Ah weil der externe DNS eine interne/private IP zurückliefert, stimmt. Der Rebind Schutz bzw. private leakage protection, dass private Antworten für öffentliche DNS Anfragen abgelehnt werden weil es sich um Angriffe oder Cache Poisoning handeln könnte. Stimmt, bin ich auch schonmal drüber gestolpert, hatte ich bei der Problemstellung jetzt aber auch überhaupt nicht auf dem Radar!

Danke für die Rückmeldung, das ruft dann die Sache wieder ins Gedächtnis, wenn es wieder mal irgendwo vorkommen sollte :)

@shiversc said in Hardware-Empfehlung - 19" Server:

Ich denke kaum, dass das Setup am IRQ, PCIe-Lanes oder was auch immer gekränkelt hat oder das die Hardware zu wenig auf Netzwerk ausgerichtet ist/war. Die XEON-D sind z. B. was die 10 GB NICs angeht ein SOC-Design, somit kommt die PCIe-Lanes Betrachtung hier gar nicht zum tragen. Ich glaube kaum das eine Fullduplex-Auslastung dem kleinsten XEON-D was anhaben kann. Natürlich ist das Routing ein Faktor, aber ich route nicht, dazu habe ich was professionelles.

Ahoi,

warum die Xeon-Ds bei uns rausflogen war nicht die Netzwerk Performance. Das hatte ich schon geschrieben - uns sind die Dinger bei der Einrichtung und Konfiguration via UI eingeschlafen, eben weil sie auf Netzwerk optimiert sind. Sieht man auch im Hinblick auf TNSR ganz gut, dass HW wie die 3000er Denvertons oder eben die Xeon-Ds mit dem höher optimierten Linux und der CLI wesentlich höhereren Durchsatz wuppern als mit pfSense, da anderer Stack, anderes Processing und kein "klassischer" Webstack Overhead. Genau darum würde ich die eben nicht für pfSense mehr rannehmen, weil es einfach nervig ist, bei größeren/häufigeren Änderungen oder mit mehr Personen auf der UI zu arbeiten, weil die Dinger eben bei Webserver/PHP Working komplett absaufen gegen eine Standard Desktop CPU wie einen halbwegs aktuellen i5 oder i7. Lässt man die Kisten hingegen ohne große Änderungen einfach laufen ist das egal, da reichen die dicke - das war die Aussage - bevors jemand falsch versteht :)

@shiversc said in Hardware-Empfehlung - 19" Server:

Außerdem darf ich bei deaktivierten Hyperthreading auch wieder Proxys, Firewalls usw im ESXI betreiben. Ob das nur für Intel-CPUs galt und gilt, konnte mir niemand von den Auditoren beantworten ;)

Hrhr :) Ja Audits sind da immer wieder ein Quell der Erheiterung...
Aber: In dem Fall haben die ggf. sogar was Positives bewirkt ;) pfSense und FreeBSD profitieren nämlich tatsächlich kaum wenn überhaupt positiv auf Hyperthreading, weshalb das bei uns in der HW für Sensen auch immer aus ist. Klar kann man jetzt im Sinne von Meltdown und Co. auf HT rumreiten - das Fass fang ich gar nicht an. Muss man selbst abschätzen und klären. Aber HT ist für Firewall/Netzwerk Performance tatsächlich eher minimal bis gar nicht hilfreich, gabs auch gerade im Test mit FreeBSD mehrere Benchmarks, die das gezeigt haben. Daher lieber echte Kerne (weshalb die Atom 2k und 3k Serie so ausgelegt waren/sind) statt HT :)

@kibu_onlinedaten
👍 Danke für die Rückmeldung.

Grüße

Hallo Zusammen,

vielen Dank für die vielen Antworten.
Ich werde das ganze am Wochenende mal trennen.
Das macht Sinn ja. :)
Aktuell komme ich nur nicht dazu, weshalb das ganze hier etwas eingeschlafen ist.
Bei einem anderen Peer klappts scheinbar.
Sehe merkwürdig.
Aber ja, trennen macht sinn.

Danke erstmal.

Hallo @NOCling

danke, das war es; ich habe immer versucht das Monitoring auf das LAN zu verweisen.

Mit Allow SNMP (161) auf den WAN-Host und Allow ICMP auf den WAN-Host kann Check_MK jetzt die pfSense abfragen.

Danke!

Lieferst du uns auch noch Details zu den VM NICs und der Hardware inkl. NICs des Hypervisor?

Erfolg! Bei Vodafone Kabel, muss man wohl die Senden und Empfangenpuffer fest auf 0 setzen. Das brachte den Erfolg dass fast keine Retransmission oder Duplicated TCP Pakete mehr zurück kamen. Dann noch etwas an der MTU und MSS gespielt und die Leitung läuft, zumindest bis die CPU auf der APU an 50% anschlägt.

Unbenannt.JPG

Ich habe im Server und Client nun das eingetragen:

link-mtu 1400
mssfix 1360
sndbuf 0
rcvbuf 0

Mit 5 gleichzeitigen Verbindungen in iPerf3, erreiche ich nun auch die 50 MBit/s (brutto)!

Unbenannt2.JPG

Die Einstellungen bleiben komplett erhalten. Bei solchen Aktionen trotzdem vorher nochmal schnell ein Backup über das WebGUI ziehen.

-Rico

Edit: gerade gesehen dass ich Virago überlesen hatte :(

Was @viragomann sagt. Nur auf einer Seite die Route einzutragen und anzupassen bringt alleine natürlich nichts, die andere Seite der P2P Verbindung muss das OVPN Einwahlnetz natürlich auch kennen und wieder über'n Tunnel zurückrouten. Hinweg und Rückweg klar definieren. :)

Ich habe noch mal etwas recherchiert. Sowohl mein IPSec als auch OpenVPN sind beim iPhone mit Route All Traffic definiert.
In der Firewall komme ich beim Aufruf des HAProxys (via WAN) allerdings mit der IP des iPhones rein und nicht mit einer VPN IP. Wie kann das sein?

Es wird auf den Interfaces eh schon alles geblockt, was durch keine Pass Rule durchgelassen wird.

Ich hatte ein ähnliches Problem und bei mir hat es geholfen das Tunnelnetzwerk von /24 auf /30 zu verkleinern. Eine Erklärung dafür habe ich aber nicht.

Ja, das war vor dem Update. Das Update ist nun drauf und die Verbindung steht. Ich bin gespannt und berichte.

Was soll der Zweck der Portänderung auf dem Server sein? Security by Obfuscation? Wenn der Standard-port nicht abgesichert genug ist, dann ist es auch nicht ein anderer Port.

OK, total seltsam: Ich kann von dem VPN Client aus die IP des OpenVPN Servers nicht anpingen, nachdem ich die entsprechende Firewall Rule gesetzt habe. Von einem anderen Client mit anderem Provider aus funktioniert es wunderbar. Gleiches gilt für einen kurz getesteten HTTP Redirect (NAT + Firewall Regel gesetzt). Scheint also irgendein Routing-Problem seitens des Providers zu sein? Lustigerweise sitzen sowohl Client und Server beim gleichen Provider... oh man.
Werde morgen mal in die Richtung weitersuchen.
Danke schonmal soweit.

@Rico danke. das habe ich getan. und die regel mal hin und her geschoben. nun funktioniert es..

danke...

@Overlord said in OpenVPN Client Zertifikat auf pfSense einbinden und dann mittels Routen/Nat arbeiten:

Was meint ihr?

Scheint mir nach dem Motto: Warum einfach, wenn es auch viel komplizierter gehen könnte.
☺

Klar geht das. Wäre dasselbe Verfahren, wie die pfSense an einem VPN-Provider anzubinden ist. Dieser liefert auch nur Zertifikat und Zugangscredentials, weil damit jedes System angebunden werden kann.
Anleitungen dazu gibt es Tausende im Netz.

Bezüglich "Routen/Nat" kommt es darauf an, welchen Traffic du über die VPN schicken möchtest. Den gesamten oder teilweisen Upstream, oder nur Verbindungen ins Remote-Netz?

Aber was ist daran besser als eine Site2Site mit Preshared Key, oder auch mit Zertifikat?