Messages

Hallo zusammen,

gibt es eine Möglichkeit die summe der aktuellen Verfungen anzuzeigen?
Auf vielen Firewall-Systemen kann man sich den "Session Count" anzeigen lassen.
Leider habe ich nichts vergleichbares gefunden.

Viele Grüße
Vibezz

[VM Hareware Version 10 (ESXi 5.5) und FreeBSD x64]

Ich hab für mich eine Lösung gefunden.
Abweichend von der ESXi / vCenter Empfehlung habe ich VM Hareware Version 10 (ESXi 5.5) und FreeBSD x64 gewählt und mit 4x e1000 NICs installiert.
Da stimmt dann die Reihenfolge auch bei 4 NICs. Es sollte auch mit VMXNET3 Karten klappen.
Allerdings hatte die Version 19.7 installiert und von dieser auf 21.1.4 geupgradet.
Aus diesem Grund kann ich nicht 100%ig sagen ob es an der VM Version liegt -> ich denke aber schon.

Hallo zusammen,

danke für die Hinweise. Leider hat nichts geholfen.
Ich habe inzwischen die NIC von VMXNET3 auf E1000e umgestellt und auch die MACs hat vorgegeben.
Das Verhalten ist immer das selbe VMware NIC 1,2,3,4 -> OPNsense NIC 4,1,2,3.
Bei nur drei NICs stimmt die Zuordnung noch egal ob VMXNET3 oder E1000e.

Das scheint, dass es an FreeBSD liegt. Ich habe noch eine weitere "alte" VM mit den selben Einstellungen und da klappt die Zuordnung. Allerdings ist das ein geupgradetes System von 20.x.

Viele Grüße
Vibezz

Nach weiteren Test. War das Problem die CPU.

Hallo zusammen,

wie kann ich beeinflussen wie die NICs von OPNsense eingebunden werden bzw. das anpassen?

Mein Problem ist: NIC4 der VM wird als VMX0 eingebunden. Bis zur NIC3 war alles ok.

Nach einiges Tests bekomme ich keine saubere Zuordnung hin.

Viele Grüße
Vibezz

Hallo zusammen,

im privaten Umfeld macht ein Proxy nur dann Sinn wenn es um Sicherheit und Kontrolle geht. Im Firmenumfeld würde ich, auch heutzutage, immer Proxys verwenden.

Auf dem Proxy kann man sehr viel besser steuern welche System und User welche URLs aufrufen dürfen. DNS Firewall Regeln funktionieren meist nicht gut wenn die unterschiedlich aufgelöst werden z.B. mehrer IPs hinter dem FQDN d.h. FW löst 1.2.3.4 auf und Host 1.2.3.5 und schon zieht die Regel nicht. Sind mehre Firewalls oder ACLs involviert sind nur Freischaltungen für die Proxy IPs nötig und nicht für xxx.. Systeme.
Über das Regelwerk sollte gesteuert werden wo SSL-Inspection eingesetzt werden soll.

Zusammenfassen: Privat nur aus Hobby und im Unternehmensumfeld wenn jemand sich damit auskennt bzw. ab einer bestimmten Größe oder Sicherheitsanforderung auf jeden Fall.

Grüße
Vibezz

Hallo zusammen,

vielleicht hat jemand ein Idee woran mein Performace Problem liegen kann.

Die OPNsense hat 3 VMXNET3 NICs. Auf VMware Ebene hängen diese am selben vSwitch mit unterschiedlichen VLANs. Der vSwitch ist mit einem 10GbE Link auf einem Cisco Switch connectet.

Die OPNsense hat 2 CPUs (2.6 GHz-3.2GHz ) und 2 GB RAM. Die Firewall macht reines statisches Routing und Layer 4 Filtering.

Ich bekomme nur ~ 600Mbit mit iperf3 an Durchsatz von einem Interface zum andern. Getesten mit 2 Linux VMs und nicht gegen die OPNsense. Ein ähnliches Ergebnis gibt es von einem phy. Client gegen die eine Linux VM.

iperf3 -c 10.49.13.18
Connecting to host 10.x.x.x, port 5201
[  5] local 10.x.x.1 port 52786 connected to 10.x.x.8 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  78.9 MBytes   661 Mbits/sec   83    243 KBytes
[  5]   1.00-2.00   sec  77.5 MBytes   650 Mbits/sec   11    247 KBytes
[  5]   2.00-3.00   sec  76.2 MBytes   640 Mbits/sec   63    167 KBytes
[  5]   3.00-4.00   sec  72.5 MBytes   608 Mbits/sec   99    129 KBytes
[  5]   4.00-5.00   sec  73.8 MBytes   619 Mbits/sec   92   89.1 KBytes
[  5]   5.00-6.00   sec  67.5 MBytes   566 Mbits/sec   83    105 KBytes
[  5]   6.00-7.00   sec  72.5 MBytes   608 Mbits/sec   94    127 KBytes
[  5]   7.00-8.00   sec  72.5 MBytes   608 Mbits/sec   75    129 KBytes
[  5]   8.00-9.00   sec  71.2 MBytes   598 Mbits/sec   80    123 KBytes
[  5]   9.00-10.00  sec  68.8 MBytes   577 Mbits/sec  100    107 KBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec   731 MBytes   614 Mbits/sec  780             sender
[  5]   0.00-10.04  sec   728 MBytes   608 Mbits/sec                  receiver


viele Grüße
Vibezz

Hallo zusammen,

ja da kann ich dir nur zustimmen.
Das reine Syslog sieht sehr unüberischtlich aus. Mittelfristig wäre es toll wenn das Logging ausgebaut werden würde.

Ich leite alle Syslogs an einen zentralen SYSLOG-NG Server weiter.
Laut Doku vom Syslog-NG gibt es einen CSV Parser und man kann die Melungen wohl via rewrite umschreiben. Damit müsste es möglich sein die Syslog Meldungen soweit anzupassen, dass sie später im Log besser lesbar sind.

Ich werde das mal in den nächsten Tagen testen.