OPNsense Forum

Hi. Ich benutze die Black Dwarf G3 mit opnsense. Bis letzten Monat hatte ich securepoint drauf laufen.
Mit securepoint lief alles easy und die CPU schnurrte nur so vor sich hin.
Deshalb bin ich nun verwundert, dass mit opnsense die CPU fast durchgehend auf 100% ist.
Hab ich nen Fehler, oder braucht opnsense so viel ressourcen?

Gruß Chris

Ruf doch mal "top" auf und guck nach, was da die CPU belegt ...

"top"?

Gruß Chris

SSH? Kommandozeile? Was man normalerweise so tut, wenn man mit einem System ein Problem hat?

Klartext: aktiviere im UI SSH-Login, leg dir einen User dafür an, log dich per SSH auf der OPNsense ein und tippe

t o p <ENTER>

Der Prozess, der am meisten CPU-Zeit verbraucht steht ganz oben.

Also ich bin ja über jede Hilfe dankbar, aber könntest du es vielleicht ein wenig genauer beschreiben?
Wenn ich mich per ssh einlogge und enter drücke kommt folgendes. Aber keine Prozesse.

firewall.hs-haida.de: OPNsense 22.1.10 (amd64/OpenSSL)

LAN1 (igb0) -> v4: 192.168.81.250/24

VLAN_20_IoT (vlan02) -> v4: 192.168.20.250/24

VLAN_50_RWG (vlan05) -> v4: 192.168.50.250/24

VLAN_60_Neuberger (vlan06) -> v4: 192.168.60.250/24

VLAN_70_FON (vlan07) -> v4: 192.168.70.250/24

VLAN_80_MOBILE (vlan08) -> v4: 192.168.80.250/24

WAN (igb2)      -> v4/DHCP4: 192.168.178.20/24

WAN2_LWL (igb1) -> v4/DHCP4: 192.168.1.216/24


HTTPS: SHA256 E3 1F F9 81 26.......
            0C 72 BC F5 81 B7 0......
SSH:   SHA256 FX5VBW........
SSH:   SHA256 /Bmlm8.....
SSH:   SHA256 g4YRgtZ.....

  0) Logout                              7) Ping host
  1) Assign interfaces                   8) Shell
  2) Set interface IP address            9) pfTop
  3) Reset the root password            10) Firewall log
  4) Reset to factory defaults          11) Reload all services
  5) Power off system                   12) Update from console
  6) Reboot system                      13) Restore a backup

Quote from: Chris420 on July 13, 2022, 05:42:31 PM
Also ich bin ja über jede Hilfe dankbar, aber könntest du es vielleicht ein wenig genauer beschreiben?
Wenn ich mich per ssh einlogge und enter drücke kommt folgendes. Aber keine Prozesse.

firewall.hs-haida.de: OPNsense 22.1.10 (amd64/OpenSSL)

LAN1 (igb0) -> v4: 192.168.81.250/24

VLAN_20_IoT (vlan02) -> v4: 192.168.20.250/24

VLAN_50_RWG (vlan05) -> v4: 192.168.50.250/24

VLAN_60_Neuberger (vlan06) -> v4: 192.168.60.250/24

VLAN_70_FON (vlan07) -> v4: 192.168.70.250/24

VLAN_80_MOBILE (vlan08) -> v4: 192.168.80.250/24

WAN (igb2)      -> v4/DHCP4: 192.168.178.20/24

WAN2_LWL (igb1) -> v4/DHCP4: 192.168.1.216/24


HTTPS: SHA256 E3 1F F9 81 26.......
            0C 72 BC F5 81 B7 0......
SSH:   SHA256 FX5VBW........
SSH:   SHA256 /Bmlm8.....
SSH:   SHA256 g4YRgtZ.....

  0) Logout                              7) Ping host
  1) Assign interfaces                   8) Shell
  2) Set interface IP address            9) pfTop
  3) Reset the root password            10) Firewall log
  4) Reset to factory defaults          11) Reload all services
  5) Power off system                   12) Update from console
  6) Reboot system                      13) Restore a backup

Wenn du in SSH drinne bist kannst du dich einloggen und dann gibst du "8" ein für die Shell.

Dann steht da root@xxx:~ #

Dort dann top.

Ah. Danke :-)
Noch top eingeben und dann enter drücken..

wechselt immer mal durch.. python3.9  suricata, php cgi

vielleicht spiel ich sie einfach noch mla ganz neu auf und schaue ob es sich bessert

Also Suricata ist klar, das ist IPS.

Aber was unter python läuft weiß ich leider nicht.

Aber bei mir ist auch python ganz oben also Systemrelevant.

Aber ich weiß auch nicht was das für ne CPU ist, würde mich mal interessieren weil ich das durch kurze Rechere im Netz nicht finde.

Intel(R) Atom(TM) CPU E3815 @ 1.46GHz (1 cores, 1 threads)

Das ist für Suricata vielleicht ein wenig schwach?

Quote from: Chris420 on July 13, 2022, 06:25:35 PM
Intel(R) Atom(TM) CPU E3815 @ 1.46GHz (1 cores, 1 threads)

Quote from: pmhausen on July 13, 2022, 06:33:30 PM
Das ist für Suricata vielleicht ein wenig schwach?

Ja, der ist unglaublich schwach. Wenn ich den mit meinem Futro vergleiche ....
Mich wundert sowieso das mit so ner "unattraktiven" CPU, OPNsense läuft ... aber es ist ja immerhin >1GHz

Aber das könnte durchaus ein Problem sein, die Wertung ist wirklich unterirdisch. OPNsense in der Basic-Installation sollte kein Problem sein ... aber mit Plugins sehe ich das schon schwieriger.

Mach mal Suricata aus und guck, ob das System dann stabil und mit der nötigen Performance läuft. Wenn ja, dann ist es eben so, dass die CPU zu schwach ist, dann ist die Diagnose da recht eindeutig.

Also ich hab jetzt opnsense neu aufgespielt und neu konfiguriert. Also komplett auf standard...
CPU 7% durchgehend und hin und wieder ein 100% peak..
Dann ist die Black Dwarf G3 für OPNsense wohl zu schwach..
Schade.. dann brauche ich andere Hardware..
Mit Securepoint lief die mit voller konfiguration, proxy, webfilter, verschiedene vpns usw. Da hatte die mal 10% wenn es hoch kommt und 500MBit LWL war kein Problem..

Naja.. Nutzt nix.. Neue Hardware muss her

Aber vielen Dank für eure Unterstützung.


Gruß Chris

Vielleicht irgendwelche ASICs am Start, die Teile davon in Hardware gemacht haben? Mit sowas kann ein Open Source Produkt dann eher nicht so ... muss alles durch die eine CPU ...

Ich hatte OPNsense problemlos auf einer RC100 G2 laufen, die hat nur einen D510. Die hat mit Suricata etwa 150Mbits down gemacht. Aktuell bin ich auf RC100 G3 mit E3845. Diese Peaks habe ich seit jeher (auch ohne Suricata), allerdings sehe ich davon auch nur was im widget, im SNMP Monitoring taucht davon nichts auf, laut top wird es von python verursacht, allerdings ist hier nur selten etwas nachvollziehbar bzw. übereinstimmend mit dem Widget.

Ich ignoriere es einfach :)

Gab es nicht mal einen Thread, dass das Dashboard selbst die hohe Last verursacht?

Ja, aber ich glaube das war ein Problem mit dem Interface (?) Widget, was schon behoben wurde.
Ich lasse top gleich mal nebenbei an ohne dass ich das Dashboard offen habe...

... ändert nichts.
Auch ohne in der GUI zu sein gibt es diese Peaks durch Python, immer nur für 1-4 Sekunden, liegt aber sicherlich am Aktualisierungsintervall von top. Außerdem fällt auf, dass es exakt jede Minute auftritt, und zwar zu jedem Beginn einer Minute. Dazu passt 1       *       *       *       *       (/usr/local/sbin/configctl -d syslog archive) > /dev/null

Mach ma `ps awwux | grep python`, dann siehst du, was genau der Interpreter da tut. Und dann weiß Franco vielleicht mehr.

Der Erste ist das Ergebnis vor und nach der vollen Minute. Der Zweite zur vollen Minute (bei den Peaks).


root@xxx:~ # ps awwux | grep python
root    390   0.0  0.6   36212  22540  -  Is   Fri17       0:02.03 /usr/local/bin/python3 /usr/local/opnsense/service/configd.py (python3.9)
root    423   0.0  0.9   64836  37040  -  I    Fri17       0:18.87 /usr/local/bin/python3 /usr/local/opnsense/service/configd.py console (python3.9)
root  69730   0.0  0.3   23716  12384  -  S    Fri18       0:53.74 /usr/local/bin/python3 /usr/local/sbin/configctl -e -t 0.5 system event config_changed (python3.9)
root  70021   0.0  0.3   23952  12472  -  S    Fri18       0:48.71 /usr/local/bin/python3 /usr/local/opnsense/scripts/syslog/lockout_handler (python3.9)
root  80918   0.0  0.1   12740   2360  0  S+   10:32       0:00.00 grep python
root@xxx:~ # ps awwux | grep python
root    390   0.0  0.6   36212  22540  -  Is   Fri17       0:02.03 /usr/local/bin/python3 /usr/local/opnsense/service/configd.py (python3.9)
root    423   0.0  0.9   64836  37040  -  I    Fri17       0:18.87 /usr/local/bin/python3 /usr/local/opnsense/service/configd.py console (python3.9)
root  69730   0.0  0.3   23716  12384  -  S    Fri18       0:53.74 /usr/local/bin/python3 /usr/local/sbin/configctl -e -t 0.5 system event config_changed (python3.9)
root  70021   0.0  0.3   23952  12472  -  S    Fri18       0:48.71 /usr/local/bin/python3 /usr/local/opnsense/scripts/syslog/lockout_handler (python3.9)
root  82681   0.0  0.6   38004  24608  -  R    10:33       0:00.66 /usr/local/bin/python3 /usr/local/opnsense/scripts/filter/update_tables.py (python3.9)
root  84245   0.0  0.1   12740   2360  0  S+   10:33       0:00.00 grep python


/usr/local/opnsense/scripts/filter/update_tables.py (python3.9)
scheint also der Verursacher zu sein, dazu gibt es
*       *       *       *       *       (/usr/local/bin/flock -n -E 0 -o /tmp/filter_update_tables.lock /usr/local/opnsense/scripts/filter/update_tables.py) > /dev/null

in der crontab, den ich vorhin übersehen habe.

Damit es nicht zur Verwechslung kommt: Das ist das Verhalten bei mir, noch ist unklar ob es beim TE das Gleiche ist.

Hi alle zusammen,
da es hier ja schon Geschafft worden ist opnsense auf einer black dwarf g3 zu installieren dachte ich mir das die Wahrscheinlichkeit eine Antwort zu kriegen hier am höchsten ist. Ich habe vor kurzem eine Black Dwarf G3 Rev. 2 bekommen und wollte OPNsense darauf installieren. Leider bin ich in diesem gebiet noch grün hinter den Ohren und bekomme dies einfach nicht hin. Ich bin auch noch nicht in der Lage gewesen in das Bios der Firewall zu kommen weder mit einer F taste, esc oder del. das einzige was ich beim drücken dieser Tasten angezeigt bekomme ist :

Securepoint OS - current
Securepoint OS - new
Securepoint OS - old
Reboot Into Firmware Interface

Falls mir einer von euch Helfen könnte würde ich mich freuen

VG

Ist eigentlich kein Hexenwerk... Versuche es mal mit einer anderen Tastatur und ohne USB Hub bzw. mit einem anderen.
BIOS war glaube ich über ENTF.

Ansonsten aber bitte nen eigenen Thread, sonst ist das hier komplett irritierend wenn plötzlich eine andere Hardware und ein ganz anderes Thema am Start sind ;)