Fritzbox und OPNsense

xNecromindx · 12 November 2024

Dann möchte ich gern die Kinder tauschen...
Aber mal davon abgesehen, dein Equipment für sich zieht mal insgesamt so etwa 200W Dauerstrich. Da ist eine Mittelung mit Lastspitzen noch nicht eingerechnet. Das sind für sich ja schon grob 1700kWh/p.a.
Sollte man nicht unterschätzen, was sich da für ein Standby-Verbrauch aufsummiert.

P-F-S · 12 November 2024

Wenn alle deine Kinder windelfrei, halbwegs erzogen und selbstständig sind geb ich dir für den Tausch sogar nen Vertrauensbonus und schick dir meine als erstes hahaha xD

Ja Unrecht hast du nicht. Die 200w +/-20w hatte ich auch so circa im Kopf.

Das sagen wir aber nicht meiner Frau, wenn die Jahresendabrechnung kommt versuch ich das darauf zu schieben, dass sie nachts ständig die Glotze laufen lässt xD

xNecromindx · 12 November 2024

Ich ahne das Problem... ne, behalt mal

Ich schiebs immer auf den Sohn: "Immer den PC an... 3 einzelne Chickennuggets im Backofen..." ... Ich muss ja schon mal vorarbeiten, wenn er in ein paar Jahren womöglich mal einen Job hat und uns noch immer auf die Nüsse geht, kann ich dann ja mal anfangen die Hand auf zu halten - oder optional den Strom und das Internet abzustellen

P-F-S · 12 November 2024

Scheint nen Klassiker zu sein. Besonders gut finde ich auch ( wobei das in erster Linie nichts mit dem Stromverbrauch zu tun hat ) -> Heizung an, aber Fenster auf.
Besonders gut finde ich auch im Sommer -> Spät abends / Nachts Fenster offen, Licht an und wundern wieso die ganzen Viecher reinkommen.

Hat dein Sohn denn schon wenigstens die Funktion eines Türgriffs verstanden?
Meine Kinder ziehen noch immer wie Höhlenmenschen die Tür zu... und das obwohl ich mit Chatgpt schon ne wirklich simple 3-Schritte-Anleitung geschrieben hab die ich an meine Kinder geschickt hab xD

Ja... Kinder sind schon was.... schö.... ehhhhm -> besonderes

Versuch meine 13-Jährige zum Zeitung austragen zu motivieren ;-)
Bisher.... ohne Erfolg weil "Bewerbung schreiben" ja so unheimlich kompliziert ist...

Ab 18 gibts spätestens Pauschale fürs WLAN :-D

xNecromindx · 12 November 2024

Na, noch besser: Die haben Impulserhaltung verinnerlicht: Tür, Schwung, Rumms!

Frei nach Torsten Sträter: Kinder, sie werden so schnell... doof...

P-F-S · 16 Februar 2025

@xNecromindx : wie sieht das bei dir mit nem honeypot aus?

Bin da schon die ganze Zeit am überlegen... Meine OPNsense hat ja noch Ressourecen xD
Mittlerweile so viel dran rumkonfiguriert. GeoIP mit MaxMind, ClamAV, Zenamor, Adguard, Maltrail... Achja automatische (Cloud) Backups über Gmail-Acc

Bei Crowdsec bin ich grade auch schon am überlegen xD
Aber... ich hab so keine Lust mir das System lahm zu legen haha :-D

Muss ich mal an nem Tag machen wo alle anderen ausm Haus sind bevor was schiefgeht xD

Muss aber generell sagen: Umso mehr ich meine OPNsense nutze, Plugins einrichte, Regeln erstelle... und und und -> Umso mehr lern ich das Ding lieben. Würde niewieder auf "Fritzbox"-Only oder was anderes wechseln.

Nen Kumpel von mir hat die Dream Machine Pro von Unify... Joa Schickes GUI hat die xD
Auch sehr "einfach". Aber da biste halt bei weitem nicht so frei wie bei der OPNsense...

xNecromindx · 17 Februar 2025

Bei mir persönlich oder meinst die OPNsense?

Hatte ich früher mal am laufen, zur reinen Belustigung meinerseits.
Mittlerweile orgeln aber nur noch Bots herum, so dass das keinen Reiz mehr hat.
Wenn du da also zum Spaß "Sandkästen" hinstellst, führt das nur dazu, dass alle möglichen Bots da drüber rauschen und alles möglich probieren und am Ende womöglich sogar bei dir die Performance leidet, weil das wie eine Art DoS Attacke wirkt.

Da sind Dinge wie CrowdSec, die Port-Scans oder failed login attempts wegblocken weit besser. Das reduziert die Einwirkmöglichkeit für das Gegenüber temporär auf ein Minimum.
Schön wäre, wenn man das Fernsteuern könnte, so dass ich z.B. von den Servern hinter der Firewall solche Fehlverhalten an CrowdSec pushen könnte. Wenn ich mal Zeit habe (also vermutlich nie), muss ich mal schauen, ob man das irgendwie realisieren kann.

Du musst einfach crowdsecurity/whitelists installieren, um alle lokalen Aktivitäten aus der Bewertung auszuklammern.
Wenn ich mich recht erinnere wird diese Liste per Default nicht mitinstalliert.

Vorige Wochen lief CrowdSec bei mir aber nicht mehr, von jetzt auf gleich. Ich vermute, dass das im Rahmen von Update passiert ist.
Scheinbar lief das alles, jedoch konnte ich selbst mit Tests von außen Portscans zu verursachen, CrowdSec nicht dazu bewegen irgend einen Block zu initiieren, geschweige, dass das Teil davon etwas mitbekommen zu haben schien.
Ich hab da dann einen Abend bis spät in die Nach herumtüfeln müssen, mit sehr vielen manuellen Eingriffen. Musste dann in der SSH Konsole herumwürgen um Rest von CrowdSec zu entfernen, weil deinstallieren und neu installieren nichts änderte. Nach dem manuellen Aufräumen ging es dann wieder mit der Erkennung, dann wollte der Bouncer aber nicht starten. Dann musste ich da wieder manuell eingreifen, nur um zu sehen, dass er in den Logs nun über den falschen API Key meckert. Da musste ich dann auch herumsuchen, um den in den Configs zu finden...
Diese Limurx-Aspiranten (gut, hier isses BSD...) machen alles immer so unnötig unübersichtlich. Bekomm ich jedes mal nen Hals bei dieser Scheiße...

Naja, auf jeden Fall läuft es jetzt wieder und das 25.1 Update hat es, wie es scheint, auch überlebt.

Vielleicht lag es auch daran, dass ich die Logs in den RAM verschoben habe (Option im Webinterface). Weil ich derweil Haltbarkeitsprobleme mit der SSD in dem System bekomme. Nach einem halben Jahr Laufzeit hat OPNsence da jetzt 20% Lebenszeit weggeorgelt. Seit ich das gesehen hatte (da gibt es ein SMART Plugin), tweake ich da herum, um das Schreiben auf ein Minium hin zu optimieren.

Ich hab die Dinger noch nie gemocht. Hardware gut, Software aber halt eher meh. Was für Home-User Dummys.
Hab damals eine beim Abschluss des DSL Vertrags "geschenkt" bekommen. Die war nie am DSL Anschluss installiert. Seit Anbeginn läuft die nur als SIP-Gateway, für die Telefone im Haus. Wegen dem Resin Drucker hatte ich jetzt nach 10 Jahren das WLAN bei dem Teil mal aktiviert.
Hab sogar noch eine herumliegen, weil ich vor Jahren mal bei 1&1 im Rahmen einer Vertragsänderung schlicht und einfach im Bestellprozess den Kostenlos-Router nicht abwählen konnte. Hab da mehrfach herumprobiert. Ging einfach nicht. Musste mir den schicken lassen. Seither liegt der original verpackt im Schrank. Ich hab nicht einmal den Versandkarton geöffnet, in dem die mir den Kasten geschickt haben. Das ist so wie es gekommen ist, im Schrank gelandet.
Ist ja offiziell einer dieser späteren Kostenlos-Router, die man nach Vertragsende zurückgeben muss, schreiben die. Tja, falls das hier mal mit dem Glasfaseranschluss endlich was wird, werden die sich sicher wundern, wenn die irgendwann ein original verpacktes Dingen zurück bekommen...

Tja, heißt ja nicht ohne Grund "Dream Machine". Die träumt halt nur davon, das zu können, was die anderen können...

Unify mag ich auch nicht. Ist mir zu Apple-Like, in der Art von Design over Function.
Es scheint wohl Leute zu geben, die sich auf einen Access-Point oder ner Klicki-Bunti-UI einen runter holen. Für mich muss der Mist einfach funktionieren und zwar so, wie ich das haben möchte und nicht, wie der Hersteller es mir gestattet. Mich interessiert die Meinung des Herstellers nicht - er ist der Dienstleister.
Dem werf ich nen Groschen hin und dann will ich den tanzen sehen. Punkt.

P-F-S · 17 Februar 2025

Hmm... das ergibt Sinn :-D
Da hab ich noch gar nicht dran gedacht.

Wobei ich auch immer wieder der Meinung bin, dass mal als Heimanwender mit ner OPNsense schon ziemlich OP ist.
Mal abgesehen davon, dass man als Heimanwender ohnehin schon nen relativ uninteressantes Angriffziel darstellt ( solange man nicht einmal mal fahrlässig gewisse oder einfach alle Ports öffnet ). Gibt bei Unternehmen einfach viel mehr zu holen. Sehe ich ja auf der Arbeit was die Fortigate(s) da alles weghaut. Krankenhausgesellschaft eben, da ist halt deutlich mehr Geld zu holen als bei Heimuser XY.

Zumal man ja auch immer in der Masse denken muss. Fritzboxen, Easyboxen ( gibts die Mistdinger überhaupt noch? xD ) oder die Speedports sind halt DEUTLICH mehr vertreten als so ne OPNsense. Wenn jemand also an die Heimnutzer will guckt der halt auch vorher eher nach "was ist einfach", "was ist oft vertreten" usw...

Ich glaub da fällt man für die meisten Sachen einfach als OPNsense Heimanwender schon raus. Wenn man dann noch Zenamor, IDS/IPS, Mailtrail, ClamAV nutzt... denke da ist man schon auf ner "relativ" sicheren Seite.

Lass es mich wissen wenn d da was erreicht hast ^^

Das macht mir Crowsek jetzt nicht sympathischer hahaha xD

Ja das ist bei Linux-Menschen echt krass xD
Stelle mir das manchmal vor wie so nen durchschnittlicher Apple-User versucht sich Linux anzueignen, nen paar Tutorials und Foren dafür versucht zu lesen und danach einfach nen Fall für die Klapse ist xD

Ja ich glaub das hab ich. Muss mich nur mal durchklicken wo ich im GUI die SMART werte der SSD auslesen kann. Oder machste das über SSH/Shell?

Interessant wäre wenn man einfach ne zweite SSD reinknallen könnte und die in Regelmäßigen Abständen ( was weis ich -> Einmal Wöchentlich ) sozusagen vollständig spiegelt. Fällt die eine aus -> Neustart und von der anderen Booten.

Bei meiner OPNsense wird zwar die Config immer wieder in GDrive gebackupt, allerdings weis ich grade ausm FF raus nicht was da wirklich alles drin ist. Also, falls man OPNsense mal fix auf ner neuen SSD installiert und die Konfig zieht, ob er sich da alles lädt.

Allerdings hatte ich damals OPNsense nur über den Stick laufen ( bis ich mich mal gefragt hab wieso die Partition angeblich zu 98% voll ist xD )
Habs dann über die Shell auf der SSD installiert und er hat alles vollständig übernommen.
Eigentlich müsste das auch gehen, dass man noch ne SSD einbaut und dann über die Shell den Installer ausführt, halt gegen "kurz vor Ende der SSD-Lebenszeit". Eigentlich müsste er dann auch alles übernehmen -> Theoretisch

Ja ich glaub als "Normaluser" ist so ne Fritte schon "das Beste"... zumindest bekomm ich immer nen absoluten Krampf wenn ich irgendwas am Speedport meines besten Freundes mal einstellen soll.

Zumindest als AC-Point doch ggf nicht schlecht, sofern es mindestens WIFI 5 ist.

Vorausgesetzt da kräht nen Hahn nach.

Ich warte auch drauf.... Wobei mir 500mbits schon reichen würden... naja eigentlich reichen die aktuellen 250 auch... Aber -> Ich will mehr xD

Die sind auch nichtmal günstig... für den Preis von ner UDM-Pro kannste dir schon wirklich ne dicke OPNsense bauen. Vernünftige Netzwerkkarte, kleine SSD, bisschen Ram und halbwegs potente CPU. Muss ja bei weitem keine neue sein.

Ja er schwört auch mittlerweile auf sein Iphone... und schwärmt von nem MacBook....
Und das als angehender IT-ler... ( Azubi )
Das muss ich ihm echt noch austreiben xD

Joa ich hätte jetzt nichts dagegen wenn das GUI der OPNsense besser aussehen würde xD
Aber die Funktion geht hier ganz klar für mich über das Design :-D
Ist wie bei ner Kaffeemaschine -> Scheiß drauf wie sie aussieht, das was rauskommt muss halt schmecken.

Vollkommen richtige Einstellung

Lapaloma bitte -> Gelbe Gummistiefel xD

xNecromindx · 17 Februar 2025

Es geht da weniger um holen. Ich sehe ja was passiert in der Firewall und die steht täglich unter Dauerbeschuss.
Ich sehe in den Access-Logs des Webservers, der hinter der Firewall läuft, jeden Tag unzählige Zugriffsversuche auf URLs, Scripte, ect. die es auf dem Server nicht gibt, aber gescannt werden, weil dort bekannte Sicherheitslücken existieren.

Es geht dabei überhaupt gar nicht darum jemanden um Geld zu erpressen. Wenn man so ein System findet und rasieren kann, ja, schön - hat man mal Glück gehabt. Es geht aber in erster Linie darum andere Systeme zu Zombies zu machen. So werden die dann Bot-Netzen hinzugefügt und stehen auf Abruf bereit, wenn da mal irgendwo DDoS Wellen losbrechen sollen oder sonst was für Angriffe.

Man erinnere sich mal an die Welle ausgefallener Telekom-Router vor einigen Jahren zurück. Niemand hatte vor diese Dinger ausfallen zu lassen. Das war einfach ein Nebenprodukt einer Angriffswelle, die anfällige Router übernehmen sollte, nur hatten die Telekom-Dinger einen Bug und stürzten deswegen ab.
Über Wochen fegte ein Sturm von Requests über meine Firewall, die die einschlägigen Ports für diesen Angriff betrafen.

Für deine Daten interessiert sich keine Sau. Die wollen deine Geräte nutzen...

Keine Ahnung, ist ne 7490. Was dieses Marketing-Definitionen im Detail für Specs haben, müsste ich erst einmal nachschauen. Ist für uns eh schnuppe welches WLAN es ist, weil die einzigen Geräte im Haus die mit WLAN laufen sind die Handys. Das Kriterium Performance/Durchsatz ist da vollkommen unbedeutend. Von mir aus kann es auch ein 11b WLAN sein (11Mbit/s).
Die Fritzbox steht mit den Ports auf Energiesparmodus und macht damit ohnehin nur 100Mbit/s.

Sehr wahrscheinlich nicht.

Ich hab auch 500 vorgebucht. Down ist mir völlig Latte, ich wollte den damit verbundenen hohen Upload.
Down ist eh schnell genug.

P-F-S · 17 Februar 2025

Ja das ist klar, grade bei den ganzen "Smart-Home"-Geräten ist das ja ziemlich extrem. Die haben ja meistens wenig bis gar keine Sicherheit. Außer man fängt jetzt mit Zigbee oder LoraWan Zeugs an.

So eine hab ich auch im Keller. Dient nur dazu, dass ich in meinem Server/3D-Drucker-Raum gutes WLAN hab und ich auf die schnelle immer nen LAN-Port frei hab falls ich mal nen Lappi einrichte und die WLAN-Treiber nicht direkt mitinstaliert werden ( Was bei erschreckend vielen HP-Laptops der Business-Klasse der Fall ist ). Oder halt mal nen PC.

Die hat 4x1Gbit-Ports und Wifi4/Wifi5 ( also 5Ghz ). Generell auch recht "kräftig". Ist ähnlich der 7530... vllt bisschen "stärker".

Ja für bisschen Surfen reicht das eigentlich easy, auch für 3D-Drucker.
Wobei ich es schon ziemlich nice finde, wenn ich irgendwo random im Haus mal nen Speedtest durchlaufen lasse und die 250mbits auch in fast jeder Ecke ankommen xD

Ja das stimmt. DSL biste halt bei 250 Down auch max bei 40-45 im Up.
Bei den 500er Glasfaserverträgen haste ja 100 im Up wenn ich das richtig im Kopf hab.

xNecromindx · 17 Februar 2025

Also erstens hätte ich mal gern 250er Vectoring

und zweitens habe ich den 500er genommen, weil da 250MBit Upload mit bei ist (Westconnect).
Aber die lassen sich ja Zeit... letztes Jahr "also wir wollen kommende Woche loslegen..." ... das war im Oktober. Seither ist schweigen im Walde.

P-F-S · 17 Februar 2025

Joa 250mbits in down sind schon ok :-D
Hab den aufstieg von 100 zu 250 auf jeden Fall schon hart gemerkt.
Wobei man auch dazu sagen muss, dass es halt von 20 zu 40 im Up hochging,
grade bei Nutzung von Plex außerhalb des Netzwerks merkste das schon.

250mbits im Up? Das ist natürlich hart geil xD
Neid, Neid, Neid, Neid :-D

Vodafone bietet bei Glasfaser 250/50 - 500/100 und 1000/200 ( down/up )

Wobei die 500/100 schon nice wären. Halt einmal das aktuelle verdoppelt.
Aber naja... ähnliche Problematik wie bei dir -> Wer weis wann xD

Die Leitung sind in der ganzen Straße schon mehr oder weniger gelegt... nur halt nicht bis in die Häuser xD

Fritzbox und OPNsense

Weitere

xNecromindx

Namhafter Pirat

P-F-S

Das bersonifiziere Pöse

xNecromindx

Namhafter Pirat

P-F-S

Das bersonifiziere Pöse

xNecromindx

Namhafter Pirat

P-F-S

Das bersonifiziere Pöse

xNecromindx

Namhafter Pirat

P-F-S

Das bersonifiziere Pöse

xNecromindx

Namhafter Pirat

P-F-S

Das bersonifiziere Pöse

xNecromindx

Namhafter Pirat

P-F-S

Das bersonifiziere Pöse