Beiträge von mschoen

    Naja man könnte beide Leitungen auf einen Lancom klemmen, spart man sich schon mal ein Gerät.


    Was soll da denn für ein IP-Anschluss drauf?

    VPN-, ausgehende und Inter-Zonen-FW alles schon deaktiviert.


    Hab jetzt versucht die Konfig aus einer funktionierenden EFW zu überspielen, leider selbes Problem. Zertifikate und IP-Konfig musste ich allerdings tauschen, aber daran sollte es nicht liegen denn Verbindung besteht ja.


    Gruß

    Hallo zusammen,


    ich habe ein eigenartiges Problem, was schon zweimal bei mir aufgetreten ist.
    Ich mach ein frisches Setup mit der 2.4.1 oder 2.4 oder 2.3 Community Edition und legte meine Site-2-Site VPN Verbindung mit OpenVPN an. Funktioniert alles fehlerfrei. Leider erreicht keiner an die Endian angeschlossene Rechner die anderen Rechner über das VPN, aber geh ich per SSH auf die Endian erreiche ich alle verbundenen Netzwerk hinter dem Tunnel. Ich hatte das Problem schon mal und hab mir mit einer alten Endian beholfen.


    Ich bin ein bisschen ratlos. Im OpenVPN-Log steht zweimal hintereinander beim Verbindungsaufbau:

    Code
    1. ERROR: Linux route add command failed: external program exited with error status: 2


    Das hab ich auch so ähnlich bei Road-Warriern und das läuft trotzdem, aber das ist es auch kein Netzwerk dahinter sonst wäre das wahrscheinlich auch problematisch. Den Fehler hab ich bei früheren Site-2-Site Installationen aber genauso gehabt und ohne Probleme arbeiten können.


    Die Verbindung besteht wie gesagt, nur scheint sie nicht geroutet zur werden. In der Kernel Route Tabelle steht aber eine korrekte Route zum Ziel-Netz drin (wie auch in einer funktionierenden anderen Installation). Hab die auch schon gelöscht und wieder hinzugefügt. FW und Rechner rebootet, keine Reaktion, nur Zeitüberschreitungen bei einem Ping (nicht no route to host oder ähnliches).


    Bitte um Hilfe :anbet:


    Gruß Marcus

    schließ mich da mal an, da demnächst auch umstellung ansteht...


    eigentlich sollte hinter dem speedport ja alles normal sein, sonst müsste man ja jeden rechner mit vlan 7 konfigurieren. schon mal direkt rechner an den speedport gehängt?

    Load-Balancing ist ja nun noch was anderes als Aggregation, das kann die Endian erst recht nicht. Es gibt Anbieter auf dem Markt, die deine Standard-Anschlüsse bündeln, natürlich gegen Entgeld. Ich nehme mal an, dass bei euch kein schneller Anschluss verfügbar ist,daher stellt das die einzige Möglichkeit. In einer hochexperimentellen Lancom-Config funktionierte das angebluch sogar ohne extra Anbieter, da verwaltet aber ein Router alle Anschlüsse. Alternative wäre Telekom CompanyConnect 10M synchron.

    125 Mb/s sind aber sehr theoretisch. Selbst in einem iSCSI-Netz mit MTU 9000 und TOE in den Nics konnte ich nie mehr als 92 MB/s herausholen. Das bestätigen auch andere.


    Mehr als 10 MB/s konnte ich aus einem Atom 330 mit Proxy, Snort und AV auch nicht herauskitzeln. Bei den Atoms ist meiner Erfahrung nach die Qualität des Boards sehr entscheidend. Der PCI Bus scheint auch irgendwie nicht so dolle zu sein. Daher zwei GBit-Nics auf dem Atomboard und das funktioniert super.


    Daher gebe ich meinen Kunden bei 100 MBit Abschlüssen die Empfehlung auf eine dedizierte Appliance zu setzen, wenn sie den Anschluss voll ausnutzen wollen.

    Also ich hab hier eine 2.4.1 auf einem Duron 2800+ mit 1,5 GB RAM mit eingeschalteten HTTP-,POP- und SMTP-Proxy sowie HAVP und Snort aktiviert und ich bekomme ich weit über 40 Mbit/s bei nahezu 100% CPU-Auslastung.


    Anders kann ich mir das nicht wirklich vorstellen...

    Auf meiner 2.4.1 war heute die Hölle los. Bis zu 180 clamd Prozesse haben eine Load von 183.xx erzeugt und alles lahmgelegt. Nach dem 3. Reboot und zwischenzeitliche Deaktivierung der Proxys scheint er sich nun wieder eingekriegt zu haben. Abhilfe haben wohl auch ein freshclam + hartes Restarten von squid...

    Bei 40 Usern würde ich schon eher auf eine Hardware Appliance mit Support setzen. Ich kann dir da als Reseller gerne ein Angebot machen.
    Im Unternehmensumfeld habe ich mit selbst geschusterten Kisten schlechte Erfahrungen gemacht, muss ich ehrlich gestehen. Anderfalls würde ich einen dedizierten Server mit Hardware-RAID nehmen, nur leider hapert es an der Unterstützung vieler Controller durch die Endian. Da müsste man vorher abchecken. Weiterhin ist die Community-Edition nicht gerade die Wahl für Unternehmen, die suchen meistens wie gesagt auch den nötigen Support dazu. Besonders wenn Ihr Server dahinter betreibt, ist bei euch die Verfügbarkeit wahrscheinlich sehr ausschlaggebend. Meiner Erkenntnis nach kommen jedenfalls die Kunden auf diesen Trip, wenn die Kiste einmal den Dienst quittiert ;)



    Gruß Marcus

    Zitat

    @ Marcus, der Konsolenzugang mit Tastatur und Monitor geht natürlich. Nur wie ordnet man darüber die Netzwerkkarten neu an ?


    Die Reihenfolge der Netzwerkkarten wird doch durch die PCI(e) IDs festgelegt. Aber vielleicht gibt es eine Methode dies zu beeinflussen, die sich meiner Kenntnis entzieht.


    Aber zumindest kannst du über die Konsole die Interfaces neu konfigurieren, sodass du wieder an das Web-Interface kommst und ich würde sagen, dass das sehr viel nützt.


    Wenn du die Firewall produktiv einsetzen willst, würde ich immer auf Server-Hardware zurückgreifen, die ist immer für die Langzeitnutzung ausgelegt. Der Board-Ausfall ist nun aber auch der Super-GAU der passieren kann. Dann lass aber auch vom Übertakten der CPUs die Finger weg, zumindest in Produktivsystemen!


    Gruß Marcus