Messages

Moin,

ich habe mir OS-Iperf im Gui-Paketmanager installiert, bin unter Schnittstellen ins Diagnose-Menü und wollte dort eine Iperf Instanz zur Bandbreitenmessung auf LAN starten. Leider startet diese nicht und ich finde den Fehler nicht.


Auf der Konsole funktioniert iperf, nur im Menü halt nicht, Jemand ne Idee?

Code Select Expand


root@opnsense:~ # iperf3
iperf3: parameter error - must either be a client (-c) or server (-s)

Usage: iperf3 [-s|-c host] [options]
       iperf3 [-h|--help] [-v|--version]

Server or Client:
  -p, --port      #         server port to listen on/connect to
  -f, --format   [kmgtKMGT] format to report: Kbits, Mbits, Gbits, Tbits
  -i, --interval  #         seconds between periodic throughput reports
  -I, --pidfile file        write PID file
  -F, --file name           xmit/recv the specified file
  -A, --affinity n/n,m      set CPU affinity
  -B, --bind      <host>    bind to the interface associated with the address <host>
  -V, --verbose             more detailed output
  -J, --json                output in JSON format
  --logfile f               send output to a log file
  --forceflush              force flushing output at every interval
  --timestamps<=format>     emit a timestamp at the start of each output line
                            (optional "=" and format string as per strftime(3))
  --rcv-timeout #           idle timeout for receiving data (default 120000 ms)
  -d, --debug[=#]           emit debugging output
                            (optional optional "=" and debug level: 1-4. Default is 4 - all messages)
  -v, --version             show version information and quit
  -h, --help                show this message and quit
Server specific:
  -s, --server              run in server mode
  -D, --daemon              run the server as a daemon
  -1, --one-off             handle one client connection then exit
  --server-bitrate-limit #[KMG][/#]   server's total bit rate limit (default 0 = no limit)
                            (optional slash and number of secs interval for averaging
                            total data rate.  Default is 5 seconds)
  --idle-timeout #          restart idle server after # seconds in case it
                            got stuck (default - no timeout)
  --rsa-private-key-path    path to the RSA private key used to decrypt
                            authentication credentials
  --authorized-users-path   path to the configuration file containing user
                            credentials
  --time-skew-threshold     time skew threshold (in seconds) between the server
                            and client during the authentication process
Client specific:
  -c, --client <host>[%<dev>] run in client mode, connecting to <host>
                              (option <dev> equivalent to `--bind-dev <dev>`)
  --sctp                    use SCTP rather than TCP
  -X, --xbind <name>        bind SCTP association to links
  --nstreams      #         number of SCTP streams
  -u, --udp                 use UDP rather than TCP
  --connect-timeout #       timeout for control connection setup (ms)
  -b, --bitrate #[KMG][/#]  target bitrate in bits/sec (0 for unlimited)
                            (default 1 Mbit/sec for UDP, unlimited for TCP)
                            (optional slash and packet count for burst mode)
  --pacing-timer #[KMG]     set the timing for pacing, in microseconds (default 1000)
  --fq-rate #[KMG]          enable fair-queuing based socket pacing in
                            bits/sec (Linux only)
  -t, --time      #         time in seconds to transmit for (default 10 secs)
  -n, --bytes     #[KMG]    number of bytes to transmit (instead of -t)
  -k, --blockcount #[KMG]   number of blocks (packets) to transmit (instead of -t or -n)
  -l, --length    #[KMG]    length of buffer to read or write
                            (default 128 KB for TCP, dynamic or 1460 for UDP)
  --cport         <port>    bind to a specific client port (TCP and UDP, default: ephemeral port)
  -P, --parallel  #         number of parallel client streams to run
  -R, --reverse             run in reverse mode (server sends, client receives)
  --bidir                   run in bidirectional mode.
                            Client and server send and receive data.
  -w, --window    #[KMG]    set send/receive socket buffer sizes
                            (indirectly sets TCP window size)
  -C, --congestion <algo>   set TCP congestion control algorithm (Linux and FreeBSD only)
  -M, --set-mss   #         set TCP/SCTP maximum segment size (MTU - 40 bytes)
  -N, --no-delay            set TCP/SCTP no delay, disabling Nagle's Algorithm
  -4, --version4            only use IPv4
  -6, --version6            only use IPv6
  -S, --tos N               set the IP type of service, 0-255.
                            The usual prefixes for octal and hex can be used,
                            i.e. 52, 064 and 0x34 all specify the same value.
  --dscp N or --dscp val    set the IP dscp value, either 0-63 or symbolic.
                            Numeric values can be specified in decimal,
                            octal and hex (see --tos above).
  -Z, --zerocopy            use a 'zero copy' method of sending data
  -O, --omit N              perform pre-test for N seconds and omit the pre-test statistics
  -T, --title str           prefix every output line with this string
  --extra-data str          data string to include in client and server JSON
  --get-server-output       get results from server
  --udp-counters-64bit      use 64-bit counters in UDP test packets
  --repeating-payload       use repeating pattern in payload, instead of
                            randomized payload (like in iperf2)
  --dont-fragment           set IPv4 Don't Fragment flag
  --username                username for authentication
  --rsa-public-key-path     path to the RSA public key used to encrypt
                            authentication credentials

[KMG] indicates options that support a K/M/G suffix for kilo-, mega-, or giga-

iperf3 homepage at: https://software.es.net/iperf/
Report bugs to:     https://github.com/esnet/iperf


Guten Abend,

Ist das denn im IDS oder IPS Modus? Welche Interfaces werden verwendet (HW oder VLAN oder etc.)? Ein bisschen wenig Info um zu hefen.

> Haben IDS/IPS schon komplett disabled, ohne das es hilft.

Falscher Beitrag? oO


Grüsse
Franco

Vielen Dank für deine Antwort!

Wenn IPS deaktiviert, läuft alles wie man es erwartet. HW Offloads deaktiviert von der Schnittstelle. Suricata lauscht nur auf WAN. IDS wird nicht verwendet, habe ich auch nicht getestet. Ich kann auch nicht viel mehr zur Reproduktion des Fehlers sagen, da es, wie schon eingangs erwähnt, vor dem Upgrade lief. Ist Suricata V7 schon in Planung für die Opnsense?^^

LG

Sorry fürs Nerven :-X, aber wird aktuell an dem Problem gearbeitet, was ich gesehen habe, scheinen mehrere Leute in der Community betroffen zu sein?

[Was ich auch fragen wollte ist, wann wird Suricata auf Version 7 umgestellt?]

Seit dem Update meiner Sense auf 23.1.1_2 scheint es irgendwie Probleme zu geben, wenn Suricata aktiviert ist, kann ich von der Sense weder mein Gateway anpingen noch irgendwelche Hosts im Internet. Allerdings funktioniert das aus dem LAN heraus alles ganz normal. Von der Konfiguration wurde nichts geändert.

DNS scheint keine Probleme zu haben:

Code Select Expand

# /sbin/ping -4 -c '1' 'heise.de'
PING heise.de (193.99.144.80): 56 data bytes

--- heise.de ping statistics ---
1 packets transmitted, 0 packets received, 100.0% packet loss

Aus den Logs werde ich jetzt auch nicht direkt schlau:

Code Select Expand

2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'ET.vba-jpg-dl' is checked but not set. Checked in 2814992 and 0 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.MS.XMLHTTP.ip.request' is checked but not set. Checked in 2022050 and 1 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'ET.wininet.UA' is checked but not set. Checked in 2021312 and 0 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.MS.WinHttpRequest.no.exe.request' is checked but not set. Checked in 2022653 and 0 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.IE7.NoRef.NoCookie' is checked but not set. Checked in 2023672 and 4 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'ET.SecondaryFlash.Req' is checked but not set. Checked in 2829953 and 0 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.WinHttpRequest' is checked but not set. Checked in 2019823 and 0 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'exe.no.referer' is checked but not set. Checked in 2020500 and 0 other sigs

Was ich auch fragen wollte ist, wann wird Suricata auf Version 7 umgestellt?

Code Select Expand

2023-02-18T11:59:09 Warning suricata [100318] <Warning> -- [ERRCODE: SC_ERR_CONF_YAML_ERROR(242)] - App-Layer protocol http2 enable status not set, so enabling by default. This behavior will change in Suricata 7, so please update your config. See ticket #4744 for more details.

Gibt es sonst noch Infos die ich zur Problembehebung nach schauen könnte...?

A few days earlier I read an article claiming that on BSD systems a single connection is limited because the capacities of multicore CPUs are not fully utilized?

Does this circumstance actually cause difficulties and if so, what is planned to improve opensense in this respect?

For answers I thank you in advance.

Auf einer Proxmox VM läuft es mit einem Xeon E3 zuverlässig, dieser ist zwar auch kein Monster CPU aber immer noch leistungsfähiger als eine APU. Ich werde wohl auch meine APU nächstes Jahr außer Betrieb nehmen und mir FW technisch stärkere HW kaufen. Das Problem mit der geringen Lesitung der APU wurde hier jetzt auch in anderen Zusammenhängen, wie Micneu auch sagt, schon öfter diskutiert. MFG

Ein ähnliches Problem habe ich auch, kann es sein das hier die Hardware zu schwach ist?

Hallo zusammen,

ich suche ein How-to für ein "Dual Stack Multi WAN Load Balancing"-Setup mit IPv4 und IPv6.
Ich fummle seit Wochen rum, aber es gelingt kein stabiles Sytem.
Bin ich der Einzige, den das interessiert?

Have a nice day!
Achim

Hey,

https://www.openmptcprouter.com/

schau dir das mal an, gibt leider kein Plugin für die sense dafür. Ist aber auch kein reiner Loadbalancer, sondern ein FullStack TCP.

Ich bündel damit zwei DSL Leitung, ein wenig Overhead wegen der VPN's hat man immer, aber läuft mit der aktuellen Version stable, VPS ist im Rechenzentrum von 1&1, Latenzen bei 32 ms.

Vielleicht ist das genau das, was du suchst.

VG

Eine konkrete Konfiguration würde mich auch interessieren, weil ich dabei nicht verstehe, werden dabei zwei verschiedene NAT Regeln für die jeweiligen VLANs benötigt? Wie soll das mit FW Regeln funktionieren, je Netz ein eigener Upstreamgateway? Wie geht man dabei sauber vor?

Wäre nice, wenn sich jemand dazu bereit erklärt und zu dieser Problemstellung eine leserliche und verständliche Anleitung verfassen möchte. Danke!

Also bei mir scheint es keine Probleme zu geben:

Code Select Expand

C:\Users\admin>nslookup seven
Server:  opnsense.niedata
Address:  192.168.0.12

Name:    seven.niedata
Address:  192.168.0.14

und als revers lookup:

Code Select Expand

C:\Users\admin>nslookup 192.168.1.8
Server:  opnsense.niedata
Address:  192.168.0.12

Name:    pi-hole1.niedata
Address:  192.168.1.8

[...]

Der Tunnel steht und für den Tunnel ist NAT konfiguriert und funktioniert auch grundsätzlich.

[...]

Ah, dann ist mein vorheriger Post obsolet, sorry. Dann weiß ich es auch nicht ehrlich gesagt. Es wäre begrüßenswert, falls du es noch hinbekommen solltest, wenn du die Lösung mit uns teilst.

Oke, ich habe noch eine Idee, ansonsten müsste ich länger drüber nach denken.

Mach bitte mal bei Interfaces -> WAN -> IPv4 Upstream Gateway den VPN rein.
Edit: Es kommt hier natürlich drauf, wie NAT konfiguriert ist.


Meine Begründung wäre folgende:

Sense leitet doch mittels NAT den Traffic der von LAN kommt, an den Standard Gateway nach draußen weiter... soweit so gut. Die FW-Regeln schauen doch erst mal nur, ob eine Verbindung erlaubt ist oder nicht. Wenn du etwas Umleiten willst, musst du Port Forwarding einstellen, das ist für mich auf die Schnelle nicht sooo easy.

Gehst du mit meiner Überlegung so weit konform?

Warum die Einstellung bei Unbound für das VPN Interface nicht greifen möchte, ist mir auch ein Rätsel. Normalerweise sollte auch ohne diese Option, alles über den Standard Gateway laufen, insofern keine besonderen Port Forwarding Regeln definiert wurden.

Das ergibt wirklich keinen Sinn xD

Wie hast du Unbound jetzt aktuell konfiguriert, leitest du DNS weiter oder verwendest du Unbound als Resolver?

Was ich nicht verstehe bei deiner Konfig, warum sollte aus dem VPN eine DNS Anfrage beantwortet werden, im ersten Post hast du doch geschrieben, dass die Anfrage vom LAN über VPN nach draußen gehen soll? Falls ich das richtig verstanden habe.

Willst du dann selektieren, welche Anfragen über VPN gehen und welche nicht oder hast du eine andere Intention? Ein paar mehr Infos wären schon hilfreich, evtl. auch mal einen Netzwerkplan zeichnen, damit man sich das besser vorstellen kann. ;)

Auf welcher Schnittstelle hört Unbound?

"Wenn ich das "Gateway" für die default Firewall-Rule auf den Tunnel änder, gehen plötlich alle DNS-Anfrage vom VPN-Interface auf das LAN-Interface. Nicht DNS-Anfragen aus dem LAN gehen in Tunnel wie gewünscht, aber DNS funktioniert nicht mehr."

Mach mal ein Bild von deiner FW-Rule....

"Wenn ich in Unbound als "Outgoing Network Interfaces" das VPN-Interface definiere, dann wird diese Einstellung absolut ignoriert. Alle Anfragen gehen weiter über das WAN-Interface. Zwischendurch hat das mal funktioniert, plötzlich nicht mehr...  :-\  Verstehe ich zwar auch nicht, ist aber noch nicht mal das Hauptproblem."

Ok, deswegen meinte ich ja, du solltest das über eine FW Regel machen, damit die DNS Anfrage erzwungen wird, du musst es ja nicht genau so machen, wie in meinen Link angegeben. DNS Anfragen können dann aber von Clients im LAN auch an andere DNS Server geschickt werden.

Ich denke du suchst so etwas wie das hier:

https://forum.opnsense.org/index.php?topic=9245.0

Du müsstest versuchen, deinen DNS Traffic über die VPN zu zwingen. Ich bin kein Experte, aber ich glaube, du musst deiner Sense sagen, dass der VPN Tunnel ein Gateway ist. Dann kannst du unter System deinen DNS Server eingeben und als Upstream Server, den neuen Gateway verwenden, welcher den VPN nutzt.

Das wäre so ungefähr meine Vorgehensweise. Aber wichtig ist, dass du alles was über 53 läuft, dazu zwingst und wenn du konsequent sein willst, wären auch Vlans usw. angeraten, damit keine leaks entstehen. Anschließend testest du deine DNS Konfiguration, siehe unter anderem auch hier: https://www.dnsleaktest.com/

Ach ja, das kannst du mit DNS over TLS ebenfalls so machen, nur DoH kann dann noch zum Problem werden.

Viel Erfolg =)

Moin,

möchte auf WAN Interface der Sense 192.168.1.1 von 192.168.1.8 auf Port 123  zugreifen bzw. Zugriff erlauben. Bogon ist auf WAN Schnittstelle deaktiviert, sowie eine FW Regel auf WAN Schnittstelle vorhanden, welche den Zugriff eigentlich ermöglichen sollte.

LAN Interface hat 192.168.0.1, nur der Vollständigkeit halber, die interne Schnittstelle sollte eigentlich nicht tangiert werden bei der Konfiguration.

Wie kann dies am besten gelöst werden, bitte um Rat.

Edit:

scheint jetzt zu laufen, bogon war noch aktiv.