HW Auswahl - Eigenbau

Habe zur Verbrauchsoptimierung jetzt mehrere Server zusammengefasst.

Von daher ein paar Gigabyte mehr RAM... Homeassistent, Omada, OMV, ... laufen so entspannt neben Opnsense auf einem kleinen kleinen Proxmox Rechner.

Weiß nicht wie viel größer die Sicherheit ist, wenn ich das ganze auf einen eigenen Rechner packe (nur Opnsense) wo die zwei Ethernetports physikalisch direkt durch opensens angesteuert werden versus der Verteilung über Proxmox...

Habe als Alternative noch den alten n4100 Server mit zwei Ethernetports, der verbraucht auch nur 6 Watt. Aber sofern der Sicherheitsvorteil nicht massiv ist würde ich den lieber für andere Spielereien benutzen...
 
Ich habe die Sense immer nur zum Spielen und Testen in VM verwendet und kann daher nicht beurteilen, wie gut das wirklich funktioniert, etc, aber es wird stets davon abgeraten produktiv mit VM zu arbeiten. Was die Sicherheits angeht- keine Ahnung, darüber habe ich mir nie Gedanken gemacht, für mich ist klar, dass eine Firewall so dediziert wie möglich laufen muss (Aufgaben wie DNS durch AdGuard ordne ich allerdings der Funktion einer FW zu und kann daher damit leben, diesen Dienst zusätzlich auf der HW laufen zu haben).
 
tiermutter schrieb:
aber es wird stets davon abgeraten produktiv mit VM zu arbeiten
Zum Vergrößern anklicken....
Das erzähl mal der "Cloud" ☺️

tiermutter schrieb:
für mich ist klar, dass eine Firewall so dediziert wie möglich laufen muss (Aufgaben wie DNS durch AdGuard ordne ich allerdings der Funktion einer FW zu und kann daher damit leben, diesen Dienst zusätzlich auf der HW laufen zu haben).
Zum Vergrößern anklicken....
"Ich bin Vegetarierer und heute Abend gibt es Steak!"... oder wie ist das jetzt zu verstehen? 🤪 Du kannst nicht hingehen und irgendwas von "dediziert" sagen, wenn Du im gleichen Atemzug eines der wichtigsten Kernelemente im Netzwerk mit irgendwelchen Paketen von Drittanbietern zumüllst. Im dümmsten Fall hat man sich somit auch noch einen offenen Resolver ins Internet gehängt und dann geht es mitunter auch in diese Richtung. Gehe ich jetzt mal nicht von aus, ist aber durchaus erwähnenswert.

Also ganz generell halte ich "garnichts" davon, dass auf eine Firewall noch zusätzliche Software installiert wird. Einzige Ausnahme wäre evtl. wenn man die Firewall "nur" bzgl. der Nutzung einer Drittanbieter-Software installiert und ggf. noch die sonstigen "grafischen" Vorzüge einer *sense nutzen möchte (z.B. bzgl. Countryblocking, RBLs, VPN zwecks Management, etc.)
 
blurrrr schrieb:
Gehe ich jetzt mal nicht von aus, ist aber durchaus erwähnenswert.
Zum Vergrößern anklicken....
Schon richtig soweit... DNS gehört für mich halt zur Firewall, wobei ich auch Bauchweh hätte "irgendeinen" Dienst parallel auf dem Gerät / in BSD zu installieren. Aber immerhin ist das OPNsense-Plugin aus der Repo einer der führenden Entwickler von OPNsense (weshalb ich trotzdem nicht sein Unifi Plugin verwenden würde, weil zu FW-fremd)... daher geht das für mich so iO und ich betrachte es noch nicht als zugemüllt :)
 
tiermutter schrieb:
DNS gehört für mich halt zur Firewall
Zum Vergrößern anklicken....
Für mich nicht, aber ok, da kann man durchaus unterschiedlicher Ansicht sein. Grade wenn es um das Thema "nur" Firewall im Netz geht, ist das mit dem DNS natürlich auch so eine Sache, aber als reiner Resolver (mittels der "bereits integrierten" Funktionalität) sehe ich das auch nicht zwingend als Problem an. Nur wenn dann noch etwas "zusätzliches" dazu soll, wird es in meinen Augen eher problematisch. Ist einfach mal wiede so ein "Grundsatz"-Ding 😄
 
Naja wer macht daheim denn die Namenauflösung, wenn die Clients es nicht direkt extern anfragen? Fast immer die Firewall/ der Router (ich sehe auch keinen Sinn darin, solche Anfragen intern durch die Gegend zu senden). Somit habe ich bei OPNsense u.a. die Wahl:
A) bind
B) unbound
C) dnscryptproxy
D) dnsmasq
E) AGH
wobei alles eigenständig entwickelte Tools sind und bis auf B und D schon direkt in einer OPNsense Installation vorhanden sind, während man sich die anderen Dienste als Plugin ranholen muss wobei E aus der Repo von einem der Entwickler stammt. Das "Zusätzliche" wird ja ohnehin verwendet, fraglich bleibt halt welches davon man nutzen will.
 
Wir sind doch ein bisschen vom Topic abgedriftet wie mir scheint 😅 Reine "Resolver" findet man ja meist immer auf solchen Geräten, alles darüber hinaus halte ich doch für fragwürdig, aber das ist dann wohl auch Geschmackssache.
 
Hallo,
bei der neuen Installation auf dem alten kleinen Rechner ist mir aufgefallen das man zwar das Backup wieder einspielen kann aber alle Plugins fehlen inklusive deren Einstellungen. Gibt es neben dem Image sichern noch andere schlaue Möglichkeiten bei opnsense?

Würde sonst mit einem Live Linux System booten und dann das Image sichern...
 
Unter Anleitungen sind ein paar beschrieben...
- Disk mit Clonezilla o.ä. klonen
- Bootenvironments über das LAN wegsichern

Plugins selbst sind natürlich nicht in der Konfigsicherung enthalten, wohl aber deren Konfig (bis auf Ausnahmen).
Wenn die Plugins also vor dem Restore der Konfig installiert werden, wird die Konfig meist ebenfalls wiederhergestellt, das muss man im Zweifel überprüfen (Configdatei mit Texteditor betrachten).
 
tiermutter schrieb:
Unter Anleitungen sind ein paar beschrieben...
- Disk mit Clonezilla o.ä. klonen
- Bootenvironments über das LAN wegsichern

Plugins selbst sind natürlich nicht in der Konfigsicherung enthalten, wohl aber deren Konfig (bis auf Ausnahmen).
Wenn die Plugins also vor dem Restore der Konfig installiert werden, wird die Konfig meist ebenfalls wiederhergestellt, das muss man im Zweifel überprüfen (Configdatei mit Texteditor betrachten).
Zum Vergrößern anklicken....

Hatte Opnsense auf der zweiten HW neu installiert, Interfaces verlinkt, beide Plugins (WG + Adguard) installiert, Update&Upgrade und dann das Backup eingespielt (WAN war im alten Netzwerk verbunden).

> OPnsense auf dem Proxmox runtergefahren - Zweite HW mit Opnsense WAN an die Glasfaser und
er will partu keine IP adresse bekommen. Hatte die Interfaces noch mal neu zugewiesen aber ohne Erfolg.

Ich glaube ich bleibe erstmal bei Proxmox, hier merkt man erstmal wieder wie - einfach nen Backup einspielen, Console ohne ext. Monitor u.s.w. ist :D
 
Moinsen,
hm, seltsam...vielleicht mal versuchsweise auf der 2. Hardware die *sense nicht mit Backup versorgen, sondern von Start an neu einrichten...
Ansonsten kann ich
Server07 schrieb:
hier merkt man erstmal wieder wie - einfach nen Backup einspielen, Console ohne ext. Monitor u.s.w. ist
Zum Vergrößern anklicken....
bzgl *sense nicht nachvollziehen:
auf der hier laufenden stand alone pfsense ist das alles ebenso möglich, keine Problem mit dem Backup, keine Console mit extra Monitor (ssh)...läuft hier total rund.
 
Ja muss ich am WE probieren, muss am Backup einspielen gelegen haben...
Edit: Ja auch VLAN war verschwunden. Muss ich wohl alles manuell noch mal anlegen!

Bzgl. "Backup" meinte ich nicht *sense intern, sondern dasganze Image und bzgl. console beim einrichten, bevor man in der GUI unterwegs ist, das man das ganze bei Proxmox bequem über die Concole des Containers machen kann und so am Anfang nen Monitor braucht.. Später ist man mit SSH ähnlich unterwegs...
 
Zuletzt bearbeitet:
Moinsen,
läuft die *sense denn alleine auf der neuen HW oder neben anderen Anwendungen? Ist da vielleicht eine Fehlerquelle, wenn irgendwas virtualisiert wird und die Grundkonfiguration nicht stimmig ist?
Ich hab da allerdings zugegebenermaßen keine bis kriminell wenig Erfahrung, hier läuft sowas wie firewall/router immer auf einem eigenen Gerät, also quasi dezidiert pfsense auf APU ohne VM, Proxmox o.ä., da ich eine solche Anwendung als elementar wichtig für das Netzwerk halte, da will ich kein Beiwerk. ;)
 
Aktuell (HW1) läuft sie erfolgreich in einem LXC container in Proxmox. WAN gehört nur an dem OPnsense Container, LAN greifen mehrere Container zu.

Kann wirklich sein, daß das Backup nicht auf HW2 laufen will, dort war OPnsense direkt installiert. Werde es neu aufsetzen...
 
Also schlau bin ich noch nicht draus geworden!
Evtl. mag mein Glasfasermodem keine unterschiedlichen MAC Adressen oder so... die HW1 verbindet sofern immer wieder.

OpnSense neu auf HW2 installiert, ohne Plugins nur LAN & WAN konfiguriert.

re1=WAN scheint keine IP zu bekommen
1688749013631.png
1688749184577.png
Einmal hat es geklappt, aber nach dem Neustart nicht mehr.

Wenn ich WAN im normalen LAN der HW1 anstöpsel, zieht es sofort IP und es läuft....
 
Am Ende war es wirklich die DG. MAC Adresse manuell geändert auf die HW1 und nach paar Minuten lief es dann.
Hoffe mal die 5 Watt lohnen sich als Sicherheitzuwachs mit eigener HW ;-)

Proxmox installation ist aber auch ganz praktisch, falls die Primäre Opnsense mal crashed, kann man die Alternative nur booten & läuft.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 100 (Mitglieder: 7, Gäste: 93)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
4.549
Beiträge
46.550
Mitglieder
4.182
Neuestes Mitglied
DSanders

Teilen

Zurück
Oben