*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Ja, ist halt spannend.
An den Einstellungen habe ich nichts geändert.
Wie gesagt, habe ich „leider“ gleichzeitig folgende 3 Dinge gemacht: CPU-Upgrade, BIOS-Update, OPNSense-Update – 1 Tag später fingen die Probleme an.
OPNSense läuft ja wieder mit der Vorversion – aber trotzdem nicht ganz rund.
Bleibt also nur CPU-Downgrade und/oder BIOS-Downgrade!?
An den Einstellungen habe ich nichts geändert.
Wie gesagt, habe ich „leider“ gleichzeitig folgende 3 Dinge gemacht: CPU-Upgrade, BIOS-Update, OPNSense-Update – 1 Tag später fingen die Probleme an.
OPNSense läuft ja wieder mit der Vorversion – aber trotzdem nicht ganz rund.
Bleibt also nur CPU-Downgrade und/oder BIOS-Downgrade!?
Kabel habe ich natürlich schon kontrolliert - kein Problem.
Ist halt schon sehr verdächtig – bis zu meinen „Anpassungen“ am Wochenende (CPU-Upgrade, Bios-Update, OPNSense-Update) lief die ganze Sache problemfrei.
Seither war es immer so, dass ca. am 2. Tag nach einem Reboot mit der neuen OPNSense Version nix mehr ging.
Heute wäre wieder der 2. Tag nach einem Reboot – jetzt läuft aber wieder die Vorversion von OPNSense (allerdings auch nicht ganz reibungslos).
Wäre halt schon ziemlicher Zufall, wenn das Problem jetzt plötzlich irgendwo anders wäre!?
Ich werde/muss halt einfach CPU und/oder Bios „retour rüsten“ – wenn‘s dann auch nicht reibungslos läuft – tja, dann wird’s spannend.
Hätte dann noch einen baugleichen M720q Tiny als Reserve auf Lager liegen.
BIOS an sich würde mich irgendwie fast wundern.
Habe nach dem Update die Werkseinstellungen geladen, dann die gleichen Einstellungen wie vorher getätigt – einzige 2 Abweichungen:
Ist halt schon sehr verdächtig – bis zu meinen „Anpassungen“ am Wochenende (CPU-Upgrade, Bios-Update, OPNSense-Update) lief die ganze Sache problemfrei.
Seither war es immer so, dass ca. am 2. Tag nach einem Reboot mit der neuen OPNSense Version nix mehr ging.
Heute wäre wieder der 2. Tag nach einem Reboot – jetzt läuft aber wieder die Vorversion von OPNSense (allerdings auch nicht ganz reibungslos).
Wäre halt schon ziemlicher Zufall, wenn das Problem jetzt plötzlich irgendwo anders wäre!?
Ich werde/muss halt einfach CPU und/oder Bios „retour rüsten“ – wenn‘s dann auch nicht reibungslos läuft – tja, dann wird’s spannend.
Hätte dann noch einen baugleichen M720q Tiny als Reserve auf Lager liegen.
BIOS an sich würde mich irgendwie fast wundern.
Habe nach dem Update die Werkseinstellungen geladen, dann die gleichen Einstellungen wie vorher getätigt – einzige 2 Abweichungen:
- Audio habe ich deaktiviert – hatte ich damals anscheinend übersehen
- Intel SGX habe ich deaktiviert – das war früher aktiviert - soll ich das ev. wieder aktivieren?
Zuletzt bearbeitet:
Ich schaue mir jetzt mal das nächste update an:
Das habe ich Gott sei Dank vor dem letzten Update das erste Mal gemacht - wenn man es 1x gemacht/verstanden hat, ist dieses "Sicherungsprinzip" wirklich einfach und schnell!
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
24.1.3_1 ist draußen, das fixt nochmal ein wenig...
Ist drauf, lüppt ohne Probleme, hab aber auch nur ne 0815-Konfig...
Ist drauf, lüppt ohne Probleme, hab aber auch nur ne 0815-Konfig...
Tja, BIOS-Einstellung wieder angepasst - so wie es vorher war + alte CPU verbaut - keine Änderung; CPU-Auslastung kommt trotzdem immer wellenförmig (aber weniger hoch), obwohl jetzt auch alle LOGs deaktiviert sind und keine Netzwerklast anliegt!
Folgendes hat sich aber wieder normalisiert: Zugriff (Weboberfläche, oder auch via Shell) läuft jetzt wieder deutlich schneller/flüssiger - I-Net fühlt sich derzeit am Notebook auch wieder agiler an.
Hm, ev. noch BIOS-Downgrade versuchen!?
PS:
Es gibt jetzt nach kurzer Zeit schon wieder ein BIOS-Update!
Habe meinen M720q Tiny im August/September in Betrieb genommen und habe damals das neueste BIOS (m1uj972usa) aufgespielt; letztes Wochenende habe ich wieder mal nach Updates gesucht und da gab es von ca. Ende Februar die Version "m1uj974usa".
Seit 04.03. gibt es jetzt wieder ein neues BIOS (M1UKT75A) - tja, vielleicht mache ich mal dieses Update - wenn's nicht besser wird, dann kommt die Version vom August 2023 drauf.
PPS:
BIOS-Update hat nichts an der Thematik geändert.
Mit OPNSense 24.1.x sind die wellenförmigen CPU-Auslastung deutlich mehr und deutlich höher als mit der alten 23.7.12_5!
Zuletzt bearbeitet:
So, alte CPU + aktuellstes BIOS + sämtliche OPNSense-Updates.
Habe den gewünschten Befehl nochmals ausgeführt und ein paar Fotos gemacht - jetzt kamen die Ausschläge natürlich nur bis ca. 20% - ohne Kamera gab es auch öfters 30-50%!
Na ja...
In diesem Zeitraum keine Netzwerk- und I-Net-Last - sprich, "Leerlauf".
Kann damit jemand damit was anfangen?
Was auch interessant ist - meine Aliase werden irgendwie nicht mehr automatisch aktualisiert (eingestellt wäre 1x täglich)!?
Wenn ich mich frisch via GUI anmelde, dann bleibt die CPU-Last für einige Sekunden über 80% - ist doch auch nicht normal, oder?
LG
Anhänge
Zuletzt bearbeitet:
Ich sehe bei mir ca 10% Dauerauslastung durch Dummynet. Denke das ist zuviel aber ... Läuft ja.
OPNsense GUI zeigt eher müll bei der CPU Auslastung. Dass das kurz hochspringt beim aufmachen ist normal.
Schau mal zB hier re: weitere Diagnose Schritte (zB besseres top Kommando): https://forum.opnsense.org/index.php?topic=22869.0
OPNsense GUI zeigt eher müll bei der CPU Auslastung. Dass das kurz hochspringt beim aufmachen ist normal.
Schau mal zB hier re: weitere Diagnose Schritte (zB besseres top Kommando): https://forum.opnsense.org/index.php?topic=22869.0
Lag übrigens an fq_pie auf dem WAN. Mit fq_codel ist man zurück auf wenig CPU Grundlast.
Leider soll fq_codel laut Dave Täht in FreeBSD fehlerhaft implementiert sein.
Danke für diesen Hinweis - hab mich am SO damit beschäftigt - minimal "schlauer" bin ich jetzt.
Stelle die bisherigen Erkenntnisse am Abend rein.
LG
Code:
top -aSCHIPMit obigem Code konnte ich den Ausreißer ermitteln.
Kommt irgendwie von Netflow.
Habe etwas im Netz gesucht - Problem gibt es öfters.
Lsg. waren IPv6 deaktivieren - ist bei mir schon immer inaktiv; Netflow deaktivieren/bzw. Netflow-Daten zurücksetzen - na ja, bei mir hat das nicht wirklich geholfen!
Die CPU-Ausreißer habe ich noch immer - seit dem letzten OPNSense-Update läuft zumindest die Firewall an sich wieder fehlerfrei => keine Probleme mit Internet/WLAN/....
LG
Anhänge
pfSense® Software Embraces Change: A Strategic Migration to the Linux Kernel
pfSense to migrate from FreeBSD to Linux for improved performance, wider software & hardware compatibility, and better cloud integration.
www.netgate.com
Truenas schlaegt ebenfalls den Weg ein. Muss nicht zwingend ein Scherz sein. Mir ists im Grunde egal, bin nicht mit den BSDoiden verheiratet
finde das Produkt toll und nutze es. Aktuell beides in bsd varianten.
War natürlich ein Aprilscherz.pfSense® Software Embraces Change: A Strategic Migration to the Linux Kernel
pfSense to migrate from FreeBSD to Linux for improved performance, wider software & hardware compatibility, and better cloud integration.
AliManali
cpt sunday flyer
Hi
Da leider Sophos kein wireguard bietet, habe ich der opnsense mal noch eine Chance gegeben. IDS habe ich mal eingeschaltet, aber sonst noch nichts gross konfiguriert.
Unter ESXi hatte ich auch brauchbare Werte, unter proxmox bisschen schlechter noch. Aber baremetal läuft die OPNsense ja wie Schmids Katze. Im Downstream bisschen weniger als das Modem liefert. Im Upstream mehr als doppelt soviel, kein Mensch weiss warum.
Unter ESXi > OPNsense, pfsense, sophos:
Baremetal > OPNsense:
Damit bin ich schon ganz zufrieden z.Z.
Da leider Sophos kein wireguard bietet, habe ich der opnsense mal noch eine Chance gegeben. IDS habe ich mal eingeschaltet, aber sonst noch nichts gross konfiguriert.
Unter ESXi hatte ich auch brauchbare Werte, unter proxmox bisschen schlechter noch. Aber baremetal läuft die OPNsense ja wie Schmids Katze. Im Downstream bisschen weniger als das Modem liefert. Im Upstream mehr als doppelt soviel, kein Mensch weiss warum.
Unter ESXi > OPNsense, pfsense, sophos:
Baremetal > OPNsense:
- Supermicro CSE815 - X10SLH-LN6TF / N6-ST031 6x 10Gbps RJ45
- 32 GB ECC UDIMM
- Intel Xeon E3-1281 v3 HT deaktiviert
Damit bin ich schon ganz zufrieden z.Z.
Zuletzt bearbeitet:
Du müsstest dich schon alle male mit demselben Server verbinden, evtl. geht da dann auch 8 Gbit/s In/Out drüber.
Falls nicht, bremst deine CPU.
AliManali
cpt sunday flyer
War Cherrypicking, zugegeben. Ist ein shared Anschluss, da heisst es "bis zu..." Bin dann gespannt, wie es mit dem neuen Provider wird. AON Anschluss mit garantierten 10/10 ist das Ziel. Beim Wechsel geht es mir auch nicht um die Bandbreite, das peering überall hin soll bei init7 hervorragend sein.
Bei Salt haben wir auch dauernd Probleme mit Nutzern, die den selben Provider nutzen. Kumpel musste sich eine fixe IP buchen, damit wir überhaupt zusammen fliegen können. Über VPN gings, aber das ist auch keine Lösung. Wir sind drei Piloten die Salt nutzen, da gegenseitig beitreten geht nicht.. Nur mit fixer IP, oder halt VPN.
Für gewisse (eigene, lokale) Server muss ich auch VPN nutzen, damit ich überhaupt drauf komme. Habe da alles mögliche versucht. Hängen allerdings zwei Firewalls dran. An der alten Zywall hängen noch der Server und alle anderen Geräte. Die 10 Gbit FW ist im Moment noch Labor, da hängt nur mein Desktop dran. Bastelbude halt.
Aber was ich mich echt frage, wie ich hinter der Firewall mehr als doppelt soviel Upstream hin kriege als direkt am Modem. Wenn ich direkt am Modem messe, kriege ich im Normalfall 8/2. Allerdings ist im Desktop noch eine billo NIC, die wird dann noch getauscht durch eine Intel.
Bei Salt haben wir auch dauernd Probleme mit Nutzern, die den selben Provider nutzen. Kumpel musste sich eine fixe IP buchen, damit wir überhaupt zusammen fliegen können. Über VPN gings, aber das ist auch keine Lösung. Wir sind drei Piloten die Salt nutzen, da gegenseitig beitreten geht nicht.. Nur mit fixer IP, oder halt VPN.
Für gewisse (eigene, lokale) Server muss ich auch VPN nutzen, damit ich überhaupt drauf komme. Habe da alles mögliche versucht. Hängen allerdings zwei Firewalls dran. An der alten Zywall hängen noch der Server und alle anderen Geräte. Die 10 Gbit FW ist im Moment noch Labor, da hängt nur mein Desktop dran. Bastelbude halt.
Aber was ich mich echt frage, wie ich hinter der Firewall mehr als doppelt soviel Upstream hin kriege als direkt am Modem. Wenn ich direkt am Modem messe, kriege ich im Normalfall 8/2. Allerdings ist im Desktop noch eine billo NIC, die wird dann noch getauscht durch eine Intel.
FieserOstfriese
Enthusiast
Jemand ne Idee wie ich beim pfblocker auch für geblockte IPs ne Meldung im Browser bekomme? beim dns gibts ja ne schöne Meldung im Browser.
Hallo zusammen,
ich bekomme morgen Telekom Internet, da das mit dem Kabel einfach nicht funktioniert hat, weswegen ich es nun gekündigt habe.
Bei der Gelegenheit setz ich die OPNsense neu auf. Ich will auch nochmal die VLANs überdenken.
Gerade im Moment habe ich:
10.0.0.0/24 LAN: OPNsense, Aruba Switch, Aruba APs
10.0.10.0/24 HOME: Server, Familienlaptops und Handys, Windows und LinuxVM
10.0.20.0/24 IOT: Home Assistant VM, MiniPC Dashboard, KNX Router, StiebelEltron ISG weg gateway, Kameras, Wechselrichter und Batteriespeicher, NVR, Fernseher, Drucker, Staubsaugerroboter
10.0.100.0/24 GUEST: Selbsterklärend.
Ist das so überhaupt sinnvoll? Bei meinem Drucker z.B. ist es so, dass ich im gleichen Subnetz sein muss, dass ich den überhaupt über WLAN erreichen kann. Ähnliche beim ScreenMirroring für den Fernseher. Sind die Geräte dann überhaupt sinnvollerweise bei IOT aufgehoben? Muss sonst halt immer das WLAN wechseln.
Bei IOT möchte ich dem ein oder anderen Gerät vielleicht mal den Internetzugriff entziehen. Sollte das dann in ein eigenes VLAN? Oder sollte HOME und IOT nicht eh ein VLAN sein? Das ISG Web gateway z.B. soll halt eigentlich nur mit Home Assistant kommunizieren können und sonst mit nichts.
Sind denn der Switch und die APs überhaupt im 0er Subnetz richtig aufgehoben? Oder sollte es hier ein eigenes VLAN dafür geben?
Danke schonmal für euren Input!
ich bekomme morgen Telekom Internet, da das mit dem Kabel einfach nicht funktioniert hat, weswegen ich es nun gekündigt habe.
Bei der Gelegenheit setz ich die OPNsense neu auf. Ich will auch nochmal die VLANs überdenken.
Gerade im Moment habe ich:
10.0.0.0/24 LAN: OPNsense, Aruba Switch, Aruba APs
10.0.10.0/24 HOME: Server, Familienlaptops und Handys, Windows und LinuxVM
10.0.20.0/24 IOT: Home Assistant VM, MiniPC Dashboard, KNX Router, StiebelEltron ISG weg gateway, Kameras, Wechselrichter und Batteriespeicher, NVR, Fernseher, Drucker, Staubsaugerroboter
10.0.100.0/24 GUEST: Selbsterklärend.
Ist das so überhaupt sinnvoll? Bei meinem Drucker z.B. ist es so, dass ich im gleichen Subnetz sein muss, dass ich den überhaupt über WLAN erreichen kann. Ähnliche beim ScreenMirroring für den Fernseher. Sind die Geräte dann überhaupt sinnvollerweise bei IOT aufgehoben? Muss sonst halt immer das WLAN wechseln.
Bei IOT möchte ich dem ein oder anderen Gerät vielleicht mal den Internetzugriff entziehen. Sollte das dann in ein eigenes VLAN? Oder sollte HOME und IOT nicht eh ein VLAN sein? Das ISG Web gateway z.B. soll halt eigentlich nur mit Home Assistant kommunizieren können und sonst mit nichts.
Sind denn der Switch und die APs überhaupt im 0er Subnetz richtig aufgehoben? Oder sollte es hier ein eigenes VLAN dafür geben?
Danke schonmal für euren Input!
@Wirman Ein Netzwerkdrucker sollte auch aus anderen Netzen zu erreichen sein, Du musst nur die IP-Adresse manuell eingeben, er wird sich nicht einfach so finden lassen. Außer Du redest jetzt vielleicht von einem bestimmten Endgerät, wo eine manuelle Eingabe nicht möglich ist. Und da kommt es eben auf die genauen Begebenheiten "vor Ort" an, deswegen ist eine allgemeine Beantwortung deiner Frage auch nicht möglich. Netze sind eben immer individuell zu betrachten. Und das macht ja auch den Reiz einer *Sense aus, die kannst Du halt ganz genau nach deinen Bedürfnissen einstellen.
KurantRubys
Legende
mDNS ist hier das Stichwort, funktioniert aber meiner Erfahrung nach eher wenig bis gar nicht, ist ein ziemliches Glücksspiel.
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.904
mDNS lässt sich in der OPNsense recht komfortable nutzen. Brauchst den mDNS repeater als plugin und die entsprechenden ports in der firewall, dann läufts ganz gut. Einziger Nachteil: Das mDNS repeater plugin ist nicht CARP bzw. HA fähig, was mich persönlich hart annervt.
Eigentlich hatte ich den Drucker über die IP eingerichtet, jedoch hat er diesen dann immer, wenn ich nicht im passenden WLAN unterwegs war, nicht gefunden. Sei es am Handy (wobei ich hier nicht sicher bin, ob die direkte IP Einrichtung über App so funktioniert) oder am PC. Mit allen PCs im Haus. Vielleicht hab ich da auch was nicht beachtet, aber ich hatte dann auch keine Lust mich vermehrt damit zu beschäftigen, da der Workaround in Kombination mit wenig Druckernutzung ausreichend komfortabel war.
Wegen mDNS müsste ich dann mal schauen.
Generell nur noch mal der Punkt mit dem Management VLAN, hab da unterschiedliche Meinungen gehört, kann diese aber im Moment nicht reproduzieren, weil ich nicht mehr genau weiß, wo ich was aufgeschnappt habe. Sind Router, Switch und APs im 0er Subnet richtig aufgehoben?
Dann muss es natürlich auch eine Firewall Regel geben, die die Benutzung erlaubt.
Musst Du nicht, das macht alles nur noch komplizierter.
Kann man so machen. Wichtig ist, funktioniert es für dich. Bei deinen ganzen Fragen merkt man aber auch, dass Du dir nicht sicher bist und eigentlich Du mit einem einfachen Router besser bedient wärst. Ok, ich halte mich ab jetzt zurück.
