OPNsense Forum

Hey there,

Ich habe heute versucht meine Firewall von IPCop auf OPNsense umzustellen.  ;)

Dazu habe ich eine 4GB CF Karte mit dem für meinen Igel 564 LX Thin Client (1GHz C7, 512MB RAM)vorbereitet.
Zuerst unter MacOS via Terminal. Die so erstelle CF Karte hat leider nicht funktioniert.

Dann also unter WIndows 10 mit Win32 Disk Imager das OPNsense nano image aufgespielt.

• Von der CF Karte gebootet - sieht gut aus
• Dann blieb beim Interface Assignment der Rechner komplett hängen
• Hard Reset
• Seither fehlten in der Konsole immer die aktuellsten Zeilen - und ich konnte nicht lesen was die letzte Ausgabe war
• Also übers Webinterface eingeloggt
• Sieht alles gut aus - aber dann ging es los
• Plötzlich war der Rechner von dem aus ich die OPNsense Box administrierte auf einmal offline - Rechner Neustart, manuelles IP Setting, nichts half - irgendwann war er dann wieder online
• Einer meiner Online Lautsprecher verlor ständig die Verbindung (oder die Lease)
• Mein NAS war, nachdem ich eine feste IP im DHCP Server eingestellt habe überhaupt nicht mehr zu erreichen
• Ein andere Rechner bekam auch keine IP zugewiesen
• In der Leaseliste fehlern Geräte die aber definitiv derzeit eine Lease haben, online sind und Traffic verursachen -
  in der Traffic Übersicht konnte ich diese Geräte sehen
• DCHP Dienst mehrmals neu gestarten auf der OPNsense Box - keine Besserung
• Geschweige denn interne Namensauflösung zwischen den Geräten zum laufen zu bekommen - keine Chance! Ich muss auch dazusagen, dass ich die Kombination von Resolver, Forwarder, OpenDNS, dnsmasq DNS und Unbound DNS alles andere als ideal finde - speziell als Neuling auf der Plattform :-(

Nach alles in allem drei Stunden habe ich wieder meine IPCop CF Karte eingebaut und das Ding wieder eingeschalten - Läuft.

Ist die Hardware für OPNsense einfach zu schwach, oder was kann der Grund sein dass ich so irre Probleme hatte heute? Kanns die CF Karte sein? Aber dann würde ja gar nichts gehen oder?  :o

Bin euch sehr dankbar für Tipps, denn ich würde schon gerne umsteigen. IPCop ist in die Jahre gekommen, wird nicht mehr weiterentwickelt und neues macht ja auch Spass - solange es funktioniert ;-)

Tausend Dank
Michi

512 MB RAM sind schon mehr als knapp bemessen - da kann man fast keine Dienste benutzen. Würde mindestens 1 GB RAM empfehlen. Wenn dienste einfach so beendet werden, passiert das in der Regel wegen OOM-Problemen. Dein Problem könnte sein, dass irgendwas im Cron dafür sorgt, das auf einmal große Mengen Speicher benötigt werden.

Ich habe zwischendurch auch die CPU und RAM Auslastung beobachtet.
Die waren nie über 50%

Laut den Hardware Requirements sollte meine Config auch funktionieren.
Schon klar - sicher nicht mit Proxy, Intrusion detection usw - das ist klar.

Aber ich hatte keinen dieser Dienste Aktiviert und ja auch extra das Nano Image installiert.


Danke
LG

Hast du die Clients mal neu gestartet seit dem Tausch? Ich hatte auch mal Probleme mit dem Tausch eines DHCPs, allerdings nicht mit OPNsense sondern generell. Ansonsten müsste man mal das Log nach dem Tausch beobachten und eventuell den Traffic mitschneiden.

Hi,

Jein, teilweise habe ich die Clients neu gestartet, teilweise nicht.

Im log des DHCP Servers fand ich sowas wie "DHCP request from 192.168.1.5 - unknown lease"
die IP hatte das Gerät vorher und sie lag außerhalb des Bereichs des DHCP servers von OPNsense.

Aber das scheint auch nicht das Problem zu sein.


Der PC von meiner Mutter zum Beispiel, der zum Zeitpunkt des Tauschs ausgeschalten war, bekommt von OPNsense einfach keine IP zugewiesen.
Ich hatte OPNsense dann mal über Nacht laufen gelassen. In der Früh war mein NAS nicht mehr erreichbar und auch der Mac von dem aus ich am Abend zuvor OPNsense ganz normal administriert habe.
Auch einer der Lautsprecher verliert ständig seine Verbindung/Lease.
Und es fehlen ständig Geräte in der Leaseliste, die aber definitiv online sind....

Und das kann ich mir nicht erklären. Dazu fand ich weder im DHCP Log etwas, noch war der Speicher voll.
Ganz im Gegenteil. Es waren mehr als 50% Speicher frei.

Klar, meine Hardware ist sicher am unteren Limit, aber dass es dann solche Zicken macht ist mir nicht erklärlich.


Einstweilen habe ich den Versuch auf OPNsene umzusteigen aufgegeben - zumindest auf dieser Hardware.

Unter IPCop läuft das Ding einwandfrei. Selbe Hardware nur eine andere CF Karte.

Wenn ich das gleiche Problem hätte wäre mein nächstes Vorgehen:

- ipconfig /release auf Windows PCs
- auf fixe IP umstellen

Wenn fixe IP funktioniert Problem klar identifiziert, wenn nicht weiter suchen (DNS, tcpdump).
Eventuell hilft eine release, bei Mac kenne ich mich leider nicht aus.

Quote from: smawuascht on January 08, 2018, 11:55:14 AM
Klar, meine Hardware ist sicher am unteren Limit, aber dass es dann solche Zicken macht ist mir nicht erklärlich.

Die HW ist für die grundsätzlichen FW-Funktionen ausreichend. Habe selbst noch ein VIA Eden im Einsatz. Die HW läuft selbst mit aktiviertem Webproxy einwandfrei (aber langsam!).  ;)
Das Problem liegt daher mit ziemlicher Sicherheit nicht an der Hardware!
Evtl. ist ein 2 DHCP-Server im Netzt aktiv?

PS: Grundsätzlich würde ich mich langsam nach einer aktuelleren Hardware umsehen (64 Bit!). Damit kannst Du dann auch die OPNsense parallel einrichten ohne, dass Du Zeitdruck hast.

Quote from: monstermania on January 08, 2018, 02:13:11 PM
Evtl. ist ein 2 DHCP-Server im Netzt aktiv?

Nein, sonst gibt es in dem Netzwerk keinen DHCP Server. Nur der am IPCop - und da ich diese Hardware aber für OPNsense verwendet habe, war der DHCP des IPCop ja aus in dem Moment.
Ich habe wirklich keine Ahnung was diese Probleme verursacht hat.

Anfänglich sieht es gut aus, aber dann bekommen einzelne Clients keine Lease und verlieren die Verbindung obwohl sie eine Lease hatten usw usw.

Quote from: monstermania on January 08, 2018, 02:13:11 PM

PS: Grundsätzlich würde ich mich langsam nach einer aktuelleren Hardware umsehen (64 Bit!). Damit kannst Du dann auch die OPNsense parallel einrichten ohne, dass Du Zeitdruck hast.

Absolut.
Das habe ich ohnehin vor. Wollte mich nur vorab mal mit OPNsense vertraut machen.

Quote from: mimugmail on January 08, 2018, 01:30:48 PM
Wenn ich das gleiche Problem hätte wäre mein nächstes Vorgehen:

- ipconfig /release auf Windows PCs
- auf fixe IP umstellen

Wenn fixe IP funktioniert Problem klar identifiziert, wenn nicht weiter suchen (DNS, tcpdump).
Eventuell hilft eine release, bei Mac kenne ich mich leider nicht aus.

Fixe IP habe ich nicht probiert.
IPConfig /release hatte ich probiert, aber da hatte der Windows Rechner schon eine automatisch zugewiesene IP. Da gab es dann so gesehen nichts mehr zu releasen.

Finde es aber generell verwunderlicht, dass Clients die mit der anderen Firewall eine IP bekommen, von OPNsense keine bekommen sollen.
Bei meinem zweiten Test was der Windows Rechner während dem Tausch der Firewall ausgeschalten - also kann ich es ausschließen, dass der noch die alte IP vom anderen DHCP Server hatte.

OPNsense hat auch der Dreambox, die eine alte IP hatte, keine neue zugewiesen. Selbst nicht als ich dort das LAN Kabel aus und wieder angesteckt habe....
Das war der Eintrag im DNS LOG von wegen "DHCP Request from.... - Unknown Lease"