Messages

Hallo Zusammen,

ich möchte mir jetzt mangels einer ausreichenden Zahl physikalischer NICs an meiner OPNsense Appliance mit einem untergeordneten Switch VLANs aufspannen. Vor einiger Zeit hatte ich hierzu mal gelesen, dass man die Interfaces wohl irgendwie vorher als LAGG bzw. LACP konfigurieren solle, "um jederzeit beliebige VLANs hinzufügen zu können" (?). Vielleicht verwechsle ich auch etwas. Leider finde ich den Artikel nicht mehr bzw. weiß auch nicht mehr, wo genau ich das gelesen habe.

Kann sich hierauf jemand einen Reim machen? Was könnte damit gemeint sein? Verliere ich Flexibilität, wenn ich die VLANs einfach so aufspanne? Mein Ziel ist eigentlich bloß die Ports am Switch über die OPNsense zu routen und dort dann zu entscheiden, welche Pakete in welche Richtung gehen dürfen - also quasi die Anzahl physikalischer Geräte mit eigenen Rechten zu erhöhen, die ich an die OPNsense Appliance anschließen kann.

Vielen Dank für eure Hilfe!

Ich meine es war dieser Beitrag:

https://forum.opnsense.org/index.php?topic=5202.msg21671#msg21671

Gruß
J

Gesendet von meinem SM-G998B mit Tapatalk

Hallo Ben.,

was für ne Hütte hast Du, dass Du nicht mitbekommen würdest, dass da einer die Klingel raus reißt? Wenn Du im Urlaub bist vielleicht oder sowas, ok...

Da versucht dann aber glaub kaum jemand Deine Tür zu "hacken", sondern dringt wahrscheinlich anders ein. Ok egal, wollte jetzt nicht klug daher reden, Sinn macht eine Absicherung allemal.

Würde das definitiv in ein separates VLAN packen ("IoT" oder "SmartHome", o.ä.). Erlaubte Zieladressen im Inet dann auf die vom Hersteller der Klingel empfohlenen Seiten beschränkt.

Von den zwei Clients wirst Du auch was freigeben müssen, wobei wohl eher vom neuen VLAN (Klingel) zu den Clients in den anderen VLANs, damit der Videocall funktioniert (SIP?). Auch hier nur mit Quelle und Ziel + Port.

Die Regel kann man dann vielleicht auch noch zeitgesteuert deaktivieren in der Nacht? Fällt mir gerade mal so ein...

HTH

Gruß J

Gesendet von meinem SM-G998B mit Tapatalk

Na das klingt doch gut. Reboot (oder eben Reconfig) tut gut :)

Noch ein kleiner Hinweis, wenn Du, wie gesagt, mal weiter VLANs einziehst, oder vom 1er Netz weggehst. Die Ubiquiti Switches benötigen fürs provisioning das 1er. Sollte also mal der Cloud Key in ein Management VLAN wander, wie bei mir, musst Du zumindest beim Provisioning das Routing zwischen Provisioning VLAN (1er oder 0er, weiß gerade nicht mehr genau) und Management VLAN ermöglichen ;) Das kann Dir viel Zeit ersparen.

Ansonsten weiterhin gutes Gelingen!

Gruß Ric

OK. Danke euch!

Unter Assignments sehe ich igb0 - X

Ach ja, falls Du gedenkst später auch noch mehr VLANs einzuziehen, vor allem ein eigenes Management VLAN, dann wirds richitg sexy.

Ubiquiti is echt super, aber halt auch mit Fokus auf Plug 'n Play. Da wird das gerne mal zur Herausforderung.

Was ich auch erleben musste war eine komplette HW-Änderung im Bereich der US-8 Switches (ohne das man das mitbekommen hätte). Hier gab es mal den Wechsel zu ARM Prozessoren und damit einher ging eine Änderung der kompletten CLI und anderen Dingen. Ich fahre Hybrid (USC-8P & USW-8P), da machen sich so manche Unterschiede bemerkbar, wenn man eben über die "Plug 'n Play" Funktionen hinausgeht....

Gruß RiC

Als was werden die Karten denn vom Treiber erkannt, also unabhängig von der MAC Adresse? Also wie heißen die phys. Interfaces?

Sorry wenn ich so blöd fragen muss. Wie kann ich das nachschauen?

Via CLI?

Hi sbellon,

ich hatte beim Initialen Setup (OPNSense mit Ubiquiti) auch so meine Probleme und ähnliche Phänomene.

Ich hab mich dann irgendwann dazu entschlossen alles via VLAN zu machen und habe das "native" Interface (in Deinem Fall das igb1) deaktiviert.

Im Ubiquiti Controller müssen natürlich die VLANs ebenso angelegt werden und vielleicht neue Profile erstellt oder bestehende angepasst werden. Da Du aber eine IP bekommst, scheint das mal grundsätzlich zu passen, Uplinks mit allen VLANs tagged...

Wenn ersteres nicht funzt, gesetzt den Fall Du willst es überhaupt so probieren, hilft am Ende, und ich sage es nur ungern, nochmal mit einem frisch aufgesetzten Image zu starten. Hat bei mir tatsächlich mal geholfen, als garnichts ging, obwohl ich keinen Konfigurationsfehler finden konnte...

HTH irgendwie...

Gruß RiC

Hallo zusammen,

habe die Quotom jetzt bereits eine Weile in Betrieb und kann mich nicht beschweren.

Mir ist irgendwann allerdings mal aufgefallen, dass im Webinterface der OPN die NICs als Realteks angezeigt werden, wobei ich ja explizit wegen der Intels gekauft hatte. Wollte hiermit u.a. den Bottleneck Richtung WAN ausschließen.

Hab natürlich postwendend an Quotom geschrieben, die wie folgt geantwortet haben :

The opnsense shows Realtek MAC address, because our factory write it in with Realtek's MAC address. We are still work it, we will make the MAC address named Qotom in the future!

Sind die ersten sechs Stellen nicht feste dem Provider zugewiesen?! Somit würden sie ja spoofen, oder wie versteh ich das?

Sie haben mir u.a. Ein Foto mit angehängt mit folgender Erklärung:

The yellow circle shows intel I350 nics and the red area is intel I211 nics,You can find them when you open the motherboard if you are still be doubtful about that. And the fact is Intel network card and Realtek network card with the different size . That's impossible to put Realtek inside of our motherboard

Klingt das für euch alles rund?

Bei meiner Gigabit Leitung von Vodafone komme ich aktuell auf 300 - 400 MBit/s nicht all zufrieden stellend.

Macht ihr hier ähnliche Erfahrungen. Laut Vodafone Speedtest liegt das Problem natürlich bei mir im Netz und nicht auf der Strecke. Is klar! Speedtest auch direkt von der FW bringt nicht wesentlich mehr...

Ist denn schon klar, wie hier die neue Gesetzeslage helfen wird? Is wahrscheinlich eh hinfällig weil Vodafone das in irgendwelchen Klauseln mit "bis zu" betitelt, oder wie seht ihrs?

Gruß RiC

Hallo zusammen,

eine kurze Frage an Qotom-Besitzer. (Vielleicht betrifft es aber auch andere?)

Es sind laut Hersteller Intel NICs in meiner Q858GE verbaut, allerdings sehe ich in der Web-Oberfläche (& laut MAC) aber, dass angeblich Realtek NICs verbaut sein sollen.

Ist sowas bekannt?

Hersteller hat mir nochmal versichert, das Intel NICs verbaut sind und es sich hier "nur" um die Anzeige der OPNSense handelt, die von Realteks "spricht".

Danke vorab!

Gruß
RiC

Hi K0ns0l3,

danke für deine Antwort.

Habe mich jetzt ebenfalls für die Kingston mSATA entschieden und dazu für 8GB RAM von Crucial (DDR4 SODIMM 2400 MHz).

Mal schauen, wie die Kiste rennt. Werde berichten, wenn sie da is.

Gruß RiC

Danke euch allen, für eure Rückmeldungen.

Habe mich jetzt für ein(e) Qotom Q800GE mit i5 8250U entschieden.

Habt ihr Tipps für ne gute SSD und anständigen RAM?

Platte is wohl ne mSATA und RAM DDR4L.

Gruß RiC

Hallo micneu,

Danke für Deine Rückmeldung!

Hatte ich vorab gemacht und mich dann dazu entschieden doch einen eigenen Beitrag auf zu machen. Hier geht es auch in viele verschiedenen Richtungen.

Vielleicht wäre das mal eine grundsätzliche Übersicht wert. Der Sizing Guide von OPNSense verrät ja die Anforderungen, aber nicht die Erfahrungswerte verschiedener, erprobter Systeme mit solider, verlässlicher Hardware, guten Komponenten und anständigen Preisen.

Quotom liest man ja häufiger, hast Du wohl auch. APU Boards sind ja auch gern genommene Kandidaten - zumindest bis zu besagten Grenzen.

Die NRGs sehen wirklich gut aus, gibt's die auch günstiger von anderen Herstellern mit gleichen Konditionen und günstigeren Preisen?


Gruß Eric

Hallo mal wieder zusammen,

ich bin aktuell auf der Suche nach neuer Hardware und würde mich über Tipps und eure Einschätzung freuen.

Aktuell habe ich ein APU-Board (APU.1D4)mit Realtek Chipsatz in Betrieb, mit dem ich soweit auch ganz zufrieden war. Ein Wechsel auf die 1GBit/s bei Vodafone zeigt allerdings aktuell ganz klare Grenzen auf. Ich komme nicht einmal annähernd an die 1GBit (das man die nicht voll schafft ist mir bewusst ;) ). Auch IDS / IPS sind mit der Kiste nicht ordentlich möglich.

Auf der Suche nach neuer Hardware sehe ich aktuell diverse Möglichkeiten. Hier vielleicht einmal eine kurze Übersicht mit möglichen Optionen:

• Yanling NUC (Inel Celeron J3160 - 6 Watt) | oder TLSense J3P4
• Fujitsu Futro S920 / S930
• Qotom Q355G4 | NRG-Systems IPU | oder eine adäquate Alternative

Was haltet ihr grundsätzlich von der ThinClient-Variante (S920 / S930)?
Wie verhält es sich darüber hinaus mit den i-Prozessoren (i3, i5, i7) und deren Leistungsaufnahme? "Fressen" die wesentlich mehr?

Ich hätte auch noch einen Lex Computech mit einem J1900 hier liegen (3I380D), aber von dem würde ich glaube ich absehen wollen und lieber auf eine CPU setzen mit AES-NI. Auch wenn VPN nicht im Fokus steht, hätte ich hier gerne die Möglichkeiten.

Es macht sich also für mich primär an der CPU und deren Leistungsaufnahme fest, wie es im Moment aussieht. Dass das nicht der Weisheit letzter Schluss ist, is klar.
Dazu dann 8GB RAM (DDR4 wäre schön) aufwärts und SSD nach Größenbedarf.

Wieder einmal zu viele Optionen :)

Vorab tausend Dank für jegliche Tipps!

Gruß
RiC

Hi JeGr,

danke Dir für die Rückmeldung!

Dann schau ich mal, wie ich das hinbekomme.

Von ner eigenen CA auf der OPNSense mit selbstausgestellten Zertifikaten würdest Du auch absehen, oder?

Ich hätte auch noch andere Webinterfaces, die ich natürlich gerne mit nem Zertifikat versehen würde. Am einfachsten wäre dann ein Wildcard / SAN. Gibt's das auch bei LE?

Gruß Ric