Topics

I have an Intel NUC 11 Pro Kit (BNUC11TNHV50L00), unfortunately the network card does not work in the current OPNsense. When can you expect the drivers to be integrated?

Moin, ich habe mal ein wenig gebastelt, habe ein cli tool gebaut mit der ihr eine Konfig für eure Fritzboxen und Linux Systeme bauen könnt.

- Erstellt die Konfig für Linux Systeme (ipsec.conf, ipsec.secret und für nftables die firewall regel)
- Erstellt die Konfig für Fritzboxen (*.cfg)

Gerne Feedback geben, ist mein erster versuch.

https://github.com/micneu72/FritzL2LVPN

Bisher getestet mit:
- Ubuntu 20.04 Server
- Fritzbox 7490

Gruß Michael

moin,
wo im filesystem ist die generierte ipsec konfiguration abgelegt?
ich habe unter:

Code Select Expand


- /usr/local/etc/ipsec.conf
- /etc/ipsec.conf

nichts gefunden.

Moin, habe mal wieder eine neue Hardware.

Rechner:	Intel® NUC 11 Pro Kit NUC11TNHv50L
CPU:	Intel® Core™ i5-1145G7 Processor (8M Cache, up to 4,40 GHz, with IPU)
RAM:	2 x Crucial DDR4-3200 16GB SO-DIMM
ETH:	Dual Intel® Ethernet Controller i225-LM

• Installation von OPNsense 21.1 wollte erst nicht da SecureBoot aktiviert war (habe ich deaktiviert)
• Problem die Ethernet Schnittstellen werden nicht erkannt, also habe ich erstmal 2 x USB-C Ethernet Adapter genommen mit der Hoffnung das ich die Treiber nachladen kann (leider bisher nicht)

Was mich bei dem Rechner am meisten interessiert hat ist die AES Performance, und da bin ich bisher sowas von begeistert.

Code Select Expand

root@rt:~ # openssl speed -elapsed -evp aes-256-cbc
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-cbc for 3s on 16 size blocks: 2147483647 aes-256-cbc's in 2.73s
Doing aes-256-cbc for 3s on 64 size blocks: 949352368 aes-256-cbc's in 3.02s
Doing aes-256-cbc for 3s on 256 size blocks: 108571095 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 1024 size blocks: 27283440 aes-256-cbc's in 3.01s
Doing aes-256-cbc for 3s on 8192 size blocks: 3404923 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 16384 size blocks: 1753082 aes-256-cbc's in 3.09s
OpenSSL 1.1.1d-freebsd  10 Sep 2019
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes  16384 bytes
aes-256-cbc   12565847.17k 20147913.47k  9264733.44k  9288558.57k  9297709.74k  9284038.95k
root@rt:~ # openssl speed -elapsed -evp aes-256-gcm
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-gcm for 3s on 16 size blocks: 1813578232 aes-256-gcm's in 3.06s
Doing aes-256-gcm for 3s on 64 size blocks: 1141754627 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 256 size blocks: 661257838 aes-256-gcm's in 3.05s
Doing aes-256-gcm for 3s on 1024 size blocks: 219639263 aes-256-gcm's in 3.01s
Doing aes-256-gcm for 3s on 8192 size blocks: 33312238 aes-256-gcm's in 3.01s
Doing aes-256-gcm for 3s on 16384 size blocks: 16918974 aes-256-gcm's in 3.00s
OpenSSL 1.1.1d-freebsd  10 Sep 2019
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes  16384 bytes
aes-256-gcm    9475020.97k 24357432.04k 55417127.46k 74775473.97k 90728346.16k 92400156.67k

Fazit:
Auch wenn die Ethernet Schnittstellen noch nicht unterstütz werden, ich werde die Hardware behalten, im Notfall muss halt ein Ubuntu drauf (da werden die Schnittstellen unterstützt)

Hey, habe heute durch zufall gesehen das Intel doch mal eine Hardware hat die ich spannend finde für OPNsense:
https://www.intel.de/content/dam/www/public/us/en/documents/product-briefs/nuc-9-pro-kit-product-brief.pdf
mit der Xeon CPU.
- Intel® Xeon® E-2286M Processor
- Dual-channel DDR4 SODIMM slots (max 64 GB), ECC memory support
- Two Intel® 10/100/1000 Mbps (i219-LM and i210-AT) Ethernet ports

was meint ihr?

[PPS]

Moin, wiedermal eine Frage an die Professionellen OPNsense Nutzer,

manche Firewall Hersteller geben auch als Technische angabe PPS an z. B. UBNT (siehe Bild)
Wie kann ich solche tests nachstellen, welches tool kann ich dafür einsetzen, leider habe ich nichts über google gefunden.

Ich versuche mir gerade so eine Test suite zusammen zu stellen um die Verschiedensten Systeme vergleichen zu können:
- OpenSSL aes-256-cbc & aes-256-gcm (was währe noch wichtig) # Ergebnis des Tests, aus aussage wie leistungsstark eine Hardware für VPN ist, die 64Byte spiegeln ungefähr die zu erwartende Leistung bei einem Normalen Internet Zugang
- IPSec, OpenVPN & WireGuard
- PPS, ist sowas wichtig, was würde das Ergebnis aussagen?

Moin, wird QuickAssist Technology (QAT) von OPNsense unterstützt (z. B. OpenVPN, IPSec, WireGuard)?
Ich habe gerade einen  Artikel (aus 2019) gelesen über die Xeon D-16XX.
https://www.hardwareluxx.de/index.php/news/hardware/prozessoren/49111-intels-xeon-d-1600-hewitt-lake-bietet-viel-leistung-auf-engstem-raum.html
Ich zitiere mal warum ich Frage:

Um über die Netzwerkschnittstellen auch eine Verschlüsselung anbieten zu können, verbaut Intel seine QuickAssist Technology (QAT) für alle erdenklichen Verschlüsselungstechnologien, Schlüsselgeneration und Kompressionsverfahren (maximal 30 GBit/s Durchsatz und 30.000 OPS insgesamt). Die 30 GBit/s sollen beispielsweise für SSL und IPSec erreicht werden.

Was bring mehr bei OPNsense:
- mehr Kerne?
- Prozessor Takt (GHz) mein Gefühl ist, mehr Takt?

Was sagen die Netzwerkprofis hier?
Für 10GBit Verschlüsselten Netzwerkverkehr was setzt ihr an Hardware ein (OpenVPN)?

finde es ist ein echt guter artikel:
https://nachbelichtet.com/warum-nextcloud-daheim-eine-schlechte-idee-ist/

Ich habe mich mal wieder an meinem HA Proxy gemacht, mein ziel ist es auch zuhause über LE Zertifikate zu nutzen.
Habbe es versucht an der Anleitung:
https://schulnetzkonzept.de/opnsense

Als erste mal einen auszug aus meiner HAProxy Log:

Code Select Expand


2020-08-07T22:29:50 haproxy[32735]: Connect from 80.175.fff.zzz:56011 to 192.168.3.2:80 (http_lan_wan/HTTP)
2020-08-07T22:29:50 haproxy[32735]: Connect from 80.175.fff.zzz:56008 to 192.168.3.2:80 (http_lan_wan/HTTP)
2020-08-07T22:17:44 haproxy[32735]: 80.187.xxx.yy:18061 [07/Aug/2020:22:17:44.135] https_lan_wan/192.168.3.2:443: SSL handshake failure
2020-08-07T22:17:43 haproxy[32735]: 80.187.xxx.yy:18040 [07/Aug/2020:22:17:43.353] https_lan_wan/192.168.3.2:443: SSL handshake failure
2020-08-07T22:17:38 haproxy[32735]: 80.187.xxx.yy:17830 [07/Aug/2020:22:17:38.652] https_lan_wan/192.168.3.2:443: SSL handshake failure
2020-08-07T22:17:38 haproxy[32735]: 80.187.xxx.yy:17828 [07/Aug/2020:22:17:38.649] https_lan_wan/192.168.3.2:443: SSL handshake failure
2020-08-07T22:17:37 haproxy[32735]: 80.187.xxx.yy:17733 [07/Aug/2020:22:17:37.201] https_lan_wan/192.168.3.2:443: SSL handshake failure

als bild werde ich mal meine config posten

Moin,
habe mir diese Hardware mal gekauft, währet ihr interessiert an test mit OPNsense?
https://www.seeedstudio.com/ODYSSEY-X86J4105864-Win10-Enterprise-Activated-p-4446.html

Was würde euch interessieren?

- VPN Performance (OpenVPN & WireGuard)?

Moin, seit neuestem geht meine Tapatalk app nicht mehr. ich bekomme einen fehler das ich mich nicht anmelden kann. wurde was am forum geändert?

moin, habe mal versucht einen HAProxy zu konfigurieren.
es hat auch mit einer url geklappt. leider taucht aber in den logs immer nur ein ziel auf.
was geht: speedtest-local.xxx.de
was nicht geht: vpn.xxx.de (ist nur zum testen, hatte keine lust noch einen dyndns anzulegen)
ich werde mal bilder meiner konfig posten

Ich will meine Gäste_LAN/WLAN in ein VLAN packen.
Ich habe ein system mit 6xETH (siehe System3 im footer)
Es lief schon mal, nach änderung meiner Konfiguration geht es jetzt nicht mehr.
Mein Vorgehen:
- LANp4 und LANp5 sind eine BRIDGE0 als LAN
- LANp4 und LANp5 jeweils ein VLAN33 erstellt
- GUEST1 (igb3) + VLAN33_LANp4 + VLAN33_LANp5 in BRIDGE1 (VLAN33_GUEST_BRIDGE)
- DHCP-Server VLAN33_GUEST_BRIDGE aktiviert
- Firewall Regel für Interface VLAN33_GUEST_BRIDGE

jetzt das was ich nicht verstehe. wenn ich direkt am Port GUEST1 meinen rechner hänge (wlan aus) kann ich genau wie ich es wollte surfen und ich komme auch nicht auf mein LAN (firewall regel funktioniert)
über wlan wenn ich mich mit meinem gäste wlan verbinde bekomme ich auch eine ip, nur ich kann nicht surfen, ich kann nichts pingen und auch nichts aufrufen.

Moin, ich bin auf der suche nach einem vernünftigen managed baren switch, hier das was abgedeckt sein soll, ich hoffe ihr könnt mir was empfehlen:

• PoE oder PoE+
• mindestens 1Gbit/s oder NBase-T
• Managed
• min. 16 Port
• VLAN, LACP usw.
• ohne Lüfter (währe nur optional)

zur zeit habe ich den:

• JGS516PE – 16-Port Gigabit Ethernet PoE Smart Managed Plus Switch mit 8-Ports-PoE

gefühlt sind die management funktionen sehr eingeschränkt.
alternativ habe ich mir den angeschaut

• NETGEAR GS516TP 16-Port Gigabit Ethernet LAN PoE Switch Smart Managed Pro

wird zwar nicht benötigt, hier trotzdem mal mein netzwerkplan.

Moin, ich bräuchte mal einen tipp von euch zur hardware.
ich soll 3 standorte vernetzen:
- jeder standort hat eine 50/10mbit Telekom DSL anschluß
- ich will dafür OpenVPN einsetzen

reicht die Hardware denn das budget ist leider nicht so hoch:
APU4C4

wie sieht es mit der OpenVPN Performance bei den teilen aus?

Moin, jetzt brauche ich auch mal wieder unterstützung.
Mein Netz hänge ich als bild an.
Ich habe auf meinem FreeNAS mehrere Virtuelle Webserver am laufen (zum testen, die sind nicht mit eingezeichnet). Ist es richtig wenn ich diese von aussen erreicbar machen will (alle unter dem port 80 von aussen) das Plugin "HA-Proxy" nehmen muss? Mit der Anleitung https://docs.opnsense.org/manual/how-tos/haproxy.html#installation komme ich nicht wirklich klar. Hat jemand mal eine anleitung (gerne step-by-step) für in diesem fall bezeichne ich mich selber mal als DAU, habe in dem thema keine erfahrung.
Zurzeit habe ich nur eine portweiterleitung auf eine VM und muss jedesmal diese ändern wenn ich eine ander VM testen will.

ist zustand:

Code Select Expand

DSL <--> (Port 80) OPNsense <--> (weiterleitung auf die VM) Webserver

- muss ich die portweiterleitung auf den HA-Proxy der OPNsense machen?
- wozu brauche ich den diese ACL´s, es soll jeder der die url hat auf die seite(n) kommen?

Gruß Michael

Moin, ich habe gerade vestgestellt das ich in meinem gästelan (192.168.33.0/24) nur die opnsense oder den eigenen client pingen kann. einen weiteren rechner kann ich nicht pingen.
ich habe mal mein netzplan angehängt und die konfiguration der firewall regel (icmp)
Die beiden rechner sind per ethernet direkt an der opnsense an meinen beiden gästelan ports.

Moin, ich habe meine OPNsense neu aufgesetzt.
Jetzt habe ich das Problem, es ist das Falsche Gateway als default festgelegt.
Ich hatte es letztens hier gelesen, nur finde ich gerade nicht wo ich das ändern konnte.
wie kommt das, wie kann ich es beheben, und was haben ich falsch gemacht?

1. mein Ziel, ich will für bestimmte Clients den Traffic über einen VPN Provider laufen lassen.
2. das Funktioniert mit 2 VPN Providern.
3. mit einem 3. VPN Provider (SafeVPN) bekomme ich die VPN aufgebaut, nur es Funktioniert kein DNS auflösung.
4. wenn ich für einen Test Client den DNS Server ersetze von meiner OPNsense (192.168.3.1) zu 8.8.8.8 funktioniert die auflösung. Ich habe diese DNS Konfiguration in der die Werbung gefiltert wird.
5. OPNsense 19.1.8, mein Setup hat Sporadisch mehrere WAN´s
Ich werde mal Bilder der Konfig anhängen.

Moin, hat jemand von euch mal eine Aktuelle anleitung wie ich für den Internen gebrauch ein Let´s encrypt erstelle?