[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Ja, ist halt spannend.


An den Einstellungen habe ich nichts geändert.
Wie gesagt, habe ich „leider“ gleichzeitig folgende 3 Dinge gemacht: CPU-Upgrade, BIOS-Update, OPNSense-Update – 1 Tag später fingen die Probleme an.


OPNSense läuft ja wieder mit der Vorversion – aber trotzdem nicht ganz rund.

Bleibt also nur CPU-Downgrade und/oder BIOS-Downgrade!?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Eher BIOS als CPU. Ich vermute der Fehler liegt dennoch irgendwo anders (kann ja auch ein verrutschtes Kabel sein).
 
Kabel habe ich natürlich schon kontrolliert - kein Problem.

Ist halt schon sehr verdächtig – bis zu meinen „Anpassungen“ am Wochenende (CPU-Upgrade, Bios-Update, OPNSense-Update) lief die ganze Sache problemfrei.
Seither war es immer so, dass ca. am 2. Tag nach einem Reboot mit der neuen OPNSense Version nix mehr ging.

Heute wäre wieder der 2. Tag nach einem Reboot – jetzt läuft aber wieder die Vorversion von OPNSense (allerdings auch nicht ganz reibungslos).

Wäre halt schon ziemlicher Zufall, wenn das Problem jetzt plötzlich irgendwo anders wäre!?
Ich werde/muss halt einfach CPU und/oder Bios „retour rüsten“ – wenn‘s dann auch nicht reibungslos läuft – tja, dann wird’s spannend.

Hätte dann noch einen baugleichen M720q Tiny als Reserve auf Lager liegen.



BIOS an sich würde mich irgendwie fast wundern.
Habe nach dem Update die Werkseinstellungen geladen, dann die gleichen Einstellungen wie vorher getätigt – einzige 2 Abweichungen:
  • Audio habe ich deaktiviert – hatte ich damals anscheinend übersehen
  • Intel SGX habe ich deaktiviert – das war früher aktiviert - soll ich das ev. wieder aktivieren?
CPU habe ich halt gebraucht erworben.
 
Zuletzt bearbeitet:
Ich schaue mir jetzt mal das nächste update an:


This update fixes minor issues in the software and adds a CSV import/export
to the Kea DHCP reservations to make bulk edits much easier. It also fixes
defaults in Suricata 7 that would negatively impact the IPS mode usage and
updates the curl package to its current latest version.
 
Dafür brauchst Du keine VM.

Einfach auf ZFS installieren und vor Updates ein Fallback Boot Environment anlegen. Ggfs auch noch ein ZFS snapshot vom Rest.

Bash:
bectl create -r <fallback-BE-name>
zfs snapshot -r zroot@snapshot-name

Wenn es aber einen sinnvollen Grund für die Virtualisierung gibt: ja, geht, mache ich so mit ESXi.

Generell aber eher bare Metal wenn nicht unbedingt VM muss.


Das habe ich Gott sei Dank vor dem letzten Update das erste Mal gemacht - wenn man es 1x gemacht/verstanden hat, ist dieses "Sicherungsprinzip" wirklich einfach und schnell!
 
24.1.3_1 ist draußen, das fixt nochmal ein wenig...
Ist drauf, lüppt ohne Probleme, hab aber auch nur ne 0815-Konfig...
 
Kabel habe ich natürlich schon kontrolliert - kein Problem.

Ist halt schon sehr verdächtig – bis zu meinen „Anpassungen“ am Wochenende (CPU-Upgrade, Bios-Update, OPNSense-Update) lief die ganze Sache problemfrei.
Seither war es immer so, dass ca. am 2. Tag nach einem Reboot mit der neuen OPNSense Version nix mehr ging.

Heute wäre wieder der 2. Tag nach einem Reboot – jetzt läuft aber wieder die Vorversion von OPNSense (allerdings auch nicht ganz reibungslos).

Wäre halt schon ziemlicher Zufall, wenn das Problem jetzt plötzlich irgendwo anders wäre!?
Ich werde/muss halt einfach CPU und/oder Bios „retour rüsten“ – wenn‘s dann auch nicht reibungslos läuft – tja, dann wird’s spannend.

Hätte dann noch einen baugleichen M720q Tiny als Reserve auf Lager liegen.



BIOS an sich würde mich irgendwie fast wundern.
Habe nach dem Update die Werkseinstellungen geladen, dann die gleichen Einstellungen wie vorher getätigt – einzige 2 Abweichungen:
  • Audio habe ich deaktiviert – hatte ich damals anscheinend übersehen
  • Intel SGX habe ich deaktiviert – das war früher aktiviert - soll ich das ev. wieder aktivieren?
CPU habe ich halt gebraucht erworben.


Tja, BIOS-Einstellung wieder angepasst - so wie es vorher war + alte CPU verbaut - keine Änderung; CPU-Auslastung kommt trotzdem immer wellenförmig (aber weniger hoch), obwohl jetzt auch alle LOGs deaktiviert sind und keine Netzwerklast anliegt!

Folgendes hat sich aber wieder normalisiert: Zugriff (Weboberfläche, oder auch via Shell) läuft jetzt wieder deutlich schneller/flüssiger - I-Net fühlt sich derzeit am Notebook auch wieder agiler an.

Hm, ev. noch BIOS-Downgrade versuchen!?

PS:
Es gibt jetzt nach kurzer Zeit schon wieder ein BIOS-Update!

Habe meinen M720q Tiny im August/September in Betrieb genommen und habe damals das neueste BIOS (m1uj972usa) aufgespielt; letztes Wochenende habe ich wieder mal nach Updates gesucht und da gab es von ca. Ende Februar die Version "m1uj974usa".
Seit 04.03. gibt es jetzt wieder ein neues BIOS (M1UKT75A) - tja, vielleicht mache ich mal dieses Update - wenn's nicht besser wird, dann kommt die Version vom August 2023 drauf.

PPS:
BIOS-Update hat nichts an der Thematik geändert.

Mit OPNSense 24.1.x sind die wellenförmigen CPU-Auslastung deutlich mehr und deutlich höher als mit der alten 23.7.12_5!
 
Zuletzt bearbeitet:
Vermutlich zu große logs.

Schau mal mit top -aSH was da so viel CPU frisst.


So, alte CPU + aktuellstes BIOS + sämtliche OPNSense-Updates.

Habe den gewünschten Befehl nochmals ausgeführt und ein paar Fotos gemacht - jetzt kamen die Ausschläge natürlich nur bis ca. 20% - ohne Kamera gab es auch öfters 30-50%!
Na ja...

In diesem Zeitraum keine Netzwerk- und I-Net-Last - sprich, "Leerlauf".


Kann damit jemand damit was anfangen?

Was auch interessant ist - meine Aliase werden irgendwie nicht mehr automatisch aktualisiert (eingestellt wäre 1x täglich)!?

Wenn ich mich frisch via GUI anmelde, dann bleibt die CPU-Last für einige Sekunden über 80% - ist doch auch nicht normal, oder?


LG
 

Anhänge

  • IMG_9927.jpg
    IMG_9927.jpg
    2,2 MB · Aufrufe: 74
  • IMG_9928.jpg
    IMG_9928.jpg
    2,2 MB · Aufrufe: 75
  • IMG_9930.jpg
    IMG_9930.jpg
    2,3 MB · Aufrufe: 64
  • Screenshot 2024-03-08 210921.jpg
    Screenshot 2024-03-08 210921.jpg
    11 KB · Aufrufe: 57
  • Aliase.jpg
    Aliase.jpg
    81,1 KB · Aufrufe: 68
Zuletzt bearbeitet:
Ich sehe bei mir ca 10% Dauerauslastung durch Dummynet. Denke das ist zuviel aber ... Läuft ja.

OPNsense GUI zeigt eher müll bei der CPU Auslastung. Dass das kurz hochspringt beim aufmachen ist normal.

Schau mal zB hier re: weitere Diagnose Schritte (zB besseres top Kommando): https://forum.opnsense.org/index.php?topic=22869.0

Danke für diesen Hinweis - hab mich am SO damit beschäftigt - minimal "schlauer" bin ich jetzt.

Stelle die bisherigen Erkenntnisse am Abend rein.

LG
 
Für die, die sich noch die pfSense Plus krallen konnten, vielleicht interessant.
 
Danke für diesen Hinweis - hab mich am SO damit beschäftigt - minimal "schlauer" bin ich jetzt.

Stelle die bisherigen Erkenntnisse am Abend rein.

LG
Code:
top -aSCHIP

Mit obigem Code konnte ich den Ausreißer ermitteln.

Kommt irgendwie von Netflow.

Habe etwas im Netz gesucht - Problem gibt es öfters.
Lsg. waren IPv6 deaktivieren - ist bei mir schon immer inaktiv; Netflow deaktivieren/bzw. Netflow-Daten zurücksetzen - na ja, bei mir hat das nicht wirklich geholfen!


Die CPU-Ausreißer habe ich noch immer - seit dem letzten OPNSense-Update läuft zumindest die Firewall an sich wieder fehlerfrei => keine Probleme mit Internet/WLAN/....


LG
 

Anhänge

  • IMG_9937.jpg
    IMG_9937.jpg
    2 MB · Aufrufe: 79
Aprilscherz vermutlich
Truenas schlaegt ebenfalls den Weg ein. Muss nicht zwingend ein Scherz sein. Mir ists im Grunde egal, bin nicht mit den BSDoiden verheiratet :d finde das Produkt toll und nutze es. Aktuell beides in bsd varianten.
 
Hi

Da leider Sophos kein wireguard bietet, habe ich der opnsense mal noch eine Chance gegeben. IDS habe ich mal eingeschaltet, aber sonst noch nichts gross konfiguriert.

Unter ESXi hatte ich auch brauchbare Werte, unter proxmox bisschen schlechter noch. Aber baremetal läuft die OPNsense ja wie Schmids Katze. Im Downstream bisschen weniger als das Modem liefert. Im Upstream mehr als doppelt soviel, kein Mensch weiss warum.

Unter ESXi > OPNsense, pfsense, sophos:

Speedtest.JPG



Baremetal > OPNsense:

OPNsenseBaremetal.JPG


  • Supermicro CSE815 - X10SLH-LN6TF / N6-ST031 6x 10Gbps RJ45
  • 32 GB ECC UDIMM
  • Intel Xeon E3-1281 v3 HT deaktiviert
Ohne Switch, OPNsense an Modem, PC an der sense.

Damit bin ich schon ganz zufrieden z.Z.
 
Zuletzt bearbeitet:
War Cherrypicking, zugegeben. Ist ein shared Anschluss, da heisst es "bis zu..." Bin dann gespannt, wie es mit dem neuen Provider wird. AON Anschluss mit garantierten 10/10 ist das Ziel. Beim Wechsel geht es mir auch nicht um die Bandbreite, das peering überall hin soll bei init7 hervorragend sein.

Bei Salt haben wir auch dauernd Probleme mit Nutzern, die den selben Provider nutzen. Kumpel musste sich eine fixe IP buchen, damit wir überhaupt zusammen fliegen können. Über VPN gings, aber das ist auch keine Lösung. Wir sind drei Piloten die Salt nutzen, da gegenseitig beitreten geht nicht.. Nur mit fixer IP, oder halt VPN.

Für gewisse (eigene, lokale) Server muss ich auch VPN nutzen, damit ich überhaupt drauf komme. Habe da alles mögliche versucht. Hängen allerdings zwei Firewalls dran. An der alten Zywall hängen noch der Server und alle anderen Geräte. Die 10 Gbit FW ist im Moment noch Labor, da hängt nur mein Desktop dran. Bastelbude halt.

Aber was ich mich echt frage, wie ich hinter der Firewall mehr als doppelt soviel Upstream hin kriege als direkt am Modem. Wenn ich direkt am Modem messe, kriege ich im Normalfall 8/2. Allerdings ist im Desktop noch eine billo NIC, die wird dann noch getauscht durch eine Intel.
 
Denke, das ist nicht vorgesehen. REJECT ist natürlich trotzdem eine gute Idee.
 
Hallo zusammen,

ich bekomme morgen Telekom Internet, da das mit dem Kabel einfach nicht funktioniert hat, weswegen ich es nun gekündigt habe.
Bei der Gelegenheit setz ich die OPNsense neu auf. Ich will auch nochmal die VLANs überdenken.

Gerade im Moment habe ich:
10.0.0.0/24 LAN: OPNsense, Aruba Switch, Aruba APs
10.0.10.0/24 HOME: Server, Familienlaptops und Handys, Windows und LinuxVM
10.0.20.0/24 IOT: Home Assistant VM, MiniPC Dashboard, KNX Router, StiebelEltron ISG weg gateway, Kameras, Wechselrichter und Batteriespeicher, NVR, Fernseher, Drucker, Staubsaugerroboter
10.0.100.0/24 GUEST: Selbsterklärend.

Ist das so überhaupt sinnvoll? Bei meinem Drucker z.B. ist es so, dass ich im gleichen Subnetz sein muss, dass ich den überhaupt über WLAN erreichen kann. Ähnliche beim ScreenMirroring für den Fernseher. Sind die Geräte dann überhaupt sinnvollerweise bei IOT aufgehoben? Muss sonst halt immer das WLAN wechseln.
Bei IOT möchte ich dem ein oder anderen Gerät vielleicht mal den Internetzugriff entziehen. Sollte das dann in ein eigenes VLAN? Oder sollte HOME und IOT nicht eh ein VLAN sein? Das ISG Web gateway z.B. soll halt eigentlich nur mit Home Assistant kommunizieren können und sonst mit nichts.

Sind denn der Switch und die APs überhaupt im 0er Subnetz richtig aufgehoben? Oder sollte es hier ein eigenes VLAN dafür geben?

Danke schonmal für euren Input!
 
@Wirman Ein Netzwerkdrucker sollte auch aus anderen Netzen zu erreichen sein, Du musst nur die IP-Adresse manuell eingeben, er wird sich nicht einfach so finden lassen. Außer Du redest jetzt vielleicht von einem bestimmten Endgerät, wo eine manuelle Eingabe nicht möglich ist. Und da kommt es eben auf die genauen Begebenheiten "vor Ort" an, deswegen ist eine allgemeine Beantwortung deiner Frage auch nicht möglich. Netze sind eben immer individuell zu betrachten. Und das macht ja auch den Reiz einer *Sense aus, die kannst Du halt ganz genau nach deinen Bedürfnissen einstellen.
 
mDNS lässt sich in der OPNsense recht komfortable nutzen. Brauchst den mDNS repeater als plugin und die entsprechenden ports in der firewall, dann läufts ganz gut. Einziger Nachteil: Das mDNS repeater plugin ist nicht CARP bzw. HA fähig, was mich persönlich hart annervt.
 
@Wirman Ein Netzwerkdrucker sollte auch aus anderen Netzen zu erreichen sein, Du musst nur die IP-Adresse manuell eingeben, er wird sich nicht einfach so finden lassen. Außer Du redest jetzt vielleicht von einem bestimmten Endgerät, wo eine manuelle Eingabe nicht möglich ist. Und da kommt es eben auf die genauen Begebenheiten "vor Ort" an, deswegen ist eine allgemeine Beantwortung deiner Frage auch nicht möglich. Netze sind eben immer individuell zu betrachten. Und das macht ja auch den Reiz einer *Sense aus, die kannst Du halt ganz genau nach deinen Bedürfnissen einstellen.
Eigentlich hatte ich den Drucker über die IP eingerichtet, jedoch hat er diesen dann immer, wenn ich nicht im passenden WLAN unterwegs war, nicht gefunden. Sei es am Handy (wobei ich hier nicht sicher bin, ob die direkte IP Einrichtung über App so funktioniert) oder am PC. Mit allen PCs im Haus. Vielleicht hab ich da auch was nicht beachtet, aber ich hatte dann auch keine Lust mich vermehrt damit zu beschäftigen, da der Workaround in Kombination mit wenig Druckernutzung ausreichend komfortabel war.

Wegen mDNS müsste ich dann mal schauen.

Generell nur noch mal der Punkt mit dem Management VLAN, hab da unterschiedliche Meinungen gehört, kann diese aber im Moment nicht reproduzieren, weil ich nicht mehr genau weiß, wo ich was aufgeschnappt habe. Sind Router, Switch und APs im 0er Subnet richtig aufgehoben?
 
Vielleicht hab ich da auch was nicht beachtet, aber ich hatte dann auch keine Lust mich vermehrt damit zu beschäftigen, da der Workaround in Kombination mit wenig Druckernutzung ausreichend komfortabel war.
Dann muss es natürlich auch eine Firewall Regel geben, die die Benutzung erlaubt.
Wegen mDNS müsste ich dann mal schauen.
Musst Du nicht, das macht alles nur noch komplizierter.
Generell nur noch mal der Punkt mit dem Management VLAN, hab da unterschiedliche Meinungen gehört, kann diese aber im Moment nicht reproduzieren, weil ich nicht mehr genau weiß, wo ich was aufgeschnappt habe. Sind Router, Switch und APs im 0er Subnet richtig aufgehoben?
Kann man so machen. Wichtig ist, funktioniert es für dich. Bei deinen ganzen Fragen merkt man aber auch, dass Du dir nicht sicher bist und eigentlich Du mit einem einfachen Router besser bedient wärst. Ok, ich halte mich ab jetzt zurück. ;)
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh