Topics

1

German - Deutsch / 1GBit PPPoE Durchsatz: altes Problem mit Hardware erschlagen?

« on: March 01, 2022, 10:16:20 pm »

Moin,

hab heute einen Kunden auf 1000/500 MBit FTTH umgestellt, Provider hat nun leider auch von static IP auf  Steinzeit PPPoE gewechselt. Nach zig Telefonaten weil die IPv4 als DS-Lite implementiert hatten, trotz anderer Order, und dort niemand nur die Spur einer Ahnung hatte, ging‘s dann irgendwann wie erwünscht.

Dann iperf und diverse Tests auf folgender Plattform

OPNSense 22.1.1_3, AMD GX-420MC (4 cores, 4 threads) 8GB RAM

Ich komm leider nur auf 400/400, egal ob mit oder ohne suricata. CPU load immer bei 100%. Eben das bekannte single Core Problem.

Bringt‘s denn etwas PPPoe auf eine Bridge auszulagern? Gibt es hier überhaupt potente Modems?

Oder gleich die Hardware tauschen? Empfehlung für ca. 80 Clients, 4 IPSec Site2Site und 10 OpenVPN Clients?

Eigentlich nix Wildes, aber PPPoE birgt hier immer Stresspotential (auf BSD).

Bin mal gespannt ich nun auch Shaping, wie bei anderen Kunden, mit FQCodel einsetzen muss um den Bufferbloat zu vermeiden.

Freue mich auf Antworten von Leidensgenossen.

LG,

Ralf

2

22.1 Legacy Series / Multi-WAN IPSec Road Warrior

« on: February 02, 2022, 11:38:11 am »

First of all, big thanks to everyone here!

I'm struggling with a Multi-WAN Setup

WAN1+2, two equal PPPoE Interfaces running in just one Gatewaygroup (WANGWGROUP) Tier 1 Load Balancing.

Outgoing Traffic is all fine, load balancing between those two WANs (Rule in LAN using WANGWGROUP) works as expected.

But when it comes to local services like IPSec, only the first WAN interface marked as active will respond.

Int this case, when WAN2 is marked as active (default route), if I try to connect to IPSec explicitly to WAN1, a packet capture shows incoming packets on WAN1 (in trace and ipsec.log) but they are answered from WAN2 with a source address of WAN1.

If I try to connect to WAN2 everything's fine and fast.

Inbound Rules on WANGWGroup for UDP 500,4500 and ESP are set (gateway "default").

What am I doing wrong?

Ralf

3

German - Deutsch / Weiteres Netz ohne Routing, autonomous System

« on: November 30, 2021, 07:51:30 pm »

Hallo zusammen,

ich habe hier zwei WAN IP Ranges:
Range A: 90.90.90.0/30, Gateway Provider 90.90.90.1, eigene 90.90.90.2

Range B: 99.99.99.0/24 (eigenes Class C vom RIPE=AS)

Da ich kein BGP fahren will (und auch nicht brauche, da nur ein Carrier) aber gerne ausschliesslich Adressen aus der Range B verwende weiss ich nicht, wie ich das an der OPNSense konfigurieren soll.

Der Carrier wirft alle Pakete für die Range B am Interface des Routers der Range A (90.90.90.1) ab. Die 90.90.90.2 steht der OPNSense zur Verfügung.

An der bisherigen Firewall habe ich das mit 1:1 NAT auf dem  Interface der Range A gelöst und alles auf ein zweites Interface der Range B geleitet. Gibt‘s hier ne bessere Lösung?

Da ich demnächst auch IPv6 (ebenso AS) entsprechend geroutet bekomme, hätte ich gerne eine elegantere Lösung. Zur Not muss ich doch BGP einsetzen.

Gruß Ralf. 

4

German - Deutsch / Traffic Shaping und IPSec

« on: March 25, 2021, 12:14:39 pm »

Eine Verständnisfrage:

Wenn ich einfaches Shaping ohne Queues konfiguriere (reservierter UP/Download für VoIP spezifische interne IP, Rest für alles andere), also ein Standard Setup. Wird dann die der ESP Traffic, der ja zwischen den Firewalls stattfindet auch berücksichtigt?

Gruß Ralf.

5

German - Deutsch / Working Roadwarrior IKEv2 IOS, WIN10

« on: February 29, 2020, 03:31:17 pm »

Hallo zusammen,

nach einigem Tüfteln und Nachlesen aus z.T. veralteten Wikis und viel Rumprobieren, vieles was Win10 oder IOS macht ist kaum dokumentiert, habe ich nun auf der opnsense 20.1.1 eine Konfiguration für mobile Clients, die für Win10 und auch für IOS funktioniert. Leider nicht via XAUTH und LDAP (hat nur mit IOS funktioniert), aber dafür mit EAP-MSCHAPv2. (Android noch nicht getestet).

Wenn Interesse da ist, schreibe ich hier gerne alles zusammen.

Gruß,

Ralf.