@bob-dig Danke für dir rasche und hilfreiche Antwort!

@knausepeter Der OpenVPN Tab gilt als Gruppe, zugewiesene Interfaces sind wie andere Interfaces behandelt. Da die Reihenfolge ist: Floating > Gruppen > Interfaces greift die OpenVPN Gruppe (bzw. Floatings) vor den Regeln des Interfaces. Daher aufpassen, wo man die Regeln erstellt und ob die sich ggf. beißen könnten :)

Guten Abend zusammen 😊

Ihr habt ja vollkommen recht, ich hatte hier einen Denkfehler 😨

Ich bin aus irgend einem Grund davon ausgegangen das der gesamte Trafik die Netzwerkkarte verlässt, was er ja eigentlich nicht tut. Zumindest nicht unter den Servern.

Es läuft jetzt auch ohne Pfsense 😊

Schönen Abend euch noch

@viragomann

Hallo,

vielen Dank für den Hinweis. Das war des Rätsel's Lösung und hat funktioniert.

@ihaveastream ist schade aber schön dass ich weiterhelfen konnte.

@esquire1968-0 said in Einstellungen:

MDS Mode - Was ist die optimale Einstellung?

Da gibts keine optimale Einstellung. Das war für deine CPU/SOC/Mikroarchitektur passt bzw. erkannt wird. Auf default lassen um es zu aktivieren. Wenn man sich bewusst ist was man tut, warum und welche Auswirkungen kann ggf. was Anderes oder disabled ausgewählt werden.

Zu PowerD kommt es darauf an ob deine HW da mitspielt, es braucht/nutzt (BIOS/UEFI konfiguriert) und was die SysInfo anzeigt. Wenn die Krypto Leistung bspw. unter aller Kanone ist oder kein wirklicher Durchsatz kommt wäre es vllt sinnvoll das mal einzuschalten. Wenn es im Syslog danach aber spammend Nachrichten gibt, dass die CPU nicht in State XY gesetzt werden kann etc. bringts nichts :) Kommt eben immer auf die HW an. Nur von der CPU oder irgendwelchem Gerät kann man das nicht ablesen, ich weiß ja ggf. nicht was da als SOC oder MB verbaut ist und wie das eingestellt ist.

Cheers

Danke! Funktioniert jetzt! K. A. Wo der Fehler lag.

@viragomann

Super Danke für den Tip, jetzt kann ich die Geräte pingen und deren GUIs aufrufen.

Werde heute Abend explizit ein Bier auf Dich trinken.

Auch den anderen im Forum vielen Dank hab wieder was gelernt.

Euch ein schönes WE.

Gruß Peter

@mreczio Klingt mir nach einem Problem mit der MTU. Versuch mal folgendes: ping -f -l 2000 192.168.1.200 (Syntax für Windows)

Wenn der sauber durchgeht, dann liege ich falsch und es liegt nicht an der MTU. Dann tippe ich auf schräge Firewallregeln.

Wenn aber der Ping fehlschlägt, dann verringere die Größe von 2000 auf 1200. Dann geht er recht sicher durch. -> Rechere bzgl. MTU als Hausaufgabe.

@p54 Das kommt bei 443 tatsächlich ab und an vor und liegt dann ggf. eher an einer trägen Gegenstelle die dann noch Daten schickt, dabei hat die Firewall die Verbindung hier schon zugemacht und den State geschlossen. Ist jetzt gar nicht so sehr unüblich (bei anderen Ports dann schon eher) und bei 443/TLS/SSL kann es auch so mal vorkommen. Ggf. ist da auch ein sehr langer keepalive auf ner Webseite/Anwendung im Spiel der erst viel zu spät kommt.

PA ist ja als Flag "Push Ack" als gabs vorher nen Push bzw. ne Datenverbindung. Ggf. also ein langsamer Server, ein Paket was sich ggf. verirrt hat oder was virago schon sagt out of state/out of bound traffic bei Asymmetrie also das Routing geht verkehrt (über ein IF raus, übers andere rein o.ä.).

@haithabu84 said in pfSense 2.5 EEE Problem:

Die jetzigen Fehler sind aber alle so eher vermeidbar und in dieser Situation nie dagewesen. Einfache Dinge, wie robustes PortForwarding, da gibt es keine zwei Meinungen... das muss einfach laufen.

Das war aber kein "einfaches" PFW, sondern spezifisch nur bei MultiWAN / multiplen GWs. Könnte man auch als Spezialkonfiguration sehen, der normale Kunde hat nicht unbedingt mehrere Leitungen.

Du kannst mir auch nicht erzählen das mit der Einführung von der Community und Plus Edition hier nicht ganz klar ein finanzieller Aspekt zum Nachteil der Community verfolgt wird. Hier werden grob gravierende Unterschiede Einzug halten zwischen diesen beiden Versionen, als wären es zwei völlig neue Produkte.

Ich erzähle gar nichts, ich sage nur, dass das vielfach nur einfach Hörensagen und Meinungen sind, die hier gepostet werden. Tatsächlich verwertbare Punkte konnte ich bislang noch keine finden. Es wurde/wird gefixt mit entsprechender Manpower egal ob bei Plus oder CE, ansonsten gäbe es jetzt keine 2.5.2 in der Mache. Das jetzt als Aufhänger zu nehmen weil ein Release daneben ging, ist IMHO quark.

Hätte man die Community zu Beta-Testern gemacht und dann die Plus Edition als Stable nachgezogen, alles andere sonst gleich, dann würde niemand was sagen. Aber hier wird eine Version, scheinbar bewusst, abgeschwächt um die Leute ins Abo oder zu den eigenen Produkten zu drängen. Aber das wird das Anfang vom Ende.

Wo wird hier eine Version abgeschwächt? Nimmt dir jemand Features aus der CE? Nein. Es wurde klar angekündigt "Plus bekommt Firmen/Enterprise Features nach und nach". Hat sie noch nicht mal. Ich sehe da also keinen Grund jetzt ein Drama vom Zaun zu brechen wenns noch nichtmal nen Grund dafür gibt. Der kann noch kommen - natürlich. Aber aktuell ist es quatsch.

Und ob das ein kluger Move ist oder nicht, die Plus "schneller" upzudaten bzw. zu entwickeln und neues dort einzubringen sei dahingestellt. Aus Sicht der Hardware - wie in deinem erlebten Fall in deinem OP - ist GENAU das der Sinn. Man hat eine sehr schmale Hardware Palette: ARM #1, ARM #2, Atom C3xxx und Xeon-D 1st gen aktuell. Mehr nicht. Heißt ich kann extrem gut abgestimmt für genau diese Umgebungen testen und bauen. Ich kenne definiert welche Accelerator drin sind, ich weiß welche NICs verbaut sind etc. etc. - Aus Entwicklersicht macht das also völlig Sinn. Dass es nicht das ist, was man sich im OSS Umfeld wünscht à la Proxmox oder bspw. auch RedHat/Fedora ist ein anderes Blatt.

Abo oder zu den eigenen Produkten zu drängen. Aber das wird das Anfang vom Ende.

Spekulation über ein "Abos", das weder angekündigt noch bestätigt ist. Da diskutiere ich nicht, solange keiner weiß wie "Plus" überhaupt später für Whitelabel Boxen gekauft/zugebucht werden kann. Bis dahin sind es nur Unterstellungen. Zumal schon länger klar/bekannt ist, dass man als Prosumer/Poweruser oder im Lab die Plus problemlos kostenfrei bekommt - wie auch TNSR, was es sonst nur als "payed product" gibt. Da zu unterstellen, dass sie nur Geld schneidern wollen ist etwas weit hergeholt. Ne unlimitierte Lab/Testversion will ich von anderen Herstellern erstmal sehen - die richtig Kohle mit ihrem Produkt ziehen wollen.

Von der beobachteten Problematik um die Einführung von WireGuard-Code von Netgate ins FreeBSD, fange ich gleich gar nicht erst an...

Wird besser sein, denn da war Netgate selbst ja nur Randbeteiligter. Komisch dass aber da keiner mit Fackeln und Heugabeln Sturm gegen den WG Code Entwickler oder gar die FreeBSD Kernel Member läuft, die nach 4 Augen Prinzip den Code einfach in den Kernel reingewinkt haben. Ist selbstredend viel öffentlichkeitswirksamer, wenn man hinterher gegen den Sponsor schießt, der Geld in die Hand genommen hat um das Feature einzukaufen weil damals keine Sau interesse dran hatte es zu machen. Aber yay, wenn jetzt der Erfinder selbst kommt und alles rettet, dann sind ja garantiert alle anderen die bösen Buben - Fall geklärt :D Zynisch? Sarkastisch? Jap. Nicht gegen dich, aber gegen die Situation per se und alle, die da nur tumb mit dem Finger auf pfSense und Netgate zeigen. Das war in der Fuckup Kette ein eher nachgelagertes Glied. Aber dazu hatte ich im WG Thread schonmal länger mit entsprechenden Links was zu geschrieben. Das jetzt hier anzubringen ist aber falsch abgebogen.

Btw: Letzte Chance für pfSense... das Update auf 2.5.2 und ich werde jetzt mal die Kiste von Grund auf neu machen, also ohne Tweaks oder Config-Anpassungen. Dann mal schauen wie es läuft.

Kann man so machen - keine Frage. Da ja gern OPNsense als Vergleich eingeworfen wird - joa. Gern. Aber denen steht das Update auf FBSD12 auch noch bevor, man verabschiedet sich dazu von Hardened BSD als Zwischenlayer und schraubt gleichzeitig an der UI. Das ist toll und bringt das Ding natürlich voran, aber dafür knallt es auch ständig an allen Ecken und Enden. Wenn das besser gefällt - klaro - let's go. Hat aber auch nen Grund, warum ihre neue Business Edition mit den Builds hinterherhinkt - damit es eben nicht ständig scheppert ;) Und da ich dort genauso das Forum manage wie hier und wir Kunden in beiden Feldern haben - da gab es das auch schon oft genug, dass - was du so schön "einfache Dinge" nennst - einfach mal in einem Minor Update geflogen und explodiert sind. Und auf Rückfrage kam dann sogar "das war so gewollt, das ist ein Feature". Ja supi :)

Man kanns eben nicht jedem recht machen. Die einen schreien weils nicht schnell (genug) geht, den anderen ist es nicht langsam/stabil genug - irgendwo ist immer nen Kompromiss drin. Sei es bei der Entwicklung, Wireguard, Updates, etc. etc.
Vielfalt ist für alle gut und wer ein wenig in der Entwicklung drin steckt weiß, dass solche Zeiten/Bugs scheiße sind, aber manchmal ist eben der Wurm drin. Das gefällt den Entwicklern selbst am allerwenigsten. Die würden sich jetzt sicher auch gern auf neue Sachen und Updates konzentrieren statt Regression Bugs suchen und fixen zu müssen die eigentlich schon abgeschlossen gedacht waren.

Nochmal zur Klärung: ich halte Kritik für wichtig und richtig, aber meckern und Extremente werfen ist unnötig. Zumal wenn es pure Gerüchte oder Gefühle sind.
Dein "einziges" Problem im Threadstart war zudem "das Interface hängt/geht down" bei einer Interface/HW nahen Aktion die treiberbedingt sein kann. Verstehe immer noch nicht was daran jetzt so schlimm ist/war, dass das so ein Faß werden muss :)

@jegr Guten Morgen,

ja dies war auch mein erster Gedanke das das am DNS liegen könnte und ein Timeout ausgeführt wird, bzw. dem UpdateCheck geschuldet sein kann - diesen habe ich auf "nicht prüfen" gesetzt und neu gestartet. Leider mit dem selben verhalten, danach bin ich unter generals gegangen und hab den DNS Eintrag dort entfernt -> Neustart und wieder selbiges.

Nachdem ich dem Verweis gefolgt bin "auf das Umbiegen im Resolvers" wie im Link zu sehen hat es dann zum Ziel geführt. Warum erst dann ist eine gute Frage. Es gab aber dazu auch schon mal einen redmine Eintrag aus 2020 glaube ich.

Jedenfalls bin ich jetzt entspannt, da alles theoretisch so funktioniert wie ich es mir wünsche mit dem Recovery, jetzt steht nur noch ein live Test an. :)

VG und in freudiger Erwartung auf V2.5.2

@jegr Erst noch mal danke für die Mühe.
tatsächlich habe ich es von Anfang an so gemacht, wie du beschrieben hast und es hat einfach nichts funktioniert.
Ich habe danach alles Mögliche und Unmögliche probiert, aber ohne Erfolg.
Ich hatte auch schon einen "klassischen" P2-Tunnel aufgebaut, wo sich die gegenstelle geweigert hat diesen abzunehmen (obwohl es funktioniert hat).
Das klassische IPSec benutzen wir aber noch für eine Standortanbindung und kann ich auch nicht so ohne weiteres Ändern.
Aktuell probiere ich, dass der Server bereits mit der geforderten IP-Adresse bei der pfSense ankommt.
Entweder über ein zweites Interface oder das eine andere pfSense das NAT macht und dann weiter routed.
Naja, mal sehen, was funktionieren wird.

@jegr said in Woher kommen die statischen Routingeinträge:

Wenn es Firmenbezogen ist und es da kritisch sein sollte wegen Datenaustausch: dann gib ggf. per Mail oder DN Bescheid und kontaktiere meinen Kollegen, dann können wir auch kurzfristig ne Stunde Support o.ä. ganz offiziell einplanen mit entsprechenden Datenschutz und Verschwiegenheitserklärungen>
\jens

Das macht vermutlich Sinn, ich kläre es ab und melde mich

...Alex

@viragomann Wahrscheinlich mal in System/General die Zeitzone geändert aber seither nie rebootet und die Logs nicht neu schreiben lassen.

Ist btw in 2.5 wirklich wesentlich besser, da hier dann auch keine CLogs mehr am Start sind, sondern default Textdatei-Syslogs und da ist ein Reset mal schneller gemacht ohne gleich alle Logs ins Nirvana zu blasen :)

@viragomann Danke für deine Unterstützung und die kompetente Erklärung.

@viragomann ja genau OpenWrt ist das.

Danke für die Info.
Ich versuche mich weiter.

@heinzk said in captive portal mit http funktioniert nicht mehr mit NB oder PC:

und im Browser steht nur etwas von unsicherer Website.

was steht da genau? Irgendwas wirds nicht sein :)

Ich tippe darauf, dass da an irgendeiner Stelle was falsch konfiguriert war/ist und entweder HSTS ausgeliefert wurde und damit der Browser sofort auf HTTPS springt und damit dann irgendwas nicht mehr auflösen kann oder es einen seltsamen Redirect gibt.

Ja die neue Version ist unter der Haube halt ein wenig optimierter und damit schneller.

Das wundert mich jetzt nicht.

@flole Voila: GIF interfaces should be reconfigured when IPv6 address of a WAN-Interface changes

Das Problem wurde m.E. nicht wirklich beseitigt und wegen des echten DualStacks (was ich später nachgebucht habe) habe ich das Thema nicht weiter verfolgt.