OPNsense Forum

Hallo Leute,

Frage:
Gibt es in FreeBSD/OPNSense ein Problem mit USB Netzwerkkarten die am USB 3.0 Bus hängen?
Hat jemand von Euch ähnliche Erfahrungen gemacht?


Hintergrund:
Ich habe mir einen INTEL NUC als OPNSense Firewall besorgt. Die Installation mit der internen Netzwerkkarte(em0=LAN) klappt super schnell.
Problem: Ich bekomme das WAN Interface mit einer zweiten USB Netzwerkkarte am USB 3.0 Bus des NUC nicht zum fliegen.

Ich habe folgende USB Netzwerkarten am Intel NUC (ue0=WAN) probiert:
1. LogiLink UA0158A (USB 2.0)
2. EDIMAX EU-4306 (USB 3.0)

Beide USB Neztwerkkarten zeigen beim Neustart von OPNSense den Fehler: USB_ERR_TIMEOUT. Bei keiner der beiden USB Netzwerkkarten bekomme ich eine IP Adresse vom DHCP Server (Fritzbox).
Auch mit der statischen Konfiguration einer IP hat es nicht geklappt!

Experiment1: ich habe die EDIMAX USB  und auch die Logilink USB mal an meinen Ubuntu Laptop angeschlossen und sofort vom DHCP (Fritzbox) eine IP bekommen. Somit kann ich ausschließen das die USB NW Karte(n) defekt sind.

Experiment2:
In einem weiteren Versuch habe ich auf dem NUC OPNSense 17.7 neu installiert, sodass ein LAN KABEL an der externen Edimax USB Netzwerkarte hängt und ich habe ue0=LAN 192.168.1.1 konfiguriert. Am anderen Ende des LAN Kabel hing mein Ubuntu Laptop. Ich bekomme am LAPTOP bei PING 192.168.1.1 nur ein Host Network unreachable.
Als vorher die NUC interne em0=LAN Schnittstelle so konfiguriert/angesteckt war, habe ich am Laptop die IP 192.168.1.1 pingen können.

Gruß
Twoy

Moin,
das Problem ist der relativ schlechte Treibersupport unter FreeBSD (wie so häufig).  ::)
OPNsense basiert auf FreeBSD und daher benötigst Du einen Adapter mit einem Chipsatz für den es einen FreeBSD-Treiber gibt.
Schau mal hier: https://forums.freebsd.org/threads/54868/

Dort gibt es Tips, welche USB2LAN-Chipsätze unter FreeBSD Treiberunterstützung bieten und wie Du ermitteln kannst, welcher Chipsatz in Deiner Hardware verbaut ist.
So sollen z.B. ASIX AX88772 oder Realtek RTL8153 basierende USB2LAN-Adapter funktionieren.

Gruß
Dirk

Ich hatte auch meine Probleme mit USB-LAN-Adaptern. Als erstes gibt es ein Plugin fuer OPNSense was den Start verzoegert, da es USB-LAN-Adapter gibt, die erst nach einer bestimmten Zeit sich beim System melden. Andere probleme hatte ich, wenn der Switch ein Link-Down durchfuehrt um Strom zu sparen, da einige USB-LAN-Adapter ebenfalls auf ein Link-Signal warten, bis sie sich beim System anmelden. So zu sagen, wenn beide dann auf ein initiales SIgnal warten, wird das etwas laenger dauern :).

> Ich habe mir einen INTEL NUC als OPNSense Firewall besorgt. Die Installation mit der internen Netzwerkkarte(em0=LAN) klappt super schnell.

Auch wenn es vllt. nicht der Lösung dient, aber warum kaufst du dir dann auch einen NUC mit nur einer Netzwerkkarte intern als "Lösung" und dann irgendwas mit USB dazu? Gerade bei Netzwerk bastelt man normalerweise nicht mit USB LAN noch zusätzlich herum?

Hallo,

Habe eine ähnliche Situation. Ich verwende ein bereits vorhandenes Laptop für OPNSense und wollte für das WAN auch einen USB 3.0 auf Ethernet Adapter benutzten.
Habe gestern einen gekauft mit dem Chipsatz ASIX AX 88179, der sollte unterstützt werden.
https://www.freebsd.org/cgi/man.cgi?query=axge&sektion=4

Kann gerne Rückmeldung geben sobald ich das Teile habe.

Da gibt es auch manche die gehen und manche die gehen nicht.

der hier geht https://www.amazon.de/gp/product/B00NPJV4YY/

der hier NICHT https://www.amazon.de/gp/product/B00MYTSN18/

der zweite wird zwar erkannt, up/down aber keine Kommunikation möglich

Shit, hab den zweiten bestellt...naja ich werde trotzdem mal testen und berichten.

EDIT:
Wobei der Erste (Anker) einen Realtek Chipsatz hat und keinen ASIX AX 88179. Habe mir den Linux Treiber angeschaut und da wird ein Realtek r8152 Treiber benutzt.

> Wobei der Erste (Anker) einen Realtek Chipsatz hat und keinen ASIX AX 88179. Habe mir den Linux Treiber angeschaut und da wird ein Realtek r8152 Treiber benutzt.

Zitat Dirk:

> So sollen z.B. ASIX AX88772 oder Realtek RTL8153 basierende USB2LAN-Adapter funktionieren.

Es liegt am konkreten Chipsatz. Und ggf. ist dieser Realtek eben OK, ein anderer nicht. :)

Du kannst ja mal berichten, vielleicht liegt es ja nur an meinem. Hab den an keinem anderen Rechner getestet. Vielleicht funktioniert er ja einfach nur nicht.

@JeGr
der andere sollte aber laut Link auch funktionieren, daher hatte ich den auch bestellt. Hatte den anderen (anker) hier aber noch liegen.

Aber vielleicht darf ich trotzdem mal ganz wertneutral dazwischen fragen, warum man sowas (USB LAN) macht? Bzw. ich kann das ja bei @BasTier mit dem alten Laptop noch ein Stück weit nachvollziehen. Lag raum, recycle bzw. Testing und gut.

Aber @twoy@gmx: Welche Intention hat dich beschlichen, für den Einsatzzweck "Router" bzw. *sense Firewall dir einen NUC zu kaufen? Der noch dazu meist als Barebone + RAM + SSD + USBLAN dann noch locker teurer kommt als andere Lösungen und dann auch noch weniger kann bzw. nicht richtig rund läuft mit dem USBLAN Krams? Ich bin da einfach nur neugierig weil sich mir der Sinn nicht ganz erschließt, da es für die Pricerange locker andere Lösungen gibt (die notfalls auch Video-Out und nicht nur Konsole haben falls das ein Argument ist) die ebenfalls klein, kompakt, stromsparend(er) und flexibel sind.

Grüße

Bei mir ist es nur das Notfall-LAN da die internen beiden Ports LACP und Trunk Ports sind

So kann ich im Notfall auch ohne VLAN fähigen SwitCh mit dem Laptop drauf

Hallo,

So USB Adapter lag schom im Briefkasten. Wird erkannt aber bekommt keine IP...Schade.
Wie klappt es denn allgemein mit den USB NICS unter FreeBSD? Was man so liesst ist das ja scheinbar glücksache und dann teilweise nicht stabil...

Habe meine Sophos UTM und schon seit Jahren ohne Probleme mit einer USB NIC am WAN Port laufen...wollte da aber langsam weg da es ja ein Auslauf Produkt ist.

@JeGr: Danke fürs Nachfragen. "Warum der USB Bastelkram?"
Das ist mein erstes "Projekt mit FreeBSD" und ich habe den HardwareSupport für USB Geräte bei FreeBSD total unterschätzt. Den ersten LogiLink USB Adapter habe ich ja unter Ubuntu problemlos zum Fliegen gebracht, also war die Annahme: unter FreeBSD wirds wohl auch funktionieren.  Einen INTEL NUC mit 2 Netzerkkarten habe ich leider noch nicht gefunden.

"Warum der NUC?"
Ich habe zu Hause schon ein paar Bastel Lösungen mit Owncloud und RASPI 2+3 durchgeführt. Da waren mir die Web Anwendungen echt zu langsam. Darum habe ich zum NUC gegriffen (mehr Power  ;D).
Ich habe auch solche Lösungen siehe https://www.applianceshop.eu/opnsense-small-ghz.html#product-attribute-specs-table (https://www.applianceshop.eu/opnsense-small-ghz.html#product-attribute-specs-table) für 200€ angeschaut. Wenn ich dann aber lese: 1GHz und AMD dann hört sich das nach wenig Power und langsamen WebApps an. Für die Firewall ist die 1GHz Power sicher ausreichend. Vielleicht täusche ich mich da auch. Von den Kosten wäre das möglicherweise eine günstigere Alternative gewesen.

Ich habe vorm OPNSense mit NUC mit OPNSense 17.1 auf einem gebrauchten AMD PC experimentiert und hatte Probleme bei der Installation. Nachdem ich auf einem anden NUC die OPNSense Installation zum fliegen gebracht hatte, war für mich Klar: OPNSense und AMD => geht nicht (ist vielleicht ein Trugschluss)

Ziel vom Firewall Projekt: Ich möchte etwas über Firewalls lernen und zu Hause zwischen WLAN AccesPoint und Fritzbox die Firewall hängen und 1. sehen + 2. Relgen erstellen um die Handys in der Familie + Smart TVs und zukünftig die IoT Geräte nicht Alles nach Hause plaudern zu lassen.

Wenn OPNSense dann mal funktioniert, habe ich vor, die Ziel-IPs aus unserem Netz auf einer Karte auf dem NUC darzustellen (ElasticSearch,Logstash + KIBANA) Dafür habe ich die ZusatzPower vom NUC geplant.
Letzer Grund: Der NUC ist stormsparender als ein alter PC  - die Firewall soll ja rund um die Uhr laufen

@monstermania Danke für den TIP. Mit usbconfig dump_device_desc konnte ich herausfinden dass FreeBSD im Editmax ein Chipsatz AX88179  und im Logilink den Chipsatz AX88178A erkennt.

Unter /usr/share/misc/usbdevs konnte ich die Chipsätze finden:
product ASIX AX88178A      0x178a   AX88178A USB 2.0 10/100/1000 Ethernet
product ASIX AX88179 0x1790 AX88179 USB 3.0 10/100/1000 Ethernet

Wenn ich auf der Hersteller Seite von Editmax den Linux Treiber herunterlade finde ich dort auch:
AX88179_178A_LINUX_DRIVER_v1.9.0_SOURCE
ax88179_178a.c

Das heißt FreeBsd erkennt den Treiber richtig, oder? Warum klemmt es denn dann noch?
Hat jemand noch eine Idee?

@twoy@gmx.de
Gemäß dem Manual werden die von Dir genannten Chipsätze unter FreeBSD unterstützt.
https://www.freebsd.org/cgi/man.cgi?query=axge&sektion=4

Hast Du diesen Post gelesen und die aufgezeigten Lösungsmöglichkeiten probiert?

Quote from: loden_richard on October 11, 2017, 08:47:48 AM
Ich hatte auch meine Probleme mit USB-LAN-Adaptern. Als erstes gibt es ein Plugin fuer OPNSense was den Start verzoegert, da es USB-LAN-Adapter gibt, die erst nach einer bestimmten Zeit sich beim System melden. Andere probleme hatte ich, wenn der Switch ein Link-Down durchfuehrt um Strom zu sparen, da einige USB-LAN-Adapter ebenfalls auf ein Link-Signal warten, bis sie sich beim System anmelden. So zu sagen, wenn beide dann auf ein initiales SIgnal warten, wird das etwas laenger dauern :).

Ansonsten stimme ich JeGr zu. Es gibt sicherlich besser für eine FW geeignete HW als einen Intel NUC (PCengines APU2, Qotom, Lanner, Lexcom, usw,).
Du suchst jetzt nach Problemlösungen, die Du mit einer geeigneteren HW gar nicht hättest. ;)

Ich darf hoffentlich das kurz mal kommentieren :)

> Da waren mir die Web Anwendungen echt zu langsam. Darum habe ich zum NUC gegriffen (mehr Power  ;D).

Verständlich ;) Allerdings: Mehr Power wofür - muss man sich vorher überlegen. Für die Sense allein hätte es sicher auch was anderes getan.

> Wenn ich dann aber lese: 1GHz und AMD dann hört sich das nach wenig Power und langsamen WebApps an. Für die Firewall ist die 1GHz Power sicher ausreichend. Vielleicht täusche ich mich da auch. Von den Kosten wäre das möglicherweise eine günstigere Alternative gewesen.

Günstig ist relativ, aber wenn ich NUC lese, muss ich an ~350€ denken - das haben zumindest meine mindestens gekostet bis sie 4-8GB RAM und mind. ne 32GB mSATA drin hatten. Dann noch dein USB LAN und wir sind eigentlich schon in der Größenordnung ~400€ oder? Kann mich täuschen und vllt ist der günstigste NUC inzwischen so viel billiger geworden :)

> Ich habe vorm OPNSense mit NUC mit OPNSense 17.1 auf einem gebrauchten AMD PC experimentiert und hatte Probleme bei der Installation.
> Nachdem ich auf einem anden NUC die OPNSense Installation zum fliegen gebracht hatte, war für mich Klar: OPNSense und AMD => geht nicht (ist vielleicht ein Trugschluss)

Ja ein großer, denn du wirfst einen AMD PC (Desktop CPU) mit einer APU bspw. wie in der genannten Applianceshop Hardware (oder schlicht auch einer PCengines APU2) durcheinander. Eine APU ist aber ein SOC - also CPU+Board+Chipsatz integriert (System on a Chip) der als komplette Lösung (Appliance) konzipiert ist. Also mit dem Ziel der Kompatibilität zu gewissen Dingen explizit gebaut wurde. Dass dein (Eigenbau?) AMD nicht ging kann - wie üblich bei normaler Desktop-PC-Hardware - viele Gründe haben. Eine fertige Appliance hätte das nicht gehabt.

Wenn du dann tatsächlich beim NUC schon bei ~400€ angekommen bist, wäre bspw. auch die NCA-1020 von Lanner schon fast drin gewesen. Die hätte dann noch ne kleine Latte mehr Performance mit an Bord gehabt (Dual Core Celeron Braswell Generation mit 2,24GHz).

> Wenn OPNSense dann mal funktioniert, habe ich vor, die Ziel-IPs aus unserem Netz auf einer Karte auf dem NUC darzustellen (ElasticSearch,Logstash + KIBANA) Dafür habe ich die ZusatzPower vom NUC geplant.
Letzer Grund: Der NUC ist stormsparender als ein alter PC  - die Firewall soll ja rund um die Uhr laufen

Das ist dann aber eigentlich ein Job, der nichts auf der Firewall zu tun hat? Sowas gehört eigentlich auf ein extra System aber nunja, für zu Hause als Spielerei kann man das vielleicht noch durchgehen lassen :)

Grüße

@monstermania , @loden_richard: Danke für den TIP. Ich habe zwar das Plugin https://github.com/opnsense/plugins/blob/master/sysutils/boot-delay/src/etc/rc.loader.d/50-boot-delay (https://github.com/opnsense/plugins/blob/master/sysutils/boot-delay/src/etc/rc.loader.d/50-boot-delay) gefunden, aber ohne WAN Zugriff und 2. Netzwerkkarte lässt sich das Plugin nicht über das WEB GUI System -> Firmware -> Plugins installieren.

Auf der Kommandozeile habe ich es auch schon probiert (/usr/local/etc/rc.loader.d # touch 50-boot-delay
). Das klappt nicht da ist aber das Filesystem gesperrt.

Übrigens scheint es doch eine Timig-Sache zu sein. Am EDIMAX USB Kabel blinken alle 3 Lampen erst einige Sekunden, dachdemdie Netzwerkerkennung von freebsd/opnsense fertig ist - dann steht halt nur em0 -> LAN da.
ue0 -> WAN fehlt.

Gibts noch eine andere Möglichkeit eine Pause beim Boot-Prozess einzulegen (viele Services im WEBGUI  aktiveren habe ich schon probiert. Das hilft leider nicht!)

Du kannst ein remount auf rw (read/write) machen, dann solltest du es installieren koennen von der CLI.

sudo mount -o remount,rw /partition/identifier /mount/point