Eure Meinung ist gefragt:
Folgender grober Netzwerkaufbau:
VF-Kabelmodem --> FritzBox (Internettelefonie) --> OPNsense --> LAN und DMZ
Frage:
In der #FritzBox die #OPNSense als Exposed Host eintragen oder lieber doch einzelne Portfreigaben auf die OPNSense definieren auf dieser dann die gleichen für die jeweiligen Zielhosts existieren?
Bin mir da unschlüssig, ob durch den Exposed Host auf der FritzBox nicht irgendwelche Nachteile existieren. Auf der einen Seite habe ich ja dahinter die OPNSense als #Firewall, die den weiteren Netzwerkverkehr regelt.
@tux@askfedi_de liest man gegenläufig gern in Foren oder Blogs mit "blabla aber Doppel NAT ist böse, darum einfach in *sense NAT abschalten, Fritte macht das ja eh". Ja gut. Und sind alle Geräte im Home View der Fritte. Bei ISP Box kann also im dümmsten Fall der ISP die kompletten lokalen Geräte auf der Fritte begutachten. Eh no. Nope. Never.
Daher sauberer Exposed Host -> alles läuft zur *sense -> dort filtern, wo der Filter auch den Namen wert ist. Da exp.Host auch kein großes 2-NAT Problem.
@thomas Benutzt du die OPNsense zufällig mit Dual WAN? Ich bin so bisschen auf dem Absprung von meinem mit drölfzig Scripts handgerollten Linux Policy-NAT.
@motoridersd I love seeing all of the Home Assistant integrations people are using that had never even crossed my mind. While I'm not using opnsense, it looks like someone has made a custom pfsense integration too!
adds to growing list of integrations I need to set up
If anyone is looking and in the UK, someone on #ebay is selling #HP#T730 thin client computers for a decent price. Need storage. I've bought a couple and I'm planning to turn one into an #opnsense router. https://www.ebay.co.uk/itm/196104490290
@mxtthxw@botvolution These turned up today and they're 8GB RAM. No storage as described but they take a standard length M.2 SSD so I've ordered a couple of 256GB ones. Some reviews suggest they were locked but I've booted them with a USB and they run that OK.
Spannend. Meine Switche können 802.1Q VLAN und Mac VLAN. Aber leider kein "wenn Du keine Zuweisung hast nimm VLAN 2999" oder so... #opnsense#tplink switch
Leider kann der Switch (TL-SG3424V2) nur veraltete Cryptoverfahren, auch auf ssh-ebene. Das ist schade und ich finde kene aktuellere Firmware als eine von 2015. Und nur deshalb einen neuen Switch kaufen sehe ich nicht ein... (nein, die Switche sind nicht aus dem Internet erreichbar ;)
Either I'm an idiot or #OPNsense (and #PFsense too?) can't filter devices into DHCP pools based on their DHCP vendorclass.
That's annoying if true, because it'll make it pretty hard to use for the IP Phone VLAN.
Someone please prove me wrong... I like just about everything else about it, including being able to use it as an nginx reverse-proxy.
@philpem@ret Ahh, the joys of open source project documentation.
The x86 page seems to have most examples tied into the 2019 stable release.
Startng from 2022 there's the "new better" sysupgrade and the examples on the page are literally taken from x86... though maybe that's just because it was safer to grab them off a VM, rather than because it now works better.
@hl Still, I managed to bring my network up in 30 minutes, including ACLs migration, routing reconfiguration, port-channel to the switch, GeoIP blocking, SSH cert authentication and so on.
@andreab That's cool. I don't really understand much about networking and firewalls, and will only dipping my toes in. Mostly I want a Pi-Hole like DNS sinkhole for ads, and to figure out a way that my young kids can start using some internet enabled devices, but make sure they stay safe.
Here''s something that I've been having a bit of trouble googling an answer for:
My #OpnSense Firewall is protected with HTTPS & a self-signed certificate (or maybe LE). Viewing it on my phone, it shows a page saying it's not trusted and giving me the option to continue anyway, as usual and all is good. On my #iPad, on the other hand, the page title is "This connection is not private" but the page is completely blank...
@adorfer@linuxnews Ja. Die gleiche dummarrogante Selbstsicherheit wie in den verlinkten Tweets. Das gegenüber erst mal kategorisch für unzurechnungsfähig befinden, statt die Möglichkeit in Erwägung zu ziehen, dass man selbst falsch liegt. Unnötig. Deren Hardware ist durchaus interessant.
@nblr@adorfer OPNsense würde sich einen Gefallen tun, den Typ als GitHub/Community Manager abzusägen. Würden meine Firmen/Personal so mit Kunden und deren Anfragen umgehen, wäre die Hütte gleich dicht.
I tried #opnsense way back shortly after it came out and it was rough. I have been hearing good things about it lately though.
I'm just not sure I can bring myself to do the work to take down the network for some time, re-install opnsense, then try to re-create my configuration.
Is there some easy way to migrate? A backup converter or something I could just restore to opnsense?
@rune this is good to hear. I know I need to do it just trying to work out the best way how. I've got a bunch of funky configs to force ad blocking (damned Roku TVs), traffic shaping etc that sound like they might be a pain.
Anyone out there using opnsense as a firewall/router with failover between two different WAN networks setup?
No matter what I do (using gateway groups or default gateways and priorities) it is round-robin-ing between AT&T and Comcast when they're both up. Baffling.