Messages

121

German - Deutsch / Re: Probleme mit opnsense

« on: January 24, 2019, 04:07:18 pm »

@jacolani
Wäre auch schön, wenn Du darauf hinweisen würdest, dass Du die gleiche Frage bereits in einem anderen Forum gestellt hast!   
Kannst Du dann auch gern im anderen Forum machen und auf Deine Frage hier verweisen!

Gruß
Dirk

122

Hardware and Performance / Re: RockPort useable?

« on: January 24, 2019, 09:01:03 am »

Hi,
right now there is no OPNsense support for ARM platforms.
Only x86 32/64bit are supported.

best regards
Dirk

123

German - Deutsch / Re: Überlegungen eines Wechsels von pfsense

« on: January 21, 2019, 04:49:00 pm »

@mar_becker
Ich finde, dass JeGr im Fred schon sehr deutlich erklärt hat, warum er IDS/IPS im privaten Heimnetz nicht unbedingt als sinnvoll erachtet. Da stimme ich auch voll mit überein!
Von daher solltest Du eher erklären, warum IDS/IPS für Dein Heimnetz soo unverzichtbar ist. 

Gruß
Dirk

PS: Im Firmenumfeld sieht es dann schon wieder ganz anders aus.

124

German - Deutsch / Re: Überlegungen eines Wechsels von pfsense

« on: January 18, 2019, 09:08:50 am »

Ganz deiner Meinung, wobei mich das mit dem Cryptochip was sie jetzt für ARM machen schon leicht verschreckt. Ich kann verstehen dass sie da viel Manpower reingesteckt haben das auf ARM zu bringen und jetzt sicherlich das so stricken dass es auch nur mit Netgate ARM läuft, die Leute finden dann wiederrum das Werben als open source eher befremdlich  ..

Wie Du schon richtig geschrieben hast, hat Netgate einiges an Zeit/Geld investiert um pfsense auf ARM zum Laufen zu bekommen. Da kann man m.E. sehr wohl nachvollziehen, dass Sie das KnowHow schützen wollen/müssen! Das hat auch nicht unbedingt etwas mit Open Source zu tun, da es ja nicht um das eigentliche Produkt pfsense an sich geht!
Es wird ja niemand daran gehindert z.B. OPNsense auch für die espresso.bin Platform zu portieren.
Ich finde die Netgate 1100 auf jedem Fall ein sehr interessantes Produkt.

125

German - Deutsch / Wie alle ntp-Anfragen aus dem LAN auf OPNsense umleiten?

« on: January 15, 2019, 08:44:27 am »

Moin,
irgendwie sehe ich den berüchtigten Wald vor lauter Bäumen nicht. 
Wie in der Überschrift geschrieben, suche ich eine Lösung bzw. Regel, mit der ich alle ntp-Anfragen, die aus dem LAN kommen immer auf die OPNsense umleite und damit deren lokalen ntp-Dienst.
ntp nach extern ist aus dem LAN heraus geblockt bzw. nur auf die OPNsense erlaubt.
Hintergrund sind die Android Devices in meinem LAN (z.B. Tablet). Die sollen die Zeit von der OPNsense beziehen bzw. bekommen. Leider versuchen die aber auf einen externen Server zuzugreifen.
Meine Idee ist jetzt, dass alle Anfragen auf externe Server, die ntp betreffen auf die OPNsense umgeleitet werden.
Nur wie!? 

Gruß
Dirk

126

German - Deutsch / Re: OPNSense Neuling sucht Hardware

« on: January 11, 2019, 01:28:12 pm »

Der neue odroid h2 wäre auch noch ne Überlegung wert

Moin,
auf den 1. Blick fand ich das Teil auch sehr interessant. Im Detail sind dann aber schon ein paar Haken. Die odroid H2 ist ja leider recht beschränkt (nur 2 x NIC) und keine Möglichkeit der Erweiterung z.B. per m-pcie slot. Dazu leider nur Realtek-Chipsatz für die NIC.
Dann braucht es noch ein Gehäuse (Lüfterlos!?) und passendes Netzteil. Leider ist 15V auch etwas abseits vom Bastel-Standard (5V oder 12V). 
Klar, kann man Alles kaufen, dann liegt man aber preislich auch gleich wieder im Bereich der Qotom-Teile.

Gruß
Dirk

127

Hardware and Performance / Re: OpenVPN performance

« on: January 10, 2019, 04:50:20 pm »

Hi,
an XEON X5550 is a rather old cpu which don#T support AES-NI.
I think you reached the limit of the cpu.

best regards
Dirk

128

Hardware and Performance / Re: Is it possible to enable TP-Link T2UH Mediatek MT7610U chip usb wifi?

« on: January 09, 2019, 11:26:35 am »

Hi,
AFAIK for the Mediathek MT7610 Chipset is no driver for freebsd avaiable. Also no support for OPNsense!

best regards
Dirk

129

German - Deutsch / Re: Firewall Regel Verständnis Frage

« on: January 07, 2019, 01:37:17 pm »

Jetzt will ich zum LAN2 noch ein WLAN hinzufügen. Ich habe mir ein kleinen TP Link WLAN Router gekauft. Jetzt schließe ich den ans LAN2 an, und bekomme zwar noch mal NAT weil es ja ein Router ist, bzw. ich weiß nicht ob ich diesen auch als reinen AP nutzen kann. (Ist es ein Probelm Vor/Nachteile zum reinen AP?)

Moin,
sehr viele WLAN-Router lassen sich auch als reiner AP nutzen. Einfach mal im Handbuch schauen.
Ich würde den einen AP bzw. den AP-Modes gegenüber einem Router bevorzugen. Problem hast Du ja bereits genannt (NAT). 
Die meisten halbwegs aktuellen AP unterstützen auch VLAN und MultiSSD. So kannst Du mit nur einem AP verschiedene WLAN für Dein Netz bereitstellen (z.B. intern, Gast, IoT, usw.).

Sehr gute Erfahrungen habe ich mit den AP von Ubiquiti (Unifi AC Pro) gemacht. Gerade wenn man mehr als 1-2 AP hat/benötigt, lernt man die Features schnell zu schätzen. Dazu laufen die Teile extrem stabil und unterstützen sowohl 2,4 als auch 5 Ghz.

Gruß
Dirk

130

German - Deutsch / Re: Firewall hinter der Fritzbox- dhcp und IPv6

« on: January 03, 2019, 08:24:38 am »

@jacolani
Du kannst IPv6 deaktivieren. Bringt Dir aber eigentlich keinen echten Vorteil. Ich habs auf der OPNsense weiter aktiv, nutze es aber halt nicht...

So lange Du von Deinem Heimnetz aus nur auf das Internet zugreifen willst ist ein 'DSL-Lite'-Anschluss kein Problem. Erst wenn Du selbst aus dem Internet auf Dein Heimnetz zugreifen möchtest (z.B. per VPN auf Dein NAS zugreifen -> Dienste anbieten), bekommst Du mit dem 'DSL-Lite' ein Problem.
Da Du eben keine öffentliche IPv4-Adresse hast, kannst Du Dich nicht per IPv4 mit Deinem Netzwerk verbinden. Das würde eben nur mit IPv6 oder einem vollwertigem DSL-Anschluss funktionieren (Dual-Stack mit IPv4/IPv6).
Leider ist IPv6 immer noch nicht wirklich in der Praxis angekommen. Z.B. läuft das gesamte VF-Mobilfunknetz immer noch auf IPv4.
Von daher gibt es m.E. zu IPv4 z.Zt. keine Alternative, wenn Du selbst Dienste bereit stellen willst.

VoIP-Telefonie funktioniert problemlos mit dem Exposed-Host der FritzBox.

131

German - Deutsch / Re: Firewall hinter der Fritzbox- dhcp und IPv6

« on: January 02, 2019, 02:36:01 pm »

Moin!
zu 1:
Grundsätzlich ist es kein Problem weiterhin IP v4 zu nutzen. Selbst große Firmen betreiben Ihre internen Netze weiterhin als IP v4. In der Regel handelt es sich ja ohnehin um private Netzwerke nach RFC1918.
Probleme könnte es bringen, dass Du von Unitymedia möglicherweise einen sog. "DSL-Lite" Anschluss bekommen hast. Das bedeutet, dass der Anschluss keine aus dem Internet erreichbare IPv4-Adresse hat. Willst Du nach außen hin also Dienste anbieten (z.B. VPN-Zugang), kannst Du mit IP v4 nix anfangen!
Dann musst Du IP v6 nutzen, oder Unitymedia darum bitten Dir einen echten IP v4-fähigen Internetzugang zu schalten.

zu 2:
Ist durchaus so üblich und wird auch von vielen so genutzt (u.A. auch von mir  ).
Ich würde empfehlen in der FritzBox den 'Exposed-Host' zu aktivieren. Der 'Exposed-Host' ist der Rechner/bzw. die IP-Adresse, an den der gesamte externe Traffic von der FritzBox weitergeleitet wird. Die OPNsense wäre dann der 'Exposed-Host'.
Vorteil ist, dass Du Dich bei der Konfiguration dann ganz auf die OPNsense konzentrieren kannst. Wenn Du also z.B. ein VPN-Zugang einrichtest, mußt Du die Einrichtung nur noch auf der OPNsense machen. Eine evtl. Portweiterleitung von der FritzBox an die OPNsense entfällt dann.
Man muss aber auf jedem Fall daran denken, dass in der Konstellation Router->OPNsense in der WAN-Konfiguration der OPNsense die Option 'Block RFC1918 Networks' deaktiviert werden muss!!!

Ob die OPNsense jetzt hinter der FritzBox Ihre IP per DHCP oder als feste IP bekommt ist eigentlich egal. Meine OPNsense bekommt per DHCP immer die gleiche IP von der FritzBox (feste Reservierung). Wichtig ist halt, dass sich die IP nicht ändert, da es auch die Adresse des 'Exposed-Host' ist.

Gruß
Dirk

132

German - Deutsch / Re: Regel für Mail / Postfix

« on: December 25, 2018, 02:08:49 pm »

Davor ist eine Fritzbox mit Freigabe als Exposed Host für die WAN-Schnittstelle.
Das sollte doch ausreichend sein?

Yep, reicht prinzipiell aus.
Aber daran denken, dass auf dem WAN Interface der OPNsense die Option 'Block private networks' deaktiviert ist!

Gruß
Dirk

133

German - Deutsch / Re: Welcher Wlan USB-Stick oder Mini-Pci-Express Karte?

« on: December 22, 2018, 10:11:17 am »

Moin,
kann auch nur empfehlen einen externen WLAN AP zu nutzen!

Wenn es unbedingt hostap sein soll/muss. M-PCIe Karten mit einem Atheros 9280 Chipsatz funktionieren i.d.R. ganz gut. Aber bitte prüfen, ob es wirklich ein echter mPCIe Steckplatz ist! Bei diversen Boards sind nur die USB Leitungen auf den Steckplatz geführt. In solchen Steckplätzen funktionieren nur USB Devices.
Bei USB funktionieren Sticks mit Ralink Chipsätzen am Besten.
Grundsätzlich ist hostap aber nur eine Notlösung. Jeder 20€ AP liefert ein stabileres WLAN.

Gruß
Dirk

134

German - Deutsch / Re: Regel für Mail / Postfix

« on: December 21, 2018, 06:09:53 pm »

Moin,
wie ist die Opnsense mit dem Netz verbunden (z.B. PPPoE, FritzBox!)?
Je nach Anbindung muss ggf. noch ein Portforwarding auf dem vorgeschalteten Gerät eingerichtet werden.

Gruß
Dirk

135

German - Deutsch / Re: Opnsense - Hamburg

« on: December 20, 2018, 11:11:36 am »

Moin,
komme aus HH-Barmbek und wäre dabei (auch beim Biertrinken  )

Gruß
Dirk