Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Topics - t0mc@

Pages: [1]

German - Deutsch / HAProxy + deinstallierter ACME Client --> Config Probleme

« on: April 08, 2022, 04:01:44 pm »

Hi zusammen,

ich habe in der Vergangenheit den HAProxy mit integriertem ACME Client (Lets Encrypt) benutzt.
Ich benötige dieses Setup in dieser Form jedoch nicht mehr, habe die ACME Client Erweiterung dementsprechend deinstalliert.

Danach wollte ich die HA Proxy Config in der GUI komplett leeren, da dieser nun für andere Zwecke verwendet werden soll.
Leider kann ich den letzten noch verbleibenden öffentlichen Dienst, der auf Port 80 hört, nicht löschen, es erscheint diese Fehlermeldung:

Item in use by
AcmeClient - HTTPHAProxy {AcmeClient.validations.validation.ec3af700-af36-4557-b638-5bf79b290bca}

(s.a. Screenshot im Anhang)

Wie kann der öffentliche Dienst denn von etwas verwendet werden, was deinstalliert wurde?? Hat jmd. ne Idee?

Danke schon mal
T0mc@

Intrusion Detection and Prevention / Performance tuning when running as KVM

« on: September 09, 2021, 06:52:22 pm »

Hi everybody,

since a few days I upgraded my ISP Speed from 500MBit to 1000MBit. I noticed when suricata is enabled, I get max. speeds of ~600MBits, wheras when suricata is disabled, I got speeds up to 980MBits.

OPNSense is running on a Proxmox Virtual Server (Debian based Distro for running VMs) as a KVM VirtualMachine.

Hardware is a HP Z420 Workstation
Intel(R) Xeon(R) CPU E5-2660 0 @ 2.20GHz, 16 Cores
64GB RAM

The OPNsense VM is configured to use 6 Cores in Host Mode with 6GB RAM, uses 3 virtual VirtIO NICs, each using its own physical NIC (1 Onboard, 2 PCIe)... see att. VMConfig.png

During speed tests one can see in OPNSenses Dashboard, that CPU/RAM isn't the bottleneck, so I assume this has sth. to do with the network layer. (s. att. SpeedTest.png)

I just noticed this pinned Thread https://forum.opnsense.org/index.php?topic=6590.0 .

But many of the mentioned tunables are dealing with hardware NICs such as Intel ones, FlowControl for example, which isn't available with virtio VirtualNICs using the vtnet driver:

Code: [Select]

# sysctl -a | grep dev.vtnet.0
dev.vtnet.0.txq0.rescheduled: 0
dev.vtnet.0.txq0.tso: 0
dev.vtnet.0.txq0.csum: 0
dev.vtnet.0.txq0.omcasts: 15
dev.vtnet.0.txq0.obytes: 516930
dev.vtnet.0.txq0.opackets: 4009
dev.vtnet.0.rxq0.rescheduled: 0
dev.vtnet.0.rxq0.csum_failed: 0
dev.vtnet.0.rxq0.csum: 5892
dev.vtnet.0.rxq0.ierrors: 0
dev.vtnet.0.rxq0.iqdrops: 0
dev.vtnet.0.rxq0.ibytes: 6938441
dev.vtnet.0.rxq0.ipackets: 7767
dev.vtnet.0.tx_task_rescheduled: 0
dev.vtnet.0.tx_tso_offloaded: 0
dev.vtnet.0.tx_csum_offloaded: 0
dev.vtnet.0.tx_defrag_failed: 0
dev.vtnet.0.tx_defragged: 0
dev.vtnet.0.tx_tso_not_tcp: 0
dev.vtnet.0.tx_tso_bad_ethtype: 0
dev.vtnet.0.tx_csum_bad_ethtype: 0
dev.vtnet.0.rx_task_rescheduled: 0
dev.vtnet.0.rx_csum_offloaded: 0
dev.vtnet.0.rx_csum_failed: 0
dev.vtnet.0.rx_csum_bad_proto: 0
dev.vtnet.0.rx_csum_bad_offset: 0
dev.vtnet.0.rx_csum_bad_ipproto: 0
dev.vtnet.0.rx_csum_bad_ethtype: 0
dev.vtnet.0.rx_mergeable_failed: 0
dev.vtnet.0.rx_enq_replacement_failed: 0
dev.vtnet.0.rx_frame_too_large: 0
dev.vtnet.0.mbuf_alloc_failed: 0
dev.vtnet.0.act_vq_pairs: 1
dev.vtnet.0.requested_vq_pairs: 0
dev.vtnet.0.max_vq_pairs: 1
dev.vtnet.0.%parent: virtio_pci2
dev.vtnet.0.%pnpinfo: 
dev.vtnet.0.%location: 
dev.vtnet.0.%driver: vtnet
dev.vtnet.0.%desc: VirtIO Networking Adapter

Code: [Select]

# sysctl -a | grep hw.vtnet
hw.vtnet.rx_process_limit: 512
hw.vtnet.mq_max_pairs: 8
hw.vtnet.mq_disable: 0
hw.vtnet.lro_disable: 1
hw.vtnet.tso_disable: 0
hw.vtnet.csum_disable: 0

Tried around a bit with other tunables found in this thread, but until now I found nothing, what gives better performance.

Any hint how to tune suricata on OPNSense running as KVM?

Thx in advance!
T0mc@

German - Deutsch / Restart unbound-dns via commandline

« on: December 30, 2017, 04:02:56 pm »

Hallo zusammen,

(wie) kann der unbound-dns service per commandline neu gestartet werden? Dieser wird ja nicht (mehr) per "systemctl" verwaltet, sondern wird über die Web-GUI per Klick neu gestartet.

Hintergrund:
Ich habe ein kleines Script geschrieben, welches eine unbound-dns Config Datei aus Online Quellen erstellt, um per DNS zentrales Ad-Blocking zu betreiben. Das funktioniert auch so, wie es soll.
Dieses Script soll nun per cron mehrmals am Tag aufgerufen werden um die geblockten Hosts aktuell zu halten. Damit die neu erstellte config im unbound-dns geladen wird, muß der Dienst neu gestartet werden. Die Config-Datei ist per "include: ..." in der Erweiterten Konfiguration des Unbound-DNS eingetragen.

Hat jmd. einen Tip?
Vielen Dank schon mal und viele Grüße
T0mc@

German - Deutsch / NTP Probleme

« on: August 18, 2016, 10:48:06 pm »

Hallo zusammen,

habe folgendes Problem:

Ein Ubuntu Client in einem lokalen Netz (192.168.112.0/24) soll per ntpdate (und später per ntpd) die Zeit aktuell halten.
Eine OPNsense dient dabei als Gateway (192.168.112.1) und hat auf der WAN Schnittstelle auch direkte Internetverbindung. Es sind keine besonderen Firewall Regeln definiert.
Wenn ich auf dem Linux Client nun per

Code: [Select]

# ntpdate de.pool.ntp.org
versuche, die Zeit zu aktualisieren, schlägt das damit fehl:

Code: [Select]

18 Aug 22:41:56 ntpdate[20261]: no server suitable for synchronization found
Wenn ich ntpdate per -u dazu bringe, unpreviligierte Ports zu benutzen, funktionierts:

Code: [Select]

# ntpdate -u de.pool.ntp.org
18 Aug 22:42:05 ntpdate[20282]: adjust time server 62.75.236.38 offset 0.007126 sec

Probehalber habe ich auf der OPNsense mal den NTP Server aktiviert. Das Ergebnis ist identisch:

Code: [Select]

# ntpdate 192.168.112.1
18 Aug 22:43:38 ntpdate[20340]: no server suitable for synchronization found
# ntpdate -u 192.168.112.1
18 Aug 22:43:49 ntpdate[20341]: adjust time server 192.168.112.1 offset 0.008085 sec

Was mache ich hier noch falsch?

Vielen Dank schon mal!
T0mc@

Pages: [1]