Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - inorx

Pages: [1] 2

Hardware and Performance / Re: CPU recommendations for 1Gbps w/PPPoE

« on: November 26, 2023, 10:31:52 pm »

I will give an J4125 a try.
4 cores, clock speed 2 GHz, boost 2.7 GHz, passmark only about 4% below a J5005 on single thread performance.
Price tag for a configuration with 16 GB RAM and 512 GB ssd currently around 160 EUR (pot. plus MwSt.)
10 Watt, fanless, however looks like some additional heatsinks might be suitable.
Will share the results, might take a while.

Hardware and Performance / Re: CPU recommendations for 1Gbps w/PPPoE

« on: November 26, 2023, 08:56:56 pm »

First, sorry, i meant APU4, not APU2. My bad.

I also get the difference on the price tags. Just checking the prices, haven't yet found the 650, but the 630 is around 650 EUR.

As you wrote: APU2 is old (as well is APU4). As cpu and electronics prices have dropped constantly (with the corona exception), in the same price segment of an APU4 i would expect a more powerful device today. Shouldn't be that hard, as most of the components specifications could stay the same, only thing needed is double the boost frequency, as obv. not much more is needed if the OS would be offering multi-processor support for these kind of network applications.

So, i understand you're saying there is no such replacement, which means, for a lot of home users who would like to benefit from > 300 Mbit/s their ISPs are offering, opnsense isn't the solution to go with?

Hardware and Performance / Re: CPU recommendations for 1Gbps w/PPPoE

« on: November 26, 2023, 07:13:14 pm »

Okay, not worth trying it...

Quote:
Only 1 CPU core will receive the full PPPoE network traffic, regardless of how many different flows are inside the encapsulated stream. Because a single core running at 1.0-1.4Ghz is insufficient to process the full Gigabit network traffic, you will never be able to reach 1 Gbit routing traffic using an APU2/3/4 board with BSD operating system. 1 CPU core is 100% utilised, while the other 3 CPU cores are IDLE.

Source:
https://teklager.se/en/knowledge-base/apu2-1-gigabit-throughput-pfsense/

Hardware and Performance / Re: CPU recommendations for 1Gbps w/PPPoE

« on: November 26, 2023, 07:09:33 pm »

Has anyone tried this?

Quote:
As for performance, APU2 can NAT at full Gbit on Linux and 650-700 on pfSense (see benchmarks here https://teklager.se/en/knowledge-base/apu2c0-ipfire-throughput-test-much-faster-pfsense/ 38 and in the other article where they mention OpenWrt being at 1Gbit on single or multi streams, because Linux https://teklager.se/en/knowledge-base/apu2-1-gigabit-throughput-pfsense/ 22 ).
It also has AES-NI crypto acceleration.
They mention "with a new bios" for the pfsense performance because new BIOS enables CPU boost to 1.4 Ghz so the CPU can clock higher when only a few cores are loaded (as I said BSDs can only run the interrupts on a single core)

Source;
https://forum.openwrt.org/t/tips-for-getting-cheap-used-x86-based-firewall-with-full-gbit-nat-a-pc-engines-apu-if-you-are-in-the-us/104490

Hardware and Performance / Re: CPU recommendations for 1Gbps w/PPPoE

« on: November 26, 2023, 06:52:20 pm »

Quote from: mimugmail on February 18, 2022, 05:18:50 pm

If you read all the forums you'd know that GB and pppoe is a huge trouble in BSD world. You would need very high clock rate, no matter how many cores, since it's single threaded. And no guarantee you'll get full throughput.

It this is still true today, does this mean "don't use opnsense" if you want to get throughput around 1 Gbit/s? Is that the conclusion? Because in that case i could stop looking for a better hardware and rather start looking for another firewall software.

German - Deutsch / Re: OpenVPN auf Port 443: Routing Problem mit Reverse Proxy vor Webserver

« on: April 06, 2023, 01:11:44 pm »

Die Anti-Lockout Regel ist bei mir auf WAN nicht aktiv (weil das Web Interface nicht auf das WAN Interface gebunden ist) und dazu habe das Web Interface auf Port 8080, sprich, die Lockout Regel hat Port 443 gar nicht in der Konfiguration drin.

Ich guck's mit dennoch sicherheitshalber an.

Ich hatte auch eher NAT in Verdacht, aber eigentlich sollte ja der Traffic im VPN Tunnel gar nicht genattet werden müssen, der Client bekommt ja über den OpenVPN Server eine private IP aus dem OpenVPN segment, das er dann ganz normal routet. Genattet wird ja "nur" der Tunnel selbst, aber nicht der Traffic darin, oder?

German - Deutsch / Re: OpenVPN auf Port 443: Routing Problem mit Reverse Proxy vor Webserver

« on: April 06, 2023, 11:45:46 am »

Vielen Dank für deine Antwort.

Ich verstehe leider nicht, wo du in meinem Setup ein Multiplexing siehst resp. wo dieses entsteht: Auf dem WAN Interface läuft auf Port 443 nur OpenVPN. Der VPN Tunnel selbst kann vom Client auf WAN:443 auch erfolgreich aufgebaut werden, das geht. Von dort muss der Traffic dann in das DMZ subnet hinter der OPNSense geroutet werden. Auf UDP/TCP Ebene funktioniert das auch, der paketfilter hat die entsprechenden Regeln und lässt durch. Die Kommunikation zum Mail Server über IMAP/S und SMTP/S funktioniert ohne Probleme. Nur die Kommunikation zum Reverse Proxy auf 443 bricht.
Lässt sich daraus nicht schlussfolgern, dass dies kein Multiplexing Problem auf WAN:443 ist? Weil, wenn es da ein Problem gäbe, dürfte entweder gar kein Traffic oder aller Traffic durchgehen, aber nicht aller Traffic ausser https funktionieren?

German - Deutsch / OpenVPN auf Port 443: Routing Problem mit Reverse Proxy vor Webserver

« on: March 31, 2023, 06:06:19 pm »

Hallo zusammen

ich habe folgendes Setup:

Internet -> OPNSense mit OpenVPN -> Apache Reverse Proxy (SSL Terminierung, 443) -> Apache mit Web Anwendung (http, 80)

Wenn ich aus dem LAN, das sich hinter der OPNSense befindet, via Reverse Proxy 443 auf die Web Anwendung zugreife, geht das problemlos.

Greife ich vom Internet via OpenVPN und den Reverse Proxy auf die Web Anwendung zu, dann ergibt sich ein interessantes Resultat:

(1) OpenVPN Server auf Port 1194 -> funktioniert einwandfrei.
(2) Zweiter OpenVPN Server, gleiche Konfig, aber auf Port 443 -> Der SSL Handshake schlägt fehl. Interessanterweise nur bei den Anwendungen hinter dem Reverse Proxy. IMAP/S, SMTP/S und anderes, das ohne Reverse Proxy ansprechbar ist, funktioniert einwandfrei.

Mein Bauchgefühl sagt mir, dass da zu viele port 443 im Spiel sind und beim NATten etwas schief läuft? Ich habe allerdings keine Ahnung, was.
Sagt euch das Problem etwas, kennt ihr das und die mögliche Ursache und Lösung?

Vielen Dank für eure Hilfe.

Development and Code Review / Re: e2guardian Plugin

« on: March 30, 2023, 02:39:03 pm »

@Mod: Would it be more suitable to create a feature request on github instead of hoping for an answer from the dev team in this forum?

23.1 Legacy Series / Re: Daily Report by Email?

« on: March 30, 2023, 02:37:40 pm »

So not getting any response at all means you all don't use any kind of reporting and monitoring on your firewall? As if this is true.... hmm...

German - Deutsch / Re: Mail Reports

« on: March 07, 2023, 10:38:46 am »

Ich dachte dich so verstanden zu haben, dass du damals nach einer Möglichkeit gesucht hast, einen umfangreicheren Status Report regelmässig zu mailen. Als zB eine Zusammenfassung des daily traffic, CPU Last, etc., so dass man sich auf einen Blick einen Überblick verschaffen kann.
Monit ist ja mehr dazu gebaut, unmittel zu alarmieren, weniger, um einen Report zu generieren (zumindest soweit ich Monit kenne).

Development and Code Review / Re: e2guardian Plugin

« on: March 07, 2023, 09:28:21 am »

Question to the dev team: Are there any plans regarding integration of e2guardian or a similiar content filter?

German - Deutsch / Re: Mail Reports

« on: March 07, 2023, 09:14:03 am »

Ich stehe vor der gleichen Frage. Hast du inzwischen für dich eine Lösung gefunden?

German - Deutsch / Re: Kann keine Windows Updates mehr beziehen

« on: March 05, 2023, 02:31:25 pm »

Quote from: W0nderW0lf on March 04, 2023, 10:34:53 am

Aus Datenschutzgründen macht es für mich keinen Sinn alle Microsoft IP Netze zu whitelisten. Updates könnten dann vielleicht gehen, aber gleichzeitig gestatte ich somit alles weitere an Telemetrie und sonstiges...

Update und Telemetrie sind andere Netzsegmente.

Windows Update Whitelist (ohne Gewähr - nicht vollständig, aber reicht):

update.microsoft.com
windowsupdate.microsoft.com
windowsupdate.com
download.windowsupdate.com
wustat.windows.com
ntservicepack.microsoft.com
stats.microsoft.com
134.170.165.253
134.170.165.249
157.56.77.139
157.56.96.58
4.14.40.138
157.56.77.140
134.170.165.251
65.55.163.222
66.119.144.158
134.170.58.125
fe2.update.microsoft.com
fe2.update.microsoft.com.nsatc.net
196.234.72.190

Und wenn du explizit die Telemetrie zunageln willst (ebenfalls nicht vollständig und ohne Gewähr):

v10.vortex-win.data.microsoft.com
settings-win.data.microsoft.com
watson.telemetry.microsoft.com
oca.telemetry.microsoft.com
vortex.data.microsoft.com
ceuswatcab01.blob.core.windows.net
ceuswatcab02.blob.core.windows.net
weus2watcab01.blob.core.windows.net
weus2watcab02.blob.core.windows.net
eaus2watcab02.blob.core.windows.net
eaus2watcab01.blob.core.windows.net

German - Deutsch / Re: Firewall austauschen

« on: March 05, 2023, 02:27:50 pm »

Wenn du nicht auf gut Glück rumprobieren willst, dann musst du via Console an das Gerät und dir die Interface Konfiguration anschauen.
Hast du ein USB -> Serial Kabel? Dann einfach an den PC mit USB und mit putty auf dem entsprechenden COM Port eine Verbinung zur Firewall aufbauen.

Pages: [1] 2