Messages

136

German - Deutsch / Re: Noob braucht Hilfe bei Hardwareauswahl

« on: March 28, 2018, 11:06:18 pm »

Bezüglich des "Shapings":

Ich vermute mit "Qeues" wurdest du auf QoS / ToS verwiesen.
QoS / ToS ist tricky... Und nicht sehr intuitiv.

Der Grundgedanke dahinter ist das du jedem Paket das dein Netzwerk durchläuft eine Priorität gibst.
Je nach Priorität werden die Pakete dann bevorzugt behandelt oder halt bei drohender congestion / sättigung auch mal ein paar nanosekunden länger liegen gelassen.

Jedes Gerät zwischen dir und dem Ziel (Switch, Router, etc) muss etwas mit dieser Priorität anfangen können und ist auch nicht dazu verpflichtet sich daran zu halten.

Innerhalb von einem Netzwerk funktioniert das auch ganz gut, sofern man alle Geräte administriert und korrekt konfiguriert.
In dem durchschnitts-daheim-LAN (5 - 7 User  ) merkt man das nicht.

Das Ganze gilt aber nur bis zu deiner Netzwerkgrenze (WAN, Upstream). Deinen Provider wird es nicht interessieren für wie wichtig du welches Paket hältst (Stichwort: "best effort"). Deine gesetzten Prioritäten werden verworfen oder umgeschrieben sobald sie deinen Router Richtung ISP verlassen.

Umgekehrt wirst du auch keine Prioritäten in den Paketen von deinem Provider finden (WAN, Downstream). Die müsstest du selbst setzen.
Dazu bräuchtest du Informationen über die Netzbereiche auf denen die Spieleserver liegen und/oder deren Ports. Diese Informationen zuverlässig zu beschaffen ist schwieriger als es klingt.

Um die Latenz von meinem LAN in's Internet akzeptabel zu halten und Sättigung der Bandbreite zu vermeiden halten verwende ich shaping:
https://wiki.opnsense.org/manual/how-tos/shaper.html

Spezieller: "Share bandwidth evenly". Damit ist sichergestellt, das nicht die gesamte Downstreambandbreite von einem einzelnen Host ausgelastet werden kann.
Somit kann ich in Ruhe Updaten, nebenher Netflix schauen und die Latenz steigt nur minimal.

Mal eine Frage am Rande: wie willst du denn die Internetanbindung genau realisieren (welcher Provider, welches Modem, ...)?

Es geht eher weniger um deine Downstreambandbreite sondern mehr um deinen begrenzten Upstream. Wenn mehrere PCs gleichzeitig TCP Verbindungen offen halten. Und dort viel Traffic fließt, dauert es nicht lange und du bekommst Probleme mit Echtzeitanwendungen wie VOIP.
Die Pakte müssen von dir aus gesehen Priorisiert werden, weil du den begrenzten Upload hast.

Ob sie im Providernetz priorisiert werden oder nicht spielt keine Rolle für dich, weil du den kleinsten Flaschenhals in der Kette hast. Dein Provider wird ohnehin VOIP auf allen seinen Links und Switchen Priorisieren, sonst könnte er nämlich die Dienstgüte und Verfügbarkeit seines Telefondienstes nicht gewährleisten.

137

German - Deutsch / Re: Designfrage für neues Netz

« on: March 27, 2018, 12:22:13 am »

Sollte so machbar sein, wie du dir das gedacht hast. Das mit dem Firmwareupgrade ist natürlich ein Argument. Du solltest nur im Produktivbetrieb darauf achten das die Routen von deinen Uplinks immer auf die CARP IP zeigen. Und im jeweiligen VLAN das gleiche. Sonst funktioniert das Failover nicht.

138

German - Deutsch / Re: Designfrage für neues Netz

« on: March 26, 2018, 06:08:42 am »

Wenn die Uplinks am gleichen WAN Router sind kannst du dir viel Arbeit ersparen indem du nur eine OPNsense Firewall benutzt. Ohne CARP.

139

German - Deutsch / Re: PBX-Plugin

« on: March 26, 2018, 06:06:18 am »

Naja, das es keine gute Idee ist, auf einer Firewall eine Vollwertige PBX laufen zu lassen, mal den Sicherheitsaspekt beiseite gelassen ist der, dass eine Vollwertige PBX zuallererst auch andere Dienste bereitstellt.
z.B. vollwertiges Endgerätemanagement, das heißt, Boot und Konfigurationsserver (DHCP, DNS, TFTP) sowie einen Datenbankserver für die Konfiguration sowie LDAP für ein Zentrales Telefonbuch.

Mal angenommen es gäbe für OPNsense Asterisk als Plugin, was alleine schon an Integrationsarbeit in die Weboberfläche und ins Konfig Management, eine Arbeit von mehreren Monaten wäre. Würde es nicht lange dauern und es gäbe Featurerequests in diese Richtung, diese oben genannten Features nachzureichen.

Indem Falle wäre sogar einfacher gleich direkt eine eigenständige PBX Distribution aus dem Boden zu Stampfen. Die eben nur eine Telefonanlage bereitstellt und einfach zu konfigurieren wäre.

Leider gibt es großartige keine OpenSource PBX Distributionen mehr, da die meisten alle Kommerzialisiert sind.
Dazu gehört meiner Meinung nach auch FreePBX. Sie wird zwar von vielen genutzt aber nur weil es keine alternativen gibt. Und FusionPBX ist zwar ohne Vorbehalte Frei verfügbar, aber ebenso schwer zu konfigurieren, selbst wenn man eine Anleitung hat. Das Freeswitch Wiki ist leider auch nicht wirklich gut Dokumentiert.

Wer Asterisk und Freeswitch über die Konfigurationsdateien konfigurieren kann, der braucht natürlich keine GUI, aber für alle die ihre FritzBox los werden wollen ist das wiederum keine Lösung. Eben sowenig eine Mobydick von Pascom.

Nun zu den Sicherheitsaspekten, würde Asterisk auf OPNsense als Plugin vorhanden sein, gäbe es irgendwann hier im Forum lauter Beschwerden, gehackt worden zu sein etc. Da Chan_SIP und PJ_SIP leider noch nicht ausgreift sind in Public Netzwerken zu lauschen. Und für Chan-SIP existieren Mittlerweile Scripte um Automatisiert Buffer Overflows zu erzeugen und dessen Sicherheitslücken sind ja nun weit bekannt. PJSIP soll ja in Zukunft CHAN_SIP ersetzen, ist aber leider noch nicht so ausgereift das es wirklich funktioniert.

Bei FreeSwitch gibt es diese Problematik nicht, aber dafür ist diese Software auch nicht so weit verbreitet. Es wurden dort zwar Dinge völlig neu bei der Programmierung durchdacht und dabei raus gekommen ist ansich eine gute Software, die aber leider etwas schlecht Dokumentiert ist und von Hand auch nur schlecht konfiguriert werden kann. Und leider Frisst FreeSwitch auch ziemlich viel CPU und RAM wenn man darüber viele Calls abwickeln möchte.

In FusionPBX ist Fail2Ban allerdings fest integriert. siehe hier

Man muss natürlich nicht mit dem von mir hier geschriebenen Meinungskonform gehen. Viele mögen auch eine andere Sichtweise auf die Dinge haben. Aber du kannst relativ gefahrlos Asterisk oder FreeSwitch hinter OPNsense mit dem Siproxd Plugin betreiben. Und das sollte ohnehin die einzige Aufgabe sein die eine Firewall wie OPNsense mit VOIP hat. Nämlich das Relayen von SIP und RTP. So findet zwar keine Direkte Komunikation mit den Provider Servern statt.

Aber auch eingehende Anfragen auf deine IP werden gar nicht an deine PBX weitergeleitet, sofern in Siproxd keine Information hinterlegt ist, das dies erwünscht ist. Angriffe enden also am Proxy ohne an die PBX weitergeleitet zu werden. Das heißt Ausländische Häcker könnten auch bei einem Konfigurationsfehler von Asterisk nicht teure Anrufe über deine Accounts leiten. Da Siproxd dich ja nicht bei deinem Provider registriert.

Villeicht wäre https://www.astlinux-project.org/ was für dich?

Bei Fragen bitte einfach wieder schreiben.

140

German - Deutsch / Re: [aufgelöst] VOIP Konfiguration bei lokalem Internet-Anbieter

« on: March 24, 2018, 10:35:43 pm »

Wow, sehr schön geschrieben!   

Das wird anderen dann auch helfen, die in den Thread schauen, selbst wenn es nur darum geht, sein Telefon über die OPNsense zum laufen zu bringen.

Ich werde deinen Blogbeitrag auch noch mal im gepinnten Post zu Siproxd verlinken. Damit er direkt gesehen wird.

141

German - Deutsch / Re: Telekom-DSL sehr langsam

« on: March 23, 2018, 10:38:29 am »

Allerdings: Ich habe die gleiche Host-Maschine mit nahezu gleich konfigurierter opnSense an meine "Zweitstandort" stehen, und die Host-Maschine ist mit ihren VMs eher höher belastet. Der einzige Unterschied ist der, dass ich hier einen PPPoE-Telekomiker-DSL-Anschluss 100/40 habe, der mir aktuell maximal 50/5 liefert, während ich in Schweden direkte Glasfaser 100/100 bis an den Switch habe, und dort erhalte ich reale 98/95 - und zwar HINTER der opnSense. Probleme mit dem Hyper-V würde ich deshalb nahezu ausschließen.

Bzgl. Schweden und die direkte Glasfaser, da wirst du das PPPoE Protokoll mit großer Wahrscheinlichkeit nicht benutzen, sondern du bekommst per DHCP deine öffentliche IP. Es geht sich ja in erster Linie nur um dieses Protokoll, denn Softwareadapter und deren Treiber haben gerade Windows (Hyper-V) => BSD (Gast) so ihre Eigenarten. Das mag bei TCP/UDP bei IPv4 und IPv6 nicht unbedingt auftreten, da sie dafür Optimiert wurden. PPPoE ist allerdings ein Tunnelprotokoll was sich gänzlich anders verhält und direkt auf L2 aufsetzt. Das gleiche gilt leider auch in Verbindung mit Proxmox, Proxmox (Linux KVM) und => BSD Gast , obwohl man meinen sollte das gerade bei Opensource Software alles Hand in Hand funktionieren sollte, ist es in diesem Fall traurig das es nicht so ist.

142

German - Deutsch / Re: Telekom-DSL sehr langsam

« on: March 23, 2018, 12:09:49 am »

Proportional nicht unbedingt, aber PPPoE ist auch nur ein Protokoll wie jedes andere. Mal eine andere Frage, hast du Qos bei der OPNsense konfiguriert? Du kannst nämlich deine Leitung auch damit richtig ausbremsen, auch wenn du nur den Upload mit Regeln versiehst. Und es gibt wohl diesbezüglich ein Problem mit Hyper-V.

Ich habe gerade auch leider keinen Hyper-V da um es selbst zu testen.

Ist zwar etwas älter aber könnte noch aktuell sein: https://forums.freebsd.org/threads/hyper-v-networking-poor-performance.49938/

Hat nicht viel mit FreeBSD zu tun, aber mit Hyper-V und Broadcom NICs: https://www.reddit.com/r/sysadmin/comments/2k7jn5/after_2_years_i_have_finally_solved_my_slow/

Ich weiß ja auch nicht ob du für das PPPoE Interface einen separaten Hyper-V vSwitch einsetzt, oder alles über einen Hyper-V vSwitch laufen lässt und auf einem L2 Switch dann erst trennst. Zwischen LAN und WAN. Es gibt so viele Möglichkeiten woran es liegen kann. Ich kann dir nur raten, das ein oder andere, mal zu testen. Und das Modem mal die PPPoE Einwahl machen zu lassen, sollte eigentlich eine Sache von Minuten sein, denn beim Zyxel Modem und bei der OPNsense kannst du jeweils die Konfiguration sichern und wiederherstellen.

143

German - Deutsch / Re: HDD Partition zu klein, vergrössern oder Neuinstallation?

« on: March 22, 2018, 11:59:18 pm »

Es kommt wie immer darauf an, was für dich letztlich am schnellsten zu bewerkstelligen wäre.

Ich würde dir raten, die Konfiguration zu sichern, und dann mit dem richtigen Image neuzuinstallieren. Evtl. vor dem einspielen deiner Konfig. noch Updaten und die vorher installierten Plugins installieren, falls du Plugins installiert hast natürlich nur.

Im anderen Fall kann es dir nämlich passieren, dass dir beim Resize die Partition flöten geht und du ebenfalls neu installieren musst.

Letztlich ist es wie ich am Anfang andeutete, es kommt drauf an was für dich am schnellsten geht.

144

German - Deutsch / Re: VOIP Konfiguration bei lokalem Internet-Anbieter

« on: March 21, 2018, 11:41:41 pm »

Der Techniker von TPP hat alles auf ihrer Seite geprüft und konnte den Fehler auch nicht finden. Mit dem Hinweis er möge doch mal bei dem Zulieferer anfragen, kam zurück, dass die meinte, es muss auch mit dem Gigaset funktionieren, da wäre nichts anderes einzustellen.

Also habe ich alles nochmal getestet und siehe da - ohne etwas an der Konfiguration zu ändern funktioniert es auf einmal ohne Fritzbox direkt mit dem Gigaset. Ein Schelm wer böses denkt. Die R-Kom hat hier sicherlich irgendeinen "Haken gesetzt" bzw. die Agent-Abfrage deaktiviert. Anders kann ich es mir jedenfalls nicht vorstellen.

Für mich ist das Thema gelöst, auch wenn ich nicht weiß, was es schlussendlich war.

Habe mir schon gedacht das, das so kommt. Wahrscheinlich wollten die auch keine Auseinandersetzung mit der Bundesnetzagentur. Jetzt müsstest du nur einen Bekannten bei dem gleichen Anbieter haben, der das Verifizieren kann das es nun auch ohne FritzBox geht. Und du damit kein Einzelfall bist, der freigeschaltet wurde. Aber Hauptsache es funktioniert jetzt so wie es soll.

Schlussendlich dürfte es tatsächlich am SIP UserAgent und dessen "Versions Header" (Fritz!Box + FWversion) gelegen haben, denn wenn es jetzt auf einmal mit den gleichen Zugangsdaten ohne Änderung geht, haben die einfach die Header Prüfung abgeschaltet.

Denn eine andere Möglichkeit gibt es einfach nicht, das eine Endgerät (FritzBox) zuzulassen, und ein Gigaset zu blocken. Mit den gleichen unveränderten Zugangsdaten.

145

German - Deutsch / Re: Telekom-VoIP mit Fritzbox 7490 hinter opnSense

« on: March 21, 2018, 02:59:19 am »

Lieber pichocki,

wenn du das Siproxd Plugin nutzen möchtest, dann musst du in der Firewall auch die Ports Freigeben, die zum Siproxd Plugin gehören. Ich weiß es gibt bisher noch keine vernünftige Anleitung dazu, die kommt aber noch.

Hier die Bilderanleitung zu Siproxd für die Telekom: Dropbox

Natürlich sind die IP-Netze in meiner Beispielkonfig auf deine Lokale Konfiguration anzupassen.
Und in den Accounts deiner Fritz Box musst du jetzt bei allen Rufnummern den Proxy und den Stun-Server entfernen. Dann sollte Telekom Telefonie auch funktionieren. Um NAT Traversal kümmert sich jetzt vollständig Siproxd, daher würden die Einstellungen in der FritzBox nur stören. Um die Werte in der FritzBox löschen zu können, musst du auf, Rufnummer bearbeiten gehen und im Auswahlfeld bei "Telefonieanbieter": "weitere Anbieter" auswählen, dann sollten die entsprechenden Einträge angezeigt werden.

146

German - Deutsch / Re: Telekom-DSL sehr langsam

« on: March 20, 2018, 12:21:15 am »

Tatsache es kommt nur die hälfte an. Gut bei Hyper-V gibt es ja nur 2 Typen von vNics, da schließe ich die Fehler jetzt mal aus. Hast du mal probiert das Zyxel Modem die PPPoE Einwahl machen zu lassen. Denn PPPoE ist nämlich so eine Sache gerade in VMs, wie ich am Wochenende selber herausgefunden habe.

Nur das bei mir nach ca. 30 min. die OPNsense VM auf Hyper-V abgeschmiert ist. Und ich nicht mal den Grund mangels Fehlermeldung rausfinden konnte. Nach dem ich dann das Modem PPPoE habe machen lassen, ist die OPNsense nicht mehr abgeschmiert.

147

German - Deutsch / Re: Telekom-DSL sehr langsam

« on: March 18, 2018, 04:48:53 am »

Nutzt du den Intel E1000 Netzwerkadapter oder VMX3 Treiber?

Und wie ist dein ESXi host mit dem Modem verbunden? Also HOST Netzwerkkarte.

Lade zur Überprüfung deiner Downloadgeschwindigkeit einfach ein großes ISO vom Netcologne Server:
https://mirror.netcologne.de/debian-cd/9.4.0-live/amd64/iso-hybrid/debian-live-9.4.0-amd64-cinnamon.iso

Denn bei "wieistmeineip.de" ist manchmal auch der Browser die Bremse, habe ich festgestellt.

148

German - Deutsch / Re: OpenVPN sehr langsam

« on: March 18, 2018, 04:37:01 am »

Bei OpenVPN liegt der Leistungseinbruch meistens an einer fehlerhaften Konfiguration der tun mtu und mss.

Natürlich kann es auch daran liegen, dass im "Netz" etwas den Datenverkehr drosselt. Was bei der Nutzung von UDP 1194 sehr wahrscheinlich sein kann. Und da du ja Kabelkunde bist, sogar sehr wahrscheinlich ist.

Ich rate dir erstmal einen anderen Port auszuprobieren. Bei einer Fehlerhaften tun mtu und mss hättest du zudem ein schön gefülltes Log. Beim Server sowie beim Client.

149

German - Deutsch / Re: ipv6 hinter Fritzbox

« on: March 16, 2018, 10:20:55 pm »

Aye, was Nicholas schreibt. Dass du /56 oftmals schlecht/nicht nutzen kannst liegt eher daran, dass die FB dann den kompletten /56er Bereich weiterrouten müsste und das AVM OS was Routing und IPv6 angeht noch sehr ... zu wünschen übrig lässt.

Ich habe es sogar falsch ausgerechnet.

ACHTUNG FALSCH: "Mit dem Präfix ist das ganz einfach, dein Provider hat dir eine Netzgröße von "/56" Bit zugeteilt. Bis "/64" Bit funktioniert IPv6 Autokonfiguration. Da du "/60" Bit Netzgröße genommen hast kannst du an der OPNsense jetzt 4 VLANs zu je "/64" Bit Netzgröße nutzen."

KORREKTUR:

Mit dem Präfix ist das ganz einfach, dein Provider hat dir eine Netzgröße von "/56" Bit zugeteilt. Bis "/64" Bit funktioniert IPv6 Autokonfiguration. Da du "/60" Bit Netzgröße genommen hast kannst du an der OPNsense jetzt 16 VLANs zu je "/64" Bit Netzgröße nutzen.

Mit dem vom Provider zugeteilten Prefix von /56 Bit könntest du immerhin 256 Netzwerksegmente adressieren.

@JeGr :  Ja das FritzOS ist leider ein Krampf was das angeht.

150

German - Deutsch / Re: VOIP Konfiguration bei lokalem Internet-Anbieter

« on: March 12, 2018, 11:13:26 pm »

Bei SIP ist es im Allgemeinen so, dass zumindest die Authentifizierungsrequests standardisiert sind.
Das Nummern wählen und Telefonieren, da macht jeder Provider allerdings sein eigenes Ding. So braucht die Telekom zusätzliche SIP Header etc. Aber Anmelden sollte sich eigentlich jedes Telefon können.

Also meiner Meinung nach wollen die nicht das andere Geräte ausser die FritzBox eine Verbindung aufbauen können.

Ich bin schon gespannt darauf was dabei rauskommt wenn sich dein Provider bei dir meldet. Wahrscheinlich sind die selbst noch nicht auf die Idee gekommen das ein Kunde sein Gigaset ohne die FritzBox da anmelden könnte/würde.