@mreczio Klingt mir nach einem Problem mit der MTU. Versuch mal folgendes: ping -f -l 2000 192.168.1.200 (Syntax für Windows) Wenn der sauber durchgeht, dann liege ich falsch und es liegt nicht an der MTU. Dann tippe ich auf schräge Firewallregeln. Wenn aber der Ping fehlschlägt, dann verringere die Größe von 2000 auf 1200. Dann geht er recht sicher durch. -> Rechere bzgl. MTU als Hausaufgabe.

@p54 Das kommt bei 443 tatsächlich ab und an vor und liegt dann ggf. eher an einer trägen Gegenstelle die dann noch Daten schickt, dabei hat die Firewall die Verbindung hier schon zugemacht und den State geschlossen. Ist jetzt gar nicht so sehr unüblich (bei anderen Ports dann schon eher) und bei 443/TLS/SSL kann es auch so mal vorkommen. Ggf. ist da auch ein sehr langer keepalive auf ner Webseite/Anwendung im Spiel der erst viel zu spät kommt. PA ist ja als Flag "Push Ack" als gabs vorher nen Push bzw. ne Datenverbindung. Ggf. also ein langsamer Server, ein Paket was sich ggf. verirrt hat oder was virago schon sagt out of state/out of bound traffic bei Asymmetrie also das Routing geht verkehrt (über ein IF raus, übers andere rein o.ä.).

@haithabu84 said in pfSense 2.5 EEE Problem: Die jetzigen Fehler sind aber alle so eher vermeidbar und in dieser Situation nie dagewesen. Einfache Dinge, wie robustes PortForwarding, da gibt es keine zwei Meinungen... das muss einfach laufen. Das war aber kein "einfaches" PFW, sondern spezifisch nur bei MultiWAN / multiplen GWs. Könnte man auch als Spezialkonfiguration sehen, der normale Kunde hat nicht unbedingt mehrere Leitungen. Du kannst mir auch nicht erzählen das mit der Einführung von der Community und Plus Edition hier nicht ganz klar ein finanzieller Aspekt zum Nachteil der Community verfolgt wird. Hier werden grob gravierende Unterschiede Einzug halten zwischen diesen beiden Versionen, als wären es zwei völlig neue Produkte. Ich erzähle gar nichts, ich sage nur, dass das vielfach nur einfach Hörensagen und Meinungen sind, die hier gepostet werden. Tatsächlich verwertbare Punkte konnte ich bislang noch keine finden. Es wurde/wird gefixt mit entsprechender Manpower egal ob bei Plus oder CE, ansonsten gäbe es jetzt keine 2.5.2 in der Mache. Das jetzt als Aufhänger zu nehmen weil ein Release daneben ging, ist IMHO quark. Hätte man die Community zu Beta-Testern gemacht und dann die Plus Edition als Stable nachgezogen, alles andere sonst gleich, dann würde niemand was sagen. Aber hier wird eine Version, scheinbar bewusst, abgeschwächt um die Leute ins Abo oder zu den eigenen Produkten zu drängen. Aber das wird das Anfang vom Ende. Wo wird hier eine Version abgeschwächt? Nimmt dir jemand Features aus der CE? Nein. Es wurde klar angekündigt "Plus bekommt Firmen/Enterprise Features nach und nach". Hat sie noch nicht mal. Ich sehe da also keinen Grund jetzt ein Drama vom Zaun zu brechen wenns noch nichtmal nen Grund dafür gibt. Der kann noch kommen - natürlich. Aber aktuell ist es quatsch. Und ob das ein kluger Move ist oder nicht, die Plus "schneller" upzudaten bzw. zu entwickeln und neues dort einzubringen sei dahingestellt. Aus Sicht der Hardware - wie in deinem erlebten Fall in deinem OP - ist GENAU das der Sinn. Man hat eine sehr schmale Hardware Palette: ARM #1, ARM #2, Atom C3xxx und Xeon-D 1st gen aktuell. Mehr nicht. Heißt ich kann extrem gut abgestimmt für genau diese Umgebungen testen und bauen. Ich kenne definiert welche Accelerator drin sind, ich weiß welche NICs verbaut sind etc. etc. - Aus Entwicklersicht macht das also völlig Sinn. Dass es nicht das ist, was man sich im OSS Umfeld wünscht à la Proxmox oder bspw. auch RedHat/Fedora ist ein anderes Blatt. Abo oder zu den eigenen Produkten zu drängen. Aber das wird das Anfang vom Ende. Spekulation über ein "Abos", das weder angekündigt noch bestätigt ist. Da diskutiere ich nicht, solange keiner weiß wie "Plus" überhaupt später für Whitelabel Boxen gekauft/zugebucht werden kann. Bis dahin sind es nur Unterstellungen. Zumal schon länger klar/bekannt ist, dass man als Prosumer/Poweruser oder im Lab die Plus problemlos kostenfrei bekommt - wie auch TNSR, was es sonst nur als "payed product" gibt. Da zu unterstellen, dass sie nur Geld schneidern wollen ist etwas weit hergeholt. Ne unlimitierte Lab/Testversion will ich von anderen Herstellern erstmal sehen - die richtig Kohle mit ihrem Produkt ziehen wollen. Von der beobachteten Problematik um die Einführung von WireGuard-Code von Netgate ins FreeBSD, fange ich gleich gar nicht erst an... Wird besser sein, denn da war Netgate selbst ja nur Randbeteiligter. Komisch dass aber da keiner mit Fackeln und Heugabeln Sturm gegen den WG Code Entwickler oder gar die FreeBSD Kernel Member läuft, die nach 4 Augen Prinzip den Code einfach in den Kernel reingewinkt haben. Ist selbstredend viel öffentlichkeitswirksamer, wenn man hinterher gegen den Sponsor schießt, der Geld in die Hand genommen hat um das Feature einzukaufen weil damals keine Sau interesse dran hatte es zu machen. Aber yay, wenn jetzt der Erfinder selbst kommt und alles rettet, dann sind ja garantiert alle anderen die bösen Buben - Fall geklärt :D Zynisch? Sarkastisch? Jap. Nicht gegen dich, aber gegen die Situation per se und alle, die da nur tumb mit dem Finger auf pfSense und Netgate zeigen. Das war in der Fuckup Kette ein eher nachgelagertes Glied. Aber dazu hatte ich im WG Thread schonmal länger mit entsprechenden Links was zu geschrieben. Das jetzt hier anzubringen ist aber falsch abgebogen. Btw: Letzte Chance für pfSense... das Update auf 2.5.2 und ich werde jetzt mal die Kiste von Grund auf neu machen, also ohne Tweaks oder Config-Anpassungen. Dann mal schauen wie es läuft. Kann man so machen - keine Frage. Da ja gern OPNsense als Vergleich eingeworfen wird - joa. Gern. Aber denen steht das Update auf FBSD12 auch noch bevor, man verabschiedet sich dazu von Hardened BSD als Zwischenlayer und schraubt gleichzeitig an der UI. Das ist toll und bringt das Ding natürlich voran, aber dafür knallt es auch ständig an allen Ecken und Enden. Wenn das besser gefällt - klaro - let's go. Hat aber auch nen Grund, warum ihre neue Business Edition mit den Builds hinterherhinkt - damit es eben nicht ständig scheppert ;) Und da ich dort genauso das Forum manage wie hier und wir Kunden in beiden Feldern haben - da gab es das auch schon oft genug, dass - was du so schön "einfache Dinge" nennst - einfach mal in einem Minor Update geflogen und explodiert sind. Und auf Rückfrage kam dann sogar "das war so gewollt, das ist ein Feature". Ja supi :) Man kanns eben nicht jedem recht machen. Die einen schreien weils nicht schnell (genug) geht, den anderen ist es nicht langsam/stabil genug - irgendwo ist immer nen Kompromiss drin. Sei es bei der Entwicklung, Wireguard, Updates, etc. etc. Vielfalt ist für alle gut und wer ein wenig in der Entwicklung drin steckt weiß, dass solche Zeiten/Bugs scheiße sind, aber manchmal ist eben der Wurm drin. Das gefällt den Entwicklern selbst am allerwenigsten. Die würden sich jetzt sicher auch gern auf neue Sachen und Updates konzentrieren statt Regression Bugs suchen und fixen zu müssen die eigentlich schon abgeschlossen gedacht waren. Nochmal zur Klärung: ich halte Kritik für wichtig und richtig, aber meckern und Extremente werfen ist unnötig. Zumal wenn es pure Gerüchte oder Gefühle sind. Dein "einziges" Problem im Threadstart war zudem "das Interface hängt/geht down" bei einer Interface/HW nahen Aktion die treiberbedingt sein kann. Verstehe immer noch nicht was daran jetzt so schlimm ist/war, dass das so ein Faß werden muss :)

@jegr Guten Morgen, ja dies war auch mein erster Gedanke das das am DNS liegen könnte und ein Timeout ausgeführt wird, bzw. dem UpdateCheck geschuldet sein kann - diesen habe ich auf "nicht prüfen" gesetzt und neu gestartet. Leider mit dem selben verhalten, danach bin ich unter generals gegangen und hab den DNS Eintrag dort entfernt -> Neustart und wieder selbiges. Nachdem ich dem Verweis gefolgt bin "auf das Umbiegen im Resolvers" wie im Link zu sehen hat es dann zum Ziel geführt. Warum erst dann ist eine gute Frage. Es gab aber dazu auch schon mal einen redmine Eintrag aus 2020 glaube ich. Jedenfalls bin ich jetzt entspannt, da alles theoretisch so funktioniert wie ich es mir wünsche mit dem Recovery, jetzt steht nur noch ein live Test an. :) VG und in freudiger Erwartung auf V2.5.2

@jegr Erst noch mal danke für die Mühe. tatsächlich habe ich es von Anfang an so gemacht, wie du beschrieben hast und es hat einfach nichts funktioniert. Ich habe danach alles Mögliche und Unmögliche probiert, aber ohne Erfolg. Ich hatte auch schon einen "klassischen" P2-Tunnel aufgebaut, wo sich die gegenstelle geweigert hat diesen abzunehmen (obwohl es funktioniert hat). Das klassische IPSec benutzen wir aber noch für eine Standortanbindung und kann ich auch nicht so ohne weiteres Ändern. Aktuell probiere ich, dass der Server bereits mit der geforderten IP-Adresse bei der pfSense ankommt. Entweder über ein zweites Interface oder das eine andere pfSense das NAT macht und dann weiter routed. Naja, mal sehen, was funktionieren wird.

@jegr said in Woher kommen die statischen Routingeinträge: Wenn es Firmenbezogen ist und es da kritisch sein sollte wegen Datenaustausch: dann gib ggf. per Mail oder DN Bescheid und kontaktiere meinen Kollegen, dann können wir auch kurzfristig ne Stunde Support o.ä. ganz offiziell einplanen mit entsprechenden Datenschutz und Verschwiegenheitserklärungen> \jens Das macht vermutlich Sinn, ich kläre es ab und melde mich ...Alex

@viragomann Wahrscheinlich mal in System/General die Zeitzone geändert aber seither nie rebootet und die Logs nicht neu schreiben lassen. Ist btw in 2.5 wirklich wesentlich besser, da hier dann auch keine CLogs mehr am Start sind, sondern default Textdatei-Syslogs und da ist ein Reset mal schneller gemacht ohne gleich alle Logs ins Nirvana zu blasen :)

@viragomann Danke für deine Unterstützung und die kompetente Erklärung.

@viragomann ja genau OpenWrt ist das. Danke für die Info. Ich versuche mich weiter.

@heinzk said in captive portal mit http funktioniert nicht mehr mit NB oder PC: und im Browser steht nur etwas von unsicherer Website. was steht da genau? Irgendwas wirds nicht sein :) Ich tippe darauf, dass da an irgendeiner Stelle was falsch konfiguriert war/ist und entweder HSTS ausgeliefert wurde und damit der Browser sofort auf HTTPS springt und damit dann irgendwas nicht mehr auflösen kann oder es einen seltsamen Redirect gibt.

Ja die neue Version ist unter der Haube halt ein wenig optimierter und damit schneller. Das wundert mich jetzt nicht.

@flole Voila: GIF interfaces should be reconfigured when IPv6 address of a WAN-Interface changes Das Problem wurde m.E. nicht wirklich beseitigt und wegen des echten DualStacks (was ich später nachgebucht habe) habe ich das Thema nicht weiter verfolgt.

@jegr Nein, wie drunter beschrieben: On local area network interfaces the upstream gateway should be "none".

@jegr Ich habe den Hacken nun rausgenommen. Werden dennoch die neuen PCs, die sich eine DHCP Adresse holen im DNS eingetragen oder muss ich das nun selber machen? Mit welchem Eintrag kann ich den DSN Cache den anpassen? Ist das der Wert "Anzahl an Hosts welche zwischengespeichert werden" Schönen Abend Wünsche ich

@nocling said in Wireguard zurück als Paket: Melde dich, dann bohren wir nen Tunnel Ad tunnel bohren bin ich dabei

@eklasen bitte einen grafischen netzwerkplan hast du mal versucht einen portforwad einzurichten und geschaut ob es von extern geht? bist du dir sicher das du dualstack hast und kein ds-lite? welcher provider?

@dogfight76 bitte mal einen netzwerkplan

@nocling das ist ja interessant, ich sollte dann unser Backup doch mal etwas belasten!

Sieht fast so aus. Ich habs dann doch klassisch gehalten und die IP Ranges kopiert und per Massen Import im Alias hinterlegt. Sollte es in Zukunft doch aufwendiger werden wegen fehlenden IPs muss ich mich wohl mit dem Support auseinandersetzen zu diesem Thema. Danke für die geistige Unterstützung.

@achim55 said in multi-WAN load balancing LTE: Am liebsten wäre es mir mit einer internen Karte die ich auf das Board stecken kann und die die SIM aufnimmt. Nö, das wird AFAIK nichts. Ich kenne keine MiniPCI / miniPCIe Karte die intern verbaut wird, LTE kann, externe Pigtails anspricht UND dazu noch unter FBSD12 läuft. (Kommt zudem STARK darauf an WELCHE PCengines hier gemeint wird. Das kann jetzt von WRAP, ALIX, APU1, APU2-3 so ziemlich alles sein...) Mobiler Router oder ein halbwegs vernünftig agierender USB Stick wären da die sinnvollere Option, da die meist besser angepasst und aktualisiert werden können. Gibt es eine Karte für das Board für die Nutzung einer SIM-Karte? AFAIK nope. Wie sind eure Erfahrungen mit Freenet-Funk Kenne ich nicht Habt ihre eine Empfehlung für die Hardware für ein mobilen Router Hängt ja immer schwer davon ab, was auch der Kartenanbieter/ISP vorgibt oder wahlweise anbietet. Solang man da was brauchbares findet was am Besten kein WiFi Geraffel ist, sondern ne ordentliche RJ45 Buchse hat, sollten wohl die meisten da mitspielen. Sobald die selbst nen (mini)Router haben, ist es nur noch relevant, ob die Kiste nen ordentliches Transfernetz stellen kann und danach wird sie einfach genauso behandelt wie jeder andere vorgeschaltete Router auch. Wenn man auf AVM steht, gibts ja inzwischen sogar reine LTE-Boxen von AVM zu relativ günstigem Preis. Cheers