Messages

Moin! Ich habe bereits einen Macbook Air M1 und habe gestern probiert Opnsense in der UTM App (https://mac.getutm.app/) laufen zu lassen. Opnsense läuft - allerdings gefühlt sehr langsam. Das ist für mich kein Problem, denn großartige Performance ist für mich im Heimeinsatz auch nicht notwendig.

Ich kann Opnsense allerdings nicht ausgiebig testen, da ich noch auf meinen Mac Mini warte den ich dafür benutzen will.

Hat jemand Erfahrungen mit M1 Silicon und Opnsense? Alle Themen die ich dazu gefunden habe, sagen dass es überhaupt nicht läuft, dass kann ich so nicht bestätigen.

BG

spaxxilein

Guten Morgen,
Habe auch den M1 Silicon, GETUTM habe ich auch getestet, investiere das Geld in PARALLELS!
Für die Spielereien würde ich auch empfehlen einen alten Rechner mit Proxmox, LinuxKVM, MS-Hypervisor etc. zum Einsatz zu bringen.
Das A-M1 ist derzeit nicht so "kompatibel" wie die Apples mit Intel Chip.

Moin! Erstmal danke für die Rückmeldung. Hast du Freebsd mit Parallels auf Apple Silicon zum laufen bekommen?

Is there any work toward building an Apple Silicon version of Opnsense?

Moin! Ich habe bereits einen Macbook Air M1 und habe gestern probiert Opnsense in der UTM App (https://mac.getutm.app/) laufen zu lassen. Opnsense läuft - allerdings gefühlt sehr langsam. Das ist für mich kein Problem, denn großartige Performance ist für mich im Heimeinsatz auch nicht notwendig.

Ich kann Opnsense allerdings nicht ausgiebig testen, da ich noch auf meinen Mac Mini warte den ich dafür benutzen will.

Hat jemand Erfahrungen mit M1 Silicon und Opnsense? Alle Themen die ich dazu gefunden habe, sagen dass es überhaupt nicht läuft, dass kann ich so nicht bestätigen.

BG

spaxxilein

Dann muss es eigentlich schon fast was mit der Virtualisierung sein... *grübel* Ein nackter Xeon E3 müsste mehr stemmen können als lausige 100Mbps.

   45389   root   23   0   33   23   select   2   1:11   6.98%   /usr/local/bin/python3 /usr/local/opnsense/scripts/netflow/flowd_aggregate.py (python3.7)

Ist das eigentlich normal? Die CPU-Usage der VM ist seit dem 30.6. von ~ 2,5% auf ~8% gestiegen.

Wieso braucht das netflow Ding soviel CPU-Leistung?

Wenn die Netzkarten in Proxmox nicht durchgereicht werden sollten diese auf alle Fälle
als Virtio angelegt werden. Da dann die virtuellen Netzwerkkarten Multiqueue größer 1.


Derzeit gehen max. 8

Die Netzwerkkarten werden als VirtIO durchgereicht.

>Ich könnte mich irren, aber war das nicht noch ne ältere Generation mit DDR3 die so ~2014/15 aktiv war? Eventuell im BIOS/UEFI Powersaving eingestellt? Ansonsten mal in den Misc Settings noch PowerD aktivieren und HIadaptive auswählen, eventuell taktet die CPU nicht sauber auf Max oder PowerBoost hoch.

Die meisten OVPN Gegenstellen unterstützen inzwischen eigentlich Gaulois Cipher (GCM) Varianten und die holen aus der CPU nochmal wesentlich mehr raus weil besser mit AES-NI zu beschleunigen.

Edit: ah vergessen, dass die Kiste in Proxmox steckt. Hmm wie ist die CPU virtualisiert? Eventuell hast du die nicht optimal durchgereicht und er kann nicht nativ auf die Kerne zugreifen, sondern wird von Proxmox ausgebremst? Hast du sie via HOST durchgereicht?

Cheers

Moin erstmal vielen Dank für die Antwort ;) Ja es ist eine alte Schachtel, das Bios schau ich mir am Wochenende an, wenn die Leute hier nicht arbeiten. Es ist kein Site2Site - die Gegenstelle ist also z.B. mein Heimcomputer (PC ausreichend dimensioniert, Glasfaser 1GBIT download).

GCM werde ich auch einmal probieren ob das Besserung bringt.

Wenn ich die CPU in Proxmox per "host" durchschleife habe ich immer bei Übertragung 100% Auslastung und sehr viele Probleme in OPNSense. Wenn ich die CPU ganz normal als KVM +aes durchschleife hab ich ca. 60-70% Auslastung aber die Geschwindigkeit ist wirklich wie festgenagelt ~ 100mbit/s im Up-und Download.

Ich werde Rückmeldung geben sobald ich das probiert habe.

BG

spaxxilein

Have you checked CPU-usage with top in the CLI?

Moin!

Ich habe OPNsense als VM in einem Proxmox Host laufen. Die AES-Flags werden durchgereicht. Als CPU kommt ein Xeon E3-1231 v3 zum Einsatz der AES-NI unterstützt. Laut dem Speedtest per Openssl funktioniert AES-NI auch. Das Problem ist, dass ich bei einem Speedtest über den VPN immer 100% CPU-Auslastung auf einem Kern habe und das mit 100mbit/s. Die Leitung des Hosts hat aber 500Mbit Upload - wir erreichen also nur 1/5 des maximalen Speeds.

Soweit ich das verstanden habe sollte laut https://docs.opnsense.org/manual/how-tos/sslvpn_client.html#
"Hardware Crypto" auf None gestellt werden - diese Option wird bei mir beim Anlegen oder Bearbeiten eines VPN-Servers überhaupt nicht angezeigt!?

In System -> Settings -> Miscellaneous ist unter Hardware acceleration AES-NI eingestellt.

Hat jemand eine Idee woran das liegen könnte?

Benchmarks:

/usr/bin/openssl speed -elapsed aes-256-cbc

~ 154000K

/usr/bin/openssl speed -elapsed -evp aes-256-cbc

~ 569000K

BG

spaxxilein

Wir nutzen ein ähnliches Setup mit Proxmox statt ESXI. In Proxmox werden die Bridges in die VMs durchgereicht und nicht die "echten" Ports. Diesen Bridges haben wir in Proxmox-GUI die VLANs (7) von unseren 2 Providern zugewiesen und der Opensense VM die Brdiges zugewiesen. In Opensense selber brauchst du dann keine Einstellung bezüglich VLAN mehr setzen.

BG

spaxxilein

Hallo zusammen!

Ich lese mir bereits die Augen wund und komme doch nicht weiter.
Ich weiß, dass es das gleiche Thema schon gab und gelöst wurde. Scheinbar bin ich sogar dafür zu do**.

Mein Problem:
Ich möchte meine Fritzbox als Router durch eine OpnSense ersetzen (MiniPC mit 4 NICs).
Der Provider stellt ein ONT zur Verfügung welches Glasfaser auf Kuper (RJ45) umsetzt und per DHCP dem Router seine IP zuweist. Damit dies geschieht muss der Router im VLAN 132 sein. In der Fritzbox ist das schnell eingestellt und funktioniert sofort.
Gleiches wollte ich am WAN-Port (em1) der OpnSense machen. Also ein VLAN 132 erstellt und dem WAN-Port zugewiesen. Falls sich jemand fragt weshalb em1 und nicht em0: Das hat OpnSense bei der Installation von sich aus so festgelegt und mich hat es nicht gestört. Der LAN-Port ist em0 und vergibt vorbildlich die IP-Adressen für das interne Netz per DHCP.
Leider bezieht die OpnSense aber keine IP auf dem WAN-Port. Eine MAC-Sperre oder ähnliches gibt es beim Provider nicht, ich kann jede Fritzbox oder sonstigen Router nutzen. Zugangsdaten werden auch nicht benötigt, also kein PPOE.
Jetz weiß ich einfach nicht wo mein Fehler liegt. Gleiches habe ich auch schon mit pfSense versucht und bin genauso kläglich gescheitert.
Wichtig wäre sicher noch, dass die OpnSense auf einem ESXi V6.5 virtualisiert läuft. Die beiden NIC sind aber entsprechend an die VM weitergeleitet und min. der LAN-Port funktioniert ja auch.

Ich hoffe einfach mal, dass mir hier jemand vielleicht den einen Haken noch nennen kann an dem es hängt.
Vielen Dank im Voraus!

Beste Grüße
Locke

Den Grund würde ich gerne erfahren ;) DNS Auflösung funktioniert sowohl am Client als auch auf der OPNsense direkt. Trotzdem lädt die Website nicht -> Connection Timeout.

Also nochmal Opensense hat 2 Netzwerkkarten:

1. 192.168.2.2 -PPPoe-Einwahl über Modem > 192.168.2.1 (Zyxel Modem) --> Internet
2. 192.168.0.6 stellt den Internetanschluss für 192.168.0.0/24 bereit

Ich hoffe dass ist verständlicher und entschuldige mich für meine laienhaften Erklärungsversuche :)

Es funktioniert alles (soweit ich es sehen kann) bis auf die Telekom.de Website.

Code Select Expand

   WAN / Internet
            :
            : PPPoE
            :
      .-----+-----.
      |  Gateway  |  (Zyxel Modem, 192.168.2.1)
      '-----+-----'
            |
        WAN | 192.168.2.2
            |
      .-----+------.
      |  OPNsense|
      '-----+------'   
            |
        LAN | 192.168.0.6
            |
      .-------.
      | LAN | 192.168.0.1/24
      '-------'
            |
    ...-----+------... (Clients/Servers)

Moin!

Ich habe folgende Konfiguration:

Zyxel Router im Modem Modus (192.168.2.1) -> PPPOE über OPNsense zur Telekom (VDSL, 192.168.2.2) -> Routing über OPNsense zu 192.168.0.X

Die Einwahl klappt auch und alle Clients können ganz normal surfen. Das einzige was komischerweise nicht klappt ist telekom.de aufzurufen, egal ob über OPNsense direkt noch über einen der Clients im 192.168.0.X-Netzwerk.

Hat jemand eine Idee woran das liegen könnte? Der Tracert sieht wie folgt aus:

Code Select Expand

  1    <1 ms    <1 ms    <1 ms  192.168.0.6
  2    16 ms    16 ms    16 ms  62.156.244.19
  3    17 ms    16 ms    16 ms  62.156.246.150
  4    17 ms    16 ms    17 ms  ne-ea5-i.NE.DE.NET.DTAG.DE [217.5.64.158]
  5     *        *        *     Zeitüberschreitung der Anforderung.
  6     *        *        *     Zeitüberschreitung der Anforderung.
  7     *        *        *     Zeitüberschreitung der Anforderung.
  8     *        *        *     Zeitüberschreitung der Anforderung.
  9     *        *        *     Zeitüberschreitung der Anforderung.
10     *        *        *     Zeitüberschreitung der Anforderung.
11     *        *        *     Zeitüberschreitung der Anforderung.
12     *        *        *     Zeitüberschreitung der Anforderung.
13     *        *        *     Zeitüberschreitung der Anforderung.
14     *        *        *     Zeitüberschreitung der Anforderung.
15     *        *        *     Zeitüberschreitung der Anforderung.
16     *        *        *     Zeitüberschreitung der Anforderung.
17     *        *        *     Zeitüberschreitung der Anforderung.
18     *        *        *     Zeitüberschreitung der Anforderung.
19     *        *        *     Zeitüberschreitung der Anforderung.
20     *        *        *     Zeitüberschreitung der Anforderung.
21     *        *        *     Zeitüberschreitung der Anforderung.

Gruß,

spaxxilein