Messages

Hi,

läuft denn der Dienst?

Hast du ins Protokoll geschaut?

Darüber hinaus, bedenke noch bei der Umstellung auf Kea, dass die dynamische DNS Registrierung der Clients (noch) nicht funktioniert.
Falls es relevant für dich ist. D.h. du kannst keine Clients mit dem Namen ansprechen, wenn sie sich eine dynamische IP via DHCP gezogen haben.

In naher Zukunft, soll DHCP in DNSmasq aktivierbar sein, inklusive dynamische DNS Registrierung.

https://forum.opnsense.org/index.php?topic=46381.0

VG
Rubinho.

Erstmal danke für die Info.

Ich hab mich gestern für den (vermeintlich) leichten Weg entschieden und die PFsense-Konfig meiner statischen DHCP Einträge und manuellen DNS Einträgen in die Opnsense Konfig mittels Notepad++ konvertiert. Hat mich 15min gekostet und meine Einträge waren drüben.

Da die investierte Zeit überschaubar und die neue Lösung ja noch nicht ogfiziell released ist, kann ich es verkraften, wenn ich in der nächsten Zeit nochmal Hand anlegen muss.

Ich werde mir mal eine DEV Version installieren und mir die neuen DNSmasq Optionen anschauen.

VG
Rubinho

Moin Leute,

ich bin gerade dabei meine letzten beiden Pfsensen auf Opnsense zu migrieren.
Da ich nicht viel von der Pfsense Konfig übernehmen kann/will, werde ich die Opnsense quasi manuell einrichten.

Jetzt stehe ich aber wieder vor der Entscheidung, ISC oder Kea,bzw. Unbound, oder DNSMasq.

Da ich in den Pfsensen isc und unbound nutze, wäre der einfachste Weg, auch wieder auf diese Kombi zu setzen.
Allerdings möchte ich in einem Jahr (Spekulation) nicht alle statischen DHCP Einträge nochmal in KEA eintragen, weil ISC nun entgültig ausgedient hat.

Was mich an Kea momentan noch stört, ist die fehlende dynamische DNS Registration. Statische scheinen ja schon zu funktionieren. Allerdings nicht mit DNSMasq. (So meine Erfahrung)

Das Problem war 2023, als ich mit meiner primären Pfsense gewechselt bin, auch schon, allerdings war Kea da noch relativ frisch am Start und dachte es dauert noch ne Weile bis ISC ausgedient hat. Nun haben wir 2025 und das Thema ist leider immer noch nicht entschieden.

Von daher bin ich mir momentan nicht sicher, was der beste Weg ist.
Grundsätzlich kann ich aber sagen, dass es mir egal ist, welcher Dienst sich durchsetzt und ich am besten einsetzen soll. Es muss DNS Registrion funktionieren + die Standard Funktionen funktionieren.

Gibts da Empfehlungen, oder soll ich weiter auf die Kombi ISC/Unbound setzen?

VG
Rubinho

Kurzes Zwischenupdate:

Mit meiner alten Hardware (Supermicro a2sdi-4c-hln4f) und Opnsense gab es keine Auffälligkeiten.
Kein langsamer Speedtest und keine Paketverluste.

Darauf hin habe ich nochmal meine N100 Chinabox genommen und erstmal Proxmox installiert und dann Opnsense als VM mit zwei direkt durchgereichten Netzwerkinterfaces.
Momentan läuft die Kiste bereits 4 Tage ohne Probleme.
Aber ich traue dem Braten nocht nicht so ganz und warte lieber noch ab.

Da ich die Interfaces direkt durchgereicht habe, sollten doch die gleichen Netzwerktreiber genutzt werden, als würde ich Opnsense nativ benutzen. Also kann ich die Treiber doch ausschließen, oder?

Hat keiner einen Tip für mich?
Heute musste schon wieder Hand anlegen, nachdem die Kiste 1 Woche halbwegs lief.

Ich werde die Tage mal noch auf meine altes Supermicro Board umsteigen um die Hardware auszuschließen.
Damit lief alles bestens (zumindest mit der PFsense).

Soo, nachdem ich gestern die Firmware des VDSL Modems und die Software der Opnsense auf den neuesten Stand gebracht habe und folgedessen auch beide Geräte rebootet hatte, sind heute Morgen die ersten Symtome (Geschwindigkeitsverlust beim Speedtest) wieder aufgetraucht.

Den Transparentmode von Squid hatte ich gestern noch deaktiviert.

Der Speedtest ergab heute Morgen ca. 80Mbit und nachdem ich die MTU Size geändert hatte, waren wieder ca. 230Mbit zu Verfügung.

Irgendwas schaukelt sich da hoch  :(

Hallo chemlud,

ja das Offload Gedöhns ist angehakt, sprich deaktiviert.
Suricata hatte ich auch in Verdacht und hatte es beim ersten Vorfall bereits deaktiviert und seitdem nicht mehr eingeschaltet.
Einzig Squid habe ich noch am Laufen, auch als Transparent, aber nur http.

Aber weder Paketverlusttest noch der Speedtest gehen über den Proxy (laut Log), von daher würde ich das schonmal fast ausschließen. Ich werde aber den Transparentmode erstmal ausschalten.

 

Hallo Community,

ich bin vor kurzem von Pfsense auf Opnsense gewechselt und habe seitdem ein leidiges Problem, dass vorallem meine Kinder merken.  ;D

Es begann quasi mit der vollständigen Umstellung auf Opnsense.

Nachdem die Sense ca. eine Woche problemlos lief, kam es auf einmal zu Paketverlusten und ein Speedtest hatte nicht mehr als 60mbit erreichen können.
Ein reconnecten der PPPoE Verbindung löste das Problem erstmal nicht, auch nicht das Deaktivieren des WAN Interface (Egal ob das PPPoE Interface, oder das Physikalische, oder beides.)
Einzig das Ändern der MTU Size auf einen beliebigen anderen Wert löste wohl irgendwas aus, dass das Problem löste, wenn auch nur für ca. 24Std. Dabei glaube ich jetzt nicht, dass die MTU Size was damit zutun hat, sondern dass der Änderungsprozess irgendwas am Interface resettet hat, wodurch das Problem temporär behoben hat.

Ich habe mein Vigor 165 VDSL Modem heute morgen mal auf den neusten Firmwarestand gebracht und auch die Opnsense aktualisiert. Allerdings glaube ich nicht, dass das Problem auf Dauer verschwunden ist.

Mein ISP ist Fonial
Mein VDSL Anschluss ist 250/40mbit
Meine Hardware: Topton N100 Chinabüchse mit i226 Adapter und 16Gig DDR5 RAM.

Hat jemand eine Idee?
Läuft da irgendein Cache, oder Puffer des Interfaces über, hat die Chinabüchse ein bekanntes Problem, oder was könnte das Problem sein?

Ich weiß es ist ein stückweit Glaskugellesen, wenn ich noch Infos beisteuern soll, fragt einfach.

VG
Rubinho

Ok, das war der Trick.
Muss wohl doch wieder die Grundlagen von OSPF auffrischen.

Was mir allerdings bei OSPF nicht gelingt, ist eine Nachbarschaft über einen Wireguard Tunnel aufzubauen und das ohne Area Angabe in den Interfaces.

Wenn ich die Area unter Interfaces angebe, wird eine Nachbarschaft zur gegenüberliegenden Opnsense aufgebaut. Aber dann kann ich kein manuelles Netzwerk anlegen.

Zur Vervollständigung, ich habe noch eine Sense in der Hetzner Cloud, die hällt auch einige Tunnel und die wollte ich in den dynamischen Prozess mit einbinden.

Mit BGP klappt das alles, aber wenn es mit OSPF auch gehen würde, wäre das der favorisierte Weg, da weniger Einstellmöglichkeiten (Weniger was man kaputt machen kann :) )

VG
Rubinho

Ich habe das Problem vorerst mit BGP umgangen.

Die statische Route in Richtung Wireguard Tunnel Interface wird bei BGP zwar auch nicht erkannt (Ist womöglich ein darüber gelagerter Prozess für beide Routing Protokolle), aber bei BGP funktioniert zumindest der Network Eintrag und ich kann wie mimugmail vorgeschlagen hat, das Netzwerk manuell hinzufügen.

Ich kenne zwar keine Details um das Plugin FFR, aber meiner Meinung nach ist es schon etwas buggy.
Wenn man auf dynamisches Routing angewiesen ist, macht das bestimmt keinen Spaß.

Aber egal, ich hab erstmal eine funktionierende Lösung, sollte einer die Erleuchtung haben, darf er (oder sie) sich gerne melden. :)

Schönes WE.
VG
Rubinho

Gut, hier eine schematische Zeichnung (Grober Auszug) meines Aufbaus.
Darunter die aktuelle Konfig.

Was mich aber irritiert, ist dein Vorschlag mit dem Aufbau von Prefixlisten. Die dienen in der Regel als Filter.
Es werden nur die Netze übermittelt, die auch mit dem Filter übereinstimmen.
Ich glaube unter Network könnte man Netze einbinden, aber da bekomme ich Fehlermeldungen. (Im Log)
Den klassischen Network Spruch bekomme ich momentan nicht implementiert.

Achso, nur zur Info.
Den ganzen Aufbau mache ich, um meine alte PFsense abzulösen, so sanft wie möglich, in dem ich ein Netz nach dem anderen umziehe.

Code Select Expand

            Tunnel X                                                                       
          |                                                                               
Internet  |                                                                               
          |                                                                               
      ^   |    Tunnel Y                                                                   
      |   |  |                                                                             
      |   |  |                                                                             
      |   |  |                                                                             
      |   |  |                                                                             
+-----+---+--+----+               +---------------------+           +---------------------+
| Pfsense (legacy)|               |   Opnsense (new)    |           |      Fritzbox       |
|                 |   Transfernet |                     | Wireguard |                     |
|                 +---------------+                     +-----------+  Network            |
|                 |       OSPF    |                     |    Tunnel |  192.168.115.0/24   |
|                 |               |                     |           |                     |
|                 |               |                     |           +---------------------+
+-+---------------+               +---+----+--+---------+                                 
  |                                   |    |  |                                           
  |                                   |    |  |                                           
  |                                   |    |    LAN                                       
  |                                   |    |                                               
  |                                   |                                                   
  |                                   |  Testlab1 192.168.155.0/28                         
                                                                                           
  Lan                                                                                     
                                    Testlab2 172.21.35.0/24 

Code Select Expand

Building configuration...

Current configuration:
!
frr version 8.5.4
frr defaults traditional
hostname fw.illtalnet.de
log syslog
!
interface igc3
ip ospf area 0.0.0.0
ip ospf network point-to-point
exit
!
router ospf
ospf router-id 100.64.65.2
redistribute kernel route-map Redistrimap
redistribute connected route-map Redistrimap
redistribute static route-map Redistrimap
exit
!
ip prefix-list Test seq 10 permit 192.168.115.0/24
ip prefix-list Test seq 11 permit 172.21.35.0/24
ip prefix-list Test seq 12 permit 192.168.155.0/28
ip prefix-list Test seq 13 permit 10.11.11.0/28
!
route-map Redistrimap permit 10
match ip address prefix-list Test
exit
!
end


-- Update --

Mit dem Problem des Network Spruchs bin ich nicht alleine....
z.B. hier .. https://forum.opnsense.org/index.php?topic=30032.0
oder hier ... https://forum.opnsense.org/index.php?topic=17629.0

Hi mimugmail

danke für die Info, aber ...

1. Wollte ich das manuelle einrichten einer Route im OSPF vermeiden, da ich sonst auch den Eintrag statisch auf der anderen Sense machen kann.
2. Bin ich wohl noch zu doof dafür, da ich die Logik nicht versetehe. Egal was ich eintrage, es wird maximal weniger redistributiert :)
Ich erstelle ein Prefix (z.b. das 192.168.115.0er Netz) und verknüpfe eine neu erstellte Routemap mit dieser Routemap. Danach verknüpfe ich diese Map mit der Redistribution Map.
Aber da mache ich wohl was falsch.

Hallo,

ich habe das Problem, dass OSPF keine statischen Routen redistributiert, die auf ein Wireguard Tunnelinterface zeigt. Setze ich die statische Route auf ein anderes Gateway, wird das Netz direkt redistributiert.

Dem WG Tunnel habe ich ein separates Interface zugewiesen, das automatische setzen der Route innerhalb der WG Instanz deaktiviert und die Route manuell gesetzt. Aber auch wenn ich den Haken nicht setze und alles automatisch setzen lasse, funktioniert es nicht.
Einzig die IP Adresse des Tunnelinterface wird redistributiert, aber die ist ja directly connected.
Und da es sich hierbei um eine Site2Site Verbindung handelt, nützt auch das Netz des Tunnelinterface nichts, da es ein Transfernetz ist.

Ist das ein Bug, oder ein Feature?

Code Select Expand

Building configuration...

Current configuration:
!
frr version 8.5.4
frr defaults traditional
hostname myfw.local
log syslog
!
interface igc3
ip ospf area 0.0.0.0
ip ospf network point-to-point
exit
!
router rip
default-metric 10
redistribute connected
redistribute kernel
redistribute static
version 2
exit
!
router ospf
ospf router-id 100.64.65.2
log-adjacency-changes
redistribute kernel
redistribute connected
redistribute static
exit
!
end

Code Select Expand

Routing Eintrag...
ipv4 192.168.115.1 link#25 UHS NaN 1420 wg1

VG
Rubinho

Aber der Weg ist klar, da muss mehr v6 her.

Sag das nicht mir :)
Ich hatte mit meinem ehemaligen Kabel Deutschland Business Anschluss eine feste IPv4 und ein festes IPv6 /56er Prefix.
Da konnte ich machen was ich wollte, wenn da nur der Anschluß ansich stabil gelaufen wäre (Andauernd hatte ich Aussetzer).

Wenn ich jetzt auf IPv6 umstellen würde, bezweifele ich, dass ich ein festes IPv6 /56er Prefix bekomme (Bei den Privat Anschlüssen) und die nächste Hürde wären Systeme wie z.B. die Fritzbox, die noch keinen IPsec Tunnel oder sonstige Dienste über IPv6 unterstützen. IPv6 ist halt Brandneu ;)

Würde es nicht evt. mehr Durchsatz bringen, wenn nur der Wireguard Tunnel auf dem CX21 läuft ohne die Sense?

Ich möchte ja neben dem VPN Tunnel auch einen HAProxy laufen und VPN Tunnel terminieren lassen.
Dafür ist ne *sense prädestiniert.

Ausserdem schafft die Sense ja mittlerweile einen Durchsatz von 220 Mbit. Mehr gibt mein VDSL Anschluss eh nicht her. Die CPU war zu dem Zeitpunkt auch noch nicht am Ende.

Ich habe mittlerweile die Maschine auf CPX11 umgestellt, was auch noch völlig ausreicht.
Keine Ahnung ob die AMD CPU besser oder schlechter als die Intel CPU. Jedenfalls merke ich nichts und die 2GB Arbeitsspeicher reichen auch erstmal aus.

Momentan ist es ja nur ein Proof of Concept, das gut aussieht. :)

Gruß
Rubinho

Was soll ich sagen.... Danke :)
Das Problem ist mit dem Workaround erstmal gelöst.
Der niedrige Durchsatz lag tatsächlich an der CPU Auslastung.
Nach dem Mod und der MSS Anpassung flutschen jetzt schonmal 222Mbit durch. (Mehr geht bei VDSL halt nicht)

Frage in die Runde, gibt es für mein Vorhaben irgendwelche Fallstricke die ich noch nicht bedacht habe, oder wird das schon von einigen bei euch so praktiziert?

Gruß
Rubinho