Schlagwort-Archiv: OPNsense

Load Balancing zwischen zwei Internetleitungen mit OPNsense in IPv6 mittels NPTv6

Schreibe eine Antwort

Load Balancing und Failover zwischen zwei Internetleitungen ist eine prima Sache, so gewinnt man einerseits Redundanz und andererseits kann man zumindest in der Theorie die Geschwindigkeit beider Internetleitungen kombinieren. In der Praxis funktioniert letzteres natürlich nur, wenn mehrere Down- oder Uploads laufen oder diese zumindest mehrere Streams verwenden, allerdings ist das bei zunehmend mehr Anwendungen standardmäßig der Fall, darunter insbesondere auch Game-Launcher wie z.B. Steam. Natürlich benötigt man dafür kompatible Hardware, normale Consumer-Router leisten das nicht (es sei denn, man verwendet OpenWRT), aber damit wollen wir uns heute nicht beschäftigen, denn das habe ich bereits hier und hier getan – wer sich für die Umsetzung eines solchen Setups interessiert, der kann diese dort nachlesen. Kurz gesagt: Ich verwende OPNsense als Firewall und Router hinter zwei Internetverbindungen (DSL und Vodafone Kabel).

An sich ist der Prozess für den Multi-WAN Betrieb gut dokumentiert (siehe z.B. hier im OPNsense Wiki), allerdings üblicherweise nur für IPv4. Dort ist das Ganze sehr viel einfacher umzusetzen, da in der Regel NAT verwendet wird, sprich: die Clients im LAN haben keine global routbare Adresse und Anwendungen erwarten das auch nicht. Bei IPv6 verhält sich die Sache natürlich anders, hier ist es üblich, dass jeder Client eine global routbare Adresse hat – NAT ist bei IPv6 zwar grundsätzlich möglich, geht aber eigentlich gegen den Sinn des Protokolls, da es ja endlich wieder Ende-zu-Ende Verbindungen möglich machen soll. Für den Multi-WAN Betrieb birgt das aber einige Probleme, die ich im Folgenden nochmal kurz erläutern und dann eine Lösung mittels NPTv6 vorstellen werde.

Weiterlesen

CrowdSec auf OPNsense mit NGINX Szenarios nutzen

Schreibe eine Antwort

CrowdSec auf der OPNsense ist eine feine Sache und erkennt und blockiert standardmäßig bereits gängige Reconnaissance-Angriffe wie z.B. Port-Scanning. Wer aber NGINX als Reverse Proxy auf der OPNsense einsetzt, der möchte eventuell den Schutz auch auf NGINX ausweiten. Hierzu kann man einfach das NGINX-Szenario aus CrowdSec nachinstallieren, und auf den ersten Blick funktioniert danach auch zunächst alles – aber nur auf den ersten Blick.

Spätestens nach ein paar Tagen wird nämlich bei Betrachtung der Logs auffallen, dass anscheinend keine neuen Angriffe geloggt bzw. geblockt werden – ein Neustart von CrowdSec löst dann das Problem, aber wieder nur vorübergehend. Das mag zunächst verwunderlich wirken, wo doch der CrowdSec Daemon ordnungsgemäß läuft – das Problem ist aber eigentlich recht einfach zu finden. Die Kurzfassung: CrowdSec liest die NGINX logs standardmäßig über Symlinks, also quasi Verweise auf die jeweils aktuellen Log-Dateien ein. OPNsense rotiert diese Logdateien jedoch regelmäßig, was dazu führt, dass CrowdSec sozusagen „die Spur verliert“ und nun eine alte oder nicht mehr existierende Log-Datei einliest. Das passiert deshalb, weil CrowdSec zu Beginn dem Symlink zur eigentlichen Logdatei folgt, aber dann nicht bemerkt, wenn die Logdatei rotiert wird. Um das zu beheben, müssen wir ein paar Konfig-Dateien anpassen bzw. anlegen, aber das ist in wenigen Minuten erledigt.

Weiterlesen

OPNsense als Heimrouter (Teil 2): Die Hardware

Schreibe eine Antwort

In Teil 1 dieser Reihe haben wir uns damit beschäftigt, wie ich überhaupt auf die Idee gekommen bin, OPNsense zuhause als Router einzusetzen, welche Vor- und Nachteile das hat und welche Hardwareoptionen es dabei allgemein gibt. In diesem Teil wollen wir uns nun konkret mit der von mir geählten Hardware beschäftigen.

Wie ich zum Ende des letzten Beitrages bereits angeteasert habe, ist der Anlass dieses Beitrags, dass ich meine bestehende Firewall-Lösung mit neuerer und vor allem leistungsfähigerer Hardware ersetze, wodurch ich beide Lösungen miteinander vergleichen kann – konkret in diesem Fall den Fujitsu Futro S920 als günstigen Einstieg in die Welt von OPNsense, und den HP T740 als leistungsfähige Lösung für alle, die Multi-Gigabit oder Features wie IDS/IPS brauchen, oder die vielleicht sogar die Firewall virtualisieren (Proxmox) und zusätzlich noch andere Andwendungen auf dem Rechner ausführen wollen.

Weiterlesen

OPNsense als Heimrouter (Teil 1): Die Theorie; Pro und Kontra

Schreibe eine Antwort

Schon seit geraumer Zeit betreibe ich in meinem Heimnetz eine OPNsense Firewall. In diesem Beitrag (Teil 1) soll es darum gehen, was eine solche Lösung im Heimnetz nützt, welche Nachteile man evtl. in Kauf nehmen muss und welche Hardware sich zur Umsetzung eignet.

Dies ist als mehrteilige Serie gedacht. In Teil 2 geht es um meine konkrete Umsetzung bzw. die verwendete Hardware und bei Interesse und Zeit könnten auch noch weitere Beiträge folgen. Alle weiteren Beiträge werde ich auch hier verlinken.

Die Vorgeschichte (wie ich auf die Idee kam)

Meine Wohnung besitzt einen mit meinem Vermieter geteilten Kabelanschluss (Vodafone Kabel, ehemals Kabel Deutschland), was in der Theorie schön hohe Internet-Geschwindigkeiten von 500Mbit/s Down und 50Mbit/s Up ermöglicht, weshalb ich von diesem Angebot gerne Gebrauch gemacht habe. Leider hat so ein Kabelanschluss aber auch Nachteile – Kabel ist grundsätzlich ein „Shared Medium“, man teilt sich die Bandbreite also mit den Nachbarn, weshalb die tatsächliche Geschwindigkeit besonders in den Stoßzeiten durchaus auch mal deutlich niedriger liegen kann. Das eigentliche Problem begann aber, als während Corona, als ich den ganzen Tag im Homeoffice bzw. Online-Studium saß, der Kabelanschluss mehrere Wochen am Stück ausfiel. Das war verständlicherweise eher schlecht, weil ich natürlich auf einen funktionierenden Internetanschluss angewiesen war. Als das Ganze sich dann ein halbes Jahr später ein weiteres mal wiederholt hat, ist mir der Geduldsfaden gerissen, und ich habe einen DSL-Anschluss bei der Telekom gebucht.

Der DSL-Anschluss funktionierte zwar viel zuverlässiger als der Kabelanschluss (wobei man fairerweise erwähnen muss, dass ich wahrscheinlich einfach nur Pech hatte: seit dem zweiten längeren Ausfall vor einigen Jahren läuft auch der Kabelanschluss stabil), war aber natürlich deutlich langsamer: nur 200 Mbit/s im Download, nur der Upload war immerhin gleich (50Mbit/s). Also kam ich auf die Idee: „Was, wenn ich die Geschwindigkeit beider Internetleitungen kombinieren kann?“ Man gönnt sich ja auch sonst nichts.

Im Folgenden werde ich nun etwas ausführlicher auf die für mich entscheidenden Vorteile eingehen und anschließend ein kurzes (Zwischen-)Fazit ziehen.

Weiterlesen