*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Darf man hier auch Fragen zu Wireguard stellen, wenn's OPNsense betrifft?
Nach ein paar "blutigen" Stunden/Tagen läuft OPNsense nun so, wie ich will/wie es für mich passt.
Die letzte Stufe wäre jetzt noch eine VPN-Verbindung, damit ich von unterwegs (Hauptsächlich um im Urlaub die iPhone-Fotos auf's TrueNAS sichern zu können) auf mein Heimnetzwerk zugreifen kann.
Ein paar Anleitungen habe ich schon überflogen - was aber noch nicht so ganz klar ist wäre:
- Client-Peer - muss man dies für jedes Endgerät separat anlegen, oder nur pro Benutzer?
- Tunnel-Adresse - ist dies dann einfach der gesamte IP-Bereich meines Heimnetzwerks?
Mehr Fragen kommen sicher noch, wenn ich das Einrichten "versuche"!
;-)
Danke!
LG
Nach ein paar "blutigen" Stunden/Tagen läuft OPNsense nun so, wie ich will/wie es für mich passt.
Die letzte Stufe wäre jetzt noch eine VPN-Verbindung, damit ich von unterwegs (Hauptsächlich um im Urlaub die iPhone-Fotos auf's TrueNAS sichern zu können) auf mein Heimnetzwerk zugreifen kann.
Ein paar Anleitungen habe ich schon überflogen - was aber noch nicht so ganz klar ist wäre:
- Client-Peer - muss man dies für jedes Endgerät separat anlegen, oder nur pro Benutzer?
- Tunnel-Adresse - ist dies dann einfach der gesamte IP-Bereich meines Heimnetzwerks?
Mehr Fragen kommen sicher noch, wenn ich das Einrichten "versuche"!
;-)
Danke!
LG
Soo, just in dem Moment ist auch mein Glasfaseranschluss (500 Mbit down, 100 Mbit Upload) geschaltet worden. Ich betreibe meine OPNSense auf einer Sophos XG 105 (Intel Atom E3930).Danke für die Antwort. Die Fritzbox Bleibt aber in der alten Wohnung. Ich brauch sowieso ein neues Modem, deswegen stellt sich für mich die Frage, was der beste Weg ist.
Ok. also reicht sowas wie ein Celeron locker aus. Gut zu wissen
PPPoE und Trafficshaping gehen bis so ca 480 MBit, könnte mir aber auch vorstellen dass da mehr geht.
Wireguard kann ich leider schlecht testen, aber aus Erfahrung sollte es da kein großartiges Bottleneck geben, zumindest mit wireguard-kmod. Siehe: https://forum.opnsense.org/index.php?topic=20978.msg106200#msg106200
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
Wie sieht es an dem Anschluss mit dem Bufferbloat jeweils mit und ohne Trafficshaping aus?
Hol dir doch einfach für ein paar Stunden einen Hetzner CPX11 und installiert dort WireGuard und iperf3, dann kannst du nach Herzenslust benchen. So ein Teil kostet unter 1 Cent pro Stunde.
Wie @******* schon sagt, scheinbar haben die Webseiten Probleme mit den Geschwindigkeiten mitzuhalten. Z. B. sind die 329 bis 391 MBit von Waveform nicht real, da fehlt ein ordentliches Stück. DSLReport ist da ein wenig näher dran, aber da fehlt immer noch was. Habe die Tests auch mehrfach ausgeführt, keine großartigen Schwankungen. Kann aber natürlich auch das Peering der Telekom sein.
Wenn ich ohne Shaping ein Download starte (Usenet z. B.) zieh ich bis zu 540 Mbit aus der Leitung.
Hab aber trotzdem mal das Waveform Tool und DSLReports laufen lassen:
Mit Trafficshaping (500/100Mbit, fq_codel)
Ohne:
Ich miete mir für ein Test doch nicht extra einen kostenpflichten Server an. Ich hab aber mal schnell was gebaut und bekomme mit meinen Laptop über WLAN (Aber immerhin WLAN 6) um die 300 Mbit durch, da ist die Firewall aber von der CPU Auslastung her aber auch am Anschlag.
Der Intel E3930 ist halt nicht mehr das neueste. Bin aber erstaunt wie gut er PPPoE unter BSD handelt, das soll ja notorisch langsam sein, da singlethreaded. Ich hab aber auch die Spectre und Meltdown Mitigation bei mir abgeschaltet und ein paar andere Optimierungen durchgeführt, hauptsächlich Anpassungen der RX/TX Queues und ein paar andere Sachen die mir nicht mehr einfallen
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
Du kannst ja mal den Shaper auf 200 / 40 einstellen und schauen, ob der Bufferbloat dann auf etwa 5 ms fällt. Wenn nicht, spräche viel dafür, dass der Shaper nicht richtig arbeitet.
Fällt sogar noch weiter:
fq_codel setze ich aber schon länger mit meiner DSL Leitung ein, da funktionierts auch perfekt.
Ach guck mal einer an, aus jux nochmal ein Test mit den alten Einstellungen gemacht und das sieht (abgesehen vom Uploadspeed) doch gut aus:
Das deckt sich auch mit meinen Erfahrungen von gestern Abend, Fullspeed Download und Latenz ist im Teamspeak um maximal 4ms gestiegen.
fq_codel setze ich aber schon länger mit meiner DSL Leitung ein, da funktionierts auch perfekt.
Beitrag automatisch zusammengeführt:
Ach guck mal einer an, aus jux nochmal ein Test mit den alten Einstellungen gemacht und das sieht (abgesehen vom Uploadspeed) doch gut aus:
Das deckt sich auch mit meinen Erfahrungen von gestern Abend, Fullspeed Download und Latenz ist im Teamspeak um maximal 4ms gestiegen.
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
@asche77, umso mehr Bandbreite man opfert umso niedriger wird die Latenz unter Last:
FQ-PIE hab ich zwar noch nicht selbst ausprobiert, aber ich hab meine Zweifel, ob es tatsächlich mit FQ-CoDel oder CAKE mithalten kann. Der augenscheinlich höhere Durchsatz wird einfach anderen Standardeinstellungen geschuldet sein.
FQ-PIE hab ich zwar noch nicht selbst ausprobiert, aber ich hab meine Zweifel, ob es tatsächlich mit FQ-CoDel oder CAKE mithalten kann. Der augenscheinlich höhere Durchsatz wird einfach anderen Standardeinstellungen geschuldet sein.
Speeddeamon
Urgestein
So ihr lieben, nun steht meine grobe netzkonfiguration.
Stand jetzt:
OPNSense ist per Kupfer Richtung Internet (WAN)
dann 2mal per Fiber an Core Switch per LAGG
Unda darauf laufen jetzt die VLANs drüber
VLAN 01 (LAN)
VLAN 02 (Guest)
VLAN 03 (Smart Home)
VLAN 04 (Devices)
VLAN 05 (DMZ)
Jetzt soll es dann an die Regeln gehen.
Die funktionieren hier wohl offensichtlich etwas anders?
Normalerweise ist es doch so das ich anfange und sage
Ich wähle das quell interface aus, (also von wo soll ein packet)
dann quell ip/gruppe/whatever (welches gerät genau)
quell protokoll
quell port (über welchen port ausgehend)
dann Ziel IP/gruppe/whatever (wohin soll es gehen)
ziel Port (über welchen port eingehend)
Nun OPNSense,
es scheint als dass ich IMMER aus sicht des Interfaces konfigurieren welches ich auswähle.
Und dann "wohl" hauptsächlich eingehend?
Also zum beispiel LAN Richtung OPNSense?
- Wie lege ich denn dann regeln an in denen ich zum beispiel sage ich möchte vom LAN nur bestimmte geräte zu bestimmten geräten in der DMZ lassen
- oder Smart Home soll gar nicht raustelefonieren dürfen.
- nur LAN darf richtung Smart Home
usw usf.
Hat da jemand mal ein paar beispiele wie man das jetzt hier anlegt? Ich werd nicht ganz schlau aus der Syntax ^^
Und wie definiere ich hier eigene Objekte oder Gruppen die ich dann in die Regeln einbauen kann um nicht immer alles händisch einzugeben.
Sprich gerät a aus LAN soll zu diversen geräten in DMZ (in dem fall also eine gruppe an hosts oder wie auch immer es hier dann heißt)
Danke schonmal vorab xD
Oh und hat jemand sich näher mti dem HArdware offloading auseinandergesetzt?
Es gibt wohl die direkte Settings Seite, man kann wohl aber auch einiges über Tunables erreichen?
Wie würdet ihr es machen? Kann man über Tunables dann vielleicht dennoch IDS nutzen? (soll ja vor einschalten alles deaktiviert werden)
- Vor allem das VLAN Offloading würde mich schon interessieren, macht es doch sinn das die Physik das gleich auseinanderzwirbelt und nicht erst die Software das außeinanderhalten muss...
Stand jetzt:
OPNSense ist per Kupfer Richtung Internet (WAN)
dann 2mal per Fiber an Core Switch per LAGG
Unda darauf laufen jetzt die VLANs drüber
VLAN 01 (LAN)
VLAN 02 (Guest)
VLAN 03 (Smart Home)
VLAN 04 (Devices)
VLAN 05 (DMZ)
Jetzt soll es dann an die Regeln gehen.
Die funktionieren hier wohl offensichtlich etwas anders?
Normalerweise ist es doch so das ich anfange und sage
Ich wähle das quell interface aus, (also von wo soll ein packet)
dann quell ip/gruppe/whatever (welches gerät genau)
quell protokoll
quell port (über welchen port ausgehend)
dann Ziel IP/gruppe/whatever (wohin soll es gehen)
ziel Port (über welchen port eingehend)
Nun OPNSense,
es scheint als dass ich IMMER aus sicht des Interfaces konfigurieren welches ich auswähle.
Und dann "wohl" hauptsächlich eingehend?
Also zum beispiel LAN Richtung OPNSense?
- Wie lege ich denn dann regeln an in denen ich zum beispiel sage ich möchte vom LAN nur bestimmte geräte zu bestimmten geräten in der DMZ lassen
- oder Smart Home soll gar nicht raustelefonieren dürfen.
- nur LAN darf richtung Smart Home
usw usf.
Hat da jemand mal ein paar beispiele wie man das jetzt hier anlegt? Ich werd nicht ganz schlau aus der Syntax ^^
Und wie definiere ich hier eigene Objekte oder Gruppen die ich dann in die Regeln einbauen kann um nicht immer alles händisch einzugeben.
Sprich gerät a aus LAN soll zu diversen geräten in DMZ (in dem fall also eine gruppe an hosts oder wie auch immer es hier dann heißt)
Danke schonmal vorab xD
Oh und hat jemand sich näher mti dem HArdware offloading auseinandergesetzt?
Es gibt wohl die direkte Settings Seite, man kann wohl aber auch einiges über Tunables erreichen?
Wie würdet ihr es machen? Kann man über Tunables dann vielleicht dennoch IDS nutzen? (soll ja vor einschalten alles deaktiviert werden)
- Vor allem das VLAN Offloading würde mich schon interessieren, macht es doch sinn das die Physik das gleich auseinanderzwirbelt und nicht erst die Software das außeinanderhalten muss...
Speeddeamon
Urgestein
Okay Cool, das ist eine ziemliche kurze aber gut Verständliche erklärung. Damit kann ich was anfangen
Danke Dir!
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 328
Hallo, ich hab auch nochmal ein OPNSense Thema, man findet zwar ganz gut viele ANleitungen/Erklärungen/Tutorials für IPv6 am WAN Anschluss, jedoch sind diese alle (zumindest gefühlt) darauf ausgelegt, dass ich am WAN Interface eine IPv6 per DHCPv6 bekomme und dann per TRACK Interface am LAN verteilen kann.
Jedoch habe ich hier an meinem ANschluss einen fixen IPv6 /64 Prefix und eine Gatewayadresse. Am WAN habe ich es nun am laufen ich habe mir die ::2 aus dem Prefix genommen ( ::1 ist der Gateway) und kann vom WAN aus die ::1 erreichen und von einem anderen Anschluss aus nach Erstellen einer ALLOW Regel von ICMPv6 auch die ::2.
Soweit funktioniert das jetzt alles. Aber wie kriege ich dieses PRefix nun ins LAN?
Lt. Tutorials soll man am LAN Interface TRACK als IPv6 Adressart auswählen - TRACK steht aber bei static IPv6 am WAN nicht zur Verfügung....
Ich glaube ich habe nur irgendwo einen Denkfehler, aber ich komm nicht drauf wo?
Jedoch habe ich hier an meinem ANschluss einen fixen IPv6 /64 Prefix und eine Gatewayadresse. Am WAN habe ich es nun am laufen ich habe mir die ::2 aus dem Prefix genommen ( ::1 ist der Gateway) und kann vom WAN aus die ::1 erreichen und von einem anderen Anschluss aus nach Erstellen einer ALLOW Regel von ICMPv6 auch die ::2.
Soweit funktioniert das jetzt alles. Aber wie kriege ich dieses PRefix nun ins LAN?
Lt. Tutorials soll man am LAN Interface TRACK als IPv6 Adressart auswählen - TRACK steht aber bei static IPv6 am WAN nicht zur Verfügung....
Ich glaube ich habe nur irgendwo einen Denkfehler, aber ich komm nicht drauf wo?
Zuletzt bearbeitet:
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 328
Drecks IPv6, ich fühl mich zu alt für sowas 😅
Was mache ich denn mit einem 64er Prefix? Lt. Unterlagen habe ich auch nur dieses 64er.
Ziel war eigentlich DualStack am WAN zu bauen
Was mache ich denn mit einem 64er Prefix? Lt. Unterlagen habe ich auch nur dieses 64er.
Ziel war eigentlich DualStack am WAN zu bauen
Track Interface geht nur mit DHCPv6, da sich die Sense darüber die IP Adresse und zusätzliche Präfixe holt. Das geht bei einer statischen Zuweisung natürlich nicht.
mein RZ Setup sieht so ähnlich aus. Nur 1x 64er standardmäßig zugewiesen. Hab dann beim Support ein zusätzliches /48 angefragt um Routing zu ermöglichen. Wurde mir dann auch eingerichtet, das /48 ist auf die ::2 vom ursprünglichen /64 geroutet. Funktioniert so seit Jahren einwandfrei.
mein RZ Setup sieht so ähnlich aus. Nur 1x 64er standardmäßig zugewiesen. Hab dann beim Support ein zusätzliches /48 angefragt um Routing zu ermöglichen. Wurde mir dann auch eingerichtet, das /48 ist auf die ::2 vom ursprünglichen /64 geroutet. Funktioniert so seit Jahren einwandfrei.
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
Die entsprechenden Patches hab ich schon seit ein paar Monaten via System / Patches eingespielt, aber die sind wie gesagt leider nur eine halb gare Notlösung:
Die Hoffnung auf einen anständigen Fix in absehbarer Zeit hab ich mittlerweile aufgegeben.
Die Hoffnung auf einen anständigen Fix in absehbarer Zeit hab ich mittlerweile aufgegeben.
Habt ihr den Stromverbrauch von euren Firewalls mal überprüft?
Micht würde das einfach mal interessieren.
Hier mal von meinem Dell R210II mit Xeon E1220 und 8GB RAM - zwischen 30 - 40 W
Aktuell sind keine VLANs aktiv, da einiges umgebaut werden soll.
Aber ich lade gerade (ab ca 19:20 Uhr) eine Testfile inkl. VPN (OpenVPN-Protokoll) mit 21MB/s
Ich überlege mir gerade neue Hardware für die Firewall anzuschaffen, aber senkt sich der Verbrauch merklich?
Micht würde das einfach mal interessieren.
Hier mal von meinem Dell R210II mit Xeon E1220 und 8GB RAM - zwischen 30 - 40 W
Aktuell sind keine VLANs aktiv, da einiges umgebaut werden soll.
Aber ich lade gerade (ab ca 19:20 Uhr) eine Testfile inkl. VPN (OpenVPN-Protokoll) mit 21MB/s
Ich überlege mir gerade neue Hardware für die Firewall anzuschaffen, aber senkt sich der Verbrauch merklich?
Das stimmt, aber ich wollte das ein wenig vergleichen.
Wenn das unterm Strich nur ±5W auswacht, dann kann ich es auch lassen
Meine pfSense auf Basis eines Supermicro A1SRi-2558F zieht konstant 20W. Verbaut sind 2 RAM-Module und 2 SSDs.
Fujitsu D3643-H
Intel Core i7 9700K
2x8GB RAM
120GB SSD
Intel X520 DA2 10G NIC
2x Noctua 40mm Lüfter
160W Pico PSU
~16-17 Watt
ohne 10G NIC: ~9 Watt (nur aus Gedankenprotokoll, kann auch bisschen mehr sein, aber die 10G Karte braucht 6-8 Watt)
Intel Core i7 9700K
2x8GB RAM
120GB SSD
Intel X520 DA2 10G NIC
2x Noctua 40mm Lüfter
160W Pico PSU
~16-17 Watt
ohne 10G NIC: ~9 Watt (nur aus Gedankenprotokoll, kann auch bisschen mehr sein, aber die 10G Karte braucht 6-8 Watt)
Zuletzt bearbeitet:
Ich war über die 30-40 Watt beim R210II irgendwie positiv überrascht, aber wenn man diese Werte sieht....
Evtl. finde ich ja ein paar Teile bei ebay Kleinanzeigen. 19" Gehäuse habe ich hier noch rumfliegen.
Evtl. finde ich ja ein paar Teile bei ebay Kleinanzeigen. 19" Gehäuse habe ich hier noch rumfliegen.
Zuletzt bearbeitet:
ragnar440
Profi
- Mitglied seit
- 14.01.2021
- Beiträge
- 72
Was ist denn eKa?
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
@i-B4se, mein Qotom Mini PC Q800GE mit Intel Celeron 3867U (4 GB RAM, 500 GB SSD) zieht im Leerlauf knapp 8 W unter FreeBSD und gut 6 W unter Linux.