OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of Perun »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - Perun

Pages: 1 2 [3] 4 5 6
31
General Discussion / Multi WAN and ipv6
« on: September 11, 2018, 07:17:41 am »
Hi

I have 2 WAN uplinks (cable and vdsl). IPv4 does work as expected and cable ipv6 to... but I have problems with forwarding the IPv6 prefix on the VDSL uplink...

thats are my settings:

cable interface (german vodafone cable)
Code: [Select]
    <opt2>
      <if>igb0_vlan4</if>
      <descr>cable</descr>
      <enable>1</enable>
      <lock>1</lock>
      <spoofmac/>
      <blockbogons>1</blockbogons>
      <ipaddr>192.168.40.3</ipaddr>
      <subnet>24</subnet>
      <gateway>cable_gateway</gateway>
      <ipaddrv6>dhcp6</ipaddrv6>
      <dhcp6-ia-pd-len>1</dhcp6-ia-pd-len>
      <dhcp6prefixonly>1</dhcp6prefixonly>
      <dhcp6sendsolicit>1</dhcp6sendsolicit>
      <adv_dhcp6_debug>1</adv_dhcp6_debug>
      <adv_dhcp6_interface_statement_send_options/>
      <adv_dhcp6_interface_statement_request_options/>
      <adv_dhcp6_interface_statement_information_only_enable/>
      <adv_dhcp6_interface_statement_script/>
      <adv_dhcp6_id_assoc_statement_address_enable/>
      <adv_dhcp6_id_assoc_statement_address/>
      <adv_dhcp6_id_assoc_statement_address_id/>
      <adv_dhcp6_id_assoc_statement_address_pltime/>
      <adv_dhcp6_id_assoc_statement_address_vltime/>
      <adv_dhcp6_id_assoc_statement_prefix_enable/>
      <adv_dhcp6_id_assoc_statement_prefix/>
      <adv_dhcp6_id_assoc_statement_prefix_id/>
      <adv_dhcp6_id_assoc_statement_prefix_pltime/>
      <adv_dhcp6_id_assoc_statement_prefix_vltime/>
      <adv_dhcp6_prefix_interface_statement_sla_id/>
      <adv_dhcp6_prefix_interface_statement_sla_len/>
      <adv_dhcp6_authentication_statement_authname/>
      <adv_dhcp6_authentication_statement_protocol/>
      <adv_dhcp6_authentication_statement_algorithm/>
      <adv_dhcp6_authentication_statement_rdm/>
      <adv_dhcp6_key_info_statement_keyname/>
      <adv_dhcp6_key_info_statement_realm/>
      <adv_dhcp6_key_info_statement_keyid/>
      <adv_dhcp6_key_info_statement_secret/>
      <adv_dhcp6_key_info_statement_expire/>
      <adv_dhcp6_config_advanced/>
      <adv_dhcp6_config_file_override/>
      <adv_dhcp6_config_file_override_path/>
    </opt2>

vdsl interface (german 1&1 vdsl)
Code: [Select]
    <opt3>
      <if>igb0_vlan14</if>
      <descr>vdsl</descr>
      <enable>1</enable>
      <lock>1</lock>
      <spoofmac/>
      <blockbogons>1</blockbogons>
      <ipaddr>192.168.140.3</ipaddr>
      <subnet>24</subnet>
      <gateway>vdsl_gateway</gateway>
      <ipaddrv6>dhcp6</ipaddrv6>
      <dhcp6-ia-pd-len>4</dhcp6-ia-pd-len>
      <dhcp6sendsolicit>1</dhcp6sendsolicit>
      <adv_dhcp6_debug>1</adv_dhcp6_debug>
      <adv_dhcp6_interface_statement_send_options/>
      <adv_dhcp6_interface_statement_request_options/>
      <adv_dhcp6_interface_statement_information_only_enable/>
      <adv_dhcp6_interface_statement_script/>
      <adv_dhcp6_id_assoc_statement_address_enable/>
      <adv_dhcp6_id_assoc_statement_address/>
      <adv_dhcp6_id_assoc_statement_address_id/>
      <adv_dhcp6_id_assoc_statement_address_pltime/>
      <adv_dhcp6_id_assoc_statement_address_vltime/>
      <adv_dhcp6_id_assoc_statement_prefix_enable/>
      <adv_dhcp6_id_assoc_statement_prefix/>
      <adv_dhcp6_id_assoc_statement_prefix_id/>
      <adv_dhcp6_id_assoc_statement_prefix_pltime/>
      <adv_dhcp6_id_assoc_statement_prefix_vltime/>
      <adv_dhcp6_prefix_interface_statement_sla_id/>
      <adv_dhcp6_prefix_interface_statement_sla_len/>
      <adv_dhcp6_authentication_statement_authname/>
      <adv_dhcp6_authentication_statement_protocol/>
      <adv_dhcp6_authentication_statement_algorithm/>
      <adv_dhcp6_authentication_statement_rdm/>
      <adv_dhcp6_key_info_statement_keyname/>
      <adv_dhcp6_key_info_statement_realm/>
      <adv_dhcp6_key_info_statement_keyid/>
      <adv_dhcp6_key_info_statement_secret/>
      <adv_dhcp6_key_info_statement_expire/>
      <adv_dhcp6_config_advanced/>
      <adv_dhcp6_config_file_override/>
      <adv_dhcp6_config_file_override_path/>
    </opt3>

my first lan (should use cable for ipv6)
Code: [Select]
    <opt5>
      <if>igb1</if>
      <descr>lan</descr>
      <enable>1</enable>
      <lock>1</lock>
      <spoofmac/>
      <ipaddr>192.168.50.3</ipaddr>
      <subnet>24</subnet>
      <ipaddrv6>track6</ipaddrv6>
      <track6-interface>opt2</track6-interface>
      <track6-prefix-id>0</track6-prefix-id>
    </opt5>

my second lan (should use vdsl for ipv6)
Code: [Select]
    <opt1>
      <if>igb2</if>
      <descr>lan_media</descr>
      <enable>1</enable>
      <lock>1</lock>
      <spoofmac/>
      <ipaddr>192.168.150.3</ipaddr>
      <subnet>24</subnet>
      <ipaddrv6>track6</ipaddrv6>
      <track6-interface>opt3</track6-interface>
      <track6-prefix-id>0</track6-prefix-id>
    </opt1>

cat /var/etc/radvd.conf
Code: [Select]
# Automatically generated, do not edit
# Generated config for dhcp6 delegation from opt2 on opt5
interface igb1 {
AdvSendAdvert on;
MinRtrAdvInterval 3;
MaxRtrAdvInterval 10;
AdvLinkMTU 1500;
AdvOtherConfigFlag on;
prefix 2a02:8109:9d40:476::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
RDNSS 2a02:8109:9d40:476:20d:b9ff:fe4a:7499 { };
DNSSL chao5.int { };
};
# Generated config for dhcp6 delegation from opt3 on opt1
interface igb2 {
AdvSendAdvert on;
MinRtrAdvInterval 3;
MaxRtrAdvInterval 10;
AdvLinkMTU 1500;
AdvOtherConfigFlag on;
prefix ::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
DNSSL chao5.int { };
};

here I'm missing something, there is no prefix on igb2... why?

cat /var/etc/dhcp6c_opt2.conf
Code: [Select]
interface igb0_vlan4 {
  send ia-pd 0; # request prefix delegation
  request domain-name-servers;
  request domain-name;
  script "/var/etc/dhcp6c_opt2_script.sh"; # we'd like some nameservers please
};
id-assoc pd 0 {
  prefix-interface igb1 {
    sla-id 0;
    sla-len 1;
  };
};

cat /var/etc/dhcp6c_opt3.conf
Code: [Select]
interface igb0_vlan14 {
  send ia-na 0; # request stateful address
  send ia-pd 0; # request prefix delegation
  request domain-name-servers;
  request domain-name;
  script "/var/etc/dhcp6c_opt3_script.sh"; # we'd like some nameservers please
};
id-assoc na 0 { };
id-assoc pd 0 {
  prefix-interface igb2 {
    sla-id 1;
    sla-len 4;
  };
};

There are 2 running dhcpd6c processes... it is normal?

in /var/log/dhcpd.log | grep dhcp6c I see this:
Code: [Select]
Sep 11 07:14:13 cerber dhcp6c[19870]: Sending Solicit
Sep 11 07:14:13 cerber dhcp6c[19870]: set client ID (len 14)
Sep 11 07:14:13 cerber dhcp6c[19870]: set identity association
Sep 11 07:14:13 cerber dhcp6c[19870]: set elapsed time (len 2)
Sep 11 07:14:13 cerber dhcp6c[19870]: set option request (len 4)
Sep 11 07:14:13 cerber dhcp6c[19870]: set IA_PD
Sep 11 07:14:13 cerber dhcp6c[19870]: send solicit to ff02::1:2%igb0_vlan14
Sep 11 07:14:13 cerber dhcp6c[19870]: reset a timer on igb0_vlan14, state=SOLICIT, timeo=13, retrans=110376
Sep 11 07:14:13 cerber dhcp6c[15879]: unexpected interface (9)

what can be the problem? what I'm doing wrong?

TiA

32
German - Deutsch / Re: Performance über IPsec
« on: August 03, 2018, 07:06:18 pm »
auf beiden Endpunkten?

33
German - Deutsch / Re: Performance über IPsec
« on: August 03, 2018, 06:04:10 pm »
ich sehe aber auch das die Test BR die ich abspiele so zwischen 10-20MBit Datenrate schwankt (VLC zeigt die an).
Und schon da gibt es Artefakte und Unterbrechungen... irgendwas ist da noch nicht so wie es sein sollte... Ich denke selten schöpft ne BR die vollen 36Mbit Datenrate aus....

34
German - Deutsch / Re: Performance über IPsec
« on: August 03, 2018, 05:42:20 pm »
Quote from: mimugmail on August 03, 2018, 02:37:28 pm
AES128GCM ist schneller .. aber spürbar erst wenns über 1Gbit geht.
DH Group könnte theoretisch ganz raus, das unterstützt ja GCM an sich schon. Viele machen es trotzdem, da reicht dann auch DH14. Dann könntest du noch schauen ob Pakete fragmentiert werden .. aber eher unwahrscheinlich.

Ich gehe auch stark davon aus dass bei einer 40Mbit Leitung du auch ohne IPSec nicht mehr raus bekommst, allein der Protocol overhead von SMB ist ja recht groß.

mit AES128 und DH14 gibt es tatsächlich die gleichen Ergebnisse.

Lustigerweise bekomme ich ohne IPsec Ergebnisse zwischen 15 und 35Mbit mit iperf vielleicht ist da noch was mit Netzwerk weil es so unstabil ist?

[ ID] Interval           Transfer     Bandwidth       Retr  Cwnd
[  4]   0.00-1.00   sec  6.85 MBytes  57.4 Mbits/sec   52    368 KBytes       
[  4]   1.00-2.00   sec  6.09 MBytes  51.1 Mbits/sec    7    288 KBytes       
[  4]   2.00-3.00   sec  6.65 MBytes  55.8 Mbits/sec    0    317 KBytes       
[  4]   3.00-4.00   sec  5.84 MBytes  49.0 Mbits/sec    7   91.9 KBytes       
[  4]   4.00-5.00   sec  2.86 MBytes  24.0 Mbits/sec    3   96.2 KBytes       
[  4]   5.00-6.00   sec  2.86 MBytes  24.0 Mbits/sec    2   84.8 KBytes       
[  4]   6.00-7.00   sec  2.86 MBytes  24.0 Mbits/sec    0    107 KBytes       
[  4]   7.00-8.00   sec  2.86 MBytes  24.0 Mbits/sec    2   93.3 KBytes       
[  4]   8.00-9.00   sec  1.86 MBytes  15.6 Mbits/sec    7   41.0 KBytes       
[  4]   9.00-10.00  sec   954 KBytes  7.82 Mbits/sec    0   63.6 KBytes

man sieht bei grosseren 'Stücken' ist es deutlich schneller...

35
German - Deutsch / Re: Performance über IPsec
« on: August 03, 2018, 05:14:28 pm »
wie könnte ich definitiv feststellen ob was fragmentiert wird? ich habe die MTU eingestellt auf beiden seiten aber würde es gerne prüfen...

auf der opnsense Seite habe ich nach Messungen mit ping 1390 eingestellt und auf der strongswan seite so:
(aus einem strongswan docu)

/usr/sbin/iptables -t mangle -A FORWARD -m policy --pol ipsec --dir in -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
/usr/sbin/iptables -t mangle -A FORWARD -m policy --pol ipsec --dir out -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360

36
German - Deutsch / Re: Performance über IPsec
« on: August 03, 2018, 05:13:30 pm »
stimmt! da sind ja nur 40mbit up... dies habe ich nicht bedacht und smb overhaed ist tatsächlich viel hmmmm ich habe aber in Kodi Auswahl an Protokollen... mal gucken ob es mit ftp/http/nfs besser ist...

37
German - Deutsch / Re: Performance über IPsec
« on: August 03, 2018, 10:02:39 am »
kodi läuft auf einem extra Gerät (wetek), dies kann ganz normal BR etc abspielen.
Der Endpunkt von dem Tunnel ist ein HP Microserver Gen8 also auch ausreichend CPU Power.
Naja wie gesagt gemessen mit iperf habe ich 35Mbit in Download Richtung, da sollte eine BR locker laufen.
Beim kopieren mit wget von der einen auf die andere Seite mit dem Tunnel bekomme ich 4.3MB/s

obwohl hmmmm 1x Datenrate BR ist 36Mbit, da wird es tatsächlich knapp...

Sollte ich aber mit ner 50mbit Leitung und apu2c4 mit opnsense nicht mehr hinkriegen als 34Mbit über den Tunnel?
Da der HP Server deutlich 'mächtiger' ist gehe ich davon aus dass die apu Box der Flaschenhals ist...

Vielleicht sind meine Tunnelsettings zu krass:

Phase1: AES-GCM 256 with 128 ICV + SHA256 + DH Group 20 (384 bit EC)
Phase2: aes256gcm16 + SHA256 + DH Group 20 (384 bit EC)

ich habe 2 solche Tunnel an der Opnsense dran (der andere wird aber sehr wenig genutzt)
AES-NI ist an und die CPU Belastung liegt so bei 50-60% wenn ich was durch den Tunnel schicke also IMHO alles im grünen Bereich...

oder sehe ich da was falsch?

38
German - Deutsch / Re: Performance über IPsec
« on: August 02, 2018, 04:51:29 pm »
ich streame nicht, ich habe samba share gemountet und spiele die einfach über kodi ab

39
German - Deutsch / Performance über IPsec
« on: August 02, 2018, 11:46:25 am »
Hallo

ich möchte gerne meine Filme über einen IPsec Tunnel in meiner Ferienwohnung schauen.  Ich habe soweit den IPsec Tunnel hergestellt  und alles netzeitig tut soweit.

Leider ist die Performance nicht ausreichend um z.B. einen BR Film zu schauen. Ich mess die Bandbreite mit iperf zwischen den beiden Endpunkten und bekomme 32-35Mbit in eine Richtung und ca. 2Mbit ind die andere über den Tunnel.

Die Leitungen sind 100/40Mbit auf der Server Seite und 50/2Mbit auf der Client  Seite.
Also soweit so gut für IPsec über die Leitung. (Obwohl ich da von der apu2c4 sogar ein bisschen mehr erwarten würde)

Die 35Mbit sollten eigentlich vollkommen aussreichend sein für die BR's.

Leider stockt die BR und lässt sich so nicht schauen.
Ich habe bereits MSS Größe auf der opnsense Kiste eingestellt (1390 gemessen mit ping ohne Fragmentiereung warens 1402 möglich und dann für TCP 12 Byte abgezogen).

Den Tunnel bau ich mit ner Linux Kiste (strongswan) auf. Muss ich auch dort MSS einstellen?

Beide CPU's (opnsense und der Linux Box) sind entspannt bei der Übertragung.

An welchen "Schrauben" kann ich noch drehen um die Performance zu verbessern?

Greetz

40
German - Deutsch / Re: WLAN Bereich mit openwrt erweitern...
« on: July 11, 2018, 12:01:12 pm »
Ich würde es schon gerne mit OpenWRT machen. Die WebUI ist mir realtiv egal, außerdem die von OpenWRT ist auch sehr gut mittlere weile.
Die Frage wäre wie ich es eben bei opnsense mache. Ich habe quasi 1 Kabel der zu der OpenWRT box geht. Wie pack ich da alle VLAN's drauf die ich dort haben muss (VLAN5/15 und die neuen für VLAN_WLAN und VLAN_WLAN_GUEST).
Muss ich bei jeweiligem WLAN das entsprechende VLAN 'drunter' packen und dem Interface wo das Kabel angeschlossen ist, alle VLAN's irgendwie hinzufügen? Gibt es irgendwie Doku dazu? Bzw. wo kann ichs nachgucken wie man es macht

Greetz

41
German - Deutsch / Re: WLAN Bereich mit openwrt erweitern...
« on: July 06, 2018, 09:18:05 am »
Das die Verbindung kurz abbricht beim Übergang ist mir relativ egal da ich selten laufe und es benutze :)
Ich brauche aber Verbindung zwischen den WLAN Clients egal an welchen AP die gerade sind und in die anderen LAN Segmente auch.
Ich hatte es vorher relativ einfach weil ich WLAN und LAN gebridged habe. Dies kann ich aber so nicht mehr tun.

42
German - Deutsch / Re: WLAN Bereich mit openwrt erweitern...
« on: July 04, 2018, 06:39:52 am »
keiner nen Tip?

43
German - Deutsch / Re: WLAN Bereich mit openwrt erweitern...
« on: June 29, 2018, 12:56:12 pm »
Grafisch sieht es aus wie im Anhang, der grau hinterlegte Bereich ist das was ich bauen will.
(sorry für suboptimale Qualität aber kann mit Visio nicht so dolle um :) )


44
German - Deutsch / Re: WLAN Bereich mit openwrt erweitern...
« on: June 29, 2018, 09:32:21 am »
Ja tatsächlich sollen alle Netze aus dem wlan erreicht werden, aus dem wlan_guest soll nur internet funktionieren.
Die Hauptverwaltungseinheit soll aber opnsense bleiben (ACL's nach aussen und zwischen den Netzen, DHCP/DNS etc)




45
German - Deutsch / WLAN Bereich mit openwrt erweitern...
« on: June 28, 2018, 12:14:47 pm »
Hallo,

ich möchte gerne meine beiden WLANs (normal und guest) mit einem openwrt Router erweitern. Dabei soll der openwrt Router 'doof' bleiben, sprich er soll nur das Netz erweitern und selber keine Dienste anbieten. DHCP/DNS etc etc soll alles aus der opnsense Box kommen.

Meine Struktur:

lan: 192.168.50.0/24 1 iface (VLAN5) an opnsense
lan_media: 192.168.150.0/24 2 iface (VLAN15) an opnsense
dmz_kabel: 192.168.40.0/24 3 iface (VLAN4) an opnsense
dmz_vdsl: 192.168.140.0/24 3 iface (VLAN14) an opnsense
wlan: 192.168.60.0/24 wlan iface
wlan_guests: 192.168.250.0/24 wlan iface

so jetzt wäre die Frage wie ich die Netze lan, lan_media, wlan und wlan_guest an openwrt dran machen kann. lan und lan_media ist easy weil ueber einen Kabel mit trunk (2 VLAN's) aber wie die WLAN Netze rüber bringen?

Sollte ich für wlan und wlan_guest ebenfalls ein VLAN konfigurieren und in den gemeinsamen Trunk rein packen oder ist gibts was einfacheres bzw bin ich da ganz falsch mit meinen Gedanken?

Vielen Dank im Voraus für eure Vorschläge!
Greetz

Pages: 1 2 [3] 4 5 6
OPNsense is an OSS project © Deciso B.V. 2015 - 2022 All rights reserved
  • SMF 2.0.18 | SMF © 2021, Simple Machines
    Privacy Policy
    | XHTML | RSS | WAP2