OPNsense an Glasfaser-Anschluss + Accesspoint gesucht

[norKoeri]

man meldet sich mit Nutzername + Passwort an und bekommt dann sein VLAN zugewiesen?

Ja. So kannst Du über den Benutzernamen schnell mal das VLAN ändern. Oder im RADIUS einen WLAN-Client in ein anderes VLAN bugsieren. Oder ganz aussperren ohne alle anderen Geräten anzufassen.

Unterstützen denn alle Geräte diese Anmeldeart?

Nein. Für die hast Du dann eine WPA-PSK basierte SSID parallel laufen. Oder Du nutzt PPSK …

TP Link Omada Empfehlungen

Hatte ich oben schon verlinkt, kannst auch Lancom, MikroTik, Zyxel, … nehmen, müssen nicht über Controller bedient werden, haben also auch einen Standalone-Modus.

Einige Zyxel könnten an die Wand … aktuell ist in eBay ein Zyxel WAX510D bei dem lediglich PoE kaputt ist. Wenn Du dem Verkäufer schreibst, dass Du kein Netzteil brauchst – ist ein normales 12 Volt mit mindestens 1,5 A, also koaxial 5,5 mm × 2,1 mm wie bei FRITZ!Box/Speedport – kannst Du den bestimmt noch erheblich im Preis drücken.

Bei MikroTik hast Du den Vorteil, dass es auch Stand-Geräte wie den hAP ax² gibt. Du könntest sogar so wilde Geräte wie den hAP ax lite nehmen, Wi-Fi 6 aber kein 5 GHz-WLAN. Habe ich selbst hier.

Bei Lancom musst Du aufpassen, dass der noch Security-Updates bekommt … also Modelle mit „LX“, „LW“, „LN“ oder „W“ in der Produkt-Bezeichnung. Auch hier kannst Du einen Router als reinen Access-Point nehmen.

TP-Link sollte an die Decke. Und deren Web-Oberfläche ist arg limitiert; ich musste dann doch zum Controller greifen. Und deren Hardware-Revisionen-Chaos; bekommt man ein Software-Update, ist man schon End-of-Life oder einem Modell+Version, die keiner hat und daher keine Updates? Keiner weiß es.

 

[JustAnotherTux]

Aufpassen bei PPPoE & opnsense. PPPoE ist bei BSD single-threaded, daher kann es bei hohen Geschwindigkeiten dazu kommen, dass dein Router da limitiert. Da lieber vorher recherchieren bevor dann Enttäuschung herrscht.

Mit den richtigen tunables Einstellungen kann HT Support aktiviert werden, habe ich auch so gemacht.

Ergänzung (28. Dezember 2023)

Allerdings können die Verbindungen auch mulithreaded verarbeitet werden (was ja bei BSD nicht geht), so dass Mehrkern-CPUs besser belastet werden können.

Doch das geht, es müssen eben die richtigen Boot Parameter gesetzt werden, steht im pfsense Wiki unter Performance und bei opnsense in einem github issue und in ein paar forum guides.

Die tunables können bei opnsense einfach über die Web UI angelegt / geändert werden.

(Ich bin gerade unterwegs, ich kann später die links senden)

 

[Tolotos]

(Ich bin gerade unterwegs, ich kann später die links senden)

Da wäre ich auch dran interessiert, da ich schon länger OPNSense für daheim in Planung habe …

 

[JustAnotherTux]

@Tolotos

Opnsense issue:
https://github.com/opnsense/core/issues/5415

Pfsense PPPoE performance guide:
https://docs.netgate.com/pfsense/en/latest/hardware/tune.html#pppoe-with-multi-queue-nics

Davon habe ich folgendes aktiviert:

# github comment: https://github.com/opnsense/core/issues/5415#issuecomment-1001766819 
# "And, again, maxthreads and bindthreads don't seem to have any effect unless you also enable deferred/hybrid dispatch"
net.isr.dispatch="deferred"
# set max threads to number of available threads
net.isr.maxthreads=-1
# optional, bind threads to cpu cores
net.isr.bindthreads=1

Was ich selbst noch modifiziert habe:

# Disable Indirect Branch Restricted Speculation (Spectre V2 mitigation)
# default is 0
hw.ibrs_disable=1

# default is 1
# bei neuen OPNsense installations (nur bei, official hardware) ist HT im Bios deaktiviert
# da es je nach situation die netzwerk performance verschlechern kann
# ich verwende HT weil wireguard davon profitiert und weil ich einige prozesse laufen habe
# für PPPoE sollte es ebenfalls von vorteil sein
machdep.hyperthreading_allowed=1

# default is 0
# habe ich aktiviert da wireguard davon profitieren könnte
machdep.hyperthreading_intr_allowed=1

Ergänzung (28. Dezember 2023)

Bzw.
Diese boot parameter können unter /boot/loader.conf.local angelegt werden
aber das ist nicht notwendig da das bei OPNsense direkt über die UI geht und vermutlich ansonsten auch nicht in backups (OPNsense buildin) enthalten ist.
Daher würde ich empfehlen diese über die web UI anzulegen (System -> Settings -> Tunables)

 

[qiller]

Wird das eigentlich dann mal zum Standard werden? Ich mein Multicore-CPUs sind ja jetzt keine neue Erfindung...

 

[gordon2122]

Sind die Tunables grundsätzlich bei PPPoE zu empfehlen? Also, unabhängig von der bereitgestellten Geschwindigkeit meines ISP's?

 

[JustAnotherTux]

Wird das eigentlich dann mal zum Standard werden? Ich mein Multicore-CPUs sind ja jetzt keine neue Erfindung...

Keine Ahnung, kann sein das die defaults mit FreeBSD 14 sich geändert haben.
OPNsense verwendet ja noch FreeBSD 13.2.
Kann auch sein das dass nur OPNsense und Pfsense defaults sind und nicht FreeBSD defaults.

In dem OPNsense Issue wurde ja beschrieben warum das OPNsense team es abgelehnt hat die defaults zu ändern, einfach weil diese Settings eben nicht für alle vorteile bringen.
https://github.com/opnsense/core/issues/5415#issuecomment-997251540

Sind die Tunables grundsätzlich bei PPPoE zu empfehlen? Also, unabhängig von der bereitgestellten Geschwindigkeit meines ISP's?

Im pfsense wiki steht nur das es die performance verbessern "kann".
Wenn du keine Probleme hast musst du auch nichts ändern.
Kann natürlich sein das dass System auch weniger Strom verbraucht mit diesen Settings.

This can lead to a network card under performing with the default network settings, as noted on #4821 and FreeBSD PR 203856. This problem primarily affects systems with multiple CPUs and/or CPU cores, as those are the systems which benefit most from multiple NIC queues.


Adding a System Tunable or Loader Tunable entry for net.isr.dispatch=deferred can lead to performance gains onaffected hardware.


Tuning the values of net.isr.maxthreads and net.isr.numthreads may yield additional performance gains. Generally these are best left at default values matching the number of CPU cores, but depending on the workload may work betterat lower values.

Die folgende Warnung gibt es für 32bit Systeme:

WARNING:

In the past, deferred mode has led to issues on 32-bit platforms, such as crashes/panics, especially with ALTQ. There have been no recent reports,however, so it should be safe on current releases.

 

[DatAres]

Hm, scheinbar ist bei TP-Link die dynamische Zuweisung von VLANs möglich, aber nur über den Controller: https://www.tp-link.com/de/support/faq/3152/
Weiß jemand zufällig, ob der Controller dafür 24/7 laufen muss? Ist aus der Dokumentation nicht wirklich ersichtlich: https://www.tp-link.com/de/support/faq/2051/

 

[norKoeri]

Das Omada-Gerät muss lediglich über den Controller verwaltet werden, denn der „Haken“ ist in der Web-Oberfläche nicht sichtbar, also theoretisch ginge es auch über die CLI. Also nein, der Controller muss nicht rund um die Uhr laufen.

24/7

Habe ja wirklich selten was gegen Anglizismen, aber Twentyfour-Seven ist keine Lern-Vokabel im Schuldeutsch, jedenfalls in meinem Bundesland. Und daher besonders – aber auch wegen deren Kürze, die eine Internet-Recherche erschweren – als eine Sprach-Barriere anzusehen. Ich kenne jene Begrifflichkeit trotz extrem hoher Englisch-Einstufung jetzt auch nur durch Zufall.

scheinbar ist bei TP-Link die dynamische Zuweisung von VLANs möglich

Kannst Du aber gleich wieder vergessen, denn TP-Link unterstützt Multicast-basierte Protokolle wie IPv6 damit nicht …