[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

*Inhalt gelöscht*

 

[Sound&Fury]

Nur zur Info: ich bin dann zu diesem Shop gegangen und hab hier die IPU445 bestellt.
Für mich privat auch gleich noch eine kleine^^

Sollte es nicht SFP+ werden?

Auch wenn es jetzt vielleicht schon zu spät ist. Ich werfe mal das hier in den Raum:

https://amzn.eu/d/g4GR1fa

Läuft bei mir seit einem halben Jahr als OpnSene problemlos. Aber ist halt privat. Ob man so ein Chinaböller beim Kunden verbauen möchte ist vielleicht nochmal ein anderes Thema.

 

[Mac_leod]

Hab mich gegen SFP+ entschieden, weil die Aruba Switche darunter jeweils 4 Ports SFP+ haben.
Also die pf im eigenen Home Lab in Betrieb zu nehmen, darauf freu ich mich tierisch.

 

[Zeitmangel]

Auch wenn es jetzt vielleicht schon zu spät ist. Ich werfe mal das hier in den Raum:

N300. Nicht N100...

 

[Sound&Fury]

N300. Nicht N100...

Gibt es in verschiedenen Ausführungen...

 

[Mac_leod]

Bin mal gespannt, ob der i7-4500U wirklich sparsammer ist als der N100.
TDP 15W gegen 6W ist klar, der Verkäufer meint aber unterm Strich zieht der i7 weniger Saft als die 10 Jahre jüngere CPU.

 

[Sound&Fury]

Ich würd dagegen wetten.
Und selbst wenn es es ähnlich viel oder sogar 1-2W weniger sind hätte ich mich für die aktuellere Hardware entschieden.

 

[BobbyD]

Das Design von diesen N-sowieso ist ja auch nicht wirklich neu und sie sind nicht wirklich effizient, sie sind nur verdammt schwach und verbrauchen deswegen nicht viel. Wem diese Leistung reicht, der darf halt zugreifen. Als Appliance gehen sie halt durch.

 

[Zeitmangel]

Ja... Der Bobby hat den Sinn dahinter verstanden

 

[AliManali]

Hi

Habe eine E3-1281 v3 in meiner opnsense. Wenn ich mit dem normalen Intel MC starte, habe ich etwa 6800 im Down- und >5000 Mbit/s im Upstream. Aktiviere ich die Erweiterung "Intel CPU Microcode" bekomme ichim Downstream ca 6000 und im Upstream gerade mal noch 2000 Mbit/s.

Kann das jemand bestätigen? Nutzt Ihr die Microcode Updates bei einer Installation auf Blech?

Gruss und danke

Beitrag automatisch zusammengeführt: Montag um 21:02

Hmm, keine Ahnung, ob meine Hardware zu warm-, oder mein Provider schlechte Laune hat. Jetzt flutscht auch mit MC Update:

 

[Azrael_ct]

Oder deine Gegenstelle kann nicht genug liefern. Wenn die mit 10G angeschlossen ist, und noch weitere Clients parallel bedienen muss ?

 

[andrer250282]

Guten Morgen,
ganz kurioses Phänomen. Ich hab 2x OPNsense als Inter-VLAN Router im HA laufen
O1: 192.168.211.45/24
O2: 192.168.211.46/24
CARP: 192.168.211.252/24 (<-- die ist bei den Clients als Gateway eingetragen)

Andere Seite
O1: 10.0.30.4/29
O2: 10.0.30.5/29
CARP: 10.0.30.6/29

Jetzt nutze ich NTP, eigentlich schon immer und bekomme jetzt gesagt, dass NTP sich im Netz 192.168.211.0/24 nicht abfragen lässt.

Also Test (CLient: 192.168.211.14)

C:\Windows\system32>w32tm /stripchart /computer:192.168.211.252 /dataonly /samples:2
192.168.211.252 wird verfolgt [192.168.211.252:123].
2 Proben werden gesammelt.
Es ist 01.07.2025 08:19:36.
08:19:36, Fehler: 0x800705B4
08:19:39, Fehler: 0x800705B4

C:\Windows\system32>w32tm /stripchart /computer:192.168.211.45 /dataonly /samples:2
192.168.211.45 wird verfolgt [192.168.211.45:123].
2 Proben werden gesammelt.
Es ist 01.07.2025 08:24:23.
08:24:23, Fehler: 0x800705B4
08:24:26, Fehler: 0x800705B4

jetzt wirds kurios:

C:\Windows\system32>w32tm /stripchart /computer:192.168.211.46 /dataonly /samples:2
192.168.211.46 wird verfolgt [192.168.211.46:123].
2 Proben werden gesammelt.
Es ist 01.07.2025 08:24:31.
08:24:31, -1249.3570432s
08:24:33, -1249.3695011s

Ich hab mal auf chrony gewechselt (wollte ich eh) aber kein Unterschied.
Im Live-Log sehe ich die Anfragen, es wird auch nichts geblockt.
Auf der OPNSense SSH Konsole kann ich auch sehen O2 kriegt Anfrage und sendet Antwort, O1 kriegt nur Anfrage:

root@O1:~ # tcpdump -n -i igb1 port 123
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on igb1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
08:21:07.482118 IP 192.168.211.14.55438 > 192.168.211.45.123: NTPv1, Client, length 48
08:21:10.502381 IP 192.168.211.14.55439 > 192.168.211.45.123: NTPv1, Client, length 48

root@O2:~ # tcpdump -n -i igb1 port 123
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on igb1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
08:21:13.209793 IP 192.168.211.14.60424 > 192.168.211.46.123: NTPv1, Client, length 48
08:21:13.209887 IP 192.168.211.46.123 > 192.168.211.14.60424: NTPv1, Server, length 48
08:21:15.215298 IP 192.168.211.14.60425 > 192.168.211.46.123: NTPv1, Client, length 48
08:21:15.215388 IP 192.168.211.46.123 > 192.168.211.14.60425: NTPv1, Server, length 48

Zusammenfassend: Firewall O1 gibt keine NTP Antworten und es scheint weder ein Dienst, noch ein Paketfilter-Problem zu sein
Die gleiche (synchronisierte) Konfig auf O2 geht.

Jemand eine Idee?

 

[Weltherrscher]

---snip---
Kann das jemand bestätigen? Nutzt Ihr die Microcode Updates bei einer Installation auf Blech?
---snip---

Zwingend.
Für die Spectre- / Meltdown-Mitigation.

 

[andrer250282]

Guten Morgen,
ganz kurioses Phänomen. Ich hab 2x OPNsense als Inter-VLAN Router im HA laufen
O1: 192.168.211.45/24
O2: 192.168.211.46/24
CARP: 192.168.211.252/24 (<-- die ist bei den Clients als Gateway eingetragen)

Andere Seite
O1: 10.0.30.4/29
O2: 10.0.30.5/29
CARP: 10.0.30.6/29

Jetzt nutze ich NTP, eigentlich schon immer und bekomme jetzt gesagt, dass NTP sich im Netz 192.168.211.0/24 nicht abfragen lässt.

Also Test (CLient: 192.168.211.14)

C:\Windows\system32>w32tm /stripchart /computer:192.168.211.252 /dataonly /samples:2
192.168.211.252 wird verfolgt [192.168.211.252:123].
2 Proben werden gesammelt.
Es ist 01.07.2025 08:19:36.
08:19:36, Fehler: 0x800705B4
08:19:39, Fehler: 0x800705B4

C:\Windows\system32>w32tm /stripchart /computer:192.168.211.45 /dataonly /samples:2
192.168.211.45 wird verfolgt [192.168.211.45:123].
2 Proben werden gesammelt.
Es ist 01.07.2025 08:24:23.
08:24:23, Fehler: 0x800705B4
08:24:26, Fehler: 0x800705B4

jetzt wirds kurios:

C:\Windows\system32>w32tm /stripchart /computer:192.168.211.46 /dataonly /samples:2
192.168.211.46 wird verfolgt [192.168.211.46:123].
2 Proben werden gesammelt.
Es ist 01.07.2025 08:24:31.
08:24:31, -1249.3570432s
08:24:33, -1249.3695011s

Ich hab mal auf chrony gewechselt (wollte ich eh) aber kein Unterschied.
Im Live-Log sehe ich die Anfragen, es wird auch nichts geblockt.
Auf der OPNSense SSH Konsole kann ich auch sehen O2 kriegt Anfrage und sendet Antwort, O1 kriegt nur Anfrage:

root@O1:~ # tcpdump -n -i igb1 port 123
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on igb1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
08:21:07.482118 IP 192.168.211.14.55438 > 192.168.211.45.123: NTPv1, Client, length 48
08:21:10.502381 IP 192.168.211.14.55439 > 192.168.211.45.123: NTPv1, Client, length 48

root@O2:~ # tcpdump -n -i igb1 port 123
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on igb1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
08:21:13.209793 IP 192.168.211.14.60424 > 192.168.211.46.123: NTPv1, Client, length 48
08:21:13.209887 IP 192.168.211.46.123 > 192.168.211.14.60424: NTPv1, Server, length 48
08:21:15.215298 IP 192.168.211.14.60425 > 192.168.211.46.123: NTPv1, Client, length 48
08:21:15.215388 IP 192.168.211.46.123 > 192.168.211.14.60425: NTPv1, Server, length 48

Zusammenfassend: Firewall O1 gibt keine NTP Antworten und es scheint weder ein Dienst, noch ein Paketfilter-Problem zu sein
Die gleiche (synchronisierte) Konfig auf O2 geht.

Jemand eine Idee?

Okay, ich antworte mir selbst...
Es gab einen Unterschied zwischen O1 und O2: auf O2 ist Hardware Offloading deaktiviert.
In O1 deaktiviert: Zack geht.

2 Tage und viele graue Haare hat mich das gekostet.