1
General Discussion / Re: Nominate OPNsense and FreeBSD Foundation for Proton's Fundraiser (Big Reward)!!
« on: November 10, 2024, 11:45:40 am »
+1
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
2
24.7 Production Series / Re: Protectli FW2B Upload Speeds Slow
« on: November 10, 2024, 07:48:55 am »
Are you using PPPoE to establish the connection? Linux has a far better implementation of PPPoE than BSD from my understanding. There are some threads about people complaining about slow uploads on PPPoE.
3
General Discussion / Re: Put dedicated LAN port in VLAN?
« on: November 09, 2024, 06:58:18 am »
Why do you want to use a single VLAN?
You could just plug a switch to the LAN port and connect your client devices.
What’s the goal of the VLAN 500?
You could just plug a switch to the LAN port and connect your client devices.
What’s the goal of the VLAN 500?
4
Virtual private networks / Re: Zerotier Firewall Rules
« on: October 26, 2024, 08:33:40 am »
As always: check the firewall live log and filter by interface. I assume that Zerotier address as source is not correct. I think this is an automatically created alias by OPNsense for the local interface address. Change it to any for a moment and check again. Always enable logging on your rules.
5
Virtual private networks / Re: Can Netbird or Nebula perform at the edge? (like Tailscale)
« on: October 26, 2024, 08:29:59 am »
Did you use the getting-started script with podman, too? Or did you configure the management node manually?
6
General Discussion / Re: Who uses opnsense in companies
« on: October 24, 2024, 09:46:29 pm »We have some opnsense firewalls in the field.
It lacks some critical features for us to roll it out in a wider context.
For example:
- better firewall rule ui
- an easier way to import basic configuration, a cli would be great for that
To be honest, the firewall rule ui is one of the best I‘ve seen. Don’t like the FortiGate view. There are a couple of small things I would change and some annoyances but nothing deal breaking.
Which ui is better in your opinion?
The last FortiManager security flaw was really scary.
7
German - Deutsch / Re: Traffic Sharping: Wie kann ich "nur" Youtube in einen Wireguard Tunnel lenken?
« on: October 23, 2024, 07:23:34 pm »
Firewall live log und dort entsprechend auf die Quelle filtern z.B.
8
General Discussion / Re: Who uses opnsense in companies
« on: October 22, 2024, 10:55:06 pm »
Sadly, that's manager speech. There was the quote "Nobody gets fired for buying IBM" in the past. The same applies for products which are in the Gartner quadrant in the upper right. Open source products always struggle against common managers.
They calculate some funny total cost of ownership (TCO) and bring some "uncalculatable risk" on the open source side.
Good thing is that there is good commercial support for OPNsense.
The managers will still say that it's easier to find a technician for a Meraki/FortiGate/Palo and so on instead of someone who knows OPNsense.
They calculate some funny total cost of ownership (TCO) and bring some "uncalculatable risk" on the open source side.
Good thing is that there is good commercial support for OPNsense.
The managers will still say that it's easier to find a technician for a Meraki/FortiGate/Palo and so on instead of someone who knows OPNsense.
9
24.7 Production Series / Re: NETDATA plugin not working
« on: October 18, 2024, 06:45:27 pm »
My Netdata plugins also don't work anymore. Can't tell since which version. The version in the FreeBSD ports is sadly also very old. Maybe it's an option to install it in a different way?
10
German - Deutsch / Re: Traffic Sharping: Wie kann ich "nur" Youtube in einen Wireguard Tunnel lenken?
« on: October 14, 2024, 11:53:13 am »
Also was ich so gefunden habe, wäre das hier:
googlevideo.com
youtu.be
youtube-nocookie.com
youtube.com
youtube.googleapis.com
youtubei.googleapis.com
ytimg.com
ytimg.l.google.com
Die als Alias anlegen und dann als Destination nutzen. GW dann umbiegen auf den WG Tunnel.
googlevideo.com
youtu.be
youtube-nocookie.com
youtube.com
youtube.googleapis.com
youtubei.googleapis.com
ytimg.com
ytimg.l.google.com
Die als Alias anlegen und dann als Destination nutzen. GW dann umbiegen auf den WG Tunnel.
11
German - Deutsch / Re: OPNsense - Wireguard läuft nicht so wie gewünscht
« on: October 07, 2024, 09:56:38 pm »
Here it is how it looks for me:
Instance:
https://pasteboard.co/rlLuEvVx9qsq.png
Peer:
https://pasteboard.co/1cidmdokuhQM.png
Die Gegenseite hat:
10.4.3.30/26 als Tunnel Address
und 10.4.3.1/32,10.4.3.0/26 bei Allowed IPs
Instance:
https://pasteboard.co/rlLuEvVx9qsq.png
Peer:
https://pasteboard.co/1cidmdokuhQM.png
Die Gegenseite hat:
10.4.3.30/26 als Tunnel Address
und 10.4.3.1/32,10.4.3.0/26 bei Allowed IPs
12
General Discussion / Re: Default rule to allow traffic in own subnet
« on: October 06, 2024, 10:28:26 pm »
I would suggest to use the interface group feature:
https://docs.opnsense.org/manual/firewall_groups.html
https://docs.opnsense.org/manual/firewall_groups.html
13
German - Deutsch / Re: OPNsense - Wireguard läuft nicht so wie gewünscht
« on: October 06, 2024, 10:23:51 pm »
Ich würde bei den Basics anfangen: siehst du denn die Pakete der jeweiligen anderen OPNsense im Live view der Firewall Logs? Setzt voraus, dass du für die Regel Logging eingeschaltet hast. Es gibt am WAN jeweils eine Regel, die Port 51820 (oder den Port, den du gewählt hast) zulässt?
14
24.7 Production Series / Re: ACME client and Cloudflare DNS
« on: September 25, 2024, 03:36:22 pm »
"Domain name needs at least one dot". What did you enter?
15
German - Deutsch / Re: "Gut und Günstig" Appliance gesucht
« on: September 25, 2024, 03:34:40 pm »
1. Wenn man die Zusatzanwendungen unter Proxmox braucht und dafür keine andere Hardware hat, kann man das machen - allerdings möchten viele Leute eine dedizierte Hardware für die Firewall.
Das ist natürlich richtig
2. Ist das Ding teurer als die geforderten 250€.
Ist auch eher exemplarisch gemeint, bei dem Ding gäbe es gerade einen 60€ Rabatt, wo wir dann bei 339 wären bei ungleich mehr Leistung
Das ist auch einer der Gründe, warum ich nicht die kleinste passiv gekühlte CPU vorschlagen würde. Er schrieb was von NGFW mit Zenarmor. Je nachdem, was er da vor hat, kann eine kleine CPU damit überfordert sein. Vor allem, wenn die Internetverbindung über PPPoE aufgebaut wird, sind die kleinen CPUs oft nicht in der Lage 1 Gbps zu liefern, geschweige denn mehr als reines Netzwerkfiltering anzubieten.
3. Sind die Folgekosten wegen der TDP des Prozessors höher (45 Watt statt 6 Watt). Jedes Watt mehr kostet bei 24/7 und aktuellen Strompreisen ca. 2€ im Jahr, das macht dann ca. 40€, wenn ich davon ausgehe, dass die Leistungsaufnahme im Schnitt nur 20 Watt höher ausfällt.
Also ich würde meinen, dass so ein Teil bei rund 10-12W landet. Aber wenn die laufenden Kosten so drücken, ist das natürlich ein Thema.
4. Es sind wieder Realtek-Adapter: https://androidpctv.com/wp-content/uploads/2024/09/Beelink-EQR6-review-t001.jpg und nur 1 Gbps, wobei Ersteres keine Rolle spielt, wenn man Proxmox fährt. Man kann dann allerdings den Netzwerk-Adapter nur als Bridge, nicht nativ an die VM durchreichen (LAN muss man ja sowieso sharen, weil nur zwei NICs vorhanden sind).
Wie gesagt: das Gerät war jetzt einfach nur ein Schnellschuss, die gibt es bestimmt auch mit Intel-Nics, leider kann man sich da oft nicht drauf verlassen, da manchmal unangekündigt Specs geändert werden.