Messages

1

German - Deutsch / Re: Probleme mit MDNS Repeater

« on: December 13, 2019, 11:07:23 pm »

Works pretty awesome. Only user brain didn´t work. ... 
Firewallrules on client side should of course be adjusted ...

Sorry for any inconvenience

2

German - Deutsch / Probleme mit MDNS Repeater

« on: December 13, 2019, 12:43:38 am »

Hi,

was ich vorhabe:

VLAN 200 - 192.168.200.0/24
VLAN 210 - 192.168.210.0/24

Im 210er sollen die ganze netten SmartHome Gadgets bleiben, aber die APPs für die Steuerung sind im 200er.
Zum Beispiel ein SynologyAssistent. Der alle Synology NAS im Netzwerk ermittelt und anzeigt.

Ich dachte genau dafür ist der MDNS Repeater. Das Multicast über VLAN und Subnetgrenzen hinaus funktioniert.
Habe ich also installiert, aktiviert und beide Interfaces eingetragen. Funktioniert allerdings nicht.

Bin ich auf dem Holzweg, geht gar nicht was ich meine rausgelesen zu haben? Oder mache ich etwas falsch?
Bin für Eure Tipps dankbar.

3

German - Deutsch / Re: IPv6 Provider, IPv4 intern weiter nutzen? Firewall-Rules-Dilemma

« on: December 12, 2019, 12:14:42 pm »

Also mein Präfix ist seit 07/2019 stabil bei DG.
Der soll sich angeblich auch nicht ändern. Und Zwangstrennung gibt es ja auch keine.

4

Hardware and Performance / Re: High CPU usage: Xeon E3-1265L V2

« on: August 27, 2019, 02:59:13 pm »

Ok, thanks for your help anyway. I´ll keep you posted.

load.conf.local ist loaded automatically or does it need to be refered to from loader.conf

5

Hardware and Performance / Re: High CPU usage: Xeon E3-1265L V2

« on: August 27, 2019, 01:17:50 pm »

Code: [Select]

sysctl hw.bce
hw.bce.rx_ticks: 18
hw.bce.rx_ticks_int: 18
hw.bce.rx_quick_cons_trip: 6
hw.bce.rx_quick_cons_trip_int: 6
hw.bce.tx_ticks: 80
hw.bce.tx_ticks_int: 80
hw.bce.tx_quick_cons_trip: 20
hw.bce.tx_quick_cons_trip_int: 20
hw.bce.strict_rx_mtu: 0
hw.bce.hdr_split: 1
hw.bce.tx_pages: 2
hw.bce.rx_pages: 2
hw.bce.msi_enable: 1
hw.bce.tso_enable: 1
hw.bce.verbose: 1


Code: [Select]

vmstat -i
interrupt                          total       rate
irq20: ehci0                     4982380          6
irq23: ehci1                     2351854          3
cpu0:timer                      85154548        104
cpu1:timer                      73024686         89
cpu4:timer                      77078037         94
cpu2:timer                      75039363         91
cpu5:timer                      74960795         91
cpu3:timer                      74592444         91
cpu7:timer                      75875867         93
cpu6:timer                      77778230         95
irq264: ix0:q0                   5731562          7
irq265: ix0:q1                   2844164          3
irq266: ix0:q2                   5737378          7
irq267: ix0:q3                   2941838          4
irq268: ix0:q4                   7090296          9
irq269: ix0:q5                   3092327          4
irq270: ix0:q6                   2624506          3
irq271: ix0:q7                   2074652          3
irq272: ix0:link                       4          0
irq273: bce0                    11023412         13
irq274: bce1                    11336488         14
irq275: ahci0                   13841993         17
Total                          689176824        840
Means MSI / TSO are enabled, right?

Try to disable this:

Code: [Select]

# sysctl hw.bce.msi_enable=0
sysctl: oid 'hw.bce.msi_enable' is a read only tunable
sysctl: Tunable values are set in /boot/loader.conf

# sysctl hw.bce.tso_enable=0
sysctl: oid 'hw.bce.tso_enable' is a read only tunable
sysctl: Tunable values are set in /boot/loader.conf

Is disableing this on loader.conf harmless or could the server get stuck with it?

6

Hardware and Performance / Re: High CPU usage: Xeon E3-1265L V2

« on: August 26, 2019, 03:22:02 pm »

Yes you are right: 10GB Intel is a x520, rest is onboard from that DELL R210II (Broadcom)

dmesg:
ix0: Using MSI-X interrupts with 9 vectors
ASIC (0x57092008); Rev (C0); Bus (PCIe x4, 2.5Gbps); B/C (7.10.0); Bufs (RX:2;TX:2;PG:; Flags (SPLT|MSI|MFW); MFW (NCSI 2.0.13)
ASIC (0x57092008); Rev (C0); Bus (PCIe x4, 2.5Gbps); B/C (7.10.0); Bufs (RX:2;TX:2;PG:; Flags (SPLT|MSI|MFW); MFW (NCSI 2.0.13)

What does it tell us? ;-)

7

Hardware and Performance / Re: High CPU usage: Xeon E3-1265L V2

« on: August 24, 2019, 07:15:40 pm »

Seems a reboot helped to reduce load. Don´t know.
Actually spikes come to 50-60%
What could be expected with this CPU?

8

Hardware and Performance / Re: High CPU usage: Xeon E3-1265L V2

« on: August 17, 2019, 09:17:31 pm »

Hi thanks for your reply.

VPN is active, but no connection at the moment.
Disabled suricata, ntopng and monit but CPU usage is still 100% while speedtest is down/uploading.
no difference.

Is this really so CPU hungry? Can´t imagine.
Any idea where to look into?

The CPU is 7456 points at passmark, so it´s not so powerless?

9

Hardware and Performance / High CPU usage: Xeon E3-1265L V2

« on: August 15, 2019, 10:16:43 am »

Hi, i´m actually using OPNsense 19.7.2 bare metal on an DELL R210i with 8GB RAM and this Xeon E3-1265L V2.

Thought could be overkill, but better to have to much than less performance.
Last month we got our new Fiber 600/300 and this OPNsense is working as router/firewall.

Of course to check what i get, i´m running speedtest.net from time to time. And everytime i do this i see high CPU Usage between 60-100%

Is this totally all 4 cores, or only one core maxing?

If this is really 100% of this CPU i´m wondering why this is so high.

Can someone give me a hint? I epexted this CPU to have more than enough power.

10

German - Deutsch / Re: Deutsche Glasfaser - bekomme keine IP DHCP6 / DHCP

« on: August 14, 2019, 10:44:06 am »

Hallo,
ich habe seit letzter Woche meinen DG-Anschluss. Habe den Anschluss explizit ohne Router beauftragt. Ich bekam eine E-Mail in der mir ein VLAN mitgeteilt wurde. Ich musste jedoch kein VLAN konfigurieren! Ich habe DHCP für v4 und v6 eingestellt und es lief sofort. Habe dann ein paar Tests gemacht und die Verbindung wurde immer wieder brav aufgebaut...

Kann ich so bestätigen: entgegen der Berichte im Netz läuft es bei mir auch ohne VLAN. Im Gegenteil mit keinem der beiden VLAN´s kommt eine Verbindung zu stande. DHCPv6 ist die Methode hier bei mir.

11

German - Deutsch / Re: Insight Aggregator

« on: August 14, 2019, 10:41:30 am »

Also bei mir aktuell mit 19.7.2 noch das Problem. Nach restart läuft er kurz, dann nach kurzer Zeit wieder rot.
Wie kann man da der Ursache auf den grund gehen?

12

German - Deutsch / Re: Firewall / Rules / richtiges Interface

« on: June 28, 2019, 11:37:55 pm »

Ah ok, alles klar. Danke. So habe ich das verstanden und ja das ist der Plan. Der Port wird später nur noch die VLAN´s haben.
Aber bis dahin muss ich erstmal alles konzeptionell auch hinbekommen haben ;-) Dauert bei mir alles ein bischen länger.

13

German - Deutsch / Re: Firewall / Rules / richtiges Interface

« on: June 26, 2019, 11:36:25 am »

Dein pyhsisches Interface sollte LAN zugeordnet sein, darauf die VLANs. Auf das LAN Interface sollte jetzt gar keine IP zugeordnet sein, nur auf VLANs.

Aktuell hat die FW sowohl im VPN200 als auch im regulären LAN eine eigene IP, noch aus Testgründen. Warum sollte diese später denn auf dem LAN keine mehr haben?

14

German - Deutsch / Re: Firewall / Rules / richtiges Interface

« on: June 20, 2019, 04:52:20 pm »

Danke Euch für Eure Antworten.

Hi, so ganz verstehe ich noch nicht auf was du hinaus willst, aber ich versuche es:

Danke, dafür sind Deine Erklärungen für mich aber schon einen Schritt weit verständlicher ;-)

Sofern nicht im gleichen Subnetz kommt der Traffic in die Firewall am virtuellen Interface des VLAN200 an (deshalb incoming, da der Traffic an diesem Interface ankommt).

Genau so habe ich es laufen und es klappt soweit jetzt auch (192.168.200.x). Danke. Rein theoretisch: wenn es kein eigenes Subnetz wäre ... ? Dann wiederum auf "LAN" die Regeln?

Um OpenVPN für remote worker zu nutzen benötigst du keine Zuweisung unter "Interfaces". Es genügt unter VPN->Server den entsprechenden Server zu konfigurieren schon hast du unter Rules die Möglichkeit Regeln zu erstellen wo die Clients des VPN Netzes hindürfen.

Naja zunächst baut die FW halt einen Client-Tunnel zu einem Anbieter auf um die feste IPv4 zu bekommen (in Vorbereitung auf CNAT von Deutsche Glasfaser).
Dies wird als Netzwerkport ovpnc1 angelegt und ist bei mir einem Interface "FIPNET" zugeordnet. Um meinem Verständnis nach sagen zu können, was durch diesen Tunnel auf die FW herein kommen darf (Portbasiert).

Danach ist der OpenVPN Server konfiguriert und hat den Netzwerkport ovpns2 bekommen, von mir dann als Interface "OVPNServer".
In dem Glauben damit zu regeln, worüber dieser von Clients erreicht werden kann (mag Quatsch sein). Ist aktuell auf any/any alles auf.

Was autom. in der FW auftaucht ist und keine Interface-Zuweisung hat (da auch nicht verfügbar) ist ist der Eintrag "OpenVPN": ich gehe davon aus, dass ich hiermit steuern kann, wohin die remote worker kommen dürfen? (aktuell siehe Anhang)

15

German - Deutsch / (SOLVED) Firewall / Rules / richtiges Interface

« on: June 19, 2019, 04:48:01 pm »

Moin zusammen,

ich habe jetzt angefangen mit VLAN´s zu spielen und aktuell einen Rechner erfolgreich im VLAN 200 eingebunden.
So ganz blicke ich das aber doch noch nicht, wann ich auf welchem Interface eine Regel erstelle (sofern es um mehr Interfaces als nur WAN + LAN geht):

Wo kommt der Traffic des Laptops (der im VLAN 200 steckt) an?
- wenn dieser ins Internet will (auf dem VLAN200-Interface? Das Firewall Log zeigt immer parallel einen Eintrag für das VLAN200 und danach die abgehende Anfrage der OPNsense über WAN ins Internet)

- wenn der Laptop auf die WebGUI der Opnsense soll?

Ein weiterer verwirrender Bereich ist der OpenVPN Server. Ich habe folgende Interfaces, die zum OpenVPN-Bereich gehören:

1. FIPVPN (Client verbindung zu "feste IP.net") damit die OPNsense eine feste IPv4 hat.
2. OVPNServer (wohin der Server seine Verbindung anbiet?)
3. OpenVPN (was aus dem OPNVPN Netzwerk wohin darf?)

Ich habe das Thema VPN zwar mit try&error zum Laufen bekommen. Aber das mit den zuständigen Interfaces für die FW-Regeln dabei noch nicht ganz verstanden fürchte ich.

Leider geht auch das Buch "der-opnsense-praktiker" nicht tief genug auf soetwas ein ;-(
Wäre toll wenn jemand sich die Mühe machen mag, das mit einfachen Worten zu erläutern.

Vielen Dank vorab.