Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - Loony

#1
Hallo zusammen!

Quote
eine Deep Packt Inspection, wie ein IDS / IPS sie vornimmt, kann natürlich den Durchsatz nach unten ziehen. Insbesondere, wenn das keine echte Firewall-Hardware steht. Wobei: normalerweise bezieht sich das auf über das WAN hereinkommende Pakete, wie CrowdSec auch. Hier hätte ich auch an die Spezialisten übergeben, da ich selbst OPNsense erst ein paar Tage im Einsatz habe und nicht weiß, wie das eingebaute IPS/IDS - ich glaube Suricata - mit Verbindungen umgeht, wo es nicht reingucken kann. So eine Verbindung, wie dein VPN eben.

Wie gesagt, ich habe keine IDS/IPS (Suricata) im Einsatz, nicht installiert, nicht aktiviert. Oder beziehst Du Dich auf CrowdSec?


Quote
Die Frage nach dem USG, weil, je nach Modell, nicht übermäßig leistungsfähig und auch hier wieder der Hintergedanke an das noch weiter leistungsvermindernde IDS.

OPNsense läuft auf Proxmox, der PC hat einen Intel N100 und I226-V NICs. Das sollte kein Problem, sein, außer OPNsense läuft nichts CPU-lastiges auf Promox. Die CPU Auslastung von OPNsense (4 Threads) ist in der Regel um die 5% mit gelegentlichen Peaks auf unter 25%.


Quote
Aufgrund deiner Schilderungen gehe ich davon aus, dass deine VPN Verbindung auf dem Notebook in deiner WIFI-Verbindung "getunnelt" wird. Du hast da zwar eine VPN-IP-Adresse, die ist aber nur deinem Notebook bekannt. Der VPN-Client, z.B. NordVPN, schickt das Ganze eingekapselt über deine interne WIFI Verbindung, also über die interne IP, die du in deinem LAN hast.

Das ist richtig.


Quote
Da deine VLANs, sowie dein Heimnetz aber intern (LAN) sind, fehlt in der Liste dein OPNsense WAN Interface.

Das ist richtig, ich habe nur die Intefaces aufgelistet, die für mein Problem relevant erscheinen. Das mindestens ein WAN Interface vorhanden sein muss hielt ich nicht für erwähnenswert, da ich ja beschieben habe das meine internetverbindung im Prinzip funktioniert.


Quote
Unifi Networks
Unifi Controller -> Settings -> Networks -> Eins deiner VLAN Networks auswählen -> da müsste der Haken bei VLAN-only Network gesetzt sein
Unter dem Setting WiFi müsste das Network als Network für ein WiFi-Network (SSID) gesetzt sein.

Ich verwende den Unifi Controller/UniFi Network Server 8.5.6, diese Punkte gibt es nicht unter  Settings -> Networks -> VLAN-Netzwerk. In Sachen VLAN kan nich nur die ID eingeben.


Quote
Sag bitte mal wer dein ISP ist und ob du die Geschwindigkeitsproblematik auch bei z.B. Microsoft Downloads hast.

Wie bereits gesagt habe ich Vodafone Kabel. Die Geschwindigkeiten sind immer im gleichen Rahmen, nur eben deutlich besser wenn direkt über VPN.


#2
Hallo zusammen,

vielen Danl für Eure Fragen:


Quote
Bitte mehr mehr Informationen zu deinem verwendeten Hardware, Hersteller/Model deines AP

Alles hinter der OPNsense ist Unifi. Wenn Du detailierte Infos brauchst, gebe mir bitte einen Hinweis was genau und wofür, damit ich den Zusammenhang verstehen kann.


Quote
Hast du ein USG im Einsatz oder wird dessen Rolle von der OPNsense übernommen (so klingt es bei dir)?

Das ist richtig, ich habe keine USG im Einsatz.


Quote
Mir ist nicht klar, wie eine auf dem Notebook konfigurierte VPN Verbindung (hat ja nichts mit dem OPNsense VPN Optionen zu tun), die über die auch ohne VPN genutzte WIFI Verbindung läuft, "unter Umgehung von (fast) allem, was OPNsense macht", funktionieren soll. M.E. ist die VPN Verbindung allem auf der OPNsense unterworfen, was für eine WIFI Verbindung ohne VPN auf der OPNsense konfiguriert ist.

Ich verbinde mich mit meinem Laptop ganz normal über WLAN mit dem Internet. Dann aktiviere ich auf meinem Laptop die VPN Verbindung (NordVPN, Winscribe, Mullvad). Der Tunnel beginnt also auf meinem Laptop und umgeht somit OPNsense (teilweise, z.B. DNS, Firewall (teilweise!!), etc.). Deshalb vermute ich auch, das es an einer fehlerhaften Konfiguration von OPNsense liegt.


Quote
Die OPNsense hat noch ein zusätzliches WAN Interface?

Alle VLANs und das untagged LAN gehen über das gleiche WAN. Es gibt ein weiteres WAN Interface für den Fall einer Störung, das ist aber nicht aktiv.


Quote
Die OPNsense hat IP Adressen in deinen VLANs, ist dort GW und die Routen stimmen?

OPNsens ist jeweils Gateway mit der IP xxx.xxx.xxx.254. Würde das Netz/VLAN generell funktionieren wenn dem nicht so wäre?



Quote
Ist irgendwo IDS/IPS eingeschaltet?

IDS ist nicht aktiv, ich nutze allerdings CrowdSec.


Quote
Da Unifi-Umgebung: Die Netzwerke zu den WIFI SSIDs sind als VLAN only definiert?

Die Frage verstehe ich leider nicht. Wenn Du mir sags wo ich nachsehen muss tue ich das gerne.



Das Phänomen tritt aber nicht nur im VLANs auf, sondern auch im nicht getaggten LAN.
#3
Vielen Dank für Deine Antwort.

Mein Netzwerk sieht im Prinzip so aus:

Vodafone Kabel Modem (im Bridge Modus) -> OPNsense -> Unifi Umgebung (Switche, APs)
OPNsense -> LAN (untagged) 192.168.1.0/24 -> eigene SSID auf den APs
                  -> Gäste VLAN 10.20.30.0/24 -> eigene SSID auf den APs
                  -> Büro VLAN 172.16.1.0/24 -> eigene SSID auf den APs

Quote
1. du gehst über WIFI und die OPNsense ins Internet: NB -> WIFI -> OPNsense -> (Internet)
2. du hast auch eine VPN-Konfiguration, so dass: (NB -> VPN) -> WIFI -> OPNsense -> (Internet)

Das ist richtig. Ich bin über das WLAN mit dem Internet verbunden (bei Dir #1). Die VPN Verbindung läuft genauso, direkt vom Laptop unter Umgehung von (fast) allem, was OPNsense macht - zumindest nach meinem Verständnis. Das System läuft aber nur mit wenigen % CPU Auslastung, daran kann es also nicht liegen. Deshalb glaube ich, dass es sich um einen Fehler in der Konfiguration handelt, weshalb die Verbindung so langsam läuft. Aber welcher?


#4
Hallo zusammen!

Ich habe OPNsense schon eine ganze Weile laufen. Über das WLAN bekomme ich irgendwas von 50 bis 150 Mbps. (Generell schwankt die Leistung sehr, so dass ich keine konstanten Werte bekomme.) Nicht berauschend, aber noch meckert niemand. Wenn ich jedoch an meinem Laptop einen VPN aktiviere, dann bekomme ich sofort um die 400 Mbps oder mehr - im VLAN nicht ganz so viel.

Natürlich habe ich schon Google bemüht, aber die Lösungen, die ich gefunden habe, gingen immer darauf zurück, dass für die VLANs ein Network Interface konfiguriert werden muss, auch wenn die Daten nicht physisch darüber laufen. Das hatte ich aber bereits von Anfang an gemacht:

Interface  |  Device
heimnetz  -> icg1
vlanNIC    -> igc2

VLANs -> alle mit Parent igc2

Der Unterschied ist immer da, egal ob im Heimnetz oder im VLAN.

Ich weiß, dass Ihr meine Konfiguration nicht erraten könnt, habe aber auch keine Ahnung in welche Richtung ich suchen muss und damit auch nicht welche Einstellungen wichtig sind.

Hat jemand eine Idee?