Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - Ascot89

Pages: [1]

German - Deutsch / Freeradius EAP-TLS: Keine Überprüfung der Zertifikate

« on: January 06, 2022, 03:40:56 pm »

Guten Tag,
ich sitze hier verzweifelt vor OpnSense und versuche einen zertifikatsbasierenden EAP-TLS Zugang mittels FreeRadius einzurichten.
Dazu habe ich einen Client erfolgreich verbunden und bei FreeRadius unter ,,EAP" TLS aktiviert und selbst erstellte Zertifikate ausgewählt. Ein Testuser ist auch erstellt.

Nun das Problem: Ich kann mich mit Benutzername und Passwort über ein WLAN-AP anmelden (FreeRadius Server ist hier definiert), ohne ein Zertifikat zu besitzen. Verschiedenes Probieren hat gezeigt, dass die Einstellung des Standard EAP-Typs nicht bewirken / verändern. Es scheint, als würde FreeRadius lediglich Username und Passwort erwarten. Kennt jemand das Problem?

Ich sehe keine Option, mit der ich EAP aktiv setzen kann, bzw. als Standardauthentifizierung für FreeRadius einstellen kann.

Beste Grüße und besten Dank

André

German - Deutsch / Re: 100% CPU-Auslastung OpenVPN nach Update auf 2.5.3

« on: August 06, 2021, 11:23:27 am »

Guten Tag,

ich habe das Problem mittlerweile lösen können:

Bin heute die OpenVPN Logs durchgegangen, dabei ist mir aufgefallen, dass die Anzahl an Logs/s extrem groß ist und dies zu einer hohen CPU-Auslastung führen könnte. Habe dann das Ausführlichkeitslevel in den Servereinstellungen von 11 auf 3 gesetzt..... Und siehe da, maximaler Uploadspeed IPS bei 20% CPU-Auslastung.

Dennoch vielen Dank für die Antwort

Beste Grüße

German - Deutsch / 100% CPU-Auslastung OpenVPN nach Update auf 2.5.3

« on: August 02, 2021, 08:38:19 am »

Guten Morgen,

OpenVPN verbraucht 100% CPU-Last (server1.conf) bei einer aktiven Verbindung. Die Übertragungsrate läuft mit maximal 150kbit/s, viel zu langsam für jede Anwendung. Vor dem Update konnte ich mit ca. 4MB/s downloaden, also den max Uploadspeed meines IPS.
Ich habe bereits Dinge wie fast-io, sndbuf ,rcvbuf und tun-mtu erfolglos ausprobiert. Hat jemand ähnliche Probleme, bzw. Tipps, wie ich das beheben kann?

Hier noch die Auszüge des AES-Ni Tests:

Ohne AES-NI:
Doing aes-256 cbc for 3s on 16 size blocks: 4090928 aes-256 cbc's in 3.01s Doing aes-256 cbc for 3s on 64 size blocks: 1185910 aes-256 cbc's in 3.00s Doing aes-256 cbc for 3s on 256 size blocks: 303997 aes-256 cbc's in 3.01s Doing aes-256 cbc for 3s on 1024 size blocks: 69697 aes-256 cbc's in 2.99s Doing aes-256 cbc for 3s on 8192 size blocks: 7669 aes-256 cbc's in 2.99s Doing aes-256 cbc for 3s on 16384 size blocks: 3842 aes-256 cbc's in 3.00s OpenSSL 1.1.1d-freebsd 10 Sep 2019 built on: reproducible build, date unspecified options:bn(64,64) rc4(8x,int) des(int) aes(partial) idea(int) blowfish(ptr) compiler: clang The 'numbers' are in 1000s of bytes per second processed. type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256 cbc 21761.61k 25299.41k 25873.70k 23852.02k 20996.16k 20982.44k

Mit AES-NI:
root@OPNsense:~ # openssl speed -evp aes-256-cbc
Doing aes-256-cbc for 3s on 16 size blocks: 14442123 aes-256-cbc's in 2.99s Doing aes-256-cbc for 3s on 64 size blocks: 6424316 aes-256-cbc's in 2.98s Doing aes-256-cbc for 3s on 256 size blocks: 2179622 aes-256-cbc's in 3.01s Doing aes-256-cbc for 3s on 1024 size blocks: 506496 aes-256-cbc's in 2.99s Doing aes-256-cbc for 3s on 8192 size blocks: 60243 aes-256-cbc's in 2.99s Doing aes-256-cbc for 3s on 16384 size blocks: 30424 aes-256-cbc's in 3.02s OpenSSL 1.1.1d-freebsd 10 Sep 2019 built on: reproducible build, date unspecified options:bn(64,64) rc4(8x,int) des(int) aes(partial) idea(int) blowfish(ptr) compiler: clang The 'numbers' are in 1000s of bytes per second processed. type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256-cbc 77225.76k 137769.62k 185511.31k 173335.36k 164933.07k 165294.70k

root@OPNsense:~ # openssl engine -t -c
(dynamic) Dynamic engine loading support
[ unavailable ]

AES-NI ist selbstverständlich unter Hardwarebeschleunigung ausgewählt.

Ich wäre für jede Antwort sehr dankbar.

Beste Grüße
André

German - Deutsch / Kein Internet mit Cisco Switch

« on: July 20, 2021, 08:57:19 am »

Guten Tag,

ich schaffe es nicht, dass Clients das Internet über einen Cisco Switch nutzen können.
Hier meine Konfiguration:

Modem --> OpnSense --> Cisco Switch --> Clients

Die Clients sind alle in verschiedenen VLANS.

Schnittstellen: igb0: WAN, igb1: Config Port, igb2: Switchport, igb3: WLAN

Der Aufbau über WAN ist erfolgreich.

igb1: Statisch IPv4: 192.168.1.1, DHCP Bereich: 192.168.1.100 - 192.168.1.149
igb2: Statisch IPv4: 10.9.83.1, DHCP: no

Test: Anschluss an igb1 funktioniert ohne Probleme, Zugriff WebGui und Internet funktionieren

igb2 (10.9.83.1) --> Cisco Port 10 (Access, untagged)

Anschluss an Switch mit manueller IP:
Cisco Switch Config:
Static Route 0.0.0.0 --> 10.9.83.1
IPv4 Interface: Interface GE1/10 : Static, 10.9.83.5 + VLAN 911: Static, 10.9.11.1

OpnSense Config:
Gateway erstellt: 10.9.83.5
Firewall: Allow any IPv4 an igb2 + Port 53,80,443

Folgendes funktioniert:
Ein Gerät im VLAN 911 kann die 10.9.83.1 und die 10.9.83.5 anpingen.
OpnSense kann die 10.9.83.5 (Switch) anpingen.
Switch kann 8.8.8.8 und www.google.de anpingen.

Was nicht funktioniert: Ein Gerät im VLAN 911 kann nicht 8.8.8.8 oder www.google.de anpingen, also kein Internet vorhanden. Die Firewallregeln sind für igb1 und igb2 die gleichen.

Was habe ich vergessen, bzw. was ist falsch? Mit einem Cisco Router funktioniert es mit den gleichen Einstellungen problemlos.

Pages: [1]