Messages

121

22.1 Legacy Series / OSPF not running

« on: February 09, 2022, 05:28:05 pm »

Hello everyone,

we would like to setup a OSPF network in our VMware Environment. Because these are our first steps with opnsense and ospf/frr, we need some help please.

Problem 1:

All Sensense are VMs with one vmx0-NIC and VLAN interfaces. We get the following error in the debug log of frr in every of the three opnsense routers:

2022-02-09T16:36:48   Error   ospfd   [EC 100663299] setsockopt_so_recvbuf: fd 13: SO_RCVBUF set to 2097152 (requested 8388608)

All we found is this thread: https://forum.opnsense.org/index.php?topic=23187.0

Problem 2:

Not sure if problem 1 is a complete show stopper, but we also need some help to get our setup running.

This is our network:

[CORESENSE] .1 <- 10.90.10.0/24 VLAN 910 -> .2 [TRANSFERSENSE] .1 <- 10.90.11.0/24 .2 VLAN911 -> [PROJECT1SENSE]

CORESENSE has many VLANs attached, also WAN with Internet-Access and a default route.
TRANSFERSENSE is only to transfer the traffic between CORSESENSE and PROJECT1SENSE.
PROJECT1SENSE has some Project VLANs configured for different types of clients. These VLANs are configured like 10.101.0.0/24 - 10.101.9/24.

There is more than one PROJECT*SENS. We also have a PROJECT2SENSE filewall and so one attached to TRANSFERSENSE, but with local networks like 10.101.10.0/24 - 10.101.19.0/24 for example. All attached networks to the PROJECT firewalls can be summarized under 10.101.0.0/16.



Here are our running configs of the free firewalls:

Building configuration...

Current configuration:
!
frr version 7.5.1
frr defaults traditional
hostname OPNsense-CORE.localdomain
log syslog notifications
!
router ospf
 redistribute connected
 redistribute static
 passive-interface vmx0
 passive-interface vmx0_vlan900
!
line vty
!
end

Building configuration...

Current configuration:
!
frr version 7.5.1
frr defaults traditional
hostname OPNsense-Projecttransfer.localdomain
log syslog notifications
!
interface vmx0_vlan910
 ip ospf area 0.0.0.0
!
interface vmx0_vlan911
 ip ospf area 0.0.0.0
!
router ospf
 redistribute connected
 redistribute static
 passive-interface vmx0
 passive-interface vmx0_vlan900
!
line vty
!
end

    IPv4 Routes
    IPv6 Routes
    Running Configuration

Building configuration...

Current configuration:
!
frr version 7.5.1
frr defaults traditional
hostname OPNsense-001_Project1.localdomain
log syslog notifications
!
interface vmx0_vlan911
 ip ospf area 0.0.0.0
!
interface vmx0_vlan1010
 ip ospf area 0.0.0.0
!
router ospf
 redistribute connected
 redistribute static
 passive-interface vmx0_vlan900
!
line vty
!
end

Can you please help us?

All senses are opnsense v22.1 with latest plugins.

Thanks



                                                                     

122

22.1 Legacy Series / Re: os-ddclient

« on: February 06, 2022, 10:53:03 pm »

OK, 22.1 was just released a few days ago and my dashboard says:

Please make sure to upgrade to os-ddclient before 22.7 is released as this plugin will be removed from our repository

So, if i check the changelog it took ~a half a year from 19.1 to 19.7 and ~also 6 months from 20.1 to 20.7.

Dont panic guys, i think there is enough time to mature ddclient before dyndns is end of life in opnsense.

@Devs: Is a half a year also a realistic period for 22.7-release?

Edit: Corrected 21.7 to 22.7 in the last sentence. Thx jp0469. And btw also thanks for the hint with the month, thins makes absolutely sense. 

123

German - Deutsch / Wireguard Site2Site Setup wenn eine Site hinter NAT ist

« on: February 05, 2022, 10:04:32 pm »

Hallo zusammen,

ich betreibe einige opnsense Router mit Site2Site Setups, die alle auch mobile Endgeräte unterstützen. Bisher hatten die Site2Site-Setups immer beidseitig direkten Internetzugang ohne NAT davor.

Jetzt soll eine Site2Site Verbindung aufgebaut werden, aber eine Site ist hinter einem NAT-Router. Portforwardings sind nicht möglich.

Jemand ne Ahnung, wie das mit der Sense geht?

Vermute, dass man auf der Site ohne NAT eine WG-Instanz unter dem Tab Local anlegen muss und auf der Site hinterm NAT einen Endpoint. Nur ist mir nicht ganz klar:

Wie man auf der Site hinterm NAT die FW-Regeln setzt, da es ja kein Interface gibt?
Ob man auf der Site ohne NAT vielleicht die Remote-WG-IP als Gateway setzen und dann auch statische Regeln nutzen muss?

Hat das mit opnsense schon mal jemand hinbekommen?

124

General Discussion / Geneve ( RFC 8926 ) support

« on: February 04, 2022, 02:07:57 pm »

Hello,

are there any plans to support Geneve in opnsense additional to VXLAN-support?

Thanks.

125

22.1 Legacy Series / ZFS monitoring over webinterface?

« on: February 03, 2022, 08:03:39 pm »

Hey,

its realy cool to see ZFS support in opnsense. I appreciate that. Thanks!

I installed v22.1 in a Test-VM with two vDisks in ZFS mirror mode to gain experience. I detached one of two disks while system was running to see whats happening. System didnt crash but i am wondering: Are there any alerts in the webinterface for problems with ZFS like disk failure? I didnt find some.

I reattached the vDisk after installing a new plugin to see whats happening on the console, but i cant see any  zfs-related messages, only that disk is available again.  Is this normal? How can i see if the disk is  back online again?

And are there any functions in the webgui to use ZFS-features like resilvering, replacing, snapshotmanagement, etc.?

Thanks

126

German - Deutsch / Re: Fehler beim Update / Repository nicht gefunden

« on: February 01, 2022, 08:22:28 pm »

Hängt dein Problem vielleicht mit meinem Zusammen?

https://forum.opnsense.org/index.php?topic=26699

127

German - Deutsch / opnsense 22.1 - Check for Updates und Plugininstallation (in VM) ultra langsam

« on: February 01, 2022, 08:18:53 pm »

Hallo zusammen.

Meine FW läuft in einer VM (ESXi 7.0U2). Wollte grade von 21.x auf 22.x updaten um UFS gegen ZFS zu tauschen. Vorgehen war:

Die VM mit 21.x hab ich nicht angerührt, sie läuft aktuell noch produktiv weiter.
Neue VM mit zwei virtuellen Netzwerkkarten erstellt nach Vorbild der produktiven VM. Eine vNIC für WAN, ne zweite für LAN, beides vmxnet3.
Nach der Installation ins Webinterface eingeloggt um erstmal alle Plugins runterzuladen. Ab hier beginnen die Probleme:

Nach einem Klick auf "Check for Updates" startet im "Updates" Tab die übliche Prozedur, in der man das den Updateprozess sehen kann. Das ganze läuft aber eeeeeewig langsam ab. Irgendwann erscheint dann im Log die Meldung "your packages are up to date", aber dieser sich im Kreis drehende Ladebalken im "Updates"-Tab und "Status"-Tab dreht sich nach wie vor einfach weiter. Auch ein Klick auf "Plugins" zeigt erstmal eine leere Liste und keine Plugins an. Ich hab das jetzt mehrmals mit unterschiedlichen Mirrors getestet, es ist immer das Gleiche.

Jetzt hab ich mir hier auf den Weg gemacht, um im Forum zu suchen bzw. ein Thread zu starten. Als ich angefangen hab zu tippen, war oben beschriebener Zustand noch da. Alles ewig langsam, Updateprozess war irgendwo noch am rödeln, trotz "you packages are up to date".

Jetzt, da ich fast fertig mit dem Tippen dieser Nachricht bin (denk mal 5-10min sind vergangen), hab ich nochmal geschaut wie der aktuelle Status ist. Und plöztlich kam auch ein grünes Popup mit der Nachricht: "There are no updates available on the selected mirror.". Und jetzt sind auch die ganzen Plugins da.

Ich hab zur Sicherheit nun nochmal "Check for Updates" geklickt um zu testen, was passiert. Der ganze Prozess dauert wieder Ewigkeiten.

Und nein, es liegt nicht an der Internetverbindung. Internet funktioniert mit normaler Geschwindigkeit über die noch laufende produktive VM mit opnsense 21.x. Der Download der .iso von einem Mirror den ich ausgewählt hab ist auch schnell.

Irgendwo ist da noch der Wurm drin.
Kann das jemand mit ESXi bestätigen?

Edit: Installation von Plugins ist auch ultra langsam.... Mal sehen ob das überhaupt durchläuft.

Edit2: Der Update Check mit der produktiven 21.7.8 läuft ratz fatz durch. Ein Mirror oder Verbindungsproblem würde ich daher definitiv ausschließen.


Edit3: Achso, einziger Unterschied ist noch, dass die alte sense mit UFS läuft, die neue mit ZFS mit zwei virtuellen SATA-Platten im Raid Mirror.

Edit4: Ping auf die LAN-IP geht (klar, sonst würde das Webinterface nicht gehen), aber ne Verbindung mit iperf3 bekomm ich nicht hin (gestartet auf dem LAN-Interface). Es dauert auch recht lang, bis das Webinterface zurückmeldet, dass der iperf3-Server gestartet ist. Vom Windows-Client bekomm ich die Meldung: iperf3: error - unable to connect to server: Connection timed out
Start mit: iperf3.exe -c 123.123.123.123 -p 12345

128

German - Deutsch / Re: VMware ESXi 6.7 mit VMXNET3 Performance Problem

« on: January 11, 2022, 01:21:23 pm »

Ich kram das hier noch mal raus, weil wohl immernoch aktuell..

Wir haben das selbe Problem @work auf ESXi 7 mit ner opnsense in einer VM und vmxnet3 Adapter. Läuft auf nem potenten Dell PowerEdge R740XD mit 4x25Gb-Interfaces.

Auf meinem Homeserver hab ich das selbe Problem (auch ein potentes System, aber halt nur 1Gbit bzw. 10Gbit-NICs).

Mehr wir 65-70MB/s (600Mbit) geht einfach nicht.

Gibts hierzu mittlerweile Workarounds / Lösungsansätze?

Oder ist der Tipp von pmhausen schon die Lösung? Will es gerade nicht testen, weil es dann doch etwas mehr Aufwand bedeuten würde, die Konfig von opnsense von vmxnet auf e1000 umzustellen.

129

Hardware and Performance / Re: Can OPNsense handle 100Gbit in a VMware environment? Tips to test Bandwith?

« on: January 11, 2022, 12:58:03 pm »

Thanks for all your replies.

@opnfwb: Yes, we noticed the vmxnet3 problem this week. We only have around 600-700Mbit/s routed throughput with opnsense installed in a VMware VM with vmxnet3.

Is there a workaround for this issue?

@mimugmail: Thats interesting, thanks. Whats the reason for this 18Gbit-Limitation?

@lilsense: Yes, you are also right. Its not possible to aggregate 4x25Gbit NICs to a single 100Gbit/s TCP-Stream. Thats only possible with a single physical 100G-NIC.

So, we noticed that esxi-hypervisor comes with iperf. Its located in /usr/lib/vmware/vsan/bin/iperf3 and its internaly used to test vsan performance.
Note: Its not possible to start this original file over shell, you have to copy it first to /usr/lib/vmware/vsan/bin/iperf3.copy for example and start the copy. You also have to disable the esxi firewall.

What we see with iperf3 is, that we have full throughout of 25Gbit between all esxi-hosts.

130

German - Deutsch / Re: Windows Update Server im Internet

« on: December 19, 2021, 08:32:43 pm »

Du könntest für diesen speziellen Host nen Proxy nutzen, alles blocken und die Adressen einschließelich denen mit Wildcard mit Regex-Einträgen freischalten.

131

German - Deutsch / Re: OPNsense an VodafoneDSL

« on: December 19, 2021, 06:28:25 pm »

Welche Fritte (Fritzbox?) hast du da zum testen?

Es gibt jetzt mehrere Möglichkeiten wie man hier einfaches Ausschlussverfahren machen kann:

Vigor 130 als Modem + OPNsense-Installation = Failed aktuell

Fritzbox als Modem und Einwahlrouter = geht

Zu testen wäre, wenns die Fritzbox hergibt:

Vigor 130 als Modem und als Einwahlrouter = ?

Fritzbox als Modem und OPNsense als Einwahlrouter = ?

Fritzbox als Einwahlrouter, ohne Einwahldaten, dafür mit aktiviertem PPPoE Passthrough und der OPNsense als Einwahlrouter = ?

Vigor 130 als Modem und Fritzbox als Einwahlrouter mit deaktiviertem Modem = ?

Wenn alle Stricke reißen:

Fritzbox oder das Vodafonegerät als Einwahlrouter , dahinter die OPNsense OHNE PPPoE, mit manuellem oder DHCP-konfiguriertem IPv4-Interface = ?

Du bist dran. Teste mal welche Konstellationen gehen, damit wir ein Bild davon bekommen.


Edit:

Und noch ne Frage hinterher. Wieso muss es zwingend der Vigor 130 als Modem sein? Du kannst theoretisch auch die Fritzbox als Modem nutzen. Du kannst aber sogar auch hergehen und die Fritzbox als Einwahlgerät benutzen. Dann macht die Fritzbox sogar VoIP mit DECT, wenn sie es kann.

Die Fritzbox bietet dann auch die Möglichkeit, die externe IP vom DSL 1:1 an das WAN-Interface der OPNsense durchzureichen. Ist dort unter Exposed Host zu finden. Es werden dann nur die Datenpakete nicht an die OPNsense weitergeleitet, die für VoIP benötigt werden. Mit so einer Konstellation sind dann auch keine Handstände mit Portforwarding oder ähnlichem notwendig.
 

132

German - Deutsch / Re: OPNsense an VodafoneDSL

« on: December 19, 2021, 04:56:34 pm »

Und hier noch die Outbound-NAT-Rules

133

German - Deutsch / Re: OPNsense an VodafoneDSL

« on: December 19, 2021, 04:56:07 pm »

Weiter gehts

134

German - Deutsch / Re: OPNsense an VodafoneDSL

« on: December 19, 2021, 04:55:39 pm »

Und noch meine opnsense-Settings.

Wenn du aus deinem internen Netz auf das Modem zugreifen können willst, musst du dafür dem WAN-Interface nicht nur einen pppoe-Adapter verpassen, sondern auch eine IP-Adresse. Zudem benötigst du noch ne Outbound-NAT-Regel (Firewall -> Nat -> Outbound NAT). Nur mit dieser Regel kann das Modem die Pakete zurück in dein internes Netz schicken.

135

German - Deutsch / Re: OPNsense an VodafoneDSL

« on: December 19, 2021, 04:51:14 pm »

Hier mal meine DrayTek Vigor 130 Settings.

Ich denke bei dir passt nicht alles.

Firmware-Version ist bei mir irgendwas mit 3.7....