[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

*Inhalt gelöscht*

 

[spyfly]

Sehe gerade, dass pfSense mutiger wird was aktuelle Software angeht: Sprung von FreeBSD 12 direkt auf FreeBSD 14!

Vermutlich wegen dem Wireguard Kernel Modul.

Die haben ja neulich auch Tailscale implementiert, was auf Wireguard aufbaut. Wireguard läuft ja beim aktuellen Release immer noch im Userspace.

 

[BobbyD]

Wireguard läuft ja beim aktuellen Release immer noch im Userspace.

Edit2: Netgate hat gerüchteweise auch die erneute Kernel-Implementierung mitbezahlt, OPNsense kann sie einfach mitbenutzen. Quellen dazu kann ich nicht finden.

Spoiler

 

[BobbyD]

@spyfly Ich werde demnächst jemanden fragen, der es vielleicht besser weiß.
Mir ist aber so, dass es in pfSense nie eine userspace Implementierung gab. Aber auch das werde ich nochmal nachfragen.

 

[asche77]

Mein letzter Stand ist noch, dass netgate das total verkackt hatte und Jason Donenfeld das selbst neu implementiert hatte (bspw. https://www.golem.de/news/vpn-wireg...sen-problemen-neu-in-freebsd-2103-154981.html) - gab es seitdem eine weitere Überarbeitung?

 

[BobbyD]

Mein letzter Stand ist noch, dass netgate das total verkackt hatte und Jason Donenfeld das selbst neu implementiert hatte

Wie gesagt, gerüchteweise hat Netgate auch Geld für die neue, gute Implementierung in die Hand genommen.

Hab gerade mal die pfSense CE 2.5.2-RELEASE vom 9. Juli 2021 installiert, Netgate schrieb seinerzeit:

pfSense CE 2.5.2-RELEASE Now Available
Highlights
WireGuard can now be installed as an experimental add-on package

Ebenfalls Kernel-Mode:

Spoiler

Edit: Wobei, wenn das das Datum ist, dann kann ich den Fall so im Nachhinein nicht darstellen, aber es war so.
Und ich erinnere darüber hinaus, dass es das Add-On zuvor schon ne Weile selbst für den Vorgänger zu laden gab.
Ergo, pfSense hatte nie eine Userspace-Implementierung.

 

[hs_warez]

Merkt man beim Stromverbrauch einen Unterschied zwischen diesen beiden CPU's, wenn man sie für OPNSense nutzt!?

• Pentium Gold G5600 (3,9 GHz / 2C/4T / TDP 54W)
• I3-8100 (3,6 GHz / 4C/4T / TDP 65W)

In meinem Anwendungsfall läuft der G5600 derzeit im Schnitt bei 0-4% CPU-Auslastung (zeitweise schnellt er mal für ein paar Sekunden auf 15-20% hoch).
Der I3-8100 hätte ja 4 Kerne - würde sich somit "leichter tun" und vermutlich dann auch nicht mehr Strom brauchen als der G5600 - oder ist das eine falsche Annahme!?


Danke!


LG

 

[27k1]

Doch und wenn man dem Netgate Forum glauben schenkt, dann ist die Verwendung älterer Versionen (ggf. mit nachinstallierten Patches) unter professionellen Nutzern eher noch verbreiteter als unter Privatanwendern.

OK. Wenn es Patche bzw. Security-Fixe auch für ältere Versionen noch gibt, dann ist das eh etwas anderes. Ich war in der IPFire-Denkweise. Da gibt es einfach nur neue Versionen.

PPPoE:
Leider bin ich mitlerweile ebenfalls auf PPPoE angewiesen und auch die Feststellung gemacht, dass unter IPFire sich PPPoE negativ auf die Performance auswirkt (hier ist OpenWrt vermutlich besser). Habe letzte Woche die Fritzbox davor gehangen, um die PPPoE Einwahl machen zu lassen und es gibt wieder Full-Speed, zumindest so lange ich nicht Cake (QoS) nutze. Mit Cake bricht der Download-Speed laut diverser Tests von 500 auf ca. 300 ein.
Nutze wegen Bufferbloat dennoch Cake.
Ich müsste das obige noch mal genau prüfen.
Zudem habe ich noch einen Edgerouter-X mit OpenWrt, den ich mal anstatt der Fritzbox testweise vor die IPfire setzen möchte.

Werde vermutlich auf OPNsene schwenken, wenn ich Zeit finde (und dann die Einwahl mittels Fritzbox oder OpenWrt-Box tätige).

 

[0 8 15 User]

zumindest so lange ich nicht Cake (QoS) nutze

Der J3160 sollte doch eigentlich mehr als genug Dampf für CAKE haben.

Mit Cake bricht der Download-Speed laut diverser Tests von 500 auf ca. 300 ein.

Und wie sind die Latenzen unter last? `ping 8.8.8.8` + speedtest.net?

 

[27k1]

Der J3160 sollte doch eigentlich mehr als genug Dampf für CAKE haben.

Wunder mich auch ein wenig...

Und wie sind die Latenzen unter last? `ping 8.8.8.8` + speedtest.net?

+ laufendes Fernsehprogram (Magenta TV Smart) auf einem völlig ausgelasteten Mac mini (mit viel zuvielen Programmen, Browser-Fenstern und Tabs gleichzeitig offen) - angeschlossen per Gigabit-Lan:

Speedtest.net:
Idle Latency: 7ms
Download Latency: 6 ms
Upload Latency: 6 ms

www.waveform.com/tools/bufferbloat

BUFFERBLOAT GRADE​

A+​

Your latency did not increase under load.

LATENCY​

Unloaded​

10 ms

Download Active​

+0 ms

Upload Active​

+0 ms

SPEED​

↓ Download​

250.2 Mbps

↑ Upload​

84.1 Mbps

Speed test - how fast is your internet? | DSLReports, ISP Information

Use our NEW speed test tool to test how fast your broadband or mobile internet connection really is. Read broadband news, information and join our community

www.dslreports.com

=> Meldet Fehler. Liegt evtl. daran, da auf der IPFire Surricata läuft (IPS scheint aber nichts auszumachen). Müsste damit an einen anderen Rechner gehen.

Edit:
Nach Ausschalten des transparenten Proxys: Auch A+ bei dslreports via http

MIr fehlt leider die Zeit um das alles systematisch durchzutesten...

Edit:
Erneuter Test waveform:

LATENCY​

Unloaded​

9 ms

Download Active​

+0 ms

Upload Active​

+0 ms

SPEED​

↓ Download​

285.5 Mbps

↑ Upload​

88.8 Mbps

 

[0 8 15 User]

MIr fehlt leider die Zeit um das alles systematisch durchzutesten...

Interessant ist ja vor allem der direkte Vergleich zu ohne CAKE.

 

[27k1]

Interessant ist ja vor allem der direkte Vergleich zu ohne CAKE.

Das habe ich natürlich gemacht.
Wie gesagt Download steigt über 500 Mbps und Upload Mbps über 100 bei steigender Latenz bzw. erhöhtem Bufferbloat (letzteres ist je nach verwendetem Test unterschiedlich stark ausgeprägt). Werde evtl. später mal Vergleichswerte posten.
PPPoE-Einwahl erfolgt aktuell über eine Fritzbox und IPFire ist als Exposed-Host freigegeben (wenn die IPFire-Box PPPoE machen muss, sinkt die Performance). Dazu noch eine Frage: Exposed-Host und IPv4 => das ist doch dann doppeltes NAT?! Legt die Fritzbox dann automatisch eine Route an? Mit IPv6 bzw. IPv6 Delegation müsste man dann doppeltes NAT komplett umgehen können (= auch ein Grund für OPNsense, da IPFire 2.x kein IPv6 kann).

 

[0 8 15 User]

letzteres ist je nach verwendetem Test unterschiedlich stark ausgeprägt

Mit ping + speedtest bekommt man in der Regel mit minimalem Aufwand ein sehr genaues Ergebnis.

Wie gesagt Download steigt über 500 Mbps und Upload Mbps über 100 bei steigender Latenz bzw. erhöhtem Bufferbloat

Schon, aber die Frage ist halt, wie sehr die Latenz unter Last ansteigt, wenn du CAKE weglässt. Die Hälfte der Bandbreite würde ich persönlich glaub nicht ohne Weiteres wegen ein paar ms mehr oder weniger opfern.

 

[27k1]

Test von eben (evtl. noch leichte Internettätigkeiten auf einem anderen Rechner).


SPEEDTEST.net und ping auf heise.de:
Mit Cake:
Download: 252.90 Mbps
Upload: 88.13 Mbps
Idle Latency: 7
Download Latency: 6
Upload Latency: 5

SPEEDTEST.net und ping auf heise.de:
Ohne Cake:
Download: 533.72 Mbps
Upload: 112.03 Mbps
Idle Latency: 7
Download Latency: 35
Upload Latency: 93

Spoiler

Speedest auf der Firewall selber als Root und ping auf heise.de:
Ohne Cake:
[root@ipfire ~]# speedtest
Retrieving speedtest.net configuration...
Testing from Deutsche Telekom AG (217.245.55.245)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by Clouvider Ltd (Frankfurt Am Main): 15.797 ms
Testing download speed................................................................................
Download: 333.50 Mbit/s
Testing upload speed......................................................................................................
Upload: 110.83 Mbit/s


Speedest auf der Firewall selber als Root und ping auf heise.de:
MIt Cake (erstaunlich niedrig):
[root@ipfire ~]# speedtest
Retrieving speedtest.net configuration...
Testing from Deutsche Telekom AG (217.245.55.245)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by 20i Ltd (Nottingham): 36.747 ms
Testing download speed................................................................................
Download: 21.98 Mbit/s
Testing upload speed......................................................................................................
Upload: 14.11 Mbit/s

[root@ipfire ~]# speedtest
Retrieving speedtest.net configuration...
Testing from Deutsche Telekom AG (217.245.55.245)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by 20i Ltd (Nottingham): 25.866 ms
Testing download speed................................................................................
Download: 14.56 Mbit/s
Testing upload speed......................................................................................................
Upload: 87.26 Mbit/s

Als ich noch bei Kabel Deutschland war, habe ich leider nicht mehr darauf geachtet... wegen Vergleich.

Das Cake so reinhaut, hätte ich nicht gedacht. Oder die Konfiguration (oder sonstwas) ist suboptimal, was ich aber nicht glaube.
Müsste mal Proxy und IPS ausmachen, um sicher zu gehen, dass dies nicht doch übermäßig reinhaut (nach meinem bisherigem Eindruck in Kurztests nicht).

 

[0 8 15 User]

Wie wär es mit CAKE nur im Upload?

Werde vermutlich auf OPNsene schwenken

CAKE geht damit, denke ich, nicht.

 

[27k1]

Wie wär es mit CAKE nur im Upload?

CAKE geht damit, denke ich, nicht.

Daran habe ich auch schon gedacht. In der IPFire UI scheint das nicht vorgesehen zu sein. Man kann sicherlich das in den Config-Dateien selber konfigurieren. Finde ich aber immer suboptimal, wenn man bei einer Appliance an den vorgesehen Einstellmöglichkeiten vorbeiarbeitet und an die Config selber rangeht. Werde das mir aber dennoch ggf. mal ansehen. Wobei ich ja wahrscheinlich ohnehin auf OPNsense gehe (will das halt nicht unüberlegt zwischen Tür und Angel machen).

Edit: Doch das scheint durch Löschen der Download-Klassen zu gehen:

SPEEDTEST.net und ping auf heise.de:
Download: 523.48 Mbps
Upload: 86.62 Mbps
Idle Latency: 7
Download Latency: 27
Upload Latency: 5

 

[27k1]

Edit: Doch das scheint durch Löschen der Download-Klassen zu gehen:

SPEEDTEST.net und ping auf heise.de:
Download: 523.48 Mbps
Upload: 86.62 Mbps
Idle Latency: 7
Download Latency: 27
Upload Latency: 5

Ich habe eben wahllos eine 200er Download-Klasse im QoS stehen gelassen (wegen der grafischen Darstellung im UI) und die Latency ist merklich runter gegangen. Entweder ist das Zufall oder meine Konfiguration passt nicht und das ist der Grund für den starken Einbruch. Wie QoS / Cake im Detail funktioniert, habe ich noch nicht verstanden.

 

[Shihatsu]

Ich hab mal ne Frage zur OPNsense und Wireguard. Ich richte mir gerade Wireguard auf meinen Senses ein (MultiWAN + HA via CARP) und das ist ja eher so.... meh. Was mit am nervigsten ist ist die fehlende QR-Code-Generierung für die Clients. Wenn man wenigstens aus der Gui eine config herunterladen könnte, aber Pustekuchen.
Schockierender weise macht das die Fritzbox sehr viel besser. Eine solche steht als ein WAN-Gateway (von 2en, das andere ist ein Mikrotik LTE Router) zur Verfügung. Ich könnte also einfach die Wireguard-Funktion der Firtzbox nutzen. Irgendwie sträubt sich in mir alles dagegen, wollte die Fritzbox nur als Telefonanlage und quasi DMZ-Router nutzen, und alles "wichtige" dahinter auf der OPNsense.
Was wären denn die Vor- und Nachteile, bis auf die Tatsache das Client (und Server) config auf der Fritzbox doch sehr viel einfacher geht?

 

[0 8 15 User]

Was mit am nervigsten ist ist die fehlende QR-Code-Generierung für die Clients.

WireGuard Tools - QR Code Generator?

 

[Shihatsu]

Ja klar "könnte" man das über einen Service im Internet machen - will ich aber nicht, und geht EINIGEN Leuten ähnlich die das bei OPNsense angefragt haben - leider noch nicht umgesetzt...

 

[0 8 15 User]

Unter Linux könntest du die Config einfach einmal durch qrencode jagen und der Drops wäre gelutscht.

Wenn man wenigstens aus der Gui eine config herunterladen könnte

Bei pfSense geht das. Sicher, dass es bei OPNsense nicht doch irgendwie geht?

Nachtrag: Wie wäre es damit: https://www.nayuki.io/page/qr-code-generator-library

 

[asche77]

Oder tailscale/headscale nutzen?

 

[hs_warez]

Merkt man beim Stromverbrauch einen Unterschied zwischen diesen beiden CPU's, wenn man sie für OPNSense nutzt!?

• Pentium Gold G5600 (3,9 GHz / 2C/4T / TDP 54W)
• I3-8100 (3,6 GHz / 4C/4T / TDP 65W)

In meinem Anwendungsfall läuft der G5600 derzeit im Schnitt bei 0-4% CPU-Auslastung (zeitweise schnellt er mal für ein paar Sekunden auf 15-20% hoch).
Der I3-8100 hätte ja 4 Kerne - würde sich somit "leichter tun" und vermutlich dann auch nicht mehr Strom brauchen als der G5600 - oder ist das eine falsche Annahme!?


Danke!


LG

So, habe gerade von G5600 auf I3-8100 umgebaut.
Ein Strommessgerät habe ich leider nicht - kann nur die ausgelesenen Daten der USV "anbieten".

Bei gleichen Lastbedingungen von OPNsense kann man mittels USV keinen Mehrverbrauch der CPU feststellen - in meinem Fall wird es also keinen merklichen Mehrverbrauch geben.


LG

 

[Fischje]

Ich suche gerade in meinem Netz einen Client, der Lastspitzen verursacht. Alle 30 Sekunden zieht der was aus dem WAN. Wie stelle ich das am besten in opnsense dar um den Kandidaten zu erwischen?

 

[ragnar440]

@Fischje

Du kannst in der Firewall eine Regel erstellen, die das Logging an hat und dann im Log prüfen, was zu der Zeit Connections aufgemacht hat.
Alternativ kannst du mit Netflow auch ganz genau nachprüfen was zu welcher Zeit wann wie viel Traffic verursacht hat.

Ersteres ist schneller einzurichten.
Letzteres ist komfortabler anzusehen.

 

[spyfly]

Ich suche gerade in meinem Netz einen Client, der Lastspitzen verursacht. Alle 30 Sekunden zieht der was aus dem WAN. Wie stelle ich das am besten in opnsense dar um den Kandidaten zu erwischen?

Also unter pfsense gibt es für sowas das Paket ntopng.

Gibt's anscheinend auch für opnsense: https://docs.opnsense.org/manual/how-tos/ntopng.html

 

[asche77]

Am einfachsten aber:
Reporting -> Traffic -> Top Talkers
Ohne irgendwas installieren zu müssen (netflow und vor allem ntopng können einiges an CPU und vor allem disk space verbrauchen)

 

[hs_warez]

Wireguard

Hätte da mal eine Frage zu Wireguard.

Hab bisher nur mal eine Verbindung für mein iPhone eingerichtet - funktioniert prinzipiell auch.
Übertrage von unterwegs dann die gemachten Fotos via der App "PhotoSync" auf mein TrueNAS.

Einziges Problem, solange die VPN-Verbindung am iPhone aktiv ist, funktionieren am iPhone keine Internetdienste (Mail, Safari, ...)!
Wie/was muss ich denn an der OPNSense/den Regeln ändern, damit ich unterwegs quasi über mein "Heimnetz" im Internet surfen kann!?


Danke!


LG

 

[andrer250282]

Ganz spontan?
allow wireguardNet nach !LAN

 

[Gen8 Runner]

Wireguard

Hätte da mal eine Frage zu Wireguard.

Hab bisher nur mal eine Verbindung für mein iPhone eingerichtet - funktioniert prinzipiell auch.
Übertrage von unterwegs dann die gemachten Fotos via der App "PhotoSync" auf mein TrueNAS.

Einziges Problem, solange die VPN-Verbindung am iPhone aktiv ist, funktionieren am iPhone keine Internetdienste (Mail, Safari, ...)!
Wie/was muss ich denn an der OPNSense/den Regeln ändern, damit ich unterwegs quasi über mein "Heimnetz" im Internet surfen kann!?

Ist zwar für PFSense, aber sowas in der Regel brauchst du. Und dann noch, je nachdem wie es bei dir gelöst ist, ne NAT Regel (Bild Nr. 1 Firewall ; Bild Nr. 2 NAT).

 

[hs_warez]

Ist zwar für PFSense, aber sowas in der Regel brauchst du. Und dann noch, je nachdem wie es bei dir gelöst ist, ne NAT Regel (Bild Nr. 1 Firewall ; Bild Nr. 2 NAT).

So hab ich's damals nach einer Anleitung eingerichtet.