Messages

Hallo zusammen,

bei der Fehlersuche bei PPPoE-Verbindungen stolpere ich immer wieder über das Zusammenspiel von Interfaces und PtP-Devices - ich verstehe es leider nicht, aber vielleicht könnt Ihr mir dabei helfen.

Meinem Verständnis nach habe ich ein Interface, das entweder direkt auf ein physikalisches Interface geht oder über ein VLAN-Tag. Auf das Interface setzt z.B. das PPPoE-Device auf und stellt den Endpunkt für die PtP-Verbindung dar. Soweit meine Theorie - liege ich damit prinzipiell richtig?

Nun ist es so - wenn ich in der OPNsense ein neues Interface anlege und als Typ "PPPoE" einstelle, wird ein neues PPPoE-Device angelegt, das unter Point-to-Point > Devices erscheint, z.B. "pppoe0". Dort sind dann unter "Link Interfaces" das Interface sowie die Zugangsdaten zu finden.

Theoretisch sollte der Weg andersrum ja auch funktionieren... also ein neues PtP-Device anlegen und dann unter Interface Assignments einem Interface zuweisen. Allerdings klappt das nicht so ganz... die Verlinkung scheint nicht zu funktionieren. Wie die Zusammenhänge sind, habe ich noch nicht ganz herausgefunden - manchmal wird beim Ändern der PPPoE-Zugangsdaten im Interface ein neues PPPoE-Device angelegt oder unter "Assignments" ist die Verknüpfung plötzlich weg. Zugehörige Gateways werden als "defunct" angezeigt und lassen sich nicht mehr aktivieren... ich verstehe das nicht.

Kann mir jemand erklären, wie PPPoE-Devices und Interfaces zusammenspielen und wie die Verknüpfung geschieht? Vielleicht ist meine Sichtweise völlig falsch...

Don't mix tagged and untagged on one interface.

Mach das einfach nicht. Niemals. Fahr auch Dein Management VLAN tagged.

Ich geb dir prinzipiell Recht, würd das aber im privaten Bereich nicht so eng sehen. Denn wenn du nen Fehler suchst und dann auch nicht mal an nen "dummen" Switch anstecken kannst, um auf Management zu kommen, kann das sehr sehr nervig sein.
Gerade die HP 1820'er können gar nicht Ports ohne untagged fahren - klar, könnte man da auch noch ein unbenutztes VLAN ungetagged machen, aber wie gesagt... machts unnötig kompliziert.

Im Business-Bereich, keine Frage. Da ist das ein No-Go. Aber da habe ich auch ein separates Config-VLAN, getrennt vom Endpoint-VLAN und entsprechende Switches. Für daheim hat man mit Fritzbox & Co. vermutlich weitaus größere Problemzonen...  ;) Just my 2 cents.

Wenn du bei den anderen Interfaces den Zugriff gestattest, sollte dieser eigentlich gehen. Schau aber mal ob du evtl. in den Einstellungen des Interfaces die Option gesetzt hast, dass generell Zugriffe aus dem privaten IP-Adressraum geblockt werden - das könnte da mit reinfunken. Was ich auch gerne ausschalte ist in den Einstellungen unter Administration die Redirect Rule... damit lenkt er dir die Anfragen von Port 80 auf den SSL-Port um. Stört, insbesondere wenn man den Port 80 für einen Webserver weiterleiten möchte...

Danke schon mal für Eure zahlreichen Antworten!

Es wird jetzt ein Xeon E-basiertes System mit 8 Kernen und 3,8 - 5 GHz Booster, das Ganze mit 4 10 GbE Interfaces und 32 GB RAM. Das sollte für den Workload erst mal reichen, bin schon gespannt wie das System performt!

Für daheim find ich deine Kiste auch sehr schnuckelig ;) Darf ich fragen, was die an Strom verbraucht? Daheim hab ich grad ne VM, weil meine APU mir etwas zu schwachbrüstig ist...

Sorry, keine Ahnung wie ich das messen soll ;)

Gruß
Patrick

Wenn du keinen Meß-Zwischenstecker oder nen Shelly Plug o.ä. hast, der Leistung messen kann, wirds schwierig ;)

Hz,

Setze seit Jahren auf Supermicro und bin sehr zufrieden.

Für meine Heiminstallation und wenn man mit 4 ports auskommt kann ich ein Supermicro X11SBA-LN4F empfehlen, hat IPMI, ist sparsam (TDP 6W) und ist extrem stabil und zuverlässig  und rennt und rennt und rennt.

Habe jetzt gerade  ein System mit einem Supermicro A2SDV-8C-LN8F in der Mache für eine etwas größere Installation, auf der auch viele Zusatzdienste der Opnsense laufen sollen, lässt sich ebenfalls gut an. Habe 'leider' nur 16G Riegel bekommen, die Büchse ist jetzt mit 32G 'etwas'  ??? überdimensioniert ....

Br br

Also ich bin auch mittlerweile seit Jahren Fan von Supermicro... günstige, aber supergeniale Hardware. Ist auch mein Favorit, auch wenn ich derzeit ne APU2E2 verwende... bzw. die auch nur als Cold Standby, weil mir die Performance zu schlecht ist - die "Haupt"-OPNsense läuft virtualisiert. Gefällt mir zwar nicht, aber ich habe keine bessere stromsparende Lösung bisher gefunden.
Wie ist die Performance von dem X11SBA-LN4F? Die APU taktet ja nur mit 1 GHz, vermutlich ist das der Flaschenhals bei mir. Die Auslastung ist jedenfalls immer ziemlich hoch. Hast du mal den Gesamtleistungsbedarf des Systems gemessen?
Ports sind ja eigentlich kein Problem - VLAN machts möglich. Oder spricht da was dagegen, damit zu arbeiten?

Qualität bei IPS und Taktrate bei Prozessen die nur mit einem Kern arbeiten wie z.B. OpenVPN

Ah okay das macht Sinn. Jetzt muss ich allerdings doch noch mal nachhaken: Nutzt OpenVPN generell nur einen Kern? Oder nur pro Verbindung? Bei letzterem würde dann quasi die Taktrate den Durchsatz begrenzen, wenn ich aber dafür mehrere Kerne hätte, könnten mehrere Tunnel auf die Kerne verteilt werden - richtig?

Denk auch dran, auf deinem Internet-Router die Routen fürs VPN anzulegen und auf die OPNsense zeigen zu lassen, damit die auch den richtigen Weg finden.

Ne ähnliche Config hatten wir mal mit nem VPN, das über ne Synology aufgebaut wurde... geht, ist aber natürlich keine schöne und saubere Netzstruktur...

Schnuckliges Teil. Generell funktionieren Intel-Systeme von Supermicro mit FreeBSD sehr gut. Guck mal in meine Signatur, was ich hier zuhause habe. Die Performance eines solchen Geräts sollte locker ausreichen. Am besten wird sicherlich, man macht ohne die Redundanz mal mit einem System einen PoC und misst ;)

Für daheim find ich deine Kiste auch sehr schnuckelig ;) Darf ich fragen, was die an Strom verbraucht? Daheim hab ich grad ne VM, weil meine APU mir etwas zu schwachbrüstig ist...

Xeon-D ist gut für Routing und Squid. Wenn du IPS mit Gigabit willst nimmst du lieber Xeon E. Ich geh davon aus dass das Teil von Thomas Krenn ist ;)

Okay, nehme ich mal so auf :) Könntest du mir aber evtl. noch begründen, wo der Unterschied liegt? Taktrate? CPU-Features? Prinzipiell sind die D's ja eher die "robusteren" - weiterer Temperaturbereich und so. Aber vom Cache etc. können die ja schon mit manchem E3 mithalten. Warum ist der E besser?

Danke für deine Antwort!

Die Appliances habe ich mir schon angeschaut, allerdings fehlen mir da zwei 10 G Ports sowie IPMI - da hätte ich gerne ein Supermicro Board. Wenn man das ein Mal gewohnt ist ... ;)

Leider stehen da zu wenige Infos zu CPU etc., so dass ich da z.B. die Frage nach der Taktfrequenz rauslesen kann...

Hallo zusammen,

bei meinen Recherchen bin ich leider nicht so ganz schlau geworden, deswegen die Frage an Euch:

Worauf kommt es bei der Hardware an, um vernünftige Performance zu erhalten?

Ich weiß, es ist eine Frage, die natürlich nicht pauschal beantwortet werden kann. Mir geht es auch eher darum, ein Gefühl zu bekommen, worauf man achten muss.

Einsatzszenario ist ein Firewall-Cluster, über den einige (WLAN-)Gastnetze ins Internet gehen können sollen. Es wird vermutlich, da es einige VLANs sind, recht viele Filterregeln geben und es soll auch IDS/IPS gefahren werden. Weiterhin gibt es einige VPN-Tunnel (OpenVPN, IPSEC, WireGuard), die zwar momentan nicht so viel Durchsatz verlangen, aber das wird sich vermutlich auch ändern.
Benutzer dürften es wohl 250-400 werden (es hängen unter anderem 3 Schulen dran).

Grundsätzlich habe ich gelernt, dass eine gute Intel Netzwerkkarte das System wohl deutlich entlastet - wobei da die Frage ist, ob die Hardware bei Anwendung von IDS/IPS so viel Offloading betreiben kann?

Was ist prinzipiell besser - eine höhere CPU-Taktfrequenz oder mehrere Kerne?
Für die Verschlüsselung (VPN) sind Kryptographie-Funktionen der CPU natürlich dienlich, (wie) kann man diese denn bei den CPUs vergleichen?
RAM spielt, wenn ich das richtig verstanden habe, keine so große Rolle - natürlich muss er groß genug sein, dass alle States gespeichert werden können.

Gibt es sonst noch Faktoren, die die Performance beeinflussen?

Irgendwo habe ich gelesen, dass IDS/IPS angeblich nur mit externen Netzwerkkarten funktionieren soll. Kann das jemand bestätigen? Ich kann das irgendwie nicht nachvollziehen...

Für unser Vorhaben hätte ich den Intel Xeon D-2146NT (2,20GHz, 8-Core) in Erwägung gezogen, das Ganze auf einem Supermicro Mainboard X11SDV-8C-TP8F - zusammen mit 32 GB RAM erscheint mir das als ein schickes System, das auch ordentlich Ports mitbringt. Gibt es da Erfahrungen/Empfehlungen eurerseits?

Vielen Dank schon mal für Eure Tips!  :)

Sorry, hab erst jetzt gesehen, dass du geantwortet hast... irgendwie gabs keine Benachrichtung.

Ich habs ausprobiert - das funktioniert super!

Allerdings kann die Backup-Firewall dann nicht mehr feststellen, ob sie Slave ist, oder nicht? Oder täusche ich mich da?

Also bei mir funktionieren die Aliase einwandfrei - und ich nutze sie sehr intensiv.

Deshalb würde ich vermuten, dass es eher an anderer Stelle hakt. Deine Beschreibung verstehe ich aber ehrlich gesagt nicht... was meinst du mit den betroffenen Netzen und deinen Rechnern? Also wo sind die Aliase vergeben?

Ich würde dir empfehlen, das schrittweise zu debuggen. Also erst mal ohne Aliase arbeiten und die Netze/PCs mal einzeln in eine Regel zu packen. Wenn das funktioniert (z.B. PC A kann auf Netz 1 zugreifen), ersetzt du eine Adresse durch einen Alias und probierst wieder. Dann den Alias evtl. erweitern. Wenns irgendwann nicht mehr geht, weisst du woran es liegen muss.

Aber dass Ports 135 und/oder 88 durch Aliase beeinflusst werden, kann eigentlich nicht sein. Aliase werden ja beim Umsetzen der Regeln ersetzt - sie dienen lediglich der einfacheren Konfiguration bzw. Gruppierung von Regeln. Aber etwas "magisches" passiert da eigentlich nicht ;)

Hallo zusammen,

seit ich meine OPNsense um ein zusätzliches System zwecks Redundanz erweitert habe, spinnen meine OpenVPN Tunnel.

Meine WAN-Verbindung wird über eine FritzBox aufgebaut, deren IP-Adresse die 10.10.9.3 ist. Die beiden OPNsenses haben die 1 und die 2 und teilen sich die 10 als CARP-IP.
In der FritzBox ist die 10.10.9.10 als Exposed Host eingetragen und sollte somit den ganzen eingehenden Traffic abbekommen.

Es gibt eine Firewall-Regel, die eingehenden Traffic per UDP an die 10.10.9.10 auf dem OpenVPN-Port akzeptiert. Der OpenVPN-Server ist auf die CARP-IP eingestellt und baut auch Verbindungen auf. Das Kuriose ist, dass der Tunnel immer wieder abreisst und neu verbunden wird. Im Log erscheinen dann Einträge wie:

Code Select Expand

Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #87 / time = (1623102752) Mon Jun 7 23:52:32 2021 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings

Wenn ich über den Tunnel pinge, gehen manche durch, dann gibts wieder Zeitüberschreitung, dann gehts wieder mal...

Ich habe schon versucht, herauszufinden, was diese "replay"-Warnung aussagen soll. Meinem Verständnis nach werden Pakete mehrmals empfangen und dann gibt es eben diese Warnung, die vielleicht auch den Fehler verursacht. Wenn ich auf dem WAN-Interface (also in Richtung FritzBox) einen WireShark-Mitschnitt mache, sehe ich aber keine Auffälligkeiten (wie doppelte Pakete oder so).

Kann mir jemand einen Tip geben, wo ich suchen könnte oder was ich ausprobieren kann, um den Fehler zu lokalisieren? Oder, noch besser, kennt jemand das Problem und hat eine Lösung parat? ;)