Messages

Ja, langsam nervt es mich auch. Ich hab den mongod Service nun abgewürgt. CPU ist wieder im Normalbereich. Dennoch funktioniert Telegram noch nicht --> Uninstall Zenarmor und Abo beendet.

Sollte es dennoch Probleme geben melde ich mich wieder. Danke Patrick.

LG Martin

Guten Abend,

ich habe vor ca. zwei Wochen auf 25.7 aktualisiert. Seit zwei Tagen haben alle meine Clients Probleme, sich mit Telegram zu verbinden. Es betrifft NUR Telegram. Wenn ich in Zenarmor die Engine neu starte, funktioniert es wieder für ein paar Minuten. Seit ein paar Stunden ist es so, dass ich das Dashboard von Zenarmor nicht mehr aufrufen kann und die CPU ständig zwischen 99 und 100% hängt. Ich hatte das schon einmal vor ein paar Monaten und ich musste Zenarmor komplett neu einrichten, um es zu beheben. Das kann es aber nicht sein auf Dauer... Habt ihr ein paar Tipps? Seit 5 Minuten reagiert das Webinterface der OPNsense überhaupt nicht mehr, alles überlastet.

last pid: 25649;  load averages: 28.38, 21.47, 11.54                                                                           up 0+22:25:07  22:33:56
86 processes:  1 running, 85 sleeping
CPU: 90.4% user,  0.0% nice,  9.4% system,  0.2% interrupt,  0.0% idle
Mem: 1199M Active, 9738M Inact, 30M Laundry, 4413M Wired, 256K Buf, 442M Free
ARC: 1617M Total, 901M MFU, 476M MRU, 107M Anon, 8256K Header, 125M Other
     1292M Compressed, 2458M Uncompressed, 1.90:1 Ratio
Swap: 8192M Total, 8192M Free

  PID USERNAME    THR PRI NICE   SIZE    RES STATE    C   TIME    WCPU COMMAND
==============================================================================
 9066 mongodb      72  68    0  9922M  7316M uwait    1 113:27 338.04% mongod
==============================================================================
56121 root         13  20  -20    10G   370M nanslp   1  14:20   7.93% eastpect
56549 root         14  20  -20  1259M    60M uwait    0   7:21   7.63% ipdrstreamer
56281 root         13  20  -20    10G   322M nanslp   2   9:06   5.00% eastpect
  503 root          3  68    0   120M    43M accept   1   1:23   2.32% python3.11
56414 root         13  20  -20  4534M   177M nanslp   3   3:17   1.98% eastpect
 5776 root          1  20    0    67M    42M select   2   0:00   1.24% php-cgi
 5644 root          1  20    0    67M    42M select   1   0:00   1.23% php-cgi
 5487 root          1  20    0    67M    42M select   2   0:00   1.21% php-cgi
29969 root          4  20    0    49M    15M kqread   3   1:15   0.26% syslog-ng
56265 unbound       4  20    0   101M    60M kqread   0   0:11   0.17% unbound
60625 root         11  20    0  1306M    55M uwait    1   1:18   0.09% zenarmor-agent
30412 root          1  20    0    28M    15M select   0   0:12   0.09% python3.11
   27 root          1  20    0    15M  3984K CPU1     1   0:00   0.08% top
36756 root          1  20    0    14M  2820K bpf      0   0:08   0.07% filterlog
 1853 _flowd        1  20    0    13M  2488K select   1   0:07   0.03% flowd
62294 root          1  20    0    20M  9104K select   1   0:00   0.02% sshd-session
29763 root          1  20    0    27M    14M select   3   0:09   0.01% python3.11
38508 nobody        1  20    0    13M  2184K sbwait   2   0:03   0.01% samplicate
64685 root          1  37    0    52M    35M nanslp   3  81:00   0.01% python3.11
38140 root          1  20    0    24M  8040K select   0   0:01   0.01% ntpd
24747 root          1  20    0    26M    10M kqread   1   0:05   0.00% lighttpd
55354 root          1  20  -20    36M    18M nanslp   1   0:00   0.00% eastpect
51083 dhcpd         1  20    0    28M    13M select   2   0:00   0.00% dhcpd


OPNsense 25.7.4-amd64
FreeBSD 14.3-RELEASE-p2
OpenSSL 3.0.17

Danke,
LG Marty

After disabling the Zenarmor Service everything worked.

Thank you

Martin

Slow connection or defunct IPv6.

600/60 Mbit, IPv6 is (and always was) disabled

Which 3rd party repositories do you have enabled. I am spotting Sunnyvalley, so you are running Zenarmor? Anything else?

Hi Patrick, it's only Zenarmor. I will try that, thanks in the meantime.

Martin

Hi,

this is the status, and it never changes. I have tried it 3 times:


Here ist the audit upgrade log if this helps:

Any tips would be helpful - thanks.

Greetings,
Marty

Ich habe den proxmox jetzt in mein "normales" LAN integriert und das zweite Interface auf der OPNsense deaktiviert. Alles lief sofort wie gewünscht.

Danke für eure Hilfe.

LG Marty

Hallo Robert,

Willst du HA wirklich direkt den port 8123 freigeben?

Nein, möchte ich am Ende des Tages nicht. Aber der externe Zugriff war nie mein Hauptproblem, nur ein Umstand, der mir aufgefallen ist. Derzeit habe ich sogar das Portforwarding deaktiviert. Übrigens habe ich die Ursache für die Meldung wegen dem fehlenden externen Zugriff gefunden: Ich musste unter Einstellungen -> System -> Netzwerk -> Home Assistant URL meine Domain und den Port eingeben.

Mein großes Problem ist/war, dass HA keine Integrationen findet. Vermutlich, weil es auf einem anderen Interface läuft.

Kannst du mal deine Einstellungen von HA posten, also auch was in Netzwerk eingestellt ist?

Neue Instanz (proxmox am zweiten Interface auf der OPNsense):


Alte Instanz (läuft am LAN-Interface):


In beiden Fällen wurden DHCP Reservierungen verwendet.

Vermutlich werde ich den proxmox heute Abend umkonfigurieren auf den LAN-Port der OPNsense und das separate Interface deaktivieren, sollte sich keine Lösung des Problems ergeben.

Danke,
LG Marty

Du lässt die andere Instanz währenddessen aber nicht laufen oder?

Nein, ist ausgeschaltet. Hab sie jetzt nur kurz gestartet für Screenshots zum Vergleich.


Alte Instanz Integrationen (findet alles automatisch im Netzwerk - gleiches Interface)



Neue Instanz Integrationen (findet NICHTS im Netzwerk - ZWEITES INTERFACE)


Muss ich in proxmox oder HA eine zweite Netzwerkkarte hinzufügen, damit er die Home-Devices findet, die am Interface LAN hängen? Wie gesagt, das ist mein Hauptproblem. Das Problem mit dem externen Zugriff stört mich erstmal nicht.

Den redirect Port musst du auf 443 ändern, du möchtest dich ja nicht von außerhalb über den http Port (8123) verbinden, den blockt nginx eigentlich bzw. leitet dich auf 443 um, wenn die Verbindung nicht aus dem lokalen Subnet erfolgt. Das klappt natürlich nicht, wenn der 443 nicht freigegeben ist.

Das schau ich mir noch an.

Wo siehst du das mit "Externer Zugriff deaktiviert"?

Alte Instanz (sogar OHNE Portforwarding):



Neue Instanz (mit Portforwarding):

Poste mal einen Screenshot von der port forwarding rule. Ich habe eine port forwarding rule, die port 8123 extern auf Port 443 der Home assistant VM weiterleitet.

Ich habe parallel noch meine alte HA-Installation aktiv, die als virtuelle Maschine auf meinem Synology NAS läuft. Jedoch am LAN-Interface, nicht am proxmox Interface. Die Rule ist genau die gleiche, nur auf die andere IP. Und in der anderen HA-Instanz steht nichts von extern nicht erreichbar, obwohl ich die Cloud auch nicht verwende. Und es werden auch alle Integrationen automatisch und vollständig erkannt. In der aktuellen Problem-Instanz am zweiten Interface nicht.

Port 443 ist im NGINX SSL Proxy Addon konfiguriert. (siehe Video unten).

Unbedingt auch ip ban nach mehreren fehlerhaften Logins konfigurieren.

Danke für den Hinweis.

https://youtu.be/UZozmfh8QY8?si=7-h7cPnF7dnSaJ1L

Das tutorial kann ich dir ans Herz legen, dort wird auch gleich gezeigt, wie du dir das Letsencrypt Addon installierst um eine sicherer Verbindung ohne lästige Zertifikatsfehlermeldung zu ermöglichen.

Danke, das zieh ich mir am Wochenende mal rein.

Ich bin mir momentan nicht sicher, ob ich netzwerkseitig noch was ändern muss in proxmox (obwohl die anderen beiden VMs funktionieren) oder auf der Firewall, weil die neue HA-Instanz auf einem anderen Interface läuft wie die alte) oder ob ich in den Netzwerkeinstellungen von Homeassistant etwas hinzufügen muss, damit die Geräte, die über das LAN-Interface angebunden sind, erkannt werden.

Wenn alle Stricke reißen und wenn ich es überhaupt nicht zum Laufen bringe, häng ich den proxmox wie das restliche Netzwerk ans LAN-Interface.

Hallo Leute,

nach ziemlich langer Testerei frag ich jetzt die Profis um Rat:

OPNsense 25.1.4
HomeAssistant 15.1
proxmox 8.4.0

Interface 1: WAN
Interface 2: LAN (10.0.1.100/24)
Interface 3: proxmox (172.27.77.100/24)

Ich habe drei VMs: Linux Mint, Windows 10, HomeAssistant. Linux und Windows funktionieren uneingeschränkt, ich kann auf beide Interfaces zugreifen und komme auch ins Internet.

Bei HomeAssistant steht in den Einstellungen ständig "Externer Zugriff ist deaktiviert". Portforwarding ist jedoch eingerichtet auf 172.27.77.101:8123. Und das nächste Problem (Hauptproblem) ist, dass ich meine smarten Devices unter HomeAssistant nicht sehe, die am anderen (LAN)-Interface hängen.

Regeln hätte ich erstellt (lan net auf proxmox net und umgekehrt).

Was kann ich denn bitte noch versuchen, um einerseits die Meldung wegen dem externen Zugriff zu eliminieren und HomeAssistant meine Home-Devices zu finden?

Danke!

LG Marty

Danke, du hast mir sehr geholfen. Weiß ich zu schätzen. Bis bald vielleicht.

LG Martin

Ursache könnte ein DNS-Problem sein. Um das rauszufinden, kannst du einfach versuchen, von einer VM bsp. 1.1.1.1 zu pingen, also direkt eine IP. Vorher aber sicherstellen, dass die Firewall-Regeln es erlauben. Protokoll = any zum Testen.

Ich war vorher der Meinung, dass diese Regel nur dazu dienen soll, um rauszufinden, ob externe IPs pingbar sind. Weil du "zum Testen" erwähnt hast. Aber es hat tatsächlich eine Regel gefehlt, die den Internetzugang für die VMs ermöglicht. Diese habe ich nun etwas eingeschränkt auf Source = proxmox.net. Hab ich das nun richtig ausgedrückt? ;-)

Sorry, ich habe mich tollpatschig ausgedrückt. Ich möchte sowohl LAN als auch Internet verwenden. Ich wollte nur wissen, wie ich die soeben erstellte Test-Regel nun restriktiver gestalten kann. Derzeit ist ja alles erlaubt. Oder benötige ich diese Regel nicht und ich muss irgendwas an den DNS-Settings ändern, damit die VMs ins Internet können? Oder muss ich nur Port 53 erlauben?

Action: Pass
Interface: Proxmox
Direction: In
Protocol: Any
Source: Any
Destination: Any

Ursache könnte ein DNS-Problem sein. Um das rauszufinden, kannst du einfach versuchen, von einer VM bsp. 1.1.1.1 zu pingen, also direkt eine IP. Vorher aber sicherstellen, dass die Firewall-Regeln es erlauben. Protokoll = any zum Testen.

Das funktioniert tatsächlich. Kaum habe ich die Regel erstellt, konnte ich externe IPs pingen und surfen. Wie kann ich das Problem nun beseitigen ohne die Test-Regel?