*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Vermutlich wegen dem Wireguard Kernel Modul.
Die haben ja neulich auch Tailscale implementiert, was auf Wireguard aufbaut. Wireguard läuft ja beim aktuellen Release immer noch im Userspace.
Edit2: Netgate hat gerüchteweise auch die erneute Kernel-Implementierung mitbezahlt, OPNsense kann sie einfach mitbenutzen. Quellen dazu kann ich nicht finden.
Zuletzt bearbeitet:
Mein letzter Stand ist noch, dass netgate das total verkackt hatte und Jason Donenfeld das selbst neu implementiert hatte (bspw. https://www.golem.de/news/vpn-wireg...sen-problemen-neu-in-freebsd-2103-154981.html) - gab es seitdem eine weitere Überarbeitung?
Wie gesagt, gerüchteweise hat Netgate auch Geld für die neue, gute Implementierung in die Hand genommen.
Hab gerade mal die pfSense CE 2.5.2-RELEASE vom 9. Juli 2021 installiert, Netgate schrieb seinerzeit:
Ebenfalls Kernel-Mode:
Und ich erinnere darüber hinaus, dass es das Add-On zuvor schon ne Weile selbst für den Vorgänger zu laden gab.
Ergo, pfSense hatte nie eine Userspace-Implementierung.
Merkt man beim Stromverbrauch einen Unterschied zwischen diesen beiden CPU's, wenn man sie für OPNSense nutzt!?
In meinem Anwendungsfall läuft der G5600 derzeit im Schnitt bei 0-4% CPU-Auslastung (zeitweise schnellt er mal für ein paar Sekunden auf 15-20% hoch).
Der I3-8100 hätte ja 4 Kerne - würde sich somit "leichter tun" und vermutlich dann auch nicht mehr Strom brauchen als der G5600 - oder ist das eine falsche Annahme!?
Danke!
LG
- Pentium Gold G5600 (3,9 GHz / 2C/4T / TDP 54W)
- I3-8100 (3,6 GHz / 4C/4T / TDP 65W)
In meinem Anwendungsfall läuft der G5600 derzeit im Schnitt bei 0-4% CPU-Auslastung (zeitweise schnellt er mal für ein paar Sekunden auf 15-20% hoch).
Der I3-8100 hätte ja 4 Kerne - würde sich somit "leichter tun" und vermutlich dann auch nicht mehr Strom brauchen als der G5600 - oder ist das eine falsche Annahme!?
Danke!
LG
OK. Wenn es Patche bzw. Security-Fixe auch für ältere Versionen noch gibt, dann ist das eh etwas anderes. Ich war in der IPFire-Denkweise. Da gibt es einfach nur neue Versionen.
PPPoE:
Leider bin ich mitlerweile ebenfalls auf PPPoE angewiesen und auch die Feststellung gemacht, dass unter IPFire sich PPPoE negativ auf die Performance auswirkt (hier ist OpenWrt vermutlich besser). Habe letzte Woche die Fritzbox davor gehangen, um die PPPoE Einwahl machen zu lassen und es gibt wieder Full-Speed, zumindest so lange ich nicht Cake (QoS) nutze. Mit Cake bricht der Download-Speed laut diverser Tests von 500 auf ca. 300 ein.
Nutze wegen Bufferbloat dennoch Cake.
Ich müsste das obige noch mal genau prüfen.
Zudem habe ich noch einen Edgerouter-X mit OpenWrt, den ich mal anstatt der Fritzbox testweise vor die IPfire setzen möchte.
Werde vermutlich auf OPNsene schwenken, wenn ich Zeit finde (und dann die Einwahl mittels Fritzbox oder OpenWrt-Box tätige).
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
Der J3160 sollte doch eigentlich mehr als genug Dampf für CAKE haben.
Und wie sind die Latenzen unter last? `ping 8.8.8.8` + speedtest.net?
Wunder mich auch ein wenig...
+ laufendes Fernsehprogram (Magenta TV Smart) auf einem völlig ausgelasteten Mac mini (mit viel zuvielen Programmen, Browser-Fenstern und Tabs gleichzeitig offen) - angeschlossen per Gigabit-Lan:
Speedtest.net:
Idle Latency: 7ms
Download Latency: 6 ms
Upload Latency: 6 ms
www.waveform.com/tools/bufferbloat
BUFFERBLOAT GRADE
A+
Your latency did not increase under load.LATENCY
Unloaded
10 msDownload Active
+0 msUpload Active
+0 msSPEED
↓ Download
250.2 Mbps↑ Upload
84.1 MbpsSpeed test - how fast is your internet? | DSLReports, ISP Information
Use our NEW speed test tool to test how fast your broadband or mobile internet connection really is. Read broadband news, information and join our community
www.dslreports.com
Edit:
Nach Ausschalten des transparenten Proxys: Auch A+ bei dslreports via http
MIr fehlt leider die Zeit um das alles systematisch durchzutesten...
Edit:
Erneuter Test waveform:
LATENCY
Unloaded
9 msDownload Active
+0 msUpload Active
+0 msSPEED
↓ Download
285.5 Mbps↑ Upload
88.8 Mbps
Zuletzt bearbeitet:
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
Interessant ist ja vor allem der direkte Vergleich zu ohne CAKE.
Das habe ich natürlich gemacht.
Wie gesagt Download steigt über 500 Mbps und Upload Mbps über 100 bei steigender Latenz bzw. erhöhtem Bufferbloat (letzteres ist je nach verwendetem Test unterschiedlich stark ausgeprägt). Werde evtl. später mal Vergleichswerte posten.
PPPoE-Einwahl erfolgt aktuell über eine Fritzbox und IPFire ist als Exposed-Host freigegeben (wenn die IPFire-Box PPPoE machen muss, sinkt die Performance). Dazu noch eine Frage: Exposed-Host und IPv4 => das ist doch dann doppeltes NAT?! Legt die Fritzbox dann automatisch eine Route an? Mit IPv6 bzw. IPv6 Delegation müsste man dann doppeltes NAT komplett umgehen können (= auch ein Grund für OPNsense, da IPFire 2.x kein IPv6 kann).
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
Mit ping + speedtest bekommt man in der Regel mit minimalem Aufwand ein sehr genaues Ergebnis.
Schon, aber die Frage ist halt, wie sehr die Latenz unter Last ansteigt, wenn du CAKE weglässt. Die Hälfte der Bandbreite würde ich persönlich glaub nicht ohne Weiteres wegen ein paar ms mehr oder weniger opfern.
Test von eben (evtl. noch leichte Internettätigkeiten auf einem anderen Rechner).
SPEEDTEST.net und ping auf heise.de:
Mit Cake:
Download: 252.90 Mbps
Upload: 88.13 Mbps
Idle Latency: 7
Download Latency: 6
Upload Latency: 5
SPEEDTEST.net und ping auf heise.de:
Ohne Cake:
Download: 533.72 Mbps
Upload: 112.03 Mbps
Idle Latency: 7
Download Latency: 35
Upload Latency: 93
Als ich noch bei Kabel Deutschland war, habe ich leider nicht mehr darauf geachtet... wegen Vergleich.
Das Cake so reinhaut, hätte ich nicht gedacht. Oder die Konfiguration (oder sonstwas) ist suboptimal, was ich aber nicht glaube.
Müsste mal Proxy und IPS ausmachen, um sicher zu gehen, dass dies nicht doch übermäßig reinhaut (nach meinem bisherigem Eindruck in Kurztests nicht).
SPEEDTEST.net und ping auf heise.de:
Mit Cake:
Download: 252.90 Mbps
Upload: 88.13 Mbps
Idle Latency: 7
Download Latency: 6
Upload Latency: 5
SPEEDTEST.net und ping auf heise.de:
Ohne Cake:
Download: 533.72 Mbps
Upload: 112.03 Mbps
Idle Latency: 7
Download Latency: 35
Upload Latency: 93
Speedest auf der Firewall selber als Root und ping auf heise.de:
Ohne Cake:
[root@ipfire ~]# speedtest
Retrieving speedtest.net configuration...
Testing from Deutsche Telekom AG (217.245.55.245)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by Clouvider Ltd (Frankfurt Am Main): 15.797 ms
Testing download speed................................................................................
Download: 333.50 Mbit/s
Testing upload speed......................................................................................................
Upload: 110.83 Mbit/s
Speedest auf der Firewall selber als Root und ping auf heise.de:
MIt Cake (erstaunlich niedrig):
[root@ipfire ~]# speedtest
Retrieving speedtest.net configuration...
Testing from Deutsche Telekom AG (217.245.55.245)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by 20i Ltd (Nottingham): 36.747 ms
Testing download speed................................................................................
Download: 21.98 Mbit/s
Testing upload speed......................................................................................................
Upload: 14.11 Mbit/s
[root@ipfire ~]# speedtest
Retrieving speedtest.net configuration...
Testing from Deutsche Telekom AG (217.245.55.245)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by 20i Ltd (Nottingham): 25.866 ms
Testing download speed................................................................................
Download: 14.56 Mbit/s
Testing upload speed......................................................................................................
Upload: 87.26 Mbit/s
Ohne Cake:
[root@ipfire ~]# speedtest
Retrieving speedtest.net configuration...
Testing from Deutsche Telekom AG (217.245.55.245)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by Clouvider Ltd (Frankfurt Am Main): 15.797 ms
Testing download speed................................................................................
Download: 333.50 Mbit/s
Testing upload speed......................................................................................................
Upload: 110.83 Mbit/s
Speedest auf der Firewall selber als Root und ping auf heise.de:
MIt Cake (erstaunlich niedrig):
[root@ipfire ~]# speedtest
Retrieving speedtest.net configuration...
Testing from Deutsche Telekom AG (217.245.55.245)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by 20i Ltd (Nottingham): 36.747 ms
Testing download speed................................................................................
Download: 21.98 Mbit/s
Testing upload speed......................................................................................................
Upload: 14.11 Mbit/s
[root@ipfire ~]# speedtest
Retrieving speedtest.net configuration...
Testing from Deutsche Telekom AG (217.245.55.245)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by 20i Ltd (Nottingham): 25.866 ms
Testing download speed................................................................................
Download: 14.56 Mbit/s
Testing upload speed......................................................................................................
Upload: 87.26 Mbit/s
Als ich noch bei Kabel Deutschland war, habe ich leider nicht mehr darauf geachtet... wegen Vergleich.
Das Cake so reinhaut, hätte ich nicht gedacht. Oder die Konfiguration (oder sonstwas) ist suboptimal, was ich aber nicht glaube.
Müsste mal Proxy und IPS ausmachen, um sicher zu gehen, dass dies nicht doch übermäßig reinhaut (nach meinem bisherigem Eindruck in Kurztests nicht).
Zuletzt bearbeitet:
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
Wie wär es mit CAKE nur im Upload?
CAKE geht damit, denke ich, nicht.
Daran habe ich auch schon gedacht. In der IPFire UI scheint das nicht vorgesehen zu sein. Man kann sicherlich das in den Config-Dateien selber konfigurieren. Finde ich aber immer suboptimal, wenn man bei einer Appliance an den vorgesehen Einstellmöglichkeiten vorbeiarbeitet und an die Config selber rangeht. Werde das mir aber dennoch ggf. mal ansehen. Wobei ich ja wahrscheinlich ohnehin auf OPNsense gehe (will das halt nicht unüberlegt zwischen Tür und Angel machen).
Edit: Doch das scheint durch Löschen der Download-Klassen zu gehen:
SPEEDTEST.net und ping auf heise.de:
Download: 523.48 Mbps
Upload: 86.62 Mbps
Idle Latency: 7
Download Latency: 27
Upload Latency: 5
Zuletzt bearbeitet:
Ich habe eben wahllos eine 200er Download-Klasse im QoS stehen gelassen (wegen der grafischen Darstellung im UI) und die Latency ist merklich runter gegangen. Entweder ist das Zufall oder meine Konfiguration passt nicht und das ist der Grund für den starken Einbruch. Wie QoS / Cake im Detail funktioniert, habe ich noch nicht verstanden.
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.904
Ich hab mal ne Frage zur OPNsense und Wireguard. Ich richte mir gerade Wireguard auf meinen Senses ein (MultiWAN + HA via CARP) und das ist ja eher so.... meh. Was mit am nervigsten ist ist die fehlende QR-Code-Generierung für die Clients. Wenn man wenigstens aus der Gui eine config herunterladen könnte, aber Pustekuchen.
Schockierender weise macht das die Fritzbox sehr viel besser. Eine solche steht als ein WAN-Gateway (von 2en, das andere ist ein Mikrotik LTE Router) zur Verfügung. Ich könnte also einfach die Wireguard-Funktion der Firtzbox nutzen. Irgendwie sträubt sich in mir alles dagegen, wollte die Fritzbox nur als Telefonanlage und quasi DMZ-Router nutzen, und alles "wichtige" dahinter auf der OPNsense.
Was wären denn die Vor- und Nachteile, bis auf die Tatsache das Client (und Server) config auf der Fritzbox doch sehr viel einfacher geht?
Schockierender weise macht das die Fritzbox sehr viel besser. Eine solche steht als ein WAN-Gateway (von 2en, das andere ist ein Mikrotik LTE Router) zur Verfügung. Ich könnte also einfach die Wireguard-Funktion der Firtzbox nutzen. Irgendwie sträubt sich in mir alles dagegen, wollte die Fritzbox nur als Telefonanlage und quasi DMZ-Router nutzen, und alles "wichtige" dahinter auf der OPNsense.
Was wären denn die Vor- und Nachteile, bis auf die Tatsache das Client (und Server) config auf der Fritzbox doch sehr viel einfacher geht?
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
Unter Linux könntest du die Config einfach einmal durch qrencode jagen und der Drops wäre gelutscht.
Nachtrag: Wie wäre es damit: https://www.nayuki.io/page/qr-code-generator-library
Bei pfSense geht das. Sicher, dass es bei OPNsense nicht doch irgendwie geht?
Nachtrag: Wie wäre es damit: https://www.nayuki.io/page/qr-code-generator-library
Zuletzt bearbeitet:
So, habe gerade von G5600 auf I3-8100 umgebaut.
Ein Strommessgerät habe ich leider nicht - kann nur die ausgelesenen Daten der USV "anbieten".
Bei gleichen Lastbedingungen von OPNsense kann man mittels USV keinen Mehrverbrauch der CPU feststellen - in meinem Fall wird es also keinen merklichen Mehrverbrauch geben.
LG
Anhänge
Ich suche gerade in meinem Netz einen Client, der Lastspitzen verursacht. Alle 30 Sekunden zieht der was aus dem WAN. Wie stelle ich das am besten in opnsense dar um den Kandidaten zu erwischen?
ragnar440
Profi
- Mitglied seit
- 14.01.2021
- Beiträge
- 72
@Fischje
Du kannst in der Firewall eine Regel erstellen, die das Logging an hat und dann im Log prüfen, was zu der Zeit Connections aufgemacht hat.
Alternativ kannst du mit Netflow auch ganz genau nachprüfen was zu welcher Zeit wann wie viel Traffic verursacht hat.
Ersteres ist schneller einzurichten.
Letzteres ist komfortabler anzusehen.
Du kannst in der Firewall eine Regel erstellen, die das Logging an hat und dann im Log prüfen, was zu der Zeit Connections aufgemacht hat.
Alternativ kannst du mit Netflow auch ganz genau nachprüfen was zu welcher Zeit wann wie viel Traffic verursacht hat.
Ersteres ist schneller einzurichten.
Letzteres ist komfortabler anzusehen.
Also unter pfsense gibt es für sowas das Paket ntopng.
Gibt's anscheinend auch für opnsense: https://docs.opnsense.org/manual/how-tos/ntopng.html
Wireguard
Hätte da mal eine Frage zu Wireguard.
Hab bisher nur mal eine Verbindung für mein iPhone eingerichtet - funktioniert prinzipiell auch.
Übertrage von unterwegs dann die gemachten Fotos via der App "PhotoSync" auf mein TrueNAS.
Einziges Problem, solange die VPN-Verbindung am iPhone aktiv ist, funktionieren am iPhone keine Internetdienste (Mail, Safari, ...)!
Wie/was muss ich denn an der OPNSense/den Regeln ändern, damit ich unterwegs quasi über mein "Heimnetz" im Internet surfen kann!?
Danke!
LG
Hätte da mal eine Frage zu Wireguard.
Hab bisher nur mal eine Verbindung für mein iPhone eingerichtet - funktioniert prinzipiell auch.
Übertrage von unterwegs dann die gemachten Fotos via der App "PhotoSync" auf mein TrueNAS.
Einziges Problem, solange die VPN-Verbindung am iPhone aktiv ist, funktionieren am iPhone keine Internetdienste (Mail, Safari, ...)!
Wie/was muss ich denn an der OPNSense/den Regeln ändern, damit ich unterwegs quasi über mein "Heimnetz" im Internet surfen kann!?
Danke!
LG
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 329
Ganz spontan?
allow wireguardNet nach !LAN
allow wireguardNet nach !LAN
Gen8 Runner
Experte
- Mitglied seit
- 12.08.2015
- Beiträge
- 1.130
Ist zwar für PFSense, aber sowas in der Regel brauchst du. Und dann noch, je nachdem wie es bei dir gelöst ist, ne NAT Regel (Bild Nr. 1 Firewall ; Bild Nr. 2 NAT).
Anhänge
So hab ich's damals nach einer Anleitung eingerichtet.
