Messages

Thanks for the help.
The documentation on the topic is a bit cryptic (at least for me)!

Bonjour,
Ca me parait bon. J'ai fait à peu près la même chose avec une livebox v4 (pas pro) il y a 4 mois. Le seul inconvénient c'est que ça fait du NAT deux fois. Une fois sur opnsense et une fois sur la livebox.
Pour être tranquille, restreindre la plage dhcp de la livebox à 3 IP : Livebox, opnsense et +1 @IP pour administrer la livebox en se connectant directement dessus (en cas de pépin sur opnsense) et désactiver le wifi s'il y a.

Ce qu'il faudrait tester (à mon avis) c'est avec un distro debian sur la machine "firewall". Là, tu continues avec opnsense et freebsd. J'ai appris à mes dépens que la gestion du réseau en freebsd et linux, c'est vraiment pas pareil. Ca vaudrait le coup de voir ce qu'en environnement purement linux ce que donne ta config. Et effectivement, j'ai aussi vu que le driver intel utilisé pouvait faire une sacré différence!!

Ca me semble assez logique d'avoir ce genre  de performances avec un pare-feu purement logiciel comme opnsense.
Pour tester si le hard est en cause ou pas:
1. Utiliser la machine opnsense avec une distro debian de base en routeur et voir quelles perfs tu obtiens. Pas de nat, rien seulement routage. Si le hard est hors de cause tu devrais ne pas être trop loin des 10G entre A et B.
2. Toujours avec la distro debian, mettre en place du NAT avec iptables et remesurer. Et là, normalement, ça tombe en 3 ou 4Gb entre A et B

Et dans tous les cas, regarder la charge CPU et mémoire sur le "firewall".

Non, pas vraiment. Vu que je ne considère pas ça comme un problème  ;)
Ca marche. C'est le principal...

N'ayant qu'une adresse IP, je fais du port forward. Mais tel que je comprends opnsense, c'est ce que je ferai aussi du 1:1. Tu as testé? Ca donne quoi?

I am almost running the bare minimum (only dhcpv4 and telegraf) on a physical box, now using Intel ethernet.
So far so good. 3 days up and running. I will wait for another 10 days (I never had 2 weeks without freeze) and then add one by one additional services (suricata...) and will report back.

Bonjour,
Je viens d'avoir la livebox 4 avec la fibre qui (nouveauté?) dispose d'une interface fibre intégrée et plus d'ONT. La méthode qui consistait donc à remplacer la LB par Opnsense ne marche plus. Sauf à avoir une interface fibre sur l'OPNSENSE que je n'ai pas...
Je dois donc garder la LB4 qui n'est pas des plus configurable (pas de mode bridge, pas d'autre sous-réseau...).
Autre détail, je suis en CPL et la box TV ne capte pas le WIFI de la LB4 qui est trop loin. Ca partait donc mal!!!
Après pas mal de tests, j'ai enfin une configuration qui marche. Je partage donc.
LB4 (192.168.1.1)  -  WAN (192.168.1.254) - OPNSENSE - LAN (192.168.0.254) - Switch - CPL - Tout mon réseau en WIFI et CPL
Jusque là, du classique.
Mais pour que la TV marche en filaire sur le même CPL que mon installation globale, j'ai connecté un second port de la LB4 sur le switch du côté LAN d'OPNSENSE. La LB4 fait donc serveur DHCP pour OPNSENSE côté WAN (j'ai mis un bail statique et l'OPNSENSE en DMZ). Et elle fait aussi DHCP sur le LAN interne puisqu'elle est sur le switch ou j'ai le CPL. C'est ce qu'il faut pour que la TV marche! Par contre, il NE FAUT PAS que:
- la LB4 donne d'autres baux DHCP - on réduit la plage à deux IP (une pour OPNSENSE et une pour le boitier TV). Et après plus de réponse DHCP de la LB4. Donc, les machines côté LAN récupèrent une adresse côté LAN OPNSENSE.
- OPNSENSE réponde au boîtier TV à la requête DHCP. Dans la config DHCP on blacklist l'adresse MAC du boîtier TV que l'on peut récupérer sur l'écran de configuration du dit boitier.
Comme ça, j'ai le "meilleur" des deux mondes.
OPNSENSE pour filtrer mon LAN. Je garde la LB4 pour la TV et le téléphone.
Ce n'est pas très orthodoxe. Je ne pense pas que ce soit un trop gros compromise sur la sécurité... Pas idéal, mais, bon, avec la LB4 on se contente de ce que l'on a!!

Hello,
I have tried a different solution! I have replaced the box with a spare one I had which is (luckily) using Intel Ethernet interfaces. I have the exact same config.  I will see how it goes.
GV

Thank you for your answers.
The "small" issue is that the opnsense unit has only HDMI output and my TV is 10 meters away!! So moving the 43" screen is going to be interesting. I should buy a basic HDMI monitor :)

How about connecting a monitor once it freezes to see what's going on? Perhaps it's the NIC drivers that are "locked up", Realtek is known for that.

Good idea. Not going to be easy (not a lot of space where the firewall is installed)  but worth a try!
If Realtek is know for that is there a fix?

The only fix I know of is to avoid it like the plague.
Try to find the exact chipset and google for known problems in freebsd, that might give you a clue.

Looking at past posts it seems that the newest driver version (1.95) is or was OKish. Do you know if there is a way to restart the ethernet interface without rebooting? I can watchdog the interfaces and if something is wrong do a "service netif restart" or similar. That would be faster than rebooting... My freebsd skills are close to nill.

Memory test takes 2 days at least, 48 hours. Bit flips don't happen in that small time span

I ran the mem test a full week. No issue. So I am rather confident the memory is ok.

How about connecting a monitor once it freezes to see what's going on? Perhaps it's the NIC drivers that are "locked up", Realtek is known for that.

Good idea. Not going to be easy (not a lot of space where the firewall is installed)  but worth a try!
If Realtek is know for that is there a fix?

Already done. Memory just fine. Ran the stress test for a week without any issue!

Nothing significant in dmesg.
Regarding hardware issues, running for days a heavy stress tests and having fsck the disk, I (almost) rule out this.
Changing Freebsd kernel is out of my knowledge too!!