Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - pylox

#1
German - Deutsch / Re: Geoblock sinnvoll?
June 21, 2019, 01:24:13 PM
Hi WireHire,

das ist von Deinem bzw. dem Einsatzzweck der OPNsense abhängig...
Wer soll denn über Deinen HAProxy zugreifen dürfen ? Nur jmd. aus Deutschland ?
Wenn ja, dann macht vllt. Sinn, alle IP-Ranges außer Deutschland auf dem WAN zu blocken. Wenn Du natürlich eher internationale "Kundschaft" hast, also hinter dem HAproxy z.b. eine WebSite oder einen Mail-Server betreibst, dann ist Geo-Blocking eher kontraproduktiv. Hier wären dann eher auf den Einsatzzweck abgestimmte IP-Blacklists sinnvoll.

Und nicht vergessen, ein Geo-Block hilft nicht, wenn die "Bösewichter" über einen in Deutschland gehosteten VPN-Server oder Tor hereinschauen.

Für meine private Firewall zu Hause habe ich einen Geo-Block  (blocke alle IP-Ranges außer Deutschland) auf dem WAN angelegt. Danach ist es um einiges "ruhiger" geworden.

Grüße pylox 
#2
Hi lattera,

i've observed this topic too ...because is relevant for network performance (especially on weak embedded  devices, e.g. APU). Is there currently impact on this or is it only a  "display" - Problem ?

regards pylox

#3
German - Deutsch / Re: Wlan Accesspoint
March 15, 2019, 03:35:52 PM
o.k.,

dann versuch mal auf der Kommandozeile ein WLAN-Device zu erzeugen:
(In der OPNsense-GUI habe ich es mangels Notwendigkeit noch
nicht ausprobiert)


#ifconfig wlan0 create wlandev iwm0


Ich glaube aber nicht, das Du das Dingens in den AP-Mode bekommst...

pylox
#4
German - Deutsch / Re: Wlan Accesspoint
March 15, 2019, 03:23:03 PM
Hi,

was hast Du genau in der loader.conf.local eingetragen ?
So in etwa das ?

if_iwm_load="YES"
iwm3160fw_load="YES"
...


pylox
#5
German - Deutsch / Re: Wlan Accesspoint
March 15, 2019, 03:05:39 PM
Hi lfirewall1243,

hast Du mal recherchiert, ob das Gerät von FreeBSD offiziell supported wird ? Bekanntermassen ist die Anzahl derer, die den AP mode unterstützen, relativ gering.
Daher (und vor allem, um die Nerven zu schonen) solltest Du Dir einen externen Access-Point zulegen. Die Auswahl ist da deutlich größer...

Habe gerade mitbekommen, das Du erneut geposted hast - Wenn Du es tatsächlich versuchen willst, die loader.conf.local befindet sich normalerweise hier: /boot 
Wenn sie nicht da ist, kann man sie auch mittels eines editor z.b. 'ee' anlegen.

Grüße
pylox
#6
German - Deutsch / Re: Hardware Frage
March 11, 2019, 01:06:12 PM
Hi snorri,

das Board Supermicro X10SDV-4C-TLN4F (XEON-D) läuft definitiv mit FreeBSD. Möglicherweise ist ein BIOS-Update vorher angesagt. Die 10Gb-NICs werden von dem 'ix' -Treiber unterstützt. Ich habe bereits mehrere Boards dieser Art verbaut - allerdings mit 8 cpu cores, da hier die 10GB NICs erst richtig ihre "Performance entfalten" können. Wenn es im Übrigen um FreeBSD Netzwerk I/O-Performance geht, ist Intels Hyper-Threading nicht hilfreich (eher im Gegenteil).
10 gleichzeitige VPN-Verbindungen sollten möglich sein (habe keine Ehrfahrungswerte diesbezüglich mit dem Board).

Grüße pylox
#7
Hi Friedemann,

i do not have a "example" configuration - because either is different... Have a look on the supermicro website. If your requirement is 10Gb with IPS you will need strong hardware.

CPU: minimum 8 cores (without hyperthreading, performance wise), modern 10Gb nics (drivers) will have >= 8 queues and normally each queue will bound to one CPU core. Suggestion: E5-26xxV4
NIC: 10Gb Mellanox, Chelsio or Intel

Be careful with your choice you have to check FreeBSD support/compatibility

Regards pylox
#8
Hi longfsilver,

maybe there is some extra tuning for FreeBSD neccessary. You will find some very useful informations here:

https://people.freebsd.org/~olivier/talks/2018_AsiaBSDCon_Tuning_FreeBSD_for_routing_and_firewalling-Paper.pdf

btw.: How many sockets/cpu cores and how many queues per (10gb-) nic do you have ?

regards pylox
#9
Hi,

normally (i use the X10SDV-TLN4F board) this should work with FreeBSD ootb. Can you tell us pls. the correct motherboard name and the used OPNSense version ?

btw.: X10SDV-TLN4F uses intel X550 network chips, the FreeBSD driver for this is 'ix'.

kind regards
pylox
#10
18.7 Legacy Series / Re: AVAGO Megaraid Support
January 21, 2019, 04:21:18 PM
Hi sharlvz,

As already feared FreeBSD didn't recognize the MegaRAID properly... I did some research on it (i think you did it already) and found some less topics about trouble/issues with the SAS 3xxx adapter and mpr/mps driver:

1.) https://forums.freebsd.org/threads/broadcom-9480-sas3516-and-freebsd-11-2-release.66687/
2.) https://www.reddit.com/r/freenas/comments/9wkhy5/what_hba_to_use_when_you_cant_use_lsi/

Maybe 1.) could be helpful...with mrsas driver ?!  - but will probably lead to a new kernel build with the broadcomm drivers. This is an FreeBSD issue - sorry to fix and test it will take too much time for me  :(

regards pylox
#11
18.7 Legacy Series / Re: AVAGO Megaraid Support
January 18, 2019, 04:03:39 PM
Quote from: sharlvz on January 18, 2019, 02:36:07 PM
Update

have confirmed that the adapter Lenovo lists as a ThinkSystem RAID 930-8i, is a Broadcom (LSI) SAS 3508 (8 Port SAS/PCIe) RAID controller. This RAID controller is supported by the mpr driver which i am enabling using the same method above, except using the mpr driver.

"press esc at the OPNsense welcome screen, issue command "set mpr_load=yes" at the loader prompt."

however on boot i have watched drivers being loaded by the kernel and mpr.ko is not one of them.

Can anyone suggest how i can get this driver to load?

Hi sharlvz,

yes - the original (LSI/Avago) SAS 3508 is supported by FreeBSD (mpr). Probably (but i'am not sure) the Lenovo ThinkSystem RAID 930-8i will do not because of different Firmware/Bios . Can you provide/post a dmesg output ?

If i do on my opnsense box:

kldload mpr

i will get

kldload: can't load mpr.ko: module already loaded or in kernel

So i would assume the module was already loaded...

regards pylox
#12
Quote from: ozlecz on November 25, 2018, 10:16:13 AM
iam intalling the latest downloadable version via serial console.
tried both the dvd and the serial image
=it just show a / sign after th opnsense logo..pls see attached file

any thoughts will be appreciated

Hi ozlecz,

there goes something wrong while loading os kernel. What kind of hardware you're using ?

regards pylox
#13
German - Deutsch / Re: Wlan/Access Point mit Opnsense
November 29, 2018, 02:42:13 PM
Hi Primus77,

eine "ultimative Kurzanleitung" dazu gibt es nicht... Das würde voraussetzen, das das schon jmd. mit der konkret von Dir verwendeten Hardware implementiert und dokumentiert hat. Wenn Du möchtest, das Dir jemand in diesem Forum hilft - solltest Du genauer erklären, wie das Zielbild (Netzwerk) aussehen soll. Und was Du bis jetzt gemacht hast und vor welchem Problem genau Du stehst.

Grüße pylox
#14
Hi,

der Menüpunkt sollte schon der Richtige gewesen sein...
Ich hab da einige "dumme" Fragen:

Ist der Unbound gestartet - und er läuft auch, oder steht etwas verdächtiges in den Logfiles ? Ich gehe jetzt mal davon aus, das die DNS-Auflösung generell in Deinem Netz funktioniert (also auch nicht gleichzeitig DNSMASQ aktiviert ist)...
Hast Du die Namensauflösung in Deinen Server(n) richtig eingestellt, so das die DNS-Anfragen auch an die richtige Addresse geschickt werden ? Oder wird der Server über DHCP versorgt ?

Gruß pylox
#15
Quote from: fabian on November 23, 2018, 06:37:45 PM
Gar nicht - der ist dazu vollkommen ungeeignet.

Hallo Fabian/Emma2,

- o.k. - ich habe nochmal nachgelesen. Im "TCP-Mode" bekommt der HAproxy natürlich keine Informationen über den Ziel-(DNS/Domain) Namen, z.b. mail.example.org oder mail.example1.org. Demzufolge kann er nicht auswerten an welche der beiden "PostFixe" der Mailerserver er eigentlich forwarden soll. War ein Denkfehler von mir - sorry...

Grüsse pylox