-SSD bietet (+12V, +5V), aber keinen Lüfteranschluss. Das ist aber anscheinend bei unterschiedlichen Herstellern/Modellen auch z. B. von Protectli der Fall - soweit es die jeweils verfügbaren Bilder nahe legen. Teilweise besitzen solche Geräte nicht mal einen SATA-Anschluss. Da muss man dann notfalls die Lüfter fremd mit Strom versorgen.

Ich habe in meinem Gerät die 12V angezapft. Funktioniert mit den beiden Spannungsreglern tadellos- natürlich nur mit fest eingestellter Drehzahl.

Ich erreiche an statt der bisherigen ca. 75° Kerntemperatur jetzt im Leerlauf durchaus Werte von Anfang 30°. Jetzt bei voller Auslastung Down (100MBit) sind es 51°. Also durchaus besser und mit etwas Probieren bei den Lüfterdrehzahlen sicher noch etwas zu verbessern.

Nachtrag: Ich habe es endlich hinbekommen, die Bilder einzufügen.

You cannot view this attachment.

You cannot view this attachment.

Nur mal so ein Einwurf, ich habe nicht alles gelesen: Redet Ihr aneinander vorbei, wenn Ihr über "Trunks" sprecht?

[...]

Das will ich nicht ausschließen. Ich verstehe einen Trunk als einen Zusammenschluss bzw. Kaskadierung von 2 oder mehreren Switchen. Ggf. auch über Portaggregation auf beiden Switchen.
Wenn das verkehrt ist, berichtigt mich bitte. Ich lerne gern dazu. Bin leider nicht der große Netzwerkspezi. Netzwerken hat man uns vor Ort im RZ einer bundesweiten Behörde nicht gelassen. Konnte mir also Netzwerkkenntnisse nur selbst aneignen.

Bei meinem Netgear GS116Ev2 kann ich die PortVID 1 problemlos von allen Port's herunternehmen. Und da alle Regeln der OpnSense greifen, muss der Switch die Einstellungen wohl korrekt akzeptieren.