Messages

So, das Nullmodemkabel wurde beim Nachbarn abgegeben, d.h. ich kann jetzt per Console loslegen.

Leider scheitere ich aber schon allein daran, die SDCard neu zu formatieren, egal ob ich den automatischen oder manuellen Installer bemühe, es kommt jedes mal die Meldung:

Code Select Expand

Execution of the command /sbin/fdisk -I da0 FAILED with a return code of 1.

Beim Abbruch kommt dann auch der Hinweis:

Code Select Expand

The disk da0: <JetFlash Transcend 16GB 8.07> Removable Direct Access SCSI-2 device
was not correctly formatted, and may
now be in an inconsistent state. We
recommend trying to format it again
before attempting to install OPNsense
on it.

Habe leider keine Idee, wie ich das machen soll?

Denn auch wenn ich das Live-System statt des Installers starte, und dort in die Shell gehe, bekomme ich beim Versuch, die SDCard neu zu formatieren, nur ein "Device busy" ...

Code Select Expand

root@OPNsense:~ # gpart destroy -F /dev/da0
gpart: Device busy

Was also soll ich machen?

Danke für Hilfe!

PS: Im Log steht leider auch nur folgendes:

Code Select Expand

BSD Installer started                                                    ▒
  │ DFUI connection on tcp:9999 successfully established                     ▒
  │ ,- opened pty to '/sbin/sysctl -n hw.physmem'                            ▒
  │ < 1975808000                                                             ▒
  │ `- closed pty to '/sbin/sysctl -n hw.physmem'                            ▒
  │ `/sbin/sysctl -n hw.physmem` returned: 1975808000                        ▒
  │ ,- opened pty to '/sbin/sysctl -n kern.disks'                            ▒
  │ < da0 mmcsd0                                                             ▒
  │ `- closed pty to '/sbin/sysctl -n kern.disks'                            ▒
  │ `/sbin/sysctl -n kern.disks` returned: da0 mmcsd0                        ▒
  │ Testing da0                                                              ▒
  │ Invoking survey for da0                                                  ▒
  │ Surveying Disk: da0 ...                                                  ▒
  │ ,- opened pty to '/sbin/fdisk da0'                                       ▒
  │ < ******* Working on device /dev/da0 *******                             ▒
  │ < parameters extracted from in-core disklabel are:                       ▒
  │ < cylinders=1948 heads=255 sectors/track=63 (16065 blks/cyl)             ▒
  │ <                                                                        ▒
  │ < Figures below won't work with BIOS for partitions not in cyl 1         ▒
  │ < parameters to be used for BIOS calculations are:                       ▒
  │ < cylinders=1948 heads=255 sectors/track=63 (16065 blks/cyl)

Hallo allerseits,

mein Deciso A10 Quad Core SSD Desktop (Gen1) ist ganz ok, aber mit aktivierten suricata (Intrusion Detection) kommt er natürlich an seine Grenzen - von 400 MBit Down bleiben dann nur noch 50-70 MBit ...

Deshalb wollte ich mir auf lange Sicht mal eine bessere Maschine zusammenstellen, Thomas Krenn wäre da meine erste Wahl, z.B. dies hier:

1HE Intel Single-CPU RI1101H (optimiert für Open Source Firewall OPNsense)
Intel Xeon E3-1230 v6 4-Core 3,5GHz 8MB 8GT/s
8 GB (2x 4GB) ECC DDR4 2400 RAM
240 GB SATA III Intel SSD 3D-NAND TLC 2,5"
200 Watt energiesparendes Netzteil (80plus Gold)

Finde das für aktuell 923,- € ein sehr gutes Angebot.

Hat jemand von Euch einen ähnlichen Server als Router im Einsatz?

Läuft die Installation darauf letztlich genau so wie auf den Deciso-Geräten?

Was für Nachteile hätte ich denn (abgesehen vom sicher etwas höheren Stromverbrauch)?

Danke für Tipps & Empfehlungen. :)

Hallo zusammen,

habe heute eine neue APU2C2 angefangen zu konfigurieren, erreiche nun aber nicht mehr das WebGUI per 192.168.2.222 (IGB1, also der Ethernet-Port in der Mitte) ...

Per Netzwerk-Scan wird das Gerät zwar noch als "Vendor = PC Engines GmbH" angezeigt (LanScan Pro unter macOS), aber ich kann die 192.168.2.222 weder anpingen noch mich per Browser darauf verbinden. :(

Da ich leider mein USB-zu-Serial-Null-Modem-Kabel verlegt habe (ein neues Ersatzkabel ist bestellt), kann ich auch nicht per Konsole auf das Gerät zugreifen (dafür ist die kommerzielle "Serial.app" https://www.decisivetactics.com/products/serial/ unter macOS übrigens sehr praktisch).

Habe das Gerät nun auch schon geöffnet (da ich dachte, die Reset-Taste "klemmt" vielleicht), aber irgendwie bin ich zu blöd, das Teil zu einem 'factory reset' zu bewegen. Eventuell ist das ja extra so gemacht, dass das nicht so einfach möglich sein soll? Scheinbar ist dieser Taster ja auch nur ein "Push-Button" (S1), ich verstehe leider nicht, wozu der überhaupt gut sein soll?

Habe schon 20 Sekunden während des "an Strom anschließen" diesen Button gedrückt gehalten und auch nachdem die "5-fach-Melodie" erklang (signalisiert meines Wissens nach "erfolgreich gebootet") einfach mal versucht, zu resetten – aber nix ...

Muss ich also wirklich auf ein neues Null-Modem-Kabel warten? Oder geht das irgendwie auch ohne?

Danke für Eure Hilfe im Voraus.  ::)

PS: An J2 konnte ich per Pin4-Pin5 einen Reset auslösen, dank dieser Anleitung: https://www.pcengines.ch/pdf/apu2.pdf ... Aber das macht ja leider auch nur einen ganz normalen Reset und Neustart wie es aussieht.

Ok, happily I found the problem and can answer to my own question ... ;)

You have to setup "any" port as the source, not the port you wanna forward to.

(see attached screenshot)

Now it's working fine.

PS: What helped me a little was this external port scan tool: https://networkappers.com/tools/open-port-checker

Hi there,

as you can see on the attached screenshot, I'am already using an OpenVPN-Server, which works fine.

Now I've added a new port forwarding rule for my Wired Server (port 4871), which is running on a machine with the IP 192.168.1.222 – but it's not working as aspected ... and I have no idea why?

The Wired Server is running fine and is available inside my network with Bonjour and also directly on 192.168.1.222.

But I can't get a connection from outside (testing this with a Hotspot of my mobile phone on another Laptop).

Also, the port check of the Wired Server is failing (which means normally it's not available from outside).

from the Wired Server wiki: The port status helps you to check the availability of your Wired server from the outside using a Perl web service (port can be closed, open or filtered).

I've used Wired Servers over years without any problems, this is the first time I'am trying it with my OPNsense firewall.

Thx for help!

Ja, war so am Schnellsten - OPNsense per Terminal-Console vom USB-Stick wieder neu installiert, die Config konnte er sogar noch erfolgreich von der SSD auslesen, so dass ich gar nicht an die extra gesicherte auf dem Rechner musste.

Habe Suricata jetzt erst einmal bis auf weiteres nicht mehr im IPS-Modus (also protection mode mit traffic blocking), sondern im IDS-Modus.

Wo genau schaut man denn dann am besten, ob irgend etwas "nicht ganz knusper" ist? Ist in diesem "intrusion detection" Modus ein Log automatisch aktiv und macht es Sinn, da dann auch mal ab und an rein zu schauen?

Oh je, ich war mal so mutig und habe einen Neustart gewagt (nachdem ich auch noch die /etc/rc.conf angelegt hatte), aber nun kommt das Gerät gar nicht mehr hoch (mounten des Laufwerks klappt nicht).

Das hier sehe per Terminal-Console:

Code Select Expand

Mounting from zfs:zroot failed with error 5.

Loader variables:
  vfs.root.mountfrom=zfs:zroot

Manual root filesystem specification:
  <fstype>:<device> [options]
      Mount <device> using filesystem <fstype>
      and with the specified (optional) option list.

    eg. ufs:/dev/da0s1a
        zfs:tank
        cd9660:/dev/cd0 ro
          (which is equivalent to: mount -t cd9660 -o ro /dev/cd0 /)

  ?               List valid disk boot devices
  .               Yield 1 second (for background tasks)
  <empty line>    Abort manual input

Wenn ich mir dann per ? die Boot devices anzeigen lasse sehe ich dies:

Code Select Expand

List of GEOM managed disk devices:
  gpt/swapfs ufs/OPNsense ufsid/5a02ff681dd474fc gpt/rootfs gpt/bootfs msdosfs/EFI ada0p4 ada0p3 ada0p2 ada0p1 ada0

Aber wie geht es jetzt weiter?

Im Idealfall würde ich das einfach wieder rückgängig machen wollen, sprich die Dateien /boot/loader.conf.local und /etc/rc.conf einfach wieder löschen und die /etc/sysctl.conf auch einfach wieder bereinigen.

Aber wie komme ich da jetzt ran?  :-\

Per ufs:/ufs/OPNsense komme ich da zwar erst einmal etwas weiter, aber scheinbar auch nur lesend bzw. bringt mich das auch nicht ans Ziel ...

Oh man bin ich ein Lamer ...  :'(

[Frage: Wie und wo sage ich dem System jetzt, dass es statt /boot/loader.conf zukünftig /boot/loader.conf.local benutzen soll?]

Habe jetzt mal versucht, dem zweiten Link zu folgen – folgendes habe ich gemacht:

https://calomel.org/freebsd_network_tuning.html

1) /boot/loader.conf

Habe /boot/loader.conf.local neu angelegt und befüllt wie empfohlen, denn in /boot/loader.conf gibt es folgenden Hinweis (da mein Router nur 4 GB RAM hat, habe ich die Zeile mit der vfs.zfs.dirty_data_max_max="12884901888" Angabe mal komplett auskommentiert):

Code Select Expand

##############################################################
# This file was auto-generated using the rc.loader facility. #
# In order to deploy a custom change to this installation,   #
# please use /boot/loader.conf.local as it is not rewritten. #
##############################################################

Frage: Wie und wo sage ich dem System jetzt, dass es statt /boot/loader.conf zukünftig /boot/loader.conf.local benutzen soll?

2) Die Datei /etc/sysctl.conf enthält ja nur folgende, komplett auskommentierten Einträge:

Code Select Expand

# $FreeBSD$
#
#  This file is read when going to multi-user and its contents piped thru
#  ``sysctl'' to adjust kernel values.  ``man 5 sysctl.conf'' for details.
#

# Uncomment this to prevent users from seeing information about processes that
# are being run under another UID.
#security.bsd.see_other_uids=0

Habe dies ebenfalls um die empfohlenen Einträge ergänzt.

3) Als dritten Schritt soll man ja /etc/rc.conf anpassen, diese Datei finde ich bei mir aber nicht in /etc, sondern nur:

rc
rc.bsdextended
rc.conf.d
rc.d
rc.firewall
rc.initdiskless
rc.resume
rc.shutdown
rc.subr
rc.suspend

Frage: Was genau muss ich hier machen? Einfach /etc/rc.conf anlegen und entsprechend bestücken?

Noch kann ich das alles rückgängig machen, falls das alles "Blödsinn" ist.  ;D

Danke Dir. Beim ersten Link kam ja leider auch nur raus, dass man den "Promiscuous mode" deaktivieren soll, was bei mir ja so ist.

Aber am Ende des Threads wird hierauf verlinkt:

https://forum.opnsense.org/index.php?topic=6590.0

Das scheint dann unter Umständen zu helfen, ich verstehe es aber leider nicht ...  :-\

Und wenn ich die Kommentare zu dem Thema allgemein richtig verstanden habe (und das würde sich auch mit meinen bisherigen Erfahrungen decken), existiert das Problem auch wieder erst seit dem Umstieg von der 17.x Serie auf die 18.x Serie?

Also, dass das IPS plötzlich so langsam ist bzw. die Verbindung dadurch so stark belastet wird?

Und auch Dein zweiter Link sieht spannend aus:

https://calomel.org/freebsd_network_tuning.html

Auch da soll ich ja Hardware-Treiber anpassen, eventuell den Kernel neu kompilieren etc. – das traue ich mir nicht zu, leider.

Aber eine einfachere Lösung gibt es wahrscheinlich gar nicht?

Hatte übrigens auch mal Deciso angeschrieben wegen des Themas und möchte Euch die Antwort nicht vorenthalten:

As far as throughput considers, Suricata certainly takes a lot of CPU cycles as it needs to evaluate every package.
Depending on what else is running on the device, the number of active rules and how you test it the results will vary a lot.

On a clean system running the latest OPNsense version it can perform up to 327Mbps. The test conditions for the lab test involves a simulation with 150 simultaneous users and packages varying in size from 400-800 bytes send and 1K-8K receive, while having 21000 rules enabled but doing nothing else.

In practice while running other things and just one thread I would expect something between 100-200Mbps for speedtest.net.

For the kind of throughput that you are looking for and taking into account time consuming ip packages like Netflix streaming, you will need a much faster CPU.

Alternatively, you can put Suricata in IDS mode, that will only alert, but does not limit your available bandwidth that much.

Ok, es gibt also IPS (Intrusion Prevention System) und IDS (Intrusion Detection System), und wenn ich IDS statt IPS nutzen würde, wäre es wohl schneller? Aber dann wird auch nur noch gewarnt aber nichts mehr abgewehrt, verstehe ich das richtig?

Und mehr als 327 Mbps sind scheinbar sowieso nicht drin (zumindest nicht mit meiner Hardware)?

Naja, habe ich mir ja schon gedacht ... aber man wird ja noch mal fragen dürfen, oder?  ::) ;)

Es muss ja vielleicht auch nicht so ein "Security Check" sein. Etwas umfangreichere Hinweise bei den kleinen, orange-farbenen Info-Buttons wären ja auch schon hilfreich.

Finde diese z.B. super, aber manchmal sind sie entweder sehr kurz gehalten (und damit nicht wirklich hilfreich) oder aber auch gar nicht vorhanden.

Mir geht es ja nur darum, das ganze wenn möglich noch Anwender-freundlicher zu machen.

PS: Und ja, Snakeoil setze ich auf meinen Clients auch nicht ein.  :P

[Meine Frage ist: Ab welcher Gerätekategorie wird das denn zuverlässig auch bei 400 MBit/s klappen?]

Ok, verstehe - 400 MBit/s ist ja auch nicht gerade wenig, das kann ich durchaus nachvollziehen.

Meine CPU ist diese hier:

http://www.cpu-world.com/CPUs/Jaguar/AMD-G-Series%20GX-416RA%20-%20GE416RIBJ44HM.html

Steckt in diesem Router:

https://www.deciso.com/product-catalog/OPN20078B/

Und das Teil war auch nicht gerade günstig (ca. 750,- €):

http://varia-store.com/Ready-Systems/OPNSense/Deciso-Systems/Desktop-Solutions/OPNsense-OPN20078B-A10-Quad-Core-Desktop-SSD::28755.html

Hatte eigentlich gehofft, dass das ausreichen würde – aber scheinbar ist das dann doch zu schwachbrüstig, sobald man mehr als 100 MBit/s Durchsatz möchte bei aktiviertem IPS?

Allerdings habe ich auch schon im Netz gelesen, dass das selbst mit "dickeren" Systemen (Xeon?) ein Problem ist?

Man wird doch dafür nicht etwa so etwas hier benötigen (ca. 2.000,- €)?

http://varia-store.com/Ready-Systems/OPNSense/Deciso-Systems/Rack-Solutions/OPNsense-OPN19004R-Quad-Core-Gen3-SSD-Rack::28762.html

Meine Frage ist: Ab welcher Gerätekategorie wird das denn zuverlässig auch bei 400 MBit/s klappen?

Habt ihr da Erfahrungswerte?

[Also lasse ich Suricata vorerst mal deaktiviert und warte ab, was ihr dazu sagt.]

PS: Dank dieses Thread

https://forum.opnsense.org/index.php?topic=5165.0

habe ich jetzt mal folgende Drop-Filter deaktiviert:

abuse.ch/Dyre SSL IPBL
ET open/botcc   
ET open/botcc.portgrouped   
ET open/ciarmy   
ET open/compromised   
ET open/drop   
ET open/dshield   
ET open/emerging-activex

Aktiviert sind jetzt also nur noch:

abuse.ch/Feodo Tracker
abuse.ch/SSL Fingerprint Blacklist
abuse.ch/SSL IP Blacklist

So komme ich auch bei aktiviertem Suricata auf knapp 390 MBit/s down.

Könnt ihr eventuell Empfehlungen geben, was die sinnvollsten Einstellungen sind?

Alles "an" war ja scheinbar eher kontraproduktiv wie ich nun sehe ...  ;)

PS: Nein - Kommando zurück - ein zweiter Speedtest schaffte jetzt auch wieder nur 97 MBit/s down, verdammt.

Also lasse ich Suricata vorerst mal deaktiviert und warte ab, was ihr dazu sagt.

[Danke im Voraus für Eure Unterstützung!]

Bei "Settings" ist das hier eingestellt:

Enabled: YES
IPS mode: YES (Hardware CRC, Hardware TSO und Hardware LRO sind wie empfohlen deaktiviert)
Promiscuous mode: NO
Enable sylog: NO
Pattern matcher: Aho-Corasick
Interfaces: WAN
Rotate log: Weekly
Save logs: 4

Und im Bereich "Download" sind folgende Filter aktiviert (drop):

abuse.ch/Dyre SSL IPBL   
abuse.ch/Feodo Tracker   
abuse.ch/SSL Fingerprint Blacklist   
abuse.ch/SSL IP Blacklist
ET open/botcc   
ET open/botcc.portgrouped   
ET open/ciarmy   
ET open/compromised
ET open/drop
ET open/dshield
ET open/emerging-activex

Vermutlich sind das einfach "zu viele" für ihn?

Oder liegt es an einer anderen (falschen) Einstellung?

Bei der CPU- und RAM-Auslastung war mir bisher aber nicht aufgefallen, dass da irgend etwas "am Limit" läuft.

Danke im Voraus für Eure Unterstützung!  :D

[Es liegt am aktivierten Intrusion Detection (suricata)!]

Hallo zusammen,

bin gerade durch Zufall darauf gestoßen, warum mein 400er-Kabelanschluss (PYUR) seit Wochen nur knapp 100 MBit statt der versprochenen "bis zu 400 MBit" liefert:

Es liegt am aktivierten Intrusion Detection (suricata)!

Aufgefallen ist es mir nur dadurch, dass der Zack-Speedtest von AVM direkt nach einem Neustart des Routers (AMD GX-416RA SOC mit 4 cores und SSD) für ca. 30 Sekunden stattliche ~360 MBit/s down schaffte - aber nur so lange, bis suricata (Intrusion Detection) aktiv wurde – dann fällt die Geschwindigkeit relativ zeitnah auf unter 100 MBit.

http://avm.de/nc/service/zack-der-speedtest-fuer-ihre-breitbandverbindung/

Wann suricata aktiv wird, kann man ja recht einfach im Dashboard sehen.

Nach dem Neustart von OPNsense war es bei mir schon immer so, dass sowohl der ntpd (Network Time Daemon) immer einige Zeit brauchte, bis er auch wirklich aktiv ist (grün statt rot) - und auch suricata benötigt eben einige Sekunden, bis es aktiv ist.

Und jetzt habe ich das mehrmals durchgespielt, es liegt defintiv am suricata:

Sobald ich es aktiviere, komme ich auf knapp 92 bis maximal 98 MBit/s beim Download.

Ist suricata dagegen deaktiviert, schafft der Anschluss problemlos, was PYUR verspricht – in meinem Fall also 396,159 MBit/s (49,520 MByte/s) down (gerade noch einmal getestet).

Die Frage ist für mich jetzt: Warum ist das so?

Suricata hatte ich auch schon mit meinem alten 120er-Anschluss genutzt, dort dann aber auch immer die knapp 120 MBit/s im Download erreicht – wie gesagt mit aktiviertem suricata.

Und seit der Umstellung auf den 400er-Anschluss kam ich nie über 100 MBit/s im Download, obwohl ich an den Einstellungen nichts geändert hatte (also sowohl beim Intrusion Detection als auch in anderen Bereichen).

Ich hatte das Modem tauschen lassen, sämtliche Netzwerk-Kabel geprüft, alle meine Switche etc. – und am Ende lag es scheinbar an irgend einer "verkorksten" Einstellung beim "Intrusion Detection"?

Bin gespannt, ob das anderen auch schon mal passiert ist?

Meine suricata-settings liefere ich gleich nach ...