Messages

Hallo,

Ok. Mal etwas genauer hingeschaut. ;-) Kann das Problem darin liegen, das im Zertifikatsnamen keine Bindestriche erlaubt sind, meine Domain aber welche besitzt?

Gruß

Christian

Hallo Franco,

Hm hilft aber leider nur begrenzt weiter. Irgendwie fehlt mir das letzte stück. Wenn ich ein Zertifikat erzeugen lasse, müsste das nicht unter System.Sicherheit erscheinen? Sonst kann ich es ja nirgenwo nutzen...richtig?

Gruß

Christian

PS: Hintergrund ist das ich das Zertifikat für ein Captives Portal benötige.

Hallo,

Gibt es irgendwo eine kleine Anleitung zu dem Plugin Let's Encrypt in der 17.1? Ich habe da einen missing Link im Hirn. Wie kommt das angeforderte Zertifikat in die Zertifikatliste?
Danke!

Christian

Hallo,

Es scheint einen weiteren Fehler im zusammenhang mit IPV6 zu geben. Scheinbar wird die MTU Size des Tunnels nicht richtig gesetzt, sodas die Pakete nicht mehr fragmentiert sonder verworfen werden. D.h. Pakete grösser 1362 bit werden verworfen. Sobald ich den selben Tunnel auf IPV4 umstelle funktioniert es. Ich vermutte mal, das der Overhead von IPV6 nicht richtig  berücksichtigt wird.

Gruß

Christian

OPNsense 16.7.b_394

Hallo zusammen,

Auch hier habe ich irgenwie noch ein Logikproblem. Es fängt damit an, das IPSEC zwar als eigenes Interface  unter Firewall-Regeln dargestellt wird, aber wenn man ins Routing schaut, für das IPSEC Interface keine Einträge angelegt sind. Dementsprechend funktioniert es auch nicht, eine Regel am INTERN interface anzulegen die  folgendermassen aufgebaut ist:
INTERN:
IPv4 *   INTERN   *   IPSEC   *   *      

Das interessiert in dem fall scheinbar gar nicht, da es hier kein Routing über das IPSEC "Interface" gibt, sondern der Tunnel scheinbar an das externe Interface gebunden ist. Ist das so?

Gruß

Christian

OPNsense 16.7.b_394

Hallo Zusammen,

Mir ist aufgefallen, wenn man einen IPV6 Tunnel Kontruiert kann man da ja dann IPV4 Pakete transportieren lassen. Also Phase1 IPV6, Phase 2 IPV4. Das funktioniert dann auch Problemlos. Möchte mann aber nun etwas an Phase1 ändern ist das nur möglich wenn man die Phase2 einträge löscht. Ansonsten kommt folgende Fehlermeldung:

Die folgenden Eingabefehler wurden entdeckt:
Es gibt eine Phase 2, die IPv4 verwendet. Sie können IPv6 nicht verwenden.

Gruß

Christian

OPNsense 16.7.b_394

Hallo Zusammen,

Ich habe da mal eine Verständnissfrage.  Wenn ich bei einen IPSEC Tunnel , bei Anschlussart auswähle "Sofort starten", heisst das, das der Tunnel dauerhaft offen bleibt?  Hintergrund ist, das ich einen Tunnel so konfiguriert habe und dieser heute Nacht abgebaut wurde. Er lies sich dann auch nur "manuell" über die Weboberfläche aufbauen. Ist das nun ein Denkfehler, oder ein Bug, oder , oder .... ;-)
Ach ja - OPNsense 16.7.b_394.

Gruß

Christian

Hallo Zusammen,

Da ich OPNSense unter KVM (Proxmox) betreibe, möchte ich in diesen Treat optimierungen beschreiben und zur Diskussion aufrufen.
Dem Zugrunde liegt derzeit OPNsense Develop 16.7 und Proxmox 4.2. Hardware ist ein Atom C2550 mit AES-NI

Der erste Versuch war mit Proxmox E1000 Treibern und aktivierten AES-NI Support unter OPNSense.
Um erhrlich zu sein. Danach wollte ich schon wieder die Software wechseln. Ein Datendurchsatz von 24-30MB und einer CPU Last von 60-70%.

Daraufhin habe ich mich aber noch einmal rangesetzt und folgede Optimierungen durchgeführt.

Proxmox VirtIO Netzwertreiber und folgendes  unter OPNSense (Datei /boot/loader.conf):

hint.apic.0.clock=0
kern.hz=100

führten dazu, das er Durchsatz auf 70MB hochging und die CPU-Last auf 40-45% gesungen ist.
Befriedigend ist das immer noch nicht, aber deutlich besser.  Leider habe ich mir damit auch ein neues Problem eingefangen. IPS funktioniert nicht mehr. Obwohl ich sämtliche Hardware - Offload's Disabeld habe. Sobald ich IPS aktiviere entsteht der selbe Effekt, wie wenn man  IPS ohne Disable hardware checksum offload versucht. Nun gut man kann nicht alles haben ;-)

Hallo Zusammen,

Die Frage hat sich geklärt. Es war keine Frage sondern eigene Dummheit.

Danke!

Hallo Zusammen,

Ich habe das Problem, das es ziemlich egal zu sein scheint, ob ich die Hardware AES unterstützung aktiviert ist oder nicht. Es ändert sich werde der Datendurchsatz, noch die CPU-Auslastung. Das ganze läuft derzeit auf der 16.1.13.
So, was habe ich gemacht. Als erstes mal natürlich auf der Weboberfläche unter System-Einstellung-Verschiedenes-Hardwarekryptografiebeschleunigung die AES CPU Beschleunigung aktiviert.

Wenn ich mir nun an der Shell ein kldstat absetze wird mir der aesni.ko  als geladen angezeigt.
Ein dmesg | grep aes zeigt mit:

aesni0: <AES-CBC,AES-XTS> on motherboard

ein /usr/bin/openssl engine -t -c zeigt:

(rsax) RSAX engine support
  [RSA]
           [available]
(rdrand)  Intele RDRAND engine
   [RAND]
              [available]
(dynamic) Dynamic engine loading support   
            [unavailable]

Hier stellt sich mir schon die erste Frage. Müsste da nicht auch ein Eintrag in etwa so auftauchen:

(cryptodev) BSD cryptodev engine
[RSA, DSA, DH, AES-128-CBC, AES-192-CBC, AES-256-CBC]
     [ available ]

gut ich wollte dann noch ein cryptotest oder cryptostatus ausführen. Die scheint es aber nicht mehr zu geben.

Was kann ich noch testen um den Fehler einzugrenzen?

Gruß

Christian