Hallo liebes Forum,
ich habe die Oster Aktion genutzt und ein paar Server und vLans bei Netcup erstanden. Und endlich auch final in Betrieb genommen.
Mein Setup:
RS2000 G9 ist als OPNSense installiert.
drei weitere VServer und RServer mit teilweise Proxmox, Win2019 usw... "versteckt" hinter der OPNSense im CloudvLan 2,5G.
Ich habe drei Standorte angebunden via S2S VPN an die OPNSense und greife auf die internen Ressourcen zu. Alles schick, funktioniert auch sauber!
Jetzt habe ich vor ein paar Tagen meine Remote Standorte so eingestellt, dass wirklich alles über die VPN Verbindung geroutet wird. Ich mache also Gateway Redirect und schicke alles aus dem Office / Home Office über die OPNSense im Netcup RZ und von dort aus ins Internet. Klappt auch super, bis zu dem Moment, an dem ich eine neue Glasfaseranbindung mit 600 MBit in Betrieb genommen habe.
Das VPN bricht zusammen, Ping Latenzen schnellen in die Höhe von > 1000ms und peng, alles dunkel
Ich habe ein bisschen geschaut und festgestellt, dass der OPEN VPN Prozess auf der OPNSense 100% CPU verursacht! Wahnsinn. Die Remote Offices, angebunden über Mikrotik RB4011 mit "schwacher" CPU haben kein Problem mit der CPU Auslastung. Ich bekomme die Mikrotiks beim VPN nicht über 25%.
Also habe ich vermutet, dass auf dem RS2000 G9 kein AES-NI verfügbar ist. Doch eine Abfrage brachte:
dmesg | grep -i aesni
Features2=0xfff83203<SSE3,PCLMULQDQ,SSSE3,FMA,CX16,SSE4.1,SSE4.2,x2APIC,MOVBE,POPCNT,TSCDLT,AESNI,XSAVE,OSXSAVE,AVX,F16C,RDRAND,HV>
aesni0: <AES-CBC,AES-CCM,AES-GCM,AES-ICM,AES-XTS,SHA1,SHA256> on motherboard
Features2=0xfff83203<SSE3,PCLMULQDQ,SSSE3,FMA,CX16,SSE4.1,SSE4.2,x2APIC,MOVBE,POPCNT,TSCDLT,AESNI,XSAVE,OSXSAVE,AVX,F16C,RDRAND,HV>
Also habe ich ein Ticket bei Netcup eröffnet, die mir nicht helfen können.
Nun also die Frage an Euch:
Habt Ihr Erfahrung mit OPNsense auf eine Root Server mit ovpn?
Was mache ich falsch? Ich benutze OPNSense schon länger über Appliances vor Ort bei Kunden, ein solches Problem hatte ich noch nicht, deswegen vermute ich irgend ein "Hardware" oder Treiberproblem.
Hoffentlich habt ihr Ideen!
Danke für Eure Hilfe.
Lg
Seppos