Messages

1

German - Deutsch / Re: Welcher Durchsatz ist mit einem Celeron N3450 realistisch?

« on: March 03, 2020, 08:15:01 pm »

So, ich nochmal 

OPNSense läuft jetzt direkt auf der Hardware. Ich habe stundenlang getestet, bin jedoch nicht über die Raten hinausgekommen die ich mit Proxmox erreicht habe. IDS an oder aus - kein Unterschied. Diverse Male mit unterschiedlichen Einstellungen (CSO, TSO; LRO, ...); durchgestartet - nix.

Zuletzt habe ich powerd aktiviert und die Interfaces statt auf Autoselect auf 1000baseT Full-Duplex gesetzt.

Und plötzlich rennt das Ding, ich bekomme ohne weitere >850MBit. Mit aktiviertem suricata, welches dabei auf max. ~150% CPU geht.

Wahrscheinlich kann ich noch ein wenig mehr rausholen, aber das ist erstmal ein ordentliches Ergebnis.

2

German - Deutsch / Re: Welcher Durchsatz ist mit einem Celeron N3450 realistisch?

« on: March 03, 2020, 04:02:16 pm »

kommt den das 1Gbit auch wirklich an?
Du kannst ja mal versuchen einen Rechner direkt an das WAN zu hängen und iperf laufen lassen.
ggf. auch mal bei iperf mit -P x oder -R laufen lassen
-P x , wobei x die zahl der paralellen tests ist
-R dann sendet der an dich und nicht du zum server

Ja das ist auch komisch. Weder direkt auf der OPNSense Box (iperf3 via shell) noch von einem dicken Rechner dahinter (genauso) komme ich auf bessere Werte. Und das auch wenn IDS etc deaktiviert sind. Auch die CPU der OPNSense Box macht in dem Moment keine Mucken, geht kaum über 20% Last. Habe nun alle möglichen freien iperf3 Server probiert.

3

German - Deutsch / Re: Welcher Durchsatz ist mit einem Celeron N3450 realistisch?

« on: March 03, 2020, 03:59:28 pm »

Es ist schlicht das IPS.
Ich habe einen "alten" N2810.
Der schafft per iperf problemlos sein Gigabit auf beiden Interface.
Sobald das IDS aktiv ist, werden es 250-300mbit.
Das schaffen die kleinen boards nicht ohne Verluste.
Ohne IDS ist gigabit WAN kein Problem mit dem Chip.

Komisch. Dann scheint bei mir irgendwie der Wurm drin zu sein. Auch mit deaktiviertem IDS ändert sich nichts an meinem Durchsatz.

Gestern war ein Techniker da und hat den Kabelanschluss gerichtet, da war noch einiges im Argen. Direkt am Kabelmodem habe ich mit meinem Rechner die volle Geschwindigkeit erreicht.

Da werde ich dann wohl dochmal die Kiste ohne Virtualisierung testen müssen - ich werde berichten.

4

German - Deutsch / Re: Welcher Durchsatz ist mit einem Celeron N3450 realistisch?

« on: March 03, 2020, 03:57:05 pm »

Wenn du aus hamburg bist können wir ein paar Tests mit meinem Core i3 System machen

Danke für Dein Angebot, ich sitze im Süden

5

German - Deutsch / Re: Welcher Durchsatz ist mit einem Celeron N3450 realistisch?

« on: February 27, 2020, 09:24:23 pm »

Hm ich hab hier noch einen J1900 mit 4x2.00 GHz rumliegen... Eigentlich ausgemustert, aber eventuell kann der ja was reissen. Muss nur noch ein NIC bestellen dafür. Hat dummerweise kein Hardware-AES.

Oder aber ich nehm mal wieder ein paar Euro in die Hand. Wenn ich die Kiste mit IDS / IPS laufen lasse (ETPro), evtl. proxy und SSL inspection, was würdet ihr empfehlen?

6

German - Deutsch / Re: Welcher Durchsatz ist mit einem Celeron N3450 realistisch?

« on: February 27, 2020, 07:01:38 pm »

Danke euch allen für eure Rückmeldungen. Dann werde ich demnächst wohl doch mal die VM auf meinen "dicken" VM-Host ziehen und schauen welchen Unterschied das macht.

7

German - Deutsch / Re: Welcher Durchsatz ist mit einem Celeron N3450 realistisch?

« on: February 27, 2020, 04:12:46 pm »

Danke für Deine Antwort. Einen Umbau kann ich mir zeitlich gerade nicht leisten, deshalb frage ich nach Erfahrungen

Gern auch mit ähnlichen Systemen.

8

German - Deutsch / Welcher Durchsatz ist mit einem Celeron N3450 realistisch?

« on: February 27, 2020, 03:33:24 pm »

Hallo zusammen,

ich habe seit kurzem einen 1Gigabit-Anschluss, bekomme jedoch max. 450 MBit aus der Leitung mit iperf3.

Jetzt bin ich am überlegen ob der N3450 meines Zotac CI327 der Flaschenhals ist, denn iperf lastet bei dieser Geschwindigkeit die CPU aus. Allerdings komme ich auch dann wenn ich es von einer anderen Maschine aus probiere nicht höher, und dann wird die CPU kaum belastet.

OPNSense 20.1, in Proxmox. WAN Adapter physisch (nicht virtualisiert). Traffic shaping und IDS/IPS, proxy, clamav etc. sind deaktiviert, Rttd unter Last selten nie über 20ms. CPU ist als "host" konfiguriert, die Kiste hat 4GB RAM. Auf dem VM Host läuft sonst nix. Hardware offloading etc sind deaktiviert.

Würde mich über eure Erfahrungen freuen.

9

German - Deutsch / Re: IPSec VPN IOS/IPHONE

« on: February 27, 2020, 03:26:26 pm »

Hallo zusammen, ich habs am Laufen mit mutual RSA ohne EAP.
Ich versuche in den kommenden Tagen mal Infos zu erstellen. Wenn ihr dem Wiki folgt: die dort angegebene PFS Key Group 14 wird von iOS nicht mehr akzeptiert. Ihr müsst 19 - 21 wählen. Daran habe ich mir am längsten die Zähne ausgebissen.
IPSec läuft sehr gut und schnell, und mein Hauptgrund es vor OpenVPN zu bevorzugen ist das "connect on demand".

10

20.1 Production Series / Re: [IPSec] How to set up Roadwarrior with "dynamic" mobile access

« on: February 16, 2020, 02:29:19 pm »

So, the "On Demand" part has to be set up in the profile created with Apple Configurator. Also, current iOS doesn't seem to accept RSA keys in both phases, you've got to choose one of group 19 to 21.

11

20.1 Production Series / solved - [IPSec] How to set up Roadwarrior with "dynamic" mobile access

« on: February 14, 2020, 12:32:13 pm »

Hi all,

I've tried several tutorials to get IPSec up and running, with different outcomes of failure  . I am also using OpenVPN, but would like to improve the way I am using VPN. Basically, I want my homelab services (home automation, bitwarden to name the most important) to be accessible "on demand" without having to connect manually. Or in other words, as soon as I am connecting to something that ends with ".home" which is my local domain, this specific traffic should go through an IPSec tunnel. I think there is a name for this, but I am not sure. As far as I know this is not possible with openVPN, but I'd be happy to learn better.

The problem for me with most of the tutorials is that they are describing older versions of OPNsense, which have sometimes different options to set. And because I am not getting further, I have no idea if the "on demand" needs a specific setup or would be there by default.

I am be very thankful for any hints, general explaination or suggestions for tutorials you were successful with.

thanks in advance!

12

19.7 Legacy Series / Re: OpenVPN connection fails (TLS handshake failed)

« on: January 19, 2020, 01:25:39 pm »

And there we go, it works again with UDP.

Now I also have a theory why this happened: I am running OPNsense in a proxmox KVM. Maybe the same time the issues started (guessing) I updated proxmox from v5 to v6, which caused the WAN interface (which is a physically attached NIC) to be removed from the OPNsense. Maybe that's why the interface was set to LAN, because the WAN adapter wasn't there.
But, this does not explain the initial issue about the failed TLS handshake - or does it?

At least I can use VPN again. Thanks for pointing me into the right direction.

13

19.7 Legacy Series / Re: OpenVPN connection fails (TLS handshake failed)

« on: January 19, 2020, 01:18:09 pm »

so, I don't know why but the openVPN server was configured to listen on the LAN interface. By also pinning the connection to TCP4 instead of TCP i was able to connect. I will now revert to UDP and see what's happening.

14

19.7 Legacy Series / Re: OpenVPN connection fails (TLS handshake failed)

« on: January 19, 2020, 01:11:59 pm »

thanks, I tried as suggested. I have changed the openVPN Server config to TCP, exported the connection again (made sure it points to the external dyndns address) and used a local vpn client to my VPN provider to make sure I am connecting from outside. Also, I checked the firewall to accept TCP for openVPN (it set to).
I verified the DNS entry at spdns is up to date - which it is - but I am not getting a response for ping.

Here is what the openVPN log shows after restarting the service:

Jan 19 13:01:07   openvpn[63208]: Initialization Sequence Completed
Jan 19 13:01:07   openvpn[63208]: TCPv4_SERVER link remote: [AF_UNSPEC]
Jan 19 13:01:07   openvpn[63208]: TCPv4_SERVER link local (bound): [AF_INET]192.168.11.1:1194
Jan 19 13:01:07   openvpn[63208]: Listening for incoming TCP connection on [AF_INET]192.168.11.1:1194
Jan 19 13:01:07   openvpn[63208]: Could not determine IPv4/IPv6 protocol. Using AF_INET
Jan 19 13:01:07   openvpn[63208]: /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup ovpns1 1500 1623 10.0.8.1 10.0.8.2 init
Jan 19 13:01:07   openvpn[63208]: /sbin/ifconfig ovpns1 10.0.8.1 10.0.8.2 mtu 1500 netmask 255.255.255.255 up
Jan 19 13:01:07   openvpn[63208]: TUN/TAP device /dev/tun1 opened
Jan 19 13:01:07   openvpn[63208]: TUN/TAP device ovpns1 exists previously, keep at program end
Jan 19 13:01:07   openvpn[63208]: Initializing OpenSSL support for engine 'rdrand'
Jan 19 13:01:07   openvpn[63208]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jan 19 13:01:07   openvpn[59636]: library versions: OpenSSL 1.0.2u 20 Dec 2019, LZO 2.10
Jan 19 13:01:07   openvpn[59636]: OpenVPN 2.4.8 amd64-portbld-freebsd11.2 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Jan 7 2020
Jan 19 13:01:07   openvpn[22015]: SIGTERM[hard,] received, process exiting
Jan 19 13:01:05   openvpn[22015]: /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown ovpns1 1500 1623 10.0.8.1 10.0.8.2 init

My connection attempt does not show up.

Thank you for your help!

15

19.7 Legacy Series / OpenVPN connection fails (TLS handshake failed)

« on: January 19, 2020, 12:31:05 pm »

Hi,

I have been using openVPN for a long time without any issues. However, since about two weeks, I cannot connect to openVPN anymore (using iOS 13 devices or the viscosity client on the Mac).

Today I took a look and am seeing the following error:

Jan 19 11:49:44   openvpn[18369]: 192.168.11.29:58298 TLS Error: TLS handshake failed
Jan 19 11:49:44   openvpn[18369]: 192.168.11.29:58298 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Jan 19 11:49:44   openvpn[18369]: 192.168.11.29:51732 TLS Error: incoming packet authentication failed from [AF_INET6]::ffff:192.168.11.29:51732
Jan 19 11:49:44   openvpn[18369]: 192.168.11.29:51732 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1 / time = (1579430974) Sun Jan 19 11:49:34 2020 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings

(I am aware that this is from an internal IP, it's the same from outside)

I did't make any changes to the system beside the regular updates.

Do you have an idea why this could happen? Would there be a reason to be paranoid about this? I will go ahead and reinstall OPNsense, but want to ensure I am not just cureing some symptoms away.

Please let me know if I shall provide further log files.

Thanks in advance!
Andre