Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - t0mc@

Pages1

German - Deutsch / HAProxy + deinstallierter ACME Client --> Config Probleme

April 08, 2022, 04:01:44 PM

Hi zusammen,

ich habe in der Vergangenheit den HAProxy mit integriertem ACME Client (Lets Encrypt) benutzt.
Ich benötige dieses Setup in dieser Form jedoch nicht mehr, habe die ACME Client Erweiterung dementsprechend deinstalliert.

Danach wollte ich die HA Proxy Config in der GUI komplett leeren, da dieser nun für andere Zwecke verwendet werden soll.
Leider kann ich den letzten noch verbleibenden öffentlichen Dienst, der auf Port 80 hört, nicht löschen, es erscheint diese Fehlermeldung:

Item in use by
AcmeClient - HTTPHAProxy {AcmeClient.validations.validation.ec3af700-af36-4557-b638-5bf79b290bca}

(s.a. Screenshot im Anhang)

Wie kann der öffentliche Dienst denn von etwas verwendet werden, was deinstalliert wurde?? Hat jmd. ne Idee?

Danke schon mal
T0mc@

Intrusion Detection and Prevention / Performance tuning when running as KVM

September 09, 2021, 06:52:22 PM

Hi everybody,

since a few days I upgraded my ISP Speed from 500MBit to 1000MBit. I noticed when suricata is enabled, I get max. speeds of ~600MBits, wheras when suricata is disabled, I got speeds up to 980MBits.

OPNSense is running on a Proxmox Virtual Server (Debian based Distro for running VMs) as a KVM VirtualMachine.

Hardware is a HP Z420 Workstation
Intel(R) Xeon(R) CPU E5-2660 0 @ 2.20GHz, 16 Cores
64GB RAM

The OPNsense VM is configured to use 6 Cores in Host Mode with 6GB RAM, uses 3 virtual VirtIO NICs, each using its own physical NIC (1 Onboard, 2 PCIe)... see att. VMConfig.png

During speed tests one can see in OPNSenses Dashboard, that CPU/RAM isn't the bottleneck, so I assume this has sth. to do with the network layer. (s. att. SpeedTest.png)

I just noticed this pinned Thread https://forum.opnsense.org/index.php?topic=6590.0 .

But many of the mentioned tunables are dealing with hardware NICs such as Intel ones, FlowControl for example, which isn't available with virtio VirtualNICs using the vtnet driver:

Code Select


# sysctl -a | grep dev.vtnet.0
dev.vtnet.0.txq0.rescheduled: 0
dev.vtnet.0.txq0.tso: 0
dev.vtnet.0.txq0.csum: 0
dev.vtnet.0.txq0.omcasts: 15
dev.vtnet.0.txq0.obytes: 516930
dev.vtnet.0.txq0.opackets: 4009
dev.vtnet.0.rxq0.rescheduled: 0
dev.vtnet.0.rxq0.csum_failed: 0
dev.vtnet.0.rxq0.csum: 5892
dev.vtnet.0.rxq0.ierrors: 0
dev.vtnet.0.rxq0.iqdrops: 0
dev.vtnet.0.rxq0.ibytes: 6938441
dev.vtnet.0.rxq0.ipackets: 7767
dev.vtnet.0.tx_task_rescheduled: 0
dev.vtnet.0.tx_tso_offloaded: 0
dev.vtnet.0.tx_csum_offloaded: 0
dev.vtnet.0.tx_defrag_failed: 0
dev.vtnet.0.tx_defragged: 0
dev.vtnet.0.tx_tso_not_tcp: 0
dev.vtnet.0.tx_tso_bad_ethtype: 0
dev.vtnet.0.tx_csum_bad_ethtype: 0
dev.vtnet.0.rx_task_rescheduled: 0
dev.vtnet.0.rx_csum_offloaded: 0
dev.vtnet.0.rx_csum_failed: 0
dev.vtnet.0.rx_csum_bad_proto: 0
dev.vtnet.0.rx_csum_bad_offset: 0
dev.vtnet.0.rx_csum_bad_ipproto: 0
dev.vtnet.0.rx_csum_bad_ethtype: 0
dev.vtnet.0.rx_mergeable_failed: 0
dev.vtnet.0.rx_enq_replacement_failed: 0
dev.vtnet.0.rx_frame_too_large: 0
dev.vtnet.0.mbuf_alloc_failed: 0
dev.vtnet.0.act_vq_pairs: 1
dev.vtnet.0.requested_vq_pairs: 0
dev.vtnet.0.max_vq_pairs: 1
dev.vtnet.0.%parent: virtio_pci2
dev.vtnet.0.%pnpinfo: 
dev.vtnet.0.%location: 
dev.vtnet.0.%driver: vtnet
dev.vtnet.0.%desc: VirtIO Networking Adapter

Code Select


# sysctl -a | grep hw.vtnet
hw.vtnet.rx_process_limit: 512
hw.vtnet.mq_max_pairs: 8
hw.vtnet.mq_disable: 0
hw.vtnet.lro_disable: 1
hw.vtnet.tso_disable: 0
hw.vtnet.csum_disable: 0

Tried around a bit with other tunables found in this thread, but until now I found nothing, what gives better performance.

Any hint how to tune suricata on OPNSense running as KVM?

Thx in advance!
T0mc@

German - Deutsch / Re: Restart unbound-dns via commandline

December 30, 2017, 09:08:53 PM

Quote from: franco on December 30, 2017, 09:02:05 PM
Ist aktuell nur ein internes Tool mit dem man das Plugin-System teilweise konfigurieren kann. Wir denken noch über die mittelfristige Verwendung nach, daher auch keine Doku. So viele Anwendungsfälle gibt es noch nicht.

Grüsse
Franco

Alles klar, vielen Dank für die Erläuterung. D.h. das Teil startet (unter anderem) das genannte Plugin (in dem Fall DNS) neu, egal, ob es schon läuft?

German - Deutsch / Re: Restart unbound-dns via commandline

December 30, 2017, 09:07:35 PM

Quote from: Micky on December 30, 2017, 08:22:42 PM
Hallo T0mc@,

wäre es möglich, dass du dein Skript posten könntest? Hab das Gleiche vor.

Danke und Grüße

M.

Hi Micky,

habe als "Anregung" das hier benutzt:

https://devinstechblog.com/block-ads-with-dns-in-opnsense/

Darin wird ein Shell - Script verlinkt, welches die unbound-config Datei auf Basis von Online Quellen erstellt.
Darin gibt es auch die Möglichkeit, per Whitelist diverse Ad - Hosts von der Aufnahme in die Blacklist auszuschließen, aber das hat bei mir irgendwie nicht richtig funktioniert. Daher habe ich das Very Quick and Dirty noch mal schnell in PHP geschrieben (kenne mich mit awk, welches im Shell Script benutzt wird, nicht wirklich gut aus):

Code Select


<?php$blacklists=array('http://winhelp2002.mvps.org/hosts.txt','http://pgl.yoyo.org/as/serverlist.php?hostformat=hosts&showintro=0&mimetype=plaintext','https://adaway.org/hosts.txt');$whitelist=array('cdn1.smartadserver.com','acdn.adnxs.com');$arHosts=array();$flHosts=fopen("/var/unbound/ad-blacklist.conf","w");$hosts=array();foreach($blacklists as $url) {        $hosts=array_merge($hosts,file($url));}foreach($hosts as $line) {        $arLine=explode(" ",trim($line));        if($arLine[0]=="127.0.0.1" || $arLine[0]=="0.0.0.0") {                $host=trim($arLine[1]);                if(!in_array($host,$whitelist) && !in_array($host,$arHosts) && $host!="") {                        $arHosts[]=$host;                        fwrite($flHosts,"server:\n");                        fwrite($flHosts,'local-data: "'.$host.' A 0.0.0.0"'."\n");                }        }}fclose($flHosts);?>


		
			 #5
			
				
					German - Deutsch / Re: Restart unbound-dns via commandline
				
				December 30, 2017, 09:00:26 PM
			
			
				
					Quote from: franco on December 30, 2017, 07:48:11 PM
Am besten über den Neustart des DNS-Subsystems:

# pluginctl dns


Grüsse
Franco
Hi Franco,

vielen Dank für den "Schubs", das scheint zu klappen. pluginctl kannte ich noch nicht, was genau macht das und gibt es noch optionen dafür? Ich kann nirgendwo ne Doku, man-page oder --help option dazu finden...

				
			

		

		
			 #6
			
				
					German - Deutsch / Restart unbound-dns via commandline
				
				December 30, 2017, 04:02:56 PM
			
			
				
					Hallo zusammen,

(wie) kann der unbound-dns service per commandline neu gestartet werden? Dieser wird ja nicht (mehr) per "systemctl" verwaltet, sondern wird über die Web-GUI per Klick neu gestartet.

Hintergrund:
Ich habe ein kleines Script geschrieben, welches eine unbound-dns Config Datei aus Online Quellen erstellt, um per DNS zentrales Ad-Blocking zu betreiben. Das funktioniert auch so, wie es soll.
Dieses Script soll nun per cron mehrmals am Tag aufgerufen werden um die geblockten Hosts aktuell zu halten. Damit die neu erstellte config im unbound-dns geladen wird, muß der Dienst neu gestartet werden. Die Config-Datei ist per "include: ..." in der Erweiterten Konfiguration des Unbound-DNS eingetragen.

Hat jmd. einen Tip?
Vielen Dank schon mal und viele Grüße
T0mc@ 
				
			

		

		
			 #7
			
				
					German - Deutsch / Re: NTP Probleme
				
				August 25, 2016, 11:56:42 AM
			
			
				
					Vielen Dank erst mal für die Antwort.

Leider hilft rein gar nichts, egal, was ich wie auf der FW frei schalte.

Mit nmap konnte ich herausfinden, dass die Verbindung zu Port 123, UDP bei 0.de.pool.ntp.org schon mal funktioniert.
Ich habe danach mit tcpdump die Pakete mitgeschnitten und in Wireshark angesehen. Wird ntpdate ohne -u aufgerufen, so sind - wie zu erwarten - Quell und Zielport von ntpdate 123. In diesem Fall scheinen aber keine Antworten vom NTP Server anzukommen.
Ein Mitschnitt per tcpdump von ntpdate -u zeigte, dass der Quellport von ntpdate diesmal bei 57760 war. Auf diesen sind dann Antworten angekommen, so dass ntpdate keine Probleme hatte.
Ich habe danach in der OPNSense ein UDP Port Forwarding von Port 123 auf den betreffenden Client gemacht, auch das hat nicht geholfen.
Anscheinend blockiert OPNsense konsequent alle Zugriffe von UDP auf Port 123. Ich konnte nur noch nicht herausfinden, warum und wo ich das abstelle....

Noch irgendeinen Tip, wo ich nachsehen könnte?
				
			

		

		
			 #8
			
				
					German - Deutsch / NTP Probleme
				
				August 18, 2016, 10:48:06 PM
			
			
				
					Hallo zusammen,

habe folgendes Problem:

Ein Ubuntu Client in einem lokalen Netz (192.168.112.0/24) soll per ntpdate (und später per ntpd) die Zeit aktuell halten.
Eine OPNsense dient dabei als Gateway (192.168.112.1) und hat auf der WAN Schnittstelle auch direkte Internetverbindung. Es sind keine besonderen Firewall Regeln definiert.
Wenn ich auf dem Linux Client nun per 

Code Select Expand
# ntpdate de.pool.ntp.org

versuche, die Zeit zu aktualisieren, schlägt das damit fehl:

Code Select Expand
18 Aug 22:41:56 ntpdate[20261]: no server suitable for synchronization found

Wenn ich ntpdate per -u dazu bringe, unpreviligierte Ports zu benutzen, funktionierts:

Code Select Expand
# ntpdate -u de.pool.ntp.org
18 Aug 22:42:05 ntpdate[20282]: adjust time server 62.75.236.38 offset 0.007126 sec

Probehalber habe ich auf der OPNsense mal den NTP Server aktiviert. Das Ergebnis ist identisch:
Code Select Expand
# ntpdate 192.168.112.1
18 Aug 22:43:38 ntpdate[20340]: no server suitable for synchronization found
# ntpdate -u 192.168.112.1
18 Aug 22:43:49 ntpdate[20341]: adjust time server 192.168.112.1 offset 0.008085 sec

Was mache ich hier noch falsch?

Vielen Dank schon mal!
T0mc@





				
			

		

		
			Pages1