Danke schön für deinen Einsatz. Ich bin noch einige Tage dabei an den Servern was zu machen. Danach werde ich mir die Rules auf der Fortigate anzeigen lassen und auf die PFsense übertragen. Das sollte soweit kein Problem sein. Einzig mit dem VPN habe ich Probleme. Da werde ich aber noch mal einen Post starten. Danke, Sebastian

Danke euch beiden! Dann werde ich mal langsam das Projekt angehen. Meine APU Büchse arbeitet schon länger an der Kotzgrenze.

Zwischen zwei PPPoE Verbindungen, mit einer Path-MTU von 1492 Bytes, bekommt man mit ESP und AES-GCM Verschlüsselung im Tunnel-Mode max. eine MTU von 1438 Bytes (1398 MSS) für die IPSEC-Verbindung hin. Sollte ESP in UDP verpackt werden müssen, z.B. aufgrund von finsteren Dual-NAT Konfigurationen, sind es entsprechend 8 Byte weniger.

Ah weil der externe DNS eine interne/private IP zurückliefert, stimmt. Der Rebind Schutz bzw. private leakage protection, dass private Antworten für öffentliche DNS Anfragen abgelehnt werden weil es sich um Angriffe oder Cache Poisoning handeln könnte. Stimmt, bin ich auch schonmal drüber gestolpert, hatte ich bei der Problemstellung jetzt aber auch überhaupt nicht auf dem Radar! Danke für die Rückmeldung, das ruft dann die Sache wieder ins Gedächtnis, wenn es wieder mal irgendwo vorkommen sollte :)

@shiversc said in Hardware-Empfehlung - 19" Server: Ich denke kaum, dass das Setup am IRQ, PCIe-Lanes oder was auch immer gekränkelt hat oder das die Hardware zu wenig auf Netzwerk ausgerichtet ist/war. Die XEON-D sind z. B. was die 10 GB NICs angeht ein SOC-Design, somit kommt die PCIe-Lanes Betrachtung hier gar nicht zum tragen. Ich glaube kaum das eine Fullduplex-Auslastung dem kleinsten XEON-D was anhaben kann. Natürlich ist das Routing ein Faktor, aber ich route nicht, dazu habe ich was professionelles. Ahoi, warum die Xeon-Ds bei uns rausflogen war nicht die Netzwerk Performance. Das hatte ich schon geschrieben - uns sind die Dinger bei der Einrichtung und Konfiguration via UI eingeschlafen, eben weil sie auf Netzwerk optimiert sind. Sieht man auch im Hinblick auf TNSR ganz gut, dass HW wie die 3000er Denvertons oder eben die Xeon-Ds mit dem höher optimierten Linux und der CLI wesentlich höhereren Durchsatz wuppern als mit pfSense, da anderer Stack, anderes Processing und kein "klassischer" Webstack Overhead. Genau darum würde ich die eben nicht für pfSense mehr rannehmen, weil es einfach nervig ist, bei größeren/häufigeren Änderungen oder mit mehr Personen auf der UI zu arbeiten, weil die Dinger eben bei Webserver/PHP Working komplett absaufen gegen eine Standard Desktop CPU wie einen halbwegs aktuellen i5 oder i7. Lässt man die Kisten hingegen ohne große Änderungen einfach laufen ist das egal, da reichen die dicke - das war die Aussage - bevors jemand falsch versteht :) @shiversc said in Hardware-Empfehlung - 19" Server: Außerdem darf ich bei deaktivierten Hyperthreading auch wieder Proxys, Firewalls usw im ESXI betreiben. Ob das nur für Intel-CPUs galt und gilt, konnte mir niemand von den Auditoren beantworten ;) Hrhr :) Ja Audits sind da immer wieder ein Quell der Erheiterung... Aber: In dem Fall haben die ggf. sogar was Positives bewirkt ;) pfSense und FreeBSD profitieren nämlich tatsächlich kaum wenn überhaupt positiv auf Hyperthreading, weshalb das bei uns in der HW für Sensen auch immer aus ist. Klar kann man jetzt im Sinne von Meltdown und Co. auf HT rumreiten - das Fass fang ich gar nicht an. Muss man selbst abschätzen und klären. Aber HT ist für Firewall/Netzwerk Performance tatsächlich eher minimal bis gar nicht hilfreich, gabs auch gerade im Test mit FreeBSD mehrere Benchmarks, die das gezeigt haben. Daher lieber echte Kerne (weshalb die Atom 2k und 3k Serie so ausgelegt waren/sind) statt HT :)

@kibu_onlinedaten Danke für die Rückmeldung. Grüße

Hallo Zusammen, vielen Dank für die vielen Antworten. Ich werde das ganze am Wochenende mal trennen. Das macht Sinn ja. :) Aktuell komme ich nur nicht dazu, weshalb das ganze hier etwas eingeschlafen ist. Bei einem anderen Peer klappts scheinbar. Sehe merkwürdig. Aber ja, trennen macht sinn. Danke erstmal.

Hallo @NOCling danke, das war es; ich habe immer versucht das Monitoring auf das LAN zu verweisen. Mit Allow SNMP (161) auf den WAN-Host und Allow ICMP auf den WAN-Host kann Check_MK jetzt die pfSense abfragen. Danke!

Lieferst du uns auch noch Details zu den VM NICs und der Hardware inkl. NICs des Hypervisor?

Erfolg! Bei Vodafone Kabel, muss man wohl die Senden und Empfangenpuffer fest auf 0 setzen. Das brachte den Erfolg dass fast keine Retransmission oder Duplicated TCP Pakete mehr zurück kamen. Dann noch etwas an der MTU und MSS gespielt und die Leitung läuft, zumindest bis die CPU auf der APU an 50% anschlägt. [image: 1592458335785-unbenannt.jpg] Ich habe im Server und Client nun das eingetragen: link-mtu 1400 mssfix 1360 sndbuf 0 rcvbuf 0 Mit 5 gleichzeitigen Verbindungen in iPerf3, erreiche ich nun auch die 50 MBit/s (brutto)! [image: 1592458616208-unbenannt2.jpg]

Die Einstellungen bleiben komplett erhalten. Bei solchen Aktionen trotzdem vorher nochmal schnell ein Backup über das WebGUI ziehen. -Rico

Edit: gerade gesehen dass ich Virago überlesen hatte :( Was @viragomann sagt. Nur auf einer Seite die Route einzutragen und anzupassen bringt alleine natürlich nichts, die andere Seite der P2P Verbindung muss das OVPN Einwahlnetz natürlich auch kennen und wieder über'n Tunnel zurückrouten. Hinweg und Rückweg klar definieren. :)

Ich habe noch mal etwas recherchiert. Sowohl mein IPSec als auch OpenVPN sind beim iPhone mit Route All Traffic definiert. In der Firewall komme ich beim Aufruf des HAProxys (via WAN) allerdings mit der IP des iPhones rein und nicht mit einer VPN IP. Wie kann das sein?

Es wird auf den Interfaces eh schon alles geblockt, was durch keine Pass Rule durchgelassen wird.

Ich hatte ein ähnliches Problem und bei mir hat es geholfen das Tunnelnetzwerk von /24 auf /30 zu verkleinern. Eine Erklärung dafür habe ich aber nicht.

Ja, das war vor dem Update. Das Update ist nun drauf und die Verbindung steht. Ich bin gespannt und berichte.

Was soll der Zweck der Portänderung auf dem Server sein? Security by Obfuscation? Wenn der Standard-port nicht abgesichert genug ist, dann ist es auch nicht ein anderer Port.