Messages

1

German - Deutsch / Re: Geoblock sinnvoll?

« on: June 21, 2019, 01:24:13 pm »

Hi WireHire,

das ist von Deinem bzw. dem Einsatzzweck der OPNsense abhängig...
Wer soll denn über Deinen HAProxy zugreifen dürfen ? Nur jmd. aus Deutschland ?
Wenn ja, dann macht vllt. Sinn, alle IP-Ranges außer Deutschland auf dem WAN zu blocken. Wenn Du natürlich eher internationale "Kundschaft" hast, also hinter dem HAproxy z.b. eine WebSite oder einen Mail-Server betreibst, dann ist Geo-Blocking eher kontraproduktiv. Hier wären dann eher auf den Einsatzzweck abgestimmte IP-Blacklists sinnvoll.

Und nicht vergessen, ein Geo-Block hilft nicht, wenn die "Bösewichter" über einen in Deutschland gehosteten VPN-Server oder Tor hereinschauen.

Für meine private Firewall zu Hause habe ich einen Geo-Block  (blocke alle IP-Ranges außer Deutschland) auf dem WAN angelegt. Danach ist es um einiges "ruhiger" geworden.

Grüße pylox 

2

19.1 Legacy Series / Re: kern.random.harvest.mask, can't set to 351, stays as 65887

« on: March 18, 2019, 09:00:42 am »

Hi lattera,

i've observed this topic too ...because is relevant for network performance (especially on weak embedded  devices, e.g. APU). Is there currently impact on this or is it only a  "display" - Problem ?

regards pylox

3

German - Deutsch / Re: Wlan Accesspoint

« on: March 15, 2019, 03:35:52 pm »

o.k.,

dann versuch mal auf der Kommandozeile ein WLAN-Device zu erzeugen:
(In der OPNsense-GUI habe ich es mangels Notwendigkeit noch
nicht ausprobiert)

Code: [Select]

#ifconfig wlan0 create wlandev iwm0

Ich glaube aber nicht, das Du das Dingens in den AP-Mode bekommst...

pylox

4

German - Deutsch / Re: Wlan Accesspoint

« on: March 15, 2019, 03:23:03 pm »

Hi,

was hast Du genau in der loader.conf.local eingetragen ?
So in etwa das ?

Code: [Select]

if_iwm_load="YES"
iwm3160fw_load="YES"
...

pylox

5

German - Deutsch / Re: Wlan Accesspoint

« on: March 15, 2019, 03:05:39 pm »

Hi lfirewall1243,

hast Du mal recherchiert, ob das Gerät von FreeBSD offiziell supported wird ? Bekanntermassen ist die Anzahl derer, die den AP mode unterstützen, relativ gering.
Daher (und vor allem, um die Nerven zu schonen) solltest Du Dir einen externen Access-Point zulegen. Die Auswahl ist da deutlich größer...

Habe gerade mitbekommen, das Du erneut geposted hast - Wenn Du es tatsächlich versuchen willst, die loader.conf.local befindet sich normalerweise hier: /boot 
Wenn sie nicht da ist, kann man sie auch mittels eines editor z.b. 'ee' anlegen.

Grüße
pylox

6

German - Deutsch / Re: Hardware Frage

« on: March 11, 2019, 01:06:12 pm »

Hi snorri,

das Board Supermicro X10SDV-4C-TLN4F (XEON-D) läuft definitiv mit FreeBSD. Möglicherweise ist ein BIOS-Update vorher angesagt. Die 10Gb-NICs werden von dem 'ix' -Treiber unterstützt. Ich habe bereits mehrere Boards dieser Art verbaut - allerdings mit 8 cpu cores, da hier die 10GB NICs erst richtig ihre "Performance entfalten" können. Wenn es im Übrigen um FreeBSD Netzwerk I/O-Performance geht, ist Intels Hyper-Threading nicht hilfreich (eher im Gegenteil).
10 gleichzeitige VPN-Verbindungen sollten möglich sein (habe keine Ehrfahrungswerte diesbezüglich mit dem Board).

Grüße pylox

7

Hardware and Performance / Re: Which Processor and how much RAM for 10 gbps Down/Up with 1500 Clients and IPS

« on: March 05, 2019, 07:25:52 pm »

Hi Friedemann,

i do not have a "example" configuration - because either is different... Have a look on the supermicro website. If your requirement is 10Gb with IPS you will need strong hardware.

CPU: minimum 8 cores (without hyperthreading, performance wise), modern 10Gb nics (drivers) will have >= 8 queues and normally each queue will bound to one CPU core. Suggestion: E5-26xxV4
NIC: 10Gb Mellanox, Chelsio or Intel

Be careful with your choice you have to check FreeBSD support/compatibility

Regards pylox

8

Hardware and Performance / Re: Firewall config can't support 10Gb/s bandwidth ?

« on: March 04, 2019, 07:21:55 pm »

Hi longfsilver,

maybe there is some extra tuning for FreeBSD neccessary. You will find some very useful informations here:

https://people.freebsd.org/~olivier/talks/2018_AsiaBSDCon_Tuning_FreeBSD_for_routing_and_firewalling-Paper.pdf

btw.: How many sockets/cpu cores and how many queues per (10gb-) nic do you have ?

regards pylox

9

19.1 Legacy Series / Re: Network: Intel 10Gbe interfaces of Xeon D-1500 do not show

« on: February 28, 2019, 02:36:11 pm »

Hi,

normally (i use the X10SDV-TLN4F board) this should work with FreeBSD ootb. Can you tell us pls. the correct motherboard name and the used OPNSense version ?

btw.: X10SDV-TLN4F uses intel X550 network chips, the FreeBSD driver for this is 'ix'.

kind regards
pylox

10

18.7 Legacy Series / Re: AVAGO Megaraid Support

« on: January 21, 2019, 04:21:18 pm »

Hi sharlvz,

As already feared FreeBSD didn't recognize the MegaRAID properly... I did some research on it (i think you did it already) and found some less topics about trouble/issues with the SAS 3xxx adapter and mpr/mps driver:

1.) https://forums.freebsd.org/threads/broadcom-9480-sas3516-and-freebsd-11-2-release.66687/
2.) https://www.reddit.com/r/freenas/comments/9wkhy5/what_hba_to_use_when_you_cant_use_lsi/

Maybe 1.) could be helpful...with mrsas driver ?!  - but will probably lead to a new kernel build with the broadcomm drivers. This is an FreeBSD issue - sorry to fix and test it will take too much time for me 

regards pylox

11

18.7 Legacy Series / Re: AVAGO Megaraid Support

« on: January 18, 2019, 04:03:39 pm »

Update

have confirmed that the adapter Lenovo lists as a ThinkSystem RAID 930-8i, is a Broadcom (LSI) SAS 3508 (8 Port SAS/PCIe) RAID controller. This RAID controller is supported by the mpr driver which i am enabling using the same method above, except using the mpr driver.

"press esc at the OPNsense welcome screen, issue command "set mpr_load=yes" at the loader prompt."

however on boot i have watched drivers being loaded by the kernel and mpr.ko is not one of them.

Can anyone suggest how i can get this driver to load?

Hi sharlvz,

yes - the original (LSI/Avago) SAS 3508 is supported by FreeBSD (mpr). Probably (but i'am not sure) the Lenovo ThinkSystem RAID 930-8i will do not because of different Firmware/Bios . Can you provide/post a dmesg output ?

If i do on my opnsense box:

Code: [Select]

kldload mpr
i will get

Code: [Select]

kldload: can't load mpr.ko: module already loaded or in kernel
So i would assume the module was already loaded...

regards pylox

12

Hardware and Performance / Re: installation via serial port

« on: December 04, 2018, 12:52:00 pm »

iam intalling the latest downloadable version via serial console.
tried both the dvd and the serial image
=it just show a / sign after th opnsense logo..pls see attached file

any thoughts will be appreciated

Hi ozlecz,

there goes something wrong while loading os kernel. What kind of hardware you're using ?

regards pylox

13

German - Deutsch / Re: Wlan/Access Point mit Opnsense

« on: November 29, 2018, 02:42:13 pm »

Hi Primus77,

eine "ultimative Kurzanleitung" dazu gibt es nicht... Das würde voraussetzen, das das schon jmd. mit der konkret von Dir verwendeten Hardware implementiert und dokumentiert hat. Wenn Du möchtest, das Dir jemand in diesem Forum hilft - solltest Du genauer erklären, wie das Zielbild (Netzwerk) aussehen soll. Und was Du bis jetzt gemacht hast und vor welchem Problem genau Du stehst.

Grüße pylox

14

German - Deutsch / Re: [18.7.6] DNS interne Namenauflösung

« on: November 27, 2018, 09:18:44 pm »

Hi,

der Menüpunkt sollte schon der Richtige gewesen sein...
Ich hab da einige "dumme" Fragen:

Ist der Unbound gestartet - und er läuft auch, oder steht etwas verdächtiges in den Logfiles ? Ich gehe jetzt mal davon aus, das die DNS-Auflösung generell in Deinem Netz funktioniert (also auch nicht gleichzeitig DNSMASQ aktiviert ist)...
Hast Du die Namensauflösung in Deinen Server(n) richtig eingestellt, so das die DNS-Anfragen auch an die richtige Addresse geschickt werden ? Oder wird der Server über DHCP versorgt ?

Gruß pylox

15

German - Deutsch / Re: Active Directory, Files und Mails: Microsoft vermeiden

« on: November 23, 2018, 08:45:16 pm »

Gar nicht - der ist dazu vollkommen ungeeignet.

Hallo Fabian/Emma2,

- o.k. - ich habe nochmal nachgelesen. Im "TCP-Mode" bekommt der HAproxy natürlich keine Informationen über den Ziel-(DNS/Domain) Namen, z.b. mail.example.org oder mail.example1.org. Demzufolge kann er nicht auswerten an welche der beiden "PostFixe" der Mailerserver er eigentlich forwarden soll. War ein Denkfehler von mir - sorry...

Grüsse pylox