"
Works pretty awesome. Only user brain didn´t work. ... :'(
Firewallrules on client side should of course be adjusted ...
Sorry for any inconvenience
Firewallrules on client side should of course be adjusted ...
Sorry for any inconvenience
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
#2
German - Deutsch / Probleme mit MDNS Repeater
December 13, 2019, 12:43:38 AM
Hi,
was ich vorhabe:
VLAN 200 - 192.168.200.0/24
VLAN 210 - 192.168.210.0/24
Im 210er sollen die ganze netten SmartHome Gadgets bleiben, aber die APPs für die Steuerung sind im 200er.
Zum Beispiel ein SynologyAssistent. Der alle Synology NAS im Netzwerk ermittelt und anzeigt.
Ich dachte genau dafür ist der MDNS Repeater. Das Multicast über VLAN und Subnetgrenzen hinaus funktioniert.
Habe ich also installiert, aktiviert und beide Interfaces eingetragen. Funktioniert allerdings nicht.
Bin ich auf dem Holzweg, geht gar nicht was ich meine rausgelesen zu haben? Oder mache ich etwas falsch?
Bin für Eure Tipps dankbar.
was ich vorhabe:
VLAN 200 - 192.168.200.0/24
VLAN 210 - 192.168.210.0/24
Im 210er sollen die ganze netten SmartHome Gadgets bleiben, aber die APPs für die Steuerung sind im 200er.
Zum Beispiel ein SynologyAssistent. Der alle Synology NAS im Netzwerk ermittelt und anzeigt.
Ich dachte genau dafür ist der MDNS Repeater. Das Multicast über VLAN und Subnetgrenzen hinaus funktioniert.
Habe ich also installiert, aktiviert und beide Interfaces eingetragen. Funktioniert allerdings nicht.
Bin ich auf dem Holzweg, geht gar nicht was ich meine rausgelesen zu haben? Oder mache ich etwas falsch?
Bin für Eure Tipps dankbar.
#3
German - Deutsch / Re: IPv6 Provider, IPv4 intern weiter nutzen? Firewall-Rules-Dilemma
December 12, 2019, 12:14:42 PM
Also mein Präfix ist seit 07/2019 stabil bei DG.
Der soll sich angeblich auch nicht ändern. Und Zwangstrennung gibt es ja auch keine.
Der soll sich angeblich auch nicht ändern. Und Zwangstrennung gibt es ja auch keine.
#4
Hardware and Performance / Re: High CPU usage: Xeon E3-1265L V2
August 27, 2019, 02:59:13 PM
Ok, thanks for your help anyway. I´ll keep you posted.
load.conf.local ist loaded automatically or does it need to be refered to from loader.conf
load.conf.local ist loaded automatically or does it need to be refered to from loader.conf
#5
Hardware and Performance / Re: High CPU usage: Xeon E3-1265L V2
August 27, 2019, 01:17:50 PMCode Select
sysctl hw.bce
hw.bce.rx_ticks: 18
hw.bce.rx_ticks_int: 18
hw.bce.rx_quick_cons_trip: 6
hw.bce.rx_quick_cons_trip_int: 6
hw.bce.tx_ticks: 80
hw.bce.tx_ticks_int: 80
hw.bce.tx_quick_cons_trip: 20
hw.bce.tx_quick_cons_trip_int: 20
hw.bce.strict_rx_mtu: 0
hw.bce.hdr_split: 1
hw.bce.tx_pages: 2
hw.bce.rx_pages: 2
hw.bce.msi_enable: 1
hw.bce.tso_enable: 1
hw.bce.verbose: 1
Code Select
vmstat -i
interrupt total rate
irq20: ehci0 4982380 6
irq23: ehci1 2351854 3
cpu0:timer 85154548 104
cpu1:timer 73024686 89
cpu4:timer 77078037 94
cpu2:timer 75039363 91
cpu5:timer 74960795 91
cpu3:timer 74592444 91
cpu7:timer 75875867 93
cpu6:timer 77778230 95
irq264: ix0:q0 5731562 7
irq265: ix0:q1 2844164 3
irq266: ix0:q2 5737378 7
irq267: ix0:q3 2941838 4
irq268: ix0:q4 7090296 9
irq269: ix0:q5 3092327 4
irq270: ix0:q6 2624506 3
irq271: ix0:q7 2074652 3
irq272: ix0:link 4 0
irq273: bce0 11023412 13
irq274: bce1 11336488 14
irq275: ahci0 13841993 17
Total 689176824 840Means MSI / TSO are enabled, right?
Try to disable this:
Code Select
# sysctl hw.bce.msi_enable=0
sysctl: oid 'hw.bce.msi_enable' is a read only tunable
sysctl: Tunable values are set in /boot/loader.conf
# sysctl hw.bce.tso_enable=0
sysctl: oid 'hw.bce.tso_enable' is a read only tunable
sysctl: Tunable values are set in /boot/loader.conf
Is disableing this on loader.conf harmless or could the server get stuck with it?
#6
Hardware and Performance / Re: High CPU usage: Xeon E3-1265L V2
August 26, 2019, 03:22:02 PM
Yes you are right: 10GB Intel is a x520, rest is onboard from that DELL R210II (Broadcom)
dmesg:
ix0: Using MSI-X interrupts with 9 vectors
ASIC (0x57092008); Rev (C0); Bus (PCIe x4, 2.5Gbps); B/C (7.10.0); Bufs (RX:2;TX:2;PG:8); Flags (SPLT|MSI|MFW); MFW (NCSI 2.0.13)
ASIC (0x57092008); Rev (C0); Bus (PCIe x4, 2.5Gbps); B/C (7.10.0); Bufs (RX:2;TX:2;PG:8); Flags (SPLT|MSI|MFW); MFW (NCSI 2.0.13)
What does it tell us? ;-)
dmesg:
ix0: Using MSI-X interrupts with 9 vectors
ASIC (0x57092008); Rev (C0); Bus (PCIe x4, 2.5Gbps); B/C (7.10.0); Bufs (RX:2;TX:2;PG:8); Flags (SPLT|MSI|MFW); MFW (NCSI 2.0.13)
ASIC (0x57092008); Rev (C0); Bus (PCIe x4, 2.5Gbps); B/C (7.10.0); Bufs (RX:2;TX:2;PG:8); Flags (SPLT|MSI|MFW); MFW (NCSI 2.0.13)
What does it tell us? ;-)
#7
Hardware and Performance / Re: High CPU usage: Xeon E3-1265L V2
August 24, 2019, 07:15:40 PM
Seems a reboot helped to reduce load. Don´t know.
Actually spikes come to 50-60%
What could be expected with this CPU?
Actually spikes come to 50-60%
What could be expected with this CPU?
#8
Hardware and Performance / Re: High CPU usage: Xeon E3-1265L V2
August 17, 2019, 09:17:31 PM
Hi thanks for your reply.
VPN is active, but no connection at the moment.
Disabled suricata, ntopng and monit but CPU usage is still 100% while speedtest is down/uploading.
no difference.
Is this really so CPU hungry? Can´t imagine.
Any idea where to look into?
The CPU is 7456 points at passmark, so it´s not so powerless?
VPN is active, but no connection at the moment.
Disabled suricata, ntopng and monit but CPU usage is still 100% while speedtest is down/uploading.
no difference.
Is this really so CPU hungry? Can´t imagine.
Any idea where to look into?
The CPU is 7456 points at passmark, so it´s not so powerless?
#9
Hardware and Performance / High CPU usage: Xeon E3-1265L V2
August 15, 2019, 10:16:43 AM
Hi, i´m actually using OPNsense 19.7.2 bare metal on an DELL R210i with 8GB RAM and this Xeon E3-1265L V2.
Thought could be overkill, but better to have to much than less performance.
Last month we got our new Fiber 600/300 and this OPNsense is working as router/firewall.
Of course to check what i get, i´m running speedtest.net from time to time. And everytime i do this i see high CPU Usage between 60-100%
Is this totally all 4 cores, or only one core maxing?
If this is really 100% of this CPU i´m wondering why this is so high.
Can someone give me a hint? I epexted this CPU to have more than enough power.
Thought could be overkill, but better to have to much than less performance.
Last month we got our new Fiber 600/300 and this OPNsense is working as router/firewall.
Of course to check what i get, i´m running speedtest.net from time to time. And everytime i do this i see high CPU Usage between 60-100%
Is this totally all 4 cores, or only one core maxing?
If this is really 100% of this CPU i´m wondering why this is so high.
Can someone give me a hint? I epexted this CPU to have more than enough power.
#10
German - Deutsch / Re: Deutsche Glasfaser - bekomme keine IP DHCP6 / DHCP
August 14, 2019, 10:44:06 AMQuote from: marcri on August 05, 2019, 06:48:53 AM
Hallo,
ich habe seit letzter Woche meinen DG-Anschluss. Habe den Anschluss explizit ohne Router beauftragt. Ich bekam eine E-Mail in der mir ein VLAN mitgeteilt wurde. Ich musste jedoch kein VLAN konfigurieren! Ich habe DHCP für v4 und v6 eingestellt und es lief sofort. Habe dann ein paar Tests gemacht und die Verbindung wurde immer wieder brav aufgebaut...
Kann ich so bestätigen: entgegen der Berichte im Netz läuft es bei mir auch ohne VLAN. Im Gegenteil mit keinem der beiden VLAN´s kommt eine Verbindung zu stande. DHCPv6 ist die Methode hier bei mir.
#11
German - Deutsch / Re: Insight Aggregator
August 14, 2019, 10:41:30 AM
Also bei mir aktuell mit 19.7.2 noch das Problem. Nach restart läuft er kurz, dann nach kurzer Zeit wieder rot.
Wie kann man da der Ursache auf den grund gehen?
Wie kann man da der Ursache auf den grund gehen?
#12
German - Deutsch / Re: Firewall / Rules / richtiges Interface
June 28, 2019, 11:37:55 PM
Ah ok, alles klar. Danke. So habe ich das verstanden und ja das ist der Plan. Der Port wird später nur noch die VLAN´s haben.
Aber bis dahin muss ich erstmal alles konzeptionell auch hinbekommen haben ;-) Dauert bei mir alles ein bischen länger.
Aber bis dahin muss ich erstmal alles konzeptionell auch hinbekommen haben ;-) Dauert bei mir alles ein bischen länger.
#13
German - Deutsch / Re: Firewall / Rules / richtiges Interface
June 26, 2019, 11:36:25 AMQuote from: Mks on June 20, 2019, 07:35:39 PMAktuell hat die FW sowohl im VPN200 als auch im regulären LAN eine eigene IP, noch aus Testgründen. Warum sollte diese später denn auf dem LAN keine mehr haben?
Dein pyhsisches Interface sollte LAN zugeordnet sein, darauf die VLANs. Auf das LAN Interface sollte jetzt gar keine IP zugeordnet sein, nur auf VLANs.
#14
German - Deutsch / Re: Firewall / Rules / richtiges Interface
June 20, 2019, 04:52:20 PM
Danke Euch für Eure Antworten.
Danke, dafür sind Deine Erklärungen für mich aber schon einen Schritt weit verständlicher ;-)
Naja zunächst baut die FW halt einen Client-Tunnel zu einem Anbieter auf um die feste IPv4 zu bekommen (in Vorbereitung auf CNAT von Deutsche Glasfaser).
Dies wird als Netzwerkport ovpnc1 angelegt und ist bei mir einem Interface "FIPNET" zugeordnet. Um meinem Verständnis nach sagen zu können, was durch diesen Tunnel auf die FW herein kommen darf (Portbasiert).
Danach ist der OpenVPN Server konfiguriert und hat den Netzwerkport ovpns2 bekommen, von mir dann als Interface "OVPNServer".
In dem Glauben damit zu regeln, worüber dieser von Clients erreicht werden kann (mag Quatsch sein). Ist aktuell auf any/any alles auf.
Was autom. in der FW auftaucht ist und keine Interface-Zuweisung hat (da auch nicht verfügbar) ist ist der Eintrag "OpenVPN": ich gehe davon aus, dass ich hiermit steuern kann, wohin die remote worker kommen dürfen? (aktuell siehe Anhang)
Quote from: Mks on June 20, 2019, 03:57:35 PM
Hi, so ganz verstehe ich noch nicht auf was du hinaus willst, aber ich versuche es:
Danke, dafür sind Deine Erklärungen für mich aber schon einen Schritt weit verständlicher ;-)
QuoteGenau so habe ich es laufen und es klappt soweit jetzt auch (192.168.200.x). Danke. Rein theoretisch: wenn es kein eigenes Subnetz wäre ... ? Dann wiederum auf "LAN" die Regeln?
Sofern nicht im gleichen Subnetz kommt der Traffic in die Firewall am virtuellen Interface des VLAN200 an (deshalb incoming, da der Traffic an diesem Interface ankommt).
Quote
Um OpenVPN für remote worker zu nutzen benötigst du keine Zuweisung unter "Interfaces". Es genügt unter VPN->Server den entsprechenden Server zu konfigurieren schon hast du unter Rules die Möglichkeit Regeln zu erstellen wo die Clients des VPN Netzes hindürfen.
Naja zunächst baut die FW halt einen Client-Tunnel zu einem Anbieter auf um die feste IPv4 zu bekommen (in Vorbereitung auf CNAT von Deutsche Glasfaser).
Dies wird als Netzwerkport ovpnc1 angelegt und ist bei mir einem Interface "FIPNET" zugeordnet. Um meinem Verständnis nach sagen zu können, was durch diesen Tunnel auf die FW herein kommen darf (Portbasiert).
Danach ist der OpenVPN Server konfiguriert und hat den Netzwerkport ovpns2 bekommen, von mir dann als Interface "OVPNServer".
In dem Glauben damit zu regeln, worüber dieser von Clients erreicht werden kann (mag Quatsch sein). Ist aktuell auf any/any alles auf.
Was autom. in der FW auftaucht ist und keine Interface-Zuweisung hat (da auch nicht verfügbar) ist ist der Eintrag "OpenVPN": ich gehe davon aus, dass ich hiermit steuern kann, wohin die remote worker kommen dürfen? (aktuell siehe Anhang)
#15
German - Deutsch / (SOLVED) Firewall / Rules / richtiges Interface
June 19, 2019, 04:48:01 PM
Moin zusammen,
ich habe jetzt angefangen mit VLAN´s zu spielen und aktuell einen Rechner erfolgreich im VLAN 200 eingebunden.
So ganz blicke ich das aber doch noch nicht, wann ich auf welchem Interface eine Regel erstelle (sofern es um mehr Interfaces als nur WAN + LAN geht):
Wo kommt der Traffic des Laptops (der im VLAN 200 steckt) an?
- wenn dieser ins Internet will (auf dem VLAN200-Interface? Das Firewall Log zeigt immer parallel einen Eintrag für das VLAN200 und danach die abgehende Anfrage der OPNsense über WAN ins Internet)
- wenn der Laptop auf die WebGUI der Opnsense soll?
Ein weiterer verwirrender Bereich ist der OpenVPN Server. Ich habe folgende Interfaces, die zum OpenVPN-Bereich gehören:
1. FIPVPN (Client verbindung zu "feste IP.net") damit die OPNsense eine feste IPv4 hat.
2. OVPNServer (wohin der Server seine Verbindung anbiet?)
3. OpenVPN (was aus dem OPNVPN Netzwerk wohin darf?)
Ich habe das Thema VPN zwar mit try&error zum Laufen bekommen. Aber das mit den zuständigen Interfaces für die FW-Regeln dabei noch nicht ganz verstanden fürchte ich.
Leider geht auch das Buch "der-opnsense-praktiker" nicht tief genug auf soetwas ein ;-(
Wäre toll wenn jemand sich die Mühe machen mag, das mit einfachen Worten zu erläutern.
Vielen Dank vorab.
ich habe jetzt angefangen mit VLAN´s zu spielen und aktuell einen Rechner erfolgreich im VLAN 200 eingebunden.
So ganz blicke ich das aber doch noch nicht, wann ich auf welchem Interface eine Regel erstelle (sofern es um mehr Interfaces als nur WAN + LAN geht):
Wo kommt der Traffic des Laptops (der im VLAN 200 steckt) an?
- wenn dieser ins Internet will (auf dem VLAN200-Interface? Das Firewall Log zeigt immer parallel einen Eintrag für das VLAN200 und danach die abgehende Anfrage der OPNsense über WAN ins Internet)
- wenn der Laptop auf die WebGUI der Opnsense soll?
Ein weiterer verwirrender Bereich ist der OpenVPN Server. Ich habe folgende Interfaces, die zum OpenVPN-Bereich gehören:
1. FIPVPN (Client verbindung zu "feste IP.net") damit die OPNsense eine feste IPv4 hat.
2. OVPNServer (wohin der Server seine Verbindung anbiet?)
3. OpenVPN (was aus dem OPNVPN Netzwerk wohin darf?)
Ich habe das Thema VPN zwar mit try&error zum Laufen bekommen. Aber das mit den zuständigen Interfaces für die FW-Regeln dabei noch nicht ganz verstanden fürchte ich.
Leider geht auch das Buch "der-opnsense-praktiker" nicht tief genug auf soetwas ein ;-(
Wäre toll wenn jemand sich die Mühe machen mag, das mit einfachen Worten zu erläutern.
Vielen Dank vorab.
