Ist das normal?

Started by sfr, November 17, 2023, 09:00:54 AM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
November 17, 2023, 09:00:54 AM
Als "OpnSense Anfänger" würde mich interessieren, ob meine erste Erfahrung normal ist und ich einfach "da durch" muss, oder ob sie ungewöhnlich ist.

Also:
- gekauft: HUNSN RJ24, Intel Core I3 1215U, AES-NI, 6 x Intel 2.5GbE I226-V, HDMI, DP, USB3.2, Type-C, TF, 16G RAM, 128G SSD
- eigentlich wollte ich erst Proxmox und darunter OpnSense, und anderes. Aber zum "Spielen" erstmal bare metal installiert...
- also opnsense installiert und firmware aktualisiert: version 23.7.8_1
- aktuell (wegen Test und zu Lernen) hinter anderem Router. (Später: router in den bridge-mode, kein doppel NAT)
- Wizard durchlaufen, WAN, LAN, + 1 weiteres interface anlegt. Standard DNS, Auto rules in firewall, keine Routen.

Schaue ich in die Logs (default log levels), sehe ich jede Menge Fehler. Unbound und Web UI crashes. Mehrfach täglich. Also jedesmal per SSH das Web UI neu starten. Dann über UI auch Unbound. Temperatur vor crashes bei 35 °C (IR Thermometer). Nach crash bei 65°C. Nach Neustart der beiden Prozesse geht temp allmählich wieder auf 35°C. Bis zum nächsten Crash. Und ja: erst der Crash, dann steigt langsam die temp.

Dann schlauen Tip zu bestimmten log-Einträgen irgendwo gefunden: CPU opcode aktualisieren. Ok, gemacht. Und tatsächlich: Web UI crasht nicht mehr. Super. Unbound aber weiterhin.

Was für ein Gefrickel! Und ich hab noch nicht mal mit der eigentlichen Konfiguration der Firewall begonnen. Aber wozu auch: das Grundlage ist ja nicht mal stabil. Hatte eigentlich erwartet, dass, selbst wenn ich irgendeinen Mist im UI konfiguriert hätte, doch trotzdem die core prozesse nicht abschmieren.

Ich frag jetzt nicht: was ist das Problem und was die Lösung, denn ich möchte niemandem die Analyse und Lösungsfindung zumuten. Noch dazu ohne wirkliche Details. Und ich fasse mir auch gern an die eigene Nase: Warum hab ich keine "out of the box" firewall gekauft?

Aber ich würde gern wissen: hey, ist das normal zu Beginn?
November 17, 2023, 09:38:16 AM #1
Das ist nicht meine Erfahrung. Ich lasse die OPNsense ebenfalls auf einer HUNSN Hardware (Intel(R) Core(TM) i5-8265U, 6x Intel I210, 16 GB RAM, 80 GB SSD) von Proxmox 8 virtualisiert laufen und ich habe/hatte nie solche Probleme.
November 17, 2023, 10:05:13 AM #2
Ich hatte ebenfalls noch nie solche Probleme, weder auf Blech noch in VM.
Einziges Problem was ich jemals mit OPNsense hatte war eine defekte mSATA SSD, wodurch die Installation schon schleppend lief.
Ansonsten ist meine Erfahrung: Installation und schon bertriebsbereit.
i am not an expert... just trying to help...
November 17, 2023, 10:07:32 AM #3
Doch, diese Probleme sind bei Alder Lake leider sehr real.

Kurze Antwort an @sfr: Ja, Du hast eine China-Box - weitgehend ohne Support - der neuesten Generation gekauft, bei der Intel leider mit der auch für sie neuen NUMA-Architektur Bugs schon in der CPU hat, die nur per Microcode-Update beseitigt werden können.

Das ist offensichtlich nicht die Schuld von OpnSense und ja, Du hättest das Problem durch Kauf von besser unterstützter Hardware vermeiden können (z.B. Deciso, Protectli). Drawback: höherer Preis bzw. niedrigere Leistung. Es zeigt sich die alte Regel: Du kannst den Kuchen nicht essen und behalten.

@sbellon: Glück gehabt, da Deine CPU schon vor fünf Jahren vorgestellt wurde und bei der die Microcodes bis auf Security-Updates schon etwas "gereift" sind. Dafür ist sie auch nur halb so schnell wie die von @sfr.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 440 up, Bufferbloat A+
November 17, 2023, 10:13:22 AM #4
@meyergru: Das hat nix mit Glück zu tun, ich hab vor dem Kauf schon in den einschlägigen Foren recherchiert, ob die verbaute Hardware mit Proxmox und OPNsense funktioniert. Und die Tatsache, dass die Hardware nicht bleeding edge ist, erklärt sich auch ganz einfach: sie ist nicht neu sondern schon Jahre im Einsatz. Und für meine Zwecke (Proxmox virtualisiert OPNsense, Pi-hole, Unifi Controller und Proxmox Backup Server) ist sie mehr als ausreichend dimensioniert.
November 17, 2023, 10:17:41 AM #5
Ich meinte das nur auf Deine Bemerkung "Ich hatte ebenfalls noch nie solche Probleme, weder auf Blech noch in VM." - wie man sieht, kann einem das passieren. Bei den China-Boxen wird eben immer die aktuellste Bananenware verbaut - wer sich da nicht auskennt, kann halt Pech haben. Und oft genug treten die Probleme erst Monate nach dem Launch auf.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 440 up, Bufferbloat A+
November 17, 2023, 10:23:47 AM #6
Die Bemerkung "Ich hatte ebenfalls noch nie solche Probleme, weder auf Blech noch in VM." kam nicht von mir ...
November 17, 2023, 10:31:43 AM #7 Last Edit: November 17, 2023, 10:33:48 AM by meyergru
Entschuldige: "Das ist nicht meine Erfahrung." meinte ich, was im Endeffekt das Gleiche ist. Durch Deinen und tiermutters Beitrag entstand der Eindruck, es gäbe gar kein Problem. Und das tut es im konkreten Fall.


Ich zielte nur auf den Unterschied ab: Je nach "Glück" bei der Hardware kann die Erfahrung sehr unterschiedlich ausfallen. @sfr hat eben "Pech" gehabt - fraglich, ob man das durch Recherche vorab hätte vermeiden können.

Ich will ja nur sagen: Viele Anfänger ärgern sich lautstark über OpnSense, weil es zu kompliziert ist, bzw. weil Ihre Erfahrung damit schlecht ausfällt. Oft genug sind es die mangelnden Kenntnisse der Delinquenten, nicht OpnSense. Ich bin einer der Ersten, die dann dazu auffordern, die Kirche im Dorf zu lassen, wenn wieder jemand lospoltert.

Trotzdem kann die Erfahrung insgesamt schlecht ausfallen - wie in diesem Fall sogar ohne Schuld von OpnSense und ohne eigene Dummheit.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 440 up, Bufferbloat A+
November 17, 2023, 10:55:44 AM #8
Ok, das ist eine Basis, auf die ich mich uneingeschränkt mit dir einigen kann. :-)
November 17, 2023, 12:34:24 PM #9
Vielen Dank für die schnellen und zahlreichen Antworten.

Grad gesehen: C States waren auch disabled... strange. Ich auch gleich mal, ob ich auf der Seite von HUNSN irgendwelche BIOS/EFI updates finde. (Das aktuelle ist vom 1 April. Kein Witz.) Vielleicht hilft es ja...

Interessanterweise ist die Verkaufsseite bei A..... für dieses spezielle Produkt inzwischen offline. hmmm...

Also: Danke schön! =8^)
November 17, 2023, 01:15:10 PM #10 Last Edit: November 17, 2023, 01:18:56 PM by meyergru
Ich fürchte, das wird nichts bringen. Hast Du dies schon gemacht? Läuft Dein System jetzt stabil oder nicht?

Falls nein: Versuch es mal. Danach oder falls ja: Bitte finde mal die CPUID heraus und schau, welche Microcode-Version Du aktuell hast. Wir hatten gerade den Fall, dass selbst die bei FreeBSD vorhandenen Microcode-Versionen nicht aktuell genug waren - das war aber eine andere CPU aus der selben Generation.

Trotzdem könntest Du die "early loading" Variante mit einer geänderten intel-ucode.bin versuchen, siehe hier.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 440 up, Bufferbloat A+
November 17, 2023, 02:24:04 PM #11
Mein Senf dazu: Falls man keine Lust auf Experimente hat, dann kauft man bei einer zweckbestimmten Appliance wie OPNsense die Hardware passend zur Software. Falls man gerne bastelt darf es gerne auch etwas anderes sein (mache ich auch manchmal), dann sollte man aber seine Erwartungen entsprechend anpassen.

Grüße
Maurice
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
November 17, 2023, 02:47:10 PM #12
Microcode ist aktualisiert (auch bei Neustart) und aktuell "42c". Seit der Aktualisierung läuft ja auch das WEBui stabil. (Hatte genau diesen Beitrag im Forum gefunden)

Etwas seltsam die Ausgabe von x86info. Vielleicht weil es die CPU noch nicht kennt? Vermutlich werden die "performance cores" nicht reported...

x86info:
Found 8 identical CPUs
CPU Model: Unknown Model
Processor name string (BIOS programmed): 12th Gen Intel(R) Core(TM) i3-1215U
...
Microcode Version: 0x000000000000042c
...
This system has 1 quad-core processor with hyper-threading running at estimated 2.5 GhZ

-

@Maurice: na klar. Bastele gern. Schon immer. (Als "alter Sack" zuerst am Odner Arithmometer, dann mit ZX81 mit 32KB Speichererweiterung per Klettband am hinteren "port". Jetzt gern ESP-12. Großer Spaß. ). Wollte ja auch nur wissen, ob meine erste Erfahrung mit dem "Nebenprojekt Firewall") komplett daneben ist.
November 17, 2023, 03:06:27 PM #13
@sfr Ich würde sagen, deine erste Erfahrung ist stark Hardware-spezifisch. Habe vergleichbares in sechs Jahren OPNsense nicht erlebt, verwende dafür aber auch nur gut abgehangene Hardware und zudem Virtualisierung. Mein Ansatz ist, dass OPNsense selbst genug Baustellen hat, da muss ich mich nicht auch noch mit den Problemchen von Bleeding Edge-Hardware herumschlagen. Das dürfen die FreeBSD-Leute machen.

Auf einem ZX81 wird es aber eher nicht laufen. 😁

Viel Erfolg noch!
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
November 17, 2023, 03:08:37 PM #14
Quote from: sfr on November 17, 2023, 02:47:10 PM
Etwas seltsam die Ausgabe von x86info. Vielleicht weil es die CPU noch nicht kennt? Vermutlich werden die "performance cores" nicht reported...
Das ist gut möglich, Bekannter von mir hatte das selbe Problem mit einem MiniPC mit ganz aktueller CPU, war aber ein anderer Hersteller als deiner, aber selbe CPU.

Lösung: leider nein, mein Bekannter hatte den MiniPC zurück geschickt und gehen einen andere von Protectli ausgetauscht, der ne ältere CPU hat aber dafür stabil und fehlerfrei läuft.

Das ist aber genau der Punkt, warum es nicht immer sinnvoll ist, die neuste Hardware zu nehmen, dazu hatte ich letztens schon eine Diskussion mit jemanden.
Print
Go Up Pages1 2
User actions