Dial-On-Demand mode funktioniert nicht.

nostra · Sep 29, 2006, 3:31 PM

Ich habe hier Probleme mit Dial-On-Demand mode.
Ich habe unter Idle timeout 1200 sec. eingestellt, also 20 min.
Nun fiel mir auf, dass mein Router (Wrap Board) abends nach dem ausschalten aller PCs und am kommenden Morgen nach dem einschalten selbiger, der Router immer noch die gleiche IP hatte. Also nichts mit offline gehen nach 20 min.
Ich habe die Sache nun mal genauer untersucht. Habe also z.B. mal 10 sec eingestellt.
Um auszuschließen, dass eine Applikation vom "Test PC" ständig eine Verbindung hält, bzw. wieder neu verbindet, habe ich auf dem PC unter Gateway eine falsch IP eingetragen, somit konnte der "Test PC" sich nicht einwählen, bzw. die Verbindung halten.

So zu den 10 sec.
Der Router geht jetzt offline, aber nicht nach 10 sec, sondern erst nach 30-60 sec.
Dann bleibt er für etwa 10-20 sec offline, aber dann wählt er sich von alleine wieder ein.
Dieses Verhalten zeigt er, wenn ich unter Dial on demand 10-59 eintrage.
Trage ich dort 60 sec oder höher ein, dann geht er überhaupt nicht mehr offline, er bleibt 24h online (bis zur Zwangstrennung von T-Com)
Ab 60 sec. liegt die Zeit dann sicherlich innerhalb der Zeitspanne wo der Router eine Abfrage ins Internet sendet und somit die Verbindung hält. Unterhalb der 60 sec sorgt dieses Abfrage dann dafür, dass er neu einwählt.

Was läuft da also quer? Warum wählt sich der Router ständig selbst wieder ein, bzw. hält die Verbindung?

Hier nochmal die kompletten Daten.

Wrap Board: WRAP.1E-2
pfsense: 1.0-SNAPSHOT-09-27-06 (Problem bestand auch schon in älteren Versionen)
Einwahlverbindung: PPPoE
ADSL2+: 16000

Ps: Ansich ist das alles ja nicht weiter schlimm, da eine Flatrate vorhanden ist.
Da ich mich mit meinen Zugangsdaten aber teilweise auch von einem anderen Standort einwähle, ist es wichtig, dass der Router offline geht, da ich sonst vom zweiten Standort nicht einwählen kann, wenn der Router von Standort eins noch online ist.
Momentan bleibt mir nur, wenn ich Standort eins verlasse, den Router dort stromlos zu machen. Nur ist das nicht die Lösung, denn vergesse ich das, dann bin ich am Standort zwei angeschmiert :(
.

hoba · Sep 29, 2006, 8:20 PM

Versuche mal den parameter use_rrd_gateway zu verbiegen: http://faq.pfsense.com/index.php?action=artikel&cat=10&id=38&artlang=en&highlight=hidden
(diagnostics>backup, Datei editieren, diagnostics>restore)

Benutze irgendeine IP, die nicht im WAN ist (z.B. 127.0.0.1 oder eine LAN IP). Für den Qualitäts RRD-Graphen wird standardmäßig der WAN-Gateway regelmäßig angepingt. Ich vermute, daß dies die Verbindung aktiv hält bzw. wieder herstellt.

nostra · Sep 29, 2006, 10:02 PM

@hoba:

(diagnostics>backup, Datei editieren, diagnostics>restore)

Danke erstmal für die Mühe.
Soweit ist das Vorgehen klar, aber wo, an welcher Stelle und in welcher Form füge ich
use_rrd_gateway

und entsprechende IP hinzu. Denn in der config.xml ist entsprechnder Eintrag noch nicht vorhanden.
Dein Link und dessen weiterführende Links helfen mir da leider auch nicht weiter.

hoba · Sep 29, 2006, 10:35 PM

…
<system><use_rrd_gateway>127.0.0.1</use_rrd_gateway>
...</system>

nostra · Sep 30, 2006, 12:04 AM

Hilft leider nicht, habe als Gateway wieder einen Fake eingetragen in meine NIC und trotzdem wählt der Router sich wieder selbständig ein :(

Und ich denke doch, du meinst am Anfang des Script oder?
Hab es unter dem Time Server eingetragen.


 <pfsense><version>2.3</version>
	 <lastchange><theme>metallic</theme>
	 <system><optimization>aggressive</optimization>
		<hostname>xxxxx</hostname>
		<domain>xxxxx.org</domain>
		<username>admin</username>
		<password>xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx</password>
		<timezone>Europe/Berlin</timezone>
		<time-update-interval>300</time-update-interval>
		<timeservers>rztime1.rz.tu-bs.de</timeservers>
		<use_rrd_gateway>127.0.0.1</use_rrd_gateway>
		 <webgui><protocol>http</protocol>
			 <port><certificate>.................
.................
.................</certificate></port></webgui></system></lastchange></pfsense>

Ps: Am Time Server kann es auch nicht liegen, der steht eh auf 300 min, außerdem sollte dafür nicht selbstständig eine Verbindung aufgebaut werden. Trotz allem hatte ich ihn aber testweise schon deaktiviert, aber ohne Erfolg.

Ps: Vielleicht könntest du das ja als Bug an die Entwickler weitergeben, Gründe weshalb das nicht schön ist, nannte ich ja bereits.

hoba · Sep 30, 2006, 12:05 AM

Du hattest die config.xml über das webgui restored und danach (automatisch) rebooted, richtig?

hoba · Sep 30, 2006, 12:09 AM

Verbinde Dich bitte mal SSH auf die pfSense und schaue Dir die Ausgabe von pftop an (ist im shellmenu). Dort solltest Du sehen, welche Verbindung das Einwählen auslöst.

nostra · Sep 30, 2006, 12:09 AM

@hoba:

Du hattest die config.xml über das webgui restored und danach (automatisch) rebooted, richtig?

Jo habe ich und er hat auch wirklich rebootet, habe ich per com Konsole beobachtet.

nostra · Sep 30, 2006, 12:35 AM

@hoba:

Verbinde Dich bitte mal SSH auf die pfSense und schaue Dir die Ausgabe von pftop an (ist im shellmenu). Dort solltest Du sehen, welche Verbindung das Einwählen auslöst.

Hm habe ich gemacht, auf SSL umgestellt, per SSL das Webmenü aufgerufen und nun in der Konsole die 9 war es glaub ich für pftop.
Nur passiert da jetzt nichts mehr, weder wird mir was angezeigt, noch kann ich pftop beenden, weder mit Esc noch mit exit.
Was soll ich also genau machen um dort was angezeigt zu bekommen bzw. um pftop in der Konsole zu beenden?
Jetzt werd ich wohl erstmal rebooten müssen, um wieder "normalen" Zugriff auf die Konsole zu bekommen.

Ps: Warum wird hier eigentlich meine e-mail angezeigt, obwohl ich beim anmelden "nicht anzeigen" gewählt habe.
In meinem Profil war es dann aber immer noch nicht abgehakt, bei "hide e-mail" und auch nach dem setzen des Häkchens wird hier meine mail angezeigt.
Find ich gar nicht gut, die mail Adresse wird dadurch mit spam zugeballert. Da muss ich doch gleich meine Spam Mail eintragen um das zu verhindern.

hoba · Sep 30, 2006, 12:55 AM

Ich dachte eigentlich an SSH und dann mir putty z.B. verbinden und von dort dann im shellmenu pftop aufrufen ::)

Das mit der Sichtbarkeit der Emailadresse müssen wir mal prüfen. War mit noch nicht aufgefallen, weil ich als Admin ja sowieso alles sehe ;D

nostra · Sep 30, 2006, 1:20 AM

Ich hatte es per Tera Term gemacht.
Mittlereile, nach meinem Zwangsreboot zeigt pftop in Tera Term auch was an.
Und zwar tauscht der Router ständig Informationen für DNS über Port 53 aus.
Zwischen
PC–>Router
Router-->PC
Router-->DNS IP meines ISP, wenn er dann wieder von alleine online geht.

Wobei ich das mit dem DNS Kram unter Service-->Enable DNS forwarder
und
System: General Setup--->Allow DNS server list to be overridden by DHCP/PPP on WAN

Heute Nachmittag schonmal deaktiviert hatte, weil ich da sowas schon ahnte, aber ebenfalls ohne Erfolg, ansonsten hätte es das Topic hier nicht gegeben.

So ich bin tot müde, gehe in die Falle.
Mit Putty werd ich es morgen mal versuchen.

Gute Nacht!

Ps: zur Mail: Kann es sein, das nur ich selber sie sehe? Wobei das natürlich auch wenig Sinn machen würde, sich selbst eine Mail über den E-Mail Button zu schicken :D

hoba · Sep 30, 2006, 4:10 PM

bzgl. Mail: Ja, habe scheint daran zu liegen, daß Du selbst Dein eigenes Profil sehen kannst.

Du hast zwar den Gateway Deines Clients verbogen, damit er nicht mehr an die pfSense geht, aber DNS ist vmtl. immer noch die pfSense. Also wenn irgendein Programm/Task von Windows denkt mal irgendwas anfragen zu müssen geht das an die pfSense und dann weiter an den ISP DNS. Verbiege den DNS auf Deinem Client auch mal bitte, daß DNS und Gateway keines Clients mehr auf die pfSense verweisen. Hier gilt us u.U. auch vorhandene Accesspoints o.ä. zu prüfen (siehst Du ja aber dann im pftop).

nostra · Sep 30, 2006, 6:39 PM

So, nun hab ich es glaub ich.
Du hattest fast Recht.
In meiner NIC unter DNS habe ich 5 DNS Server meines ISP eingetragen und als sechste und letzte die IP das Routers.
Dadurch wurden in Tera Term–>pftop die DNS Abfragen angezeigt.
Nachdem ich in der NIC die Router IP entfernt habe, war nur noch eine Kommunikation PC<--->Router zu sehen (bei wieder gefakten Gateway). Allerdings fandem immer noch die automatischen Verbindungen statt, in Tera Term-->pftop wurde diesbezüglich aber nichts angezeigt, nur eben die bereits erwähnten lokalen Verbindungen PC<--->Router

Mit Putty komm ich leider nicht zurecht.
Ich starte Putty unter "Session" trage ich rechts die IP des Routers ein SSH ist schon vorausgewählt, nun klick ich auf "Open", eine "DOS" Konsole öffnet sich und nach einer Weile kommt ein error popup, mit der Meldung das keine Verbindung hergestellt werden kann.
Es kommt weder eine Benutzernahme noch Passwort Abfrage.
Was mache ich mit Putty also falsch, bzw was muss ich machen, damit das Funktioniert. Muss ich im Router noch was einstellen, damit ich mich per SSH mit ihm verbinden kann?

So die Lösung des ganzen scheint nun folgende zu sein.

In meiner NIC also für DNS die IP des Routers entfernt (wäre bei ausgeschalteten PCs irrelevant)
Dein Script von gestern <use_rrd_gateway>127.0.0.1</use_rrd_gateway>, welches aber dann auch erst in Verbindung mit folgenden Punkt funktioniert.
Unter "System: General Setup"
Allow DNS server list to be overridden by DHCP/PPP on WAN
deaktiviert.
Hatte ich Gestern zwar auch schon versucht und ohne Erfolg, zu dem Zeitpunkt hatte ich aber Punkt 1. und 2. noch nicht gemacht.

An dieser Stelle gleich nochmal eine andere Frage.
Pfsense ist im Webmenü, teilweise sowas von lahm, dass man die Krätze bekommt.
Ich konnte das Ganze schon mit einer besseren/schnelleren CF Card beschleunigen. Weiterhin konnte ich die ganze Sache auch noch mit
Diagnostics–>Edit File-->/boot/loader.conf

beschleunigen, indem ich folgende Werte von null auf eins gesetzt habe.
hw.ata.atapi_dma="1"
hw.ata.ata_dma="1"

Sicher hätte es bei einem der beiden gereicht, da ich aber nicht genau weiß als was das wrapboard meine CF-Card behandelt, ob als ATA (HDD) Laufwerk oder Atapi (CD-ROM) Laufwerk und ich keinen Bock hatte das noch auszutesten, habe ich einfach beide auf eins gesetzt und gut.
Seit dem läuft meine CF-Card im UDMA33 Modus, was auch ein wenig mehr Speed brachte.

Gibt es noch ein paar Dinge, mit dem man pfsense etwas schneller machen kann?

Ps: Mit der E-Mail stimmt, ist so das man nur selbst den e-mail Butten sieht, obwohl das eigentlich wenig Sinn macht.
Hatte mich eben mal testweise mit anderen Namen und e-mail Adresse registriert und angemeldet und da konnte ich in meinen nostra Posts nicht meine e-mail Adresse sehen.
Diese zweiten Account habe ich aber mittlerweile wieder gelöscht.

nostra · Sep 30, 2006, 7:54 PM

Hm, habe eben mitbekommen, dass bei deaktiviertem
Allow DNS server list to be overridden by DHCP/PPP on WAN

dem Router selbst keine DNS Server IP vom ISP mehr autom. zugeordnet wird.
Das ist natürlich weniger schön.
Ok man könnte nun im Router selbst die IPs für die DNS Server eintragen, sollten da aber mal nicht mehr aktuell sein, dann ist man gelinkt.
Ok man ist auch gelinkt, wenn man sie in der NIC fest einträgt und sie mal nicht mehr aktuell sind, aber dafür hatte ich als letzten DNS Server in der NIC den Router eingetragen, sozusagen mein fallback für die DNS Server, fallen meine eingetragenen aus, bleibt immer noch der Router selbst und der sollte durch die autom. DNS Server Zuordnung immer eine aktuelle DNS IP haben.
Bei deaktiviertem "Allow DNS server list to be overridden by DHCP/PPP on WAN" fällt das aber nun leider flach.

Ich denke, da muss in einer neuen Version von pfsense was getan werden, damit der Router sich nicht wegen seiner ständigen DNS Anfragen selbst mit dem I-Net verbindet.
Ähnlich eben wie beim Time Server oder bei DynDNS, ist der Router offline startet er zwar auch die anfragen, aber wählt sich nicht selbstständig ein.
Das ist mir vorhin nur in der System log aufgefallen, dass immer die genannten Abfragen gestartet wurden, es dann aber eine error Meldung gab, weil der Router offline war.
Oder es kam zu den error Meldungen und dem nicht Einwählen, weil der Router auf Grund des deaktivierten "Allow DNS server list to be overridden by DHCP/PPP on WAN" und dem daraus fehlenden DNS Server gar nicht verbinden könnte.
Denn ohne DNS Server konnte er ja kaum dyndns.org und Time-Server rztime1.rz.tu-bs.de in eine IP umsetzen und hatte folglich auch keinen Grund sich einzuwählen.

Langsam wird mir das mit den vielen wenn und abers zu konfus.
Ich denke am besten wäre es wohl, wenn sich die Entwickler dieses Problems annehmen und in einer neuen Version fixen.

hoba · Sep 30, 2006, 9:02 PM

Die pfSense macht von sich aus keine DNS-Anfragen (ausser z.B. zum NTP-Zeitablgleich vielleicht oder zum DynDNS-Server-update). Wieso sollte Sie das tun? Aus Langeweile?

Und bzgl. dem "override DHCP/PPP on WAN", das funktioniert genauso, wie es soll.

Viel wahrscheinlicher ist, daß wir ggf. die Dial-On-Demand-Option entfernen werden. Das ist ein Überbleibsel von m0n0wall. pfSense war nie für Dial-On-Demand konzipiert worden. Keine der Services berücksichtigen diese Einstellung obwohl mir nicht direkt Probleme damit auffallen bis auf das angesprochene Gatewayping zur Qualitätsüberwachung, was sich aber abstellen läßt (siehe oben).

nostra · Sep 30, 2006, 11:47 PM

Dial-On-Demand-Option entfernen finde ich eigentlich weniger gut.
Einen Grund wozu man es braucht nannte ich ja bereits im ersten Post. Auch gibt es noch Leute die keine Flatrat haben, die werden das sicherlich auch nicht begrüßen.

Ich habe eben nochmal etwas getestet.
Nachdem ich DynDns deaktiviert habe, scheint es zu funktionieren und er wählt sich nicht mehr ein.
Als ich es gestern getestet hatte, da hatte ich sicherlich noch nicht das mit dem Eintrag für den Gatewayping zur Qualitätsüberwachung gemacht.
Also scheinen beides zusammen, die Qualitätsüberwachung und DynDns die verursacher zu sein.
Ich werd es morgen früh sehen, ob der Router über Nacht offline war.

Das es bei deaktivierten "override DHCP/PPP on WAN" und aktiven DynDns funktionierte, also der Router sich nicht einwählte lag sicherlich daran, dass er mangels DNS Server auch keine DynDns Abfrage sarten konnte.

Sollte also DynDns der Verursacher sein, dann ist da doch hoffentlich eurerseits noch was zu machen, damit dieser Service nicht selbstständig eine Verbindung herstellt, denn deaktivieren wäre eigentlich auch nicht das Ideale.

hoba · Oct 1, 2006, 12:30 AM

Wenn es nur die 2 Sachen sind sollte sich was machen lassen, ich warte auf Deinen Bericht. Also Marsch, Marsch, offline gehen zum Testen ;)

nostra · Oct 1, 2006, 1:44 PM

So alles klar.
DynDNS und auch die von dir erwähnte Qualitätsüberwachung sind die Übeltäter.

Heute nach dem einschalten des PCs konnte ich dann in der Router Log sehen, dass er sich gerade eine neue IP geholt hatte, also die ganze Nacht offline war.
Ich habe dann auch nochmal meinen fake Gateway vergeben und nach meinen voreingestellten 20 min. ging der Router dann auch offline und blieb es auch.
Nun habe ich aus dem config.xml script nochmal den Eintrag <use_rrd_gateway>127.0.0.1</use_rrd_gateway> entfernt, um zu testen ob eventuell nur dyndns schuld ist, die config eingespielt, rebootet blablabla und siehe da schon ging er nicht mehr offline.

Folglich sind dyndns UND Qualitätsüberwachung die Übeltäter.

Ich hoffe ihr bekommt das hin und geht nicht einfach den leichten Weg und entfernt stattdessen die Dial-On-Demand-Option.

hoba · Oct 1, 2006, 1:53 PM

Ok, danke schon mal für die Analyse. Das sollte dann irgendwie machbar sein denke ich.

nostra · Oct 1, 2006, 2:31 PM

Weil wir gerade bei Bugs sind, dann hätte ich noch zwei für dich.

Seit RC2 ist im Konsolenmenü Punkt 12 verschwunden.
"Neu einlesen der IPs" oder so.
Funktionieren tut Punkt 12 immer noch, nach Eingabe von 12 wird es neu eingelesen. Punkt 12 fehlt einfach nur in der Auflistung.

Dann ist mir noch aufgefallen, dass seit es die Mini-Embedde updates gibt, das dieses nicht so richtig hin haut.

Spiele ich z.B. auf meine CF Card per Kartenleser im PC, pfSense.img.gz vom 26-Sep-2006 auf, so kann ich ja zum Beispiel für das Update vom 27-Sep-2006 das mini update nutzen, also "pfSense-Mini-Embedded-Update-1.0-SNAPSHOT-09-27-06.tgz".
Dieses kann ich dann per Webmenü direkt mit pfsense einspielen. Das klappt auch soweit, nur im Konsolen-Menü werden mir nach dem reboot nicht mehr die Punkte 1-11 angezeigt. Das Menü bleibt bei "Bootup complete" hängen (auch nach wiederholten reboot).
Danach sollte dann ja eigentlich das Menü kommen

Bootup complete
hier bleibt es dann nach dem mini update und dem reboot stehen
FreeBSD/i386 (xxxx.xxxxx.org) (console)

*** Welcome to pfSense 1.0-SNAPSHOT-09-27-06-embedded on xxxxx ***

LAN* -> sis0 -> 192.168.100.250
WAN* -> sis1 -> 62.x.x.x(PPPoE)

pfSense console setup

0) Logout (SSH only)
1) Assign Interfaces
2) Set LAN IP address
3) Reset webConfigurator password
4) Reset to factory defaults
5) Reboot system
6) Halt system
7) Ping host
8) Shell
9) PFtop
10) Filter Logs
11) Restart webConfigurator

Auch ein blindes eingeben der Punkte wie es z.B. oben mit dem Punkt 12 beschrieben ist funktioniert dann bei keinem der Punkte.
Will ich weiterhin das Konsolen-Menü, bleibt nur wieder der komplette CF flash mit dem aktuellen pfSense.img.gz vom 27-Sep-2006

Alles andere, also im Webmenü fünktioniert aber fehlerfrei.

Für was ist eigentlich das "pfSense-Full-Update-1.0-SNAPSHOT-09-27-06.tgz". ich hatte die CF damit geflasht, aber danach war sie nicht bootfähig und als update per Webmenü (so wie mit dem mini update) wird es aber auch nicht genommen.