[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Ja, ist halt spannend.


An den Einstellungen habe ich nichts geändert.
Wie gesagt, habe ich „leider“ gleichzeitig folgende 3 Dinge gemacht: CPU-Upgrade, BIOS-Update, OPNSense-Update – 1 Tag später fingen die Probleme an.


OPNSense läuft ja wieder mit der Vorversion – aber trotzdem nicht ganz rund.

Bleibt also nur CPU-Downgrade und/oder BIOS-Downgrade!?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Eher BIOS als CPU. Ich vermute der Fehler liegt dennoch irgendwo anders (kann ja auch ein verrutschtes Kabel sein).
 
Kabel habe ich natürlich schon kontrolliert - kein Problem.

Ist halt schon sehr verdächtig – bis zu meinen „Anpassungen“ am Wochenende (CPU-Upgrade, Bios-Update, OPNSense-Update) lief die ganze Sache problemfrei.
Seither war es immer so, dass ca. am 2. Tag nach einem Reboot mit der neuen OPNSense Version nix mehr ging.

Heute wäre wieder der 2. Tag nach einem Reboot – jetzt läuft aber wieder die Vorversion von OPNSense (allerdings auch nicht ganz reibungslos).

Wäre halt schon ziemlicher Zufall, wenn das Problem jetzt plötzlich irgendwo anders wäre!?
Ich werde/muss halt einfach CPU und/oder Bios „retour rüsten“ – wenn‘s dann auch nicht reibungslos läuft – tja, dann wird’s spannend.

Hätte dann noch einen baugleichen M720q Tiny als Reserve auf Lager liegen.



BIOS an sich würde mich irgendwie fast wundern.
Habe nach dem Update die Werkseinstellungen geladen, dann die gleichen Einstellungen wie vorher getätigt – einzige 2 Abweichungen:
  • Audio habe ich deaktiviert – hatte ich damals anscheinend übersehen
  • Intel SGX habe ich deaktiviert – das war früher aktiviert - soll ich das ev. wieder aktivieren?
CPU habe ich halt gebraucht erworben.
 
Zuletzt bearbeitet:
Ich schaue mir jetzt mal das nächste update an:

OPNsense 24.1.3 released

OPNsense 24.1.3 released
forum.opnsense.org forum.opnsense.org

This update fixes minor issues in the software and adds a CSV import/export
to the Kea DHCP reservations to make bulk edits much easier. It also fixes
defaults in Suricata 7 that would negatively impact the IPS mode usage and
updates the curl package to its current latest version.
Zum Vergrößern anklicken....
 
asche77 schrieb:
Dafür brauchst Du keine VM.

Einfach auf ZFS installieren und vor Updates ein Fallback Boot Environment anlegen. Ggfs auch noch ein ZFS snapshot vom Rest.

Bash: 
bectl create -r <fallback-BE-name>
zfs snapshot -r zroot@snapshot-name

Wenn es aber einen sinnvollen Grund für die Virtualisierung gibt: ja, geht, mache ich so mit ESXi.

Generell aber eher bare Metal wenn nicht unbedingt VM muss.
Zum Vergrößern anklicken....


Das habe ich Gott sei Dank vor dem letzten Update das erste Mal gemacht - wenn man es 1x gemacht/verstanden hat, ist dieses "Sicherungsprinzip" wirklich einfach und schnell!
 
24.1.3_1 ist draußen, das fixt nochmal ein wenig...
Ist drauf, lüppt ohne Probleme, hab aber auch nur ne 0815-Konfig...
 
hs_warez schrieb:
Kabel habe ich natürlich schon kontrolliert - kein Problem.

Ist halt schon sehr verdächtig – bis zu meinen „Anpassungen“ am Wochenende (CPU-Upgrade, Bios-Update, OPNSense-Update) lief die ganze Sache problemfrei.
Seither war es immer so, dass ca. am 2. Tag nach einem Reboot mit der neuen OPNSense Version nix mehr ging.

Heute wäre wieder der 2. Tag nach einem Reboot – jetzt läuft aber wieder die Vorversion von OPNSense (allerdings auch nicht ganz reibungslos).

Wäre halt schon ziemlicher Zufall, wenn das Problem jetzt plötzlich irgendwo anders wäre!?
Ich werde/muss halt einfach CPU und/oder Bios „retour rüsten“ – wenn‘s dann auch nicht reibungslos läuft – tja, dann wird’s spannend.

Hätte dann noch einen baugleichen M720q Tiny als Reserve auf Lager liegen.



BIOS an sich würde mich irgendwie fast wundern.
Habe nach dem Update die Werkseinstellungen geladen, dann die gleichen Einstellungen wie vorher getätigt – einzige 2 Abweichungen:
  • Audio habe ich deaktiviert – hatte ich damals anscheinend übersehen
  • Intel SGX habe ich deaktiviert – das war früher aktiviert - soll ich das ev. wieder aktivieren?
CPU habe ich halt gebraucht erworben.
Zum Vergrößern anklicken....


Tja, BIOS-Einstellung wieder angepasst - so wie es vorher war + alte CPU verbaut - keine Änderung; CPU-Auslastung kommt trotzdem immer wellenförmig (aber weniger hoch), obwohl jetzt auch alle LOGs deaktiviert sind und keine Netzwerklast anliegt!

Folgendes hat sich aber wieder normalisiert: Zugriff (Weboberfläche, oder auch via Shell) läuft jetzt wieder deutlich schneller/flüssiger - I-Net fühlt sich derzeit am Notebook auch wieder agiler an.

Hm, ev. noch BIOS-Downgrade versuchen!?

PS:
Es gibt jetzt nach kurzer Zeit schon wieder ein BIOS-Update!

Habe meinen M720q Tiny im August/September in Betrieb genommen und habe damals das neueste BIOS (m1uj972usa) aufgespielt; letztes Wochenende habe ich wieder mal nach Updates gesucht und da gab es von ca. Ende Februar die Version "m1uj974usa".
Seit 04.03. gibt es jetzt wieder ein neues BIOS (M1UKT75A) - tja, vielleicht mache ich mal dieses Update - wenn's nicht besser wird, dann kommt die Version vom August 2023 drauf.

PPS:
BIOS-Update hat nichts an der Thematik geändert.

Mit OPNSense 24.1.x sind die wellenförmigen CPU-Auslastung deutlich mehr und deutlich höher als mit der alten 23.7.12_5!
 
Zuletzt bearbeitet:
asche77 schrieb:
Vermutlich zu große logs.

Schau mal mit top -aSH was da so viel CPU frisst.
Zum Vergrößern anklicken....


So, alte CPU + aktuellstes BIOS + sämtliche OPNSense-Updates.

Habe den gewünschten Befehl nochmals ausgeführt und ein paar Fotos gemacht - jetzt kamen die Ausschläge natürlich nur bis ca. 20% - ohne Kamera gab es auch öfters 30-50%!
Na ja...

In diesem Zeitraum keine Netzwerk- und I-Net-Last - sprich, "Leerlauf".


Kann damit jemand damit was anfangen?

Was auch interessant ist - meine Aliase werden irgendwie nicht mehr automatisch aktualisiert (eingestellt wäre 1x täglich)!?

Wenn ich mich frisch via GUI anmelde, dann bleibt die CPU-Last für einige Sekunden über 80% - ist doch auch nicht normal, oder?


LG
 

Anhänge

  • IMG_9927.jpg
    IMG_9927.jpg
    2,2 MB · Aufrufe: 74
  • IMG_9928.jpg
    IMG_9928.jpg
    2,2 MB · Aufrufe: 75
  • IMG_9930.jpg
    IMG_9930.jpg
    2,3 MB · Aufrufe: 64
  • Screenshot 2024-03-08 210921.jpg
    Screenshot 2024-03-08 210921.jpg
    11 KB · Aufrufe: 57
  • Aliase.jpg
    Aliase.jpg
    81,1 KB · Aufrufe: 67
Zuletzt bearbeitet:
asche77 schrieb:
Ich sehe bei mir ca 10% Dauerauslastung durch Dummynet. Denke das ist zuviel aber ... Läuft ja.

OPNsense GUI zeigt eher müll bei der CPU Auslastung. Dass das kurz hochspringt beim aufmachen ist normal.

Schau mal zB hier re: weitere Diagnose Schritte (zB besseres top Kommando): https://forum.opnsense.org/index.php?topic=22869.0
Zum Vergrößern anklicken....

Danke für diesen Hinweis - hab mich am SO damit beschäftigt - minimal "schlauer" bin ich jetzt.

Stelle die bisherigen Erkenntnisse am Abend rein.

LG
 
Für die, die sich noch die pfSense Plus krallen konnten, vielleicht interessant.
 
hs_warez schrieb:
Danke für diesen Hinweis - hab mich am SO damit beschäftigt - minimal "schlauer" bin ich jetzt.

Stelle die bisherigen Erkenntnisse am Abend rein.

LG
Zum Vergrößern anklicken....
Code: 
top -aSCHIP

Mit obigem Code konnte ich den Ausreißer ermitteln.

Kommt irgendwie von Netflow.

Habe etwas im Netz gesucht - Problem gibt es öfters.
Lsg. waren IPv6 deaktivieren - ist bei mir schon immer inaktiv; Netflow deaktivieren/bzw. Netflow-Daten zurücksetzen - na ja, bei mir hat das nicht wirklich geholfen!


Die CPU-Ausreißer habe ich noch immer - seit dem letzten OPNSense-Update läuft zumindest die Firewall an sich wieder fehlerfrei => keine Probleme mit Internet/WLAN/....


LG
 

Anhänge

  • IMG_9937.jpg
    IMG_9937.jpg
    2 MB · Aufrufe: 79
asche77 schrieb:
Aprilscherz vermutlich
Zum Vergrößern anklicken....
Truenas schlaegt ebenfalls den Weg ein. Muss nicht zwingend ein Scherz sein. Mir ists im Grunde egal, bin nicht mit den BSDoiden verheiratet :d finde das Produkt toll und nutze es. Aktuell beides in bsd varianten.
 
Hi

Da leider Sophos kein wireguard bietet, habe ich der opnsense mal noch eine Chance gegeben. IDS habe ich mal eingeschaltet, aber sonst noch nichts gross konfiguriert.

Unter ESXi hatte ich auch brauchbare Werte, unter proxmox bisschen schlechter noch. Aber baremetal läuft die OPNsense ja wie Schmids Katze. Im Downstream bisschen weniger als das Modem liefert. Im Upstream mehr als doppelt soviel, kein Mensch weiss warum.

Unter ESXi > OPNsense, pfsense, sophos:

Speedtest.JPG



Baremetal > OPNsense:

OPNsenseBaremetal.JPG


  • Supermicro CSE815 - X10SLH-LN6TF / N6-ST031 6x 10Gbps RJ45
  • 32 GB ECC UDIMM
  • Intel Xeon E3-1281 v3 HT deaktiviert
Ohne Switch, OPNsense an Modem, PC an der sense.

Damit bin ich schon ganz zufrieden z.Z.
 
Zuletzt bearbeitet:
War Cherrypicking, zugegeben. Ist ein shared Anschluss, da heisst es "bis zu..." Bin dann gespannt, wie es mit dem neuen Provider wird. AON Anschluss mit garantierten 10/10 ist das Ziel. Beim Wechsel geht es mir auch nicht um die Bandbreite, das peering überall hin soll bei init7 hervorragend sein.

Bei Salt haben wir auch dauernd Probleme mit Nutzern, die den selben Provider nutzen. Kumpel musste sich eine fixe IP buchen, damit wir überhaupt zusammen fliegen können. Über VPN gings, aber das ist auch keine Lösung. Wir sind drei Piloten die Salt nutzen, da gegenseitig beitreten geht nicht.. Nur mit fixer IP, oder halt VPN.

Für gewisse (eigene, lokale) Server muss ich auch VPN nutzen, damit ich überhaupt drauf komme. Habe da alles mögliche versucht. Hängen allerdings zwei Firewalls dran. An der alten Zywall hängen noch der Server und alle anderen Geräte. Die 10 Gbit FW ist im Moment noch Labor, da hängt nur mein Desktop dran. Bastelbude halt.

Aber was ich mich echt frage, wie ich hinter der Firewall mehr als doppelt soviel Upstream hin kriege als direkt am Modem. Wenn ich direkt am Modem messe, kriege ich im Normalfall 8/2. Allerdings ist im Desktop noch eine billo NIC, die wird dann noch getauscht durch eine Intel.
 
Denke, das ist nicht vorgesehen. REJECT ist natürlich trotzdem eine gute Idee.
 
Hallo zusammen,

ich bekomme morgen Telekom Internet, da das mit dem Kabel einfach nicht funktioniert hat, weswegen ich es nun gekündigt habe.
Bei der Gelegenheit setz ich die OPNsense neu auf. Ich will auch nochmal die VLANs überdenken.

Gerade im Moment habe ich:
10.0.0.0/24 LAN: OPNsense, Aruba Switch, Aruba APs
10.0.10.0/24 HOME: Server, Familienlaptops und Handys, Windows und LinuxVM
10.0.20.0/24 IOT: Home Assistant VM, MiniPC Dashboard, KNX Router, StiebelEltron ISG weg gateway, Kameras, Wechselrichter und Batteriespeicher, NVR, Fernseher, Drucker, Staubsaugerroboter
10.0.100.0/24 GUEST: Selbsterklärend.

Ist das so überhaupt sinnvoll? Bei meinem Drucker z.B. ist es so, dass ich im gleichen Subnetz sein muss, dass ich den überhaupt über WLAN erreichen kann. Ähnliche beim ScreenMirroring für den Fernseher. Sind die Geräte dann überhaupt sinnvollerweise bei IOT aufgehoben? Muss sonst halt immer das WLAN wechseln.
Bei IOT möchte ich dem ein oder anderen Gerät vielleicht mal den Internetzugriff entziehen. Sollte das dann in ein eigenes VLAN? Oder sollte HOME und IOT nicht eh ein VLAN sein? Das ISG Web gateway z.B. soll halt eigentlich nur mit Home Assistant kommunizieren können und sonst mit nichts.

Sind denn der Switch und die APs überhaupt im 0er Subnetz richtig aufgehoben? Oder sollte es hier ein eigenes VLAN dafür geben?

Danke schonmal für euren Input!
 
@Wirman Ein Netzwerkdrucker sollte auch aus anderen Netzen zu erreichen sein, Du musst nur die IP-Adresse manuell eingeben, er wird sich nicht einfach so finden lassen. Außer Du redest jetzt vielleicht von einem bestimmten Endgerät, wo eine manuelle Eingabe nicht möglich ist. Und da kommt es eben auf die genauen Begebenheiten "vor Ort" an, deswegen ist eine allgemeine Beantwortung deiner Frage auch nicht möglich. Netze sind eben immer individuell zu betrachten. Und das macht ja auch den Reiz einer *Sense aus, die kannst Du halt ganz genau nach deinen Bedürfnissen einstellen.
 
mDNS lässt sich in der OPNsense recht komfortable nutzen. Brauchst den mDNS repeater als plugin und die entsprechenden ports in der firewall, dann läufts ganz gut. Einziger Nachteil: Das mDNS repeater plugin ist nicht CARP bzw. HA fähig, was mich persönlich hart annervt.
 
BobbyD schrieb:
@Wirman Ein Netzwerkdrucker sollte auch aus anderen Netzen zu erreichen sein, Du musst nur die IP-Adresse manuell eingeben, er wird sich nicht einfach so finden lassen. Außer Du redest jetzt vielleicht von einem bestimmten Endgerät, wo eine manuelle Eingabe nicht möglich ist. Und da kommt es eben auf die genauen Begebenheiten "vor Ort" an, deswegen ist eine allgemeine Beantwortung deiner Frage auch nicht möglich. Netze sind eben immer individuell zu betrachten. Und das macht ja auch den Reiz einer *Sense aus, die kannst Du halt ganz genau nach deinen Bedürfnissen einstellen.
Zum Vergrößern anklicken....
Eigentlich hatte ich den Drucker über die IP eingerichtet, jedoch hat er diesen dann immer, wenn ich nicht im passenden WLAN unterwegs war, nicht gefunden. Sei es am Handy (wobei ich hier nicht sicher bin, ob die direkte IP Einrichtung über App so funktioniert) oder am PC. Mit allen PCs im Haus. Vielleicht hab ich da auch was nicht beachtet, aber ich hatte dann auch keine Lust mich vermehrt damit zu beschäftigen, da der Workaround in Kombination mit wenig Druckernutzung ausreichend komfortabel war.

Wegen mDNS müsste ich dann mal schauen.

Generell nur noch mal der Punkt mit dem Management VLAN, hab da unterschiedliche Meinungen gehört, kann diese aber im Moment nicht reproduzieren, weil ich nicht mehr genau weiß, wo ich was aufgeschnappt habe. Sind Router, Switch und APs im 0er Subnet richtig aufgehoben?
 
Wirman schrieb:
Vielleicht hab ich da auch was nicht beachtet, aber ich hatte dann auch keine Lust mich vermehrt damit zu beschäftigen, da der Workaround in Kombination mit wenig Druckernutzung ausreichend komfortabel war.
Zum Vergrößern anklicken....
Dann muss es natürlich auch eine Firewall Regel geben, die die Benutzung erlaubt.
Wirman schrieb:
Wegen mDNS müsste ich dann mal schauen.
Zum Vergrößern anklicken....
Musst Du nicht, das macht alles nur noch komplizierter.
Wirman schrieb:
Generell nur noch mal der Punkt mit dem Management VLAN, hab da unterschiedliche Meinungen gehört, kann diese aber im Moment nicht reproduzieren, weil ich nicht mehr genau weiß, wo ich was aufgeschnappt habe. Sind Router, Switch und APs im 0er Subnet richtig aufgehoben?
Zum Vergrößern anklicken....
Kann man so machen. Wichtig ist, funktioniert es für dich. Bei deinen ganzen Fragen merkt man aber auch, dass Du dir nicht sicher bist und eigentlich Du mit einem einfachen Router besser bedient wärst. Ok, ich halte mich ab jetzt zurück. ;)
 
Anmelden, um zu antworten.

Ähnliche Themen

F
Neuer PfSense / Opnsense Router bzw. Mainboard, stromsparend, ECC RAM fähig, PCiex für Connect-X 4 Netzerkkarte, gesucht
Antworten
12
Aufrufe
801
Zyxx
Z
O
PfSense, OPNsense Hardware - Eure Empfehlungen?
Antworten
9
Aufrufe
925
Almi_(R)
A
P
[Kaufberatung] Zwei Heimserver für OPNsense und Proxmox
Antworten
5
Aufrufe
884
Pixolantis
P
O
pfSense Hardware - Empfehlungen / Kaufberatung / Erfahrungen
Antworten
0
Aufrufe
586
OsiMosi
O
ebniv
  • Artikel
[Sammelthread] Gigabyte MC12-LE0 (AM4, B550, servertauglich: IPMI, Dual Lan, ECC)
95 96 97
Antworten
3K
Aufrufe
261K
ebniv
ebniv
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh