Messages

Guten Tag,
ich sitze hier verzweifelt vor OpnSense und versuche einen zertifikatsbasierenden EAP-TLS Zugang mittels FreeRadius einzurichten.
Dazu habe ich einen Client erfolgreich verbunden und bei FreeRadius unter ,,EAP" TLS aktiviert und selbst erstellte Zertifikate ausgewählt. Ein Testuser ist auch erstellt.

Nun das Problem: Ich kann mich mit Benutzername und Passwort über ein WLAN-AP anmelden (FreeRadius Server ist hier definiert), ohne ein Zertifikat zu besitzen. Verschiedenes Probieren hat gezeigt, dass die Einstellung des Standard EAP-Typs nicht bewirken / verändern. Es scheint, als würde FreeRadius lediglich Username und Passwort erwarten. Kennt jemand das Problem?

Ich sehe keine Option, mit der ich EAP aktiv setzen kann, bzw. als Standardauthentifizierung für FreeRadius einstellen kann.

Beste Grüße und besten Dank

André

Guten Tag,

ich habe das Problem mittlerweile lösen können:

Bin heute die OpenVPN Logs durchgegangen, dabei ist mir aufgefallen, dass die Anzahl an Logs/s extrem groß ist und dies zu einer hohen CPU-Auslastung führen könnte. Habe dann das Ausführlichkeitslevel in den Servereinstellungen von 11 auf 3 gesetzt..... Und siehe da, maximaler Uploadspeed IPS bei 20% CPU-Auslastung.

Dennoch vielen Dank für die Antwort :)

Beste Grüße

Guten Morgen,

OpenVPN verbraucht 100% CPU-Last (server1.conf) bei einer aktiven Verbindung. Die Übertragungsrate läuft mit maximal 150kbit/s, viel zu langsam für jede Anwendung. Vor dem Update konnte ich mit ca. 4MB/s downloaden, also den max Uploadspeed meines IPS.
Ich habe bereits Dinge wie fast-io, sndbuf ,rcvbuf und tun-mtu erfolglos ausprobiert. Hat jemand ähnliche Probleme, bzw. Tipps, wie ich das beheben kann?

Hier noch die Auszüge des AES-Ni Tests:

Ohne AES-NI:
Doing aes-256 cbc for 3s on 16 size blocks: 4090928 aes-256 cbc's in 3.01s                                              Doing aes-256 cbc for 3s on 64 size blocks: 1185910 aes-256 cbc's in 3.00s                                              Doing aes-256 cbc for 3s on 256 size blocks: 303997 aes-256 cbc's in 3.01s                                              Doing aes-256 cbc for 3s on 1024 size blocks: 69697 aes-256 cbc's in 2.99s                                              Doing aes-256 cbc for 3s on 8192 size blocks: 7669 aes-256 cbc's in 2.99s                                               Doing aes-256 cbc for 3s on 16384 size blocks: 3842 aes-256 cbc's in 3.00s                                              OpenSSL 1.1.1d-freebsd  10 Sep 2019  built on: reproducible build, date unspecified                                                                          options:bn(64,64) rc4(8x,int) des(int) aes(partial) idea(int) blowfish(ptr)                                             compiler: clang  The 'numbers' are in 1000s of bytes per second processed.                                                               type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes  16384 bytes                             
aes-256 cbc      21761.61k    25299.41k    25873.70k    23852.02k    20996.16k    20982.44k

Mit AES-NI:
root@OPNsense:~ # openssl speed -evp aes-256-cbc                                                                       
Doing aes-256-cbc for 3s on 16 size blocks: 14442123 aes-256-cbc's in 2.99s                                             Doing aes-256-cbc for 3s on 64 size blocks: 6424316 aes-256-cbc's in 2.98s                                              Doing aes-256-cbc for 3s on 256 size blocks: 2179622 aes-256-cbc's in 3.01s                                             Doing aes-256-cbc for 3s on 1024 size blocks: 506496 aes-256-cbc's in 2.99s                                             Doing aes-256-cbc for 3s on 8192 size blocks: 60243 aes-256-cbc's in 2.99s                                              Doing aes-256-cbc for 3s on 16384 size blocks: 30424 aes-256-cbc's in 3.02s                                             OpenSSL 1.1.1d-freebsd  10 Sep 2019 built on: reproducible build, date unspecified                                                                          options:bn(64,64) rc4(8x,int) des(int) aes(partial) idea(int) blowfish(ptr)                                             compiler: clang  The 'numbers' are in 1000s of bytes per second processed.                                                               type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes  16384 bytes                             
aes-256-cbc      77225.76k   137769.62k   185511.31k   173335.36k   164933.07k   165294.70k

root@OPNsense:~ # openssl engine -t -c
(dynamic) Dynamic engine loading support
     [ unavailable ]

AES-NI ist selbstverständlich unter Hardwarebeschleunigung ausgewählt.

Ich wäre für jede Antwort sehr dankbar.

Beste Grüße
André

Guten Tag,

ich schaffe es nicht, dass Clients das Internet über einen Cisco Switch nutzen können.
Hier meine Konfiguration:

Modem --> OpnSense --> Cisco Switch --> Clients

Die Clients sind alle in verschiedenen VLANS.

Schnittstellen: igb0: WAN, igb1: Config Port, igb2: Switchport, igb3: WLAN

Der Aufbau über WAN ist erfolgreich.

igb1: Statisch IPv4: 192.168.1.1, DHCP Bereich: 192.168.1.100 - 192.168.1.149
igb2: Statisch IPv4: 10.9.83.1, DHCP: no

Test: Anschluss an igb1 funktioniert ohne Probleme, Zugriff WebGui und Internet funktionieren


igb2 (10.9.83.1) --> Cisco Port 10 (Access, untagged)

Anschluss an Switch mit manueller IP:
Cisco Switch Config:
Static Route 0.0.0.0 --> 10.9.83.1
IPv4 Interface: Interface GE1/10 : Static, 10.9.83.5 + VLAN 911: Static, 10.9.11.1


OpnSense Config:
Gateway erstellt: 10.9.83.5
Firewall: Allow any IPv4 an igb2 + Port 53,80,443

Folgendes funktioniert:
Ein Gerät im VLAN 911 kann die 10.9.83.1 und die 10.9.83.5 anpingen.
OpnSense kann die 10.9.83.5 (Switch) anpingen.
Switch kann 8.8.8.8 und www.google.de anpingen.

Was nicht funktioniert: Ein Gerät im VLAN 911 kann nicht 8.8.8.8 oder www.google.de anpingen, also kein Internet vorhanden. Die Firewallregeln sind für igb1 und igb2 die gleichen.

Was habe ich vergessen, bzw. was ist falsch? Mit einem Cisco Router funktioniert es mit den gleichen Einstellungen problemlos.