Messages

P.S: Hatte ich vorhin vergessen, das ist noch dank eines anderen Mitglieds im Boot folder:

Code Select Expand

# File starts below this line, use Copy/Paste #####################
# Check for interface specific settings and add accordingly.
# These ae tunables to improve network performance on Intel igb driver NICs

# Flow Control (FC) 0=Disabled 1=Rx Pause 2=Tx Pause 3=Full FC
# This tunable must be set according to your configuration. VERY IMPORTANT!
# Set FC to 0 (<x>) on all interfaces
dev.igb.0.fc=0 #Also put this in System Tunables dev.igb.<x>.fc: value=0
dev.igb.1.fc=0 #Also put this in System Tunables dev.igb.<x>.fc: value=0
dev.igb.2.fc=0 #Also put this in System Tunables dev.igb.<x>.fc: value=0
dev.igb.3.fc=0 #Also put this in System Tunables dev.igb.<x>.fc: value=0
dev.igb.4.fc=0 #Also put this in System Tunables dev.igb.<x>.fc: value=0
dev.igb.4.fc=0 #Also put this in System Tunables dev.igb.<x>.fc: value=0

# Set number of queues to number of cores divided by number of ports. 0 lets FreeBSD decide
dev.igb.num_queues=0

# Increase packet descriptors (set as 1024,2048, or 4096) ONLY!
# Allows a larger number of packets to be processed.
# Use "netstat -ihw 1" in the shell and make sure the idrops are zero
# If the NIC has constant disconnects, lower this value
# if not zero then lower this value.
dev.igb.rxd="4096" # For i340/i350 use 2048
dev.igb.txd="4096" # For i340/i350 use 2048
net.link.ifqmaxlen="8192" # value here equal sum of above values. For i340/i350 use 4096

# Increase Network efficiency
dev.igb.enable_aim=1

# Increase interuppt rate
dev.igb.max_interrupt_rate="64000"

# Network memory buffers
# run "netstat -m" in the shell and if the 'mbufs denied' and 'mbufs delayed' are 0/0/0 then this is not needed
# if not zero then keep adding 400000 until mbufs are zero
#kern.ipc.nmbclusters="1000000"

# Fast interrupt handling
# Normally set by default. Use these settings to insure it is on.
# Allows NIC to process packets as fast as they are received
dev.igb.enable_msix=1
dev.pci.enable_msix=1

# Unlimited packet processing
# Use this only if you are sure that the NICs have dedicated IRQs
# View the IRQ assignments by executing this in the shell "vmstat -i"
# A value of "-1" means unlimited packet processing
dev.igb.rx_process_limit="-1"
dev.igb.tx_process_limit="-1"
###################################################
# File ends above this line ##################################

[Mainboard:]

Hallo zusammen,

ich bin seit wenigen Wochen neu unterwegs in den Spheren von OPNsense.

Ich habe die OPNsense aufgesetzt und bereits einiges konfiguriert. Wass soll ich sagen die Kiste rennt, schwer war es nicht sonderlich die Kiste zum laufen zu bringen, aber ich bin ja noch am Anfang von allem.

Das Netzwerk am LAN Interface ist super schnell, pings unter 0,3ms auf allen Switchen ausser beim WLAN. Beim WLAN je nach Entfernung und Anzahl dazwischen geschateter Switche auch über 1ms. Die Datenübertragunsgeschwindigkeiten sind super oder gar Optimal.

Das WAN Interface, trotz das es hinter einem Speedport Pro Hybrid hängt, gibt mehr her als es Vertraglich soll, dies war vor der OPNsense nicht so.
Der Internets Service Provider ist die Telekom, ein Hybrid Vertrag mit 150Mbps Down und 50Mbps Upload.
Vor der OPNsense habe ich selten über 120Mbps im Download und immer unter 50Mbps im Upload gehabt.
Jetzt sind es fast immer 159Mbps Down und 59Mbps Upload. Das wird bald noch schneller wenn der Glasfaser Anschluss da ist aber bis dahin muss ich noch mit der Telekom auskommen.

Ich habe aber ein Problem mit der Geschwindigkeit der Datenübertragung von OpenVPN.
Anfangs, nach dem Setup des VPN Servers und der Installation vom OpenVPN Client, bekam ich nur Datenübrtragungsraten von 1MB/s durch den Tunnel.

Nach dem ich einiges hier gelesen habe, und einige Änderungen vorgenommen habe, komme ich auf manchmal 2,6MB/s durch den Tunnel. Dies zumindest nach der Anzeige des OpenVPN Client. OPNsense zeigt mir in dem Fall dann entsprechend um 26Mb/s an. Ich denke das sollte ja dann passen 2,6 Megabytes zu 26 Megabits oder nicht?

Aber generell finde ich den Durchsatz zu gering, die Hardware scheint nicht das Problem zu sein. Bei einer VPN Verbindung scheint die CPU unbeeindruckt, diese lüft laut Dashboard mit einer Auslastung um die 15% im Schnitt. 64GB Ram werden wahrscheinlich auch niemals ausgeschöpftm denn die durchschnittliche Auslastung des RAMs liegt noch bei 4,5%. Die M.2 SSD ist auf dem Mainboard und vermutlich bei weitem unterlastet.

Ich habe mit der Einstellung MTU gespielt und habe zusammen mit anderen Einstellungen das Ergebniss von 1MB/s auf 2,6MB/s verbessern können. Weiter komme ich aber nicht und da bitte ich um eure Hilfe und Tipps.

Hier ein Paar Daten zu meiner konfiguration:

Alle Ports welche vom Seedport weitergleitet werden können sind weitergeleitet, TCP und UDP.

Mainboard:
SuperMicro X10SDV-TP8F, 64GB Ram, 256 M.2 SSD

OPNSense Versions:
OPNsense 24.7.3_1-amd64
FreeBSD 14.1-RELEASE-p3
OpenSSL 3.0.14

Genutzte Board Interfaces: igb0 + igb5 Gigabit LAN (kein SPF)

OpenVPN Verschlüßelung: 2048 bit OpenVPN static key
VPN Protkoll: UDP

Netze:
LAN: 10.0.0.0/24
WAN: 10.10.0.0/28
VPN 10.10.10.0/24

WAN Interface
MTU = 1380
MSS = 1340

System--> Settings--> Tunables:
dev.igb.0.eee_disabled        Disable Energy Efficiency    environment    1    
dev.igb.0.fc                Flowcontrol                runtime        0    
dev.igb.1.eee_disabled        Disable Energy Efficiency    environment    1    
dev.igb.2.eee_disabled        Disable Energy Efficiency    environment    1    
dev.igb.3.eee_disabled        Disable Energy Efficiency    environment    1    
dev.igb.4.eee_disabled        Disable Energy Efficiency    environment    1    
dev.igb.5.eee_disabled        Disable Energy Efficiency    environment    1    
dev.igb.5.fc                Flowcontrol                runtime        0    
dev.igb.5.num_queues        Queues                    environment    0    
dev.igb.enable_aim        Increase Netweork Efficiency    environment    1    
dev.igb.enable_msix        Faster interrupt handling    environment    1    
dev.igb.max_interrupt_rate    Increase interuppt rate        environment    64000    
dev.igb.rx_process_limit        Unlimit packet processing    environment    -1    
dev.igb.rxd                Packet descriptors            environment    2048    
dev.igb.tx_process_limit        Unlimited packet processing    environment    -1    
dev.igb.txd                Packet descriptrors        environment    2048
dev.igb5.fc                Flowcontrol                environment    0
dev.pci.enable_msix        Faster interrupt handling    environment    1
net.inet.ip.maxfragpackets    Do not accept fragments    runtime        0    
net.inet.ip.maxfragsperpacket Do not accept fragments    environment    0
vfs.zfs.dirty_data_sync_percent environment            default         (5)    
vfs.zfs.txg.timeout           environment                default        (90)    


Ich hoffe es kann geholfen werden :(|

Grüße

Hallo zusammen,

ich möchte den Thread nicht unnötig offen lassen und schließe mit folgendem ab.

Durchleitung vom Switch A in den Keller hatte bedingt funktioniert und dann nach ein Paar Stunden brach das Gerüst zusammen. Der Durchfluss ging erst beidseitig normal dann vom Kelker zum Speedport sehr langsam und schlussendlich haben die Netgear Switche und AccessPoints gestreikt.

Da ich bereit Monate zuvor immer wieder Fehlermeldungen der Netgear Cloud für manch Gerät erhielt, wenn es um Neukonfiguration der Geräte oder des Netzwerkes ging, habe ich beschlossen das Netzwerk und den Standort komplett neu aufzusetzen. Vor Ort und in der Cloud.

So habe ich nun direk hinter der Fritzbox einen Supermicro e300 mit Xeon-D für die OPNsense und hinter der OPNsense läuft der Rest neu konfiguriert.


Das local LAN ist stabil, die Internetverbindung auch. VLAN Konfiguration bleibt noch aus.

Bis zum Einzug der Glasfaserleitung bleibt die OPNsense auch wo sie ist.

Ein Problem gibt es noch und zwar der Durchsatz der VPN Verbindung mit nur 1Mbits, dazu gibt es jetzt bald einen neuen Thread.

Grüße

Kleines Update zum den WAX630 Access Points.

Es gibt folgende Layer2 Option: Block VLAN tagged packets on wireless interface ? Yes / No

Die Option ist von Haus aus auf "No", ich denke eine Weiterleitung der VLANs ist machbar da diese ja auch auf das WLAN weitergegeben werden können.

Ich tüftle noch mit der VLAN Config herum, die will noch nicht.

Auf jeden Fall habe ich mal jetzt bei dem Port an welchem der Speedport im Switch hängt einen Access gesetzt, und bei allen anderen beteiligten Ports einen TRUNK, jetzt gehen die VLAN1 und VLAN7 zusammen durch die meisten Ports und für den Port am Switch an welchem das WAN Interface der OPNSense angeschlossen ist habe ich VLAN1 herausgenommen, so das nur ein Trunk für VLAN7 dort ankommt.

Weiter habe ich auf der OPNSense folgendes getan:
Schnittstellen -> Andere Typen: Ein VLAN07 mit dem Tagg 7 auf dem Interface ix5 für WAN erstellt.
Schnittstellen -> Zuordnungen: Dem WAN interface das VLAN07 zugeordnet.

Wie gesagt noch funktioniert es nicht.

Keine Ahnung ob ich noch etwas beachten muss oder übersehen habe.

Hallo meyergru,

das hört sich alles schon mal, mit etwas Glück, in meinen Fall ausführbar an.

Denn ja, es gibt auch AccessPoints welche Trunk / VLAN auf den Ports unterstützen. Der WAC540 als Beispiel, ich habe auch einen dieser AP, komme aber leider derzeit nich physisch an diesen ran. Wenn ich aber über die Netgear Cloud ein VLAN einrichten will, wird neben den Switches der WAC540 als einziger AP als Möglichkeit mit seinen beiden Ports zur VLAN Konfiguration aufgeführt.

Der erste Switch A hat leider Clients. Aber, diese sind alle in der ActiveDirectory hinterlegt und den Zugriff kann ich mit Radius steuern, was bereits such aktiv ist.
Der erste AP welcher zum Switch B durchleiten soll, hat zwar das WLAN aktiviert, bekommt dann aber künftig auch nur Clients auf einer SSID welche die in der AD bekannten Geräte zulässt.
Somit lässt sich nach meinem Verständnis bereits etwas Sicherheit erreichen.

Ich muss nur noch testen ob das VLAN vom ersten AP durchgeleitet wird oder nicht.

Das Netzwerk wie im Plan dargestellt ist bereits genau so aufgebaut und funktioniert eigentlich auch problemlos in alle Richtungen m, nur das eben alle Geräte aktuell voll auf den Sperdport zugreifen können und nicht durch die OPNsense gehen.

Ich teste sobald ich dazu komme und gebe info.

Gruß

Benjamin

@meyergru

danke für deine Antwort.

Die Switche sind managebar, nicht voll aber ich kann neben den default VLAN's von Netgear auch noch andere VLAN's und diese auf nur bestimmte Ports pro Switch legen zzgl. IP Filterung  und MAC Filterung.
Aber da Frage ich mich ob das VLAN durch den AccessPoint zwischen Switch A und B geleitet wird, den dieser WAX630 AP kann kein VLAN, hat 2 Ports welche man entweder für LAG oder zur Durchleitung des Signals zum anderen Gerät nutzen kann. Ich nutze Porta A des AP als Signal inkl POE++ für den AP und über Port B wird weitergereicht an Switch B.

Die Modelle der Switche sind 2x GS728TPv2, GS110TPv3, GC510P, GC510PP und GS110TUP.

Und danke Dir für den Tipp mit dem 10Gbe, habe ich auch schon gelesen und gehört. Ich habe mich aber auch nicht deutlich diesbezüglich ausgedrückt. Es sind zwar 10Gbe Ports am SuperMicro Board, aber laufen nur auf 1Gbe, da die Switche alle nur 1Gbe haben. Da sollte der Stromverbrauch ja auch geringer ausfallen, ob diese 10Gbe Ports den 2,5Gbe mode überhaupt unterstützen muss ich auch mal bei Supermicro nachlesen, ich denke mich noch zu erinnern das dies nicht der Fall war. Wenn es so ist, dann sind schnellere Switche mit 2,5Gbe erstmal auch kein Thema. Dann bleibt alterntiv doch LAGG oder dynamisches LAGG was auch mit den Switchen machbar ist.

Die Kabel selbst sind alle CAT7, CAT8, die wurden vor 2 Jahren gezogen. Damals stand aber noch nicht fest was da alles an Netzwerkgeräten kommt.

Ich werde mal heute Abend testen, mit einem VLAN7 an allen relevanten Ports von Switch A bis D/E und melde mich dann wieder.

Gute Nacht

Hallo zusammen,

ich bin neu hier und versuche mich etwas mit der OPNsense und auch mit VLAN.

Ich habe das Problem das mein Netzwerk der Räumlichtkeiten wegen mit mehreren Switchen aufgeteilt werden musste. Mann könnte sagen, pro Raum 1 Switch, es ist nicht ganz so wild aber es sind schon einige Switches.
Hinzu kommt noch das mein Speedport in einem ganz anderen Raum sitzt als der Netzwerkschrank. Der Netzwerkschrank soll aber dort bleiben wo er ist, im Keller, den da wird später auch Glasfaser von aussein einziehen.

Zwei der Switche, Switch A und Switch B sind durch durchleitung des Signals über eine Access Point miteinander verbunden. Das Signal geht dann weiter von B nach C und F, so wie von C zum D/E Verbund.

Funktioniert soweit alles, aber die OPNSense macht so wenig Sinn und daher unsicher.

Daher würde ich gerne das Signal des Spedport von Switch A zum Switch Verbund D/E durchleiten und hoffe so ein WAN Interface an der OPNsense nutzen zu können.
Den aktuell ist alles über das LAN interface geleitet und daher nicht optimal. Den das Internet geht zu Switch A rein/raus und verteilt sich auf alles was hinter Switch A noch kommt.
So ist wenig bis keine Kontrolle möglich.

Später wird das Internet Signal direkt vom ONT oder gar ohne ONT in die OPNsense eingeleitet, aber bis dahin wollte ich dies anders gelöst haben.


Falls Ihr andere Vorschläge zur Durchleitung des Internets von Switch A zum Switch D/E habt, um so einen Port von Switch D/E für das WAN Interface nutzen zu können, bin ich sehr dankbar.
Ansonsten müßte ich mir doch überlegen die OPNsense direkt hinter der Fritbox anzuschliessen, im Raum wo diese sich befindet . Das wollte ich eigentlich nicht, da ich im Keller ein ordentliches Rack hingestellt habe.


Hier mein Netzwerkplan: