[erledigt]pfsense 2.2 und viele Probleme

bitboy0

Mein erster Post hier dient zum Luft ablassen … und natürlich bin ich auch offen für berechtigte Kritik dann.

Wir haben hier einen Rechner stehen , der von einer kleinen IT-Firma als Router konfiguriert wurde.

Ein Phenom-II Prozessor, 4GB RAM und ein SSD als Basis. Dazu eine 4-Port Intel NIC.
es gibt ein KABEL-Modem von Unitimedia, einen DSL-Anschluss von Versatel (als Fallback) und einen UMTS-Router für den Fall der Fälle. Auf LAN-Seite ist unser internes Netz mit SBS2008, der auch dverse Dienste bereit stellt.

Das lief soweit ganz gut, aber weil das Mainboard nur einen 16x-PCIe-Port hat und ein paar 1x, aber KEINEN 4x, wurde die Grafigkarte entfernt um den NIC einbauen zu können.
Also kein Bildschirm, konfig und so nur per WEB-interface oder Putty.

Dann wurde das Update auf 2.2 angeboten (stable). Über die Web-Oberfläche gibt es keine Hinweise auf problematische Änderungen oder notwendige manuelle Anpassungen. Es sind auch keine zusätzlichen Pakete installiert, die nicht passen könnten... also LOS

Aber dann wurde es leider zu einer 8 stündigen - wenig lustigen Angelegenheit!

• das Update wurde herunter geladen (full backup war angehakt, man weiß ja nie) und installiert.
• Das update lief ohne Fehlermeldungen durch und PFsense wollte neu starten (wenig verwunderlich)

Leider startete aber pfsense nicht neu. keine Weboberfläche, kein Zugang über Putty und ohne Grafikkarte natürlich auch sonst keine Ausgabe. GANZ PRIMA!

Da auf die Schnelle auch nirgendwo eine PCI-Grafikkarte zu bekommen war, musste also ein neues Board her (mit onboard-Grafik)
2h nach dem Ausfall lief der Rechner und zeigte einen Mount-Error 19... nach entsprechender Suche fand ich dann, dass der Name der Partition nun anders lauten muss
Statt ufs:/dev/ad6s1a muss das jetzt ufs:/dev/ada0s1a heißen ... also ok, dann lief er etwas weiter.

• Trotz identisch eingesetzter NIC fand er aber einen "Interface missmatch" und ich musste die Zuordnung neu angeben.
• Nach der Zuordnung kam zwar das Menü, aber die Weboberfläche blieb unerreichbar.
• Die Adresse der Weboberfläche also noch mal eingetragen und neu booten
• wieder im Menü hab ich dann erst mal in fstab die Partition richtig eingetragen, damit ich das beim Start nicht immer von Hand machen muss
• Anmelden auf der Oberfläche ging aber nicht, bis ich merkte ... auch das Passwort war auf "default" ...

Ja, also was soll ich sagen... ALLES war auf default! Von dem angeblich angelegten "Full backup" wollte pfsense nichts wissen. Er hat es einfach nicht gefunden! Alle Filterregeln, die openVPN-Certs, und Zgriffsregeln ... alles weg.  :o :o :o

Also NICHT LUSTIG! ich hatte natürlich aber noch eine XML als backup. Die hab ich dann eingespielt, neu gestartet und das gleiche von Vorn. er hat sich dumm gestellt und schlicht NICHTS davon übernommen.

Da inzwischen das Telefon dunkelrot glühte, weil keiner mehr seine Mails bekommt und auch sonst nichts geht hab ich dann schnell die wichtigstens Einträge von Hand gemacht und mich auf eine lange Nacht eingerichtet.

Dann lief erst mal wieder Mail und FTP, ohne VPN ... aber das Telefon konnte nun etwas abkühlen und ich war erst mal NICHT AMÜSIERT!
eine Stunde später war dann für die meisten Mitarbeiter Feierabend und ich hab mich wieder ans Werk gemacht.

ich hab mir eine aktuelle XML gezogen und dort per Copy & paste die Zertifikate eingetragen und die entsprechenden verweise bei den Gatways verknüpft. Ist ja nicht zu kompliziert. Das XML hab ich dann importiert und neu gestartet. Sah gut aus und VPN ging bald wieder. Für ein paar Dinge wollte er noch mal neu starten dann und das ging ebenfalls.

Zum Abschluss hab ich noch mal eine XML erzeugt und ein Widget (Gatway Durchsatz) zum dashboard hinzugefügt. Dann noch mal kurz testen ob es im Falle des falles nach einem neustart des Routers alles geht, also "reboot"

:( >:( >:(

Also dann stand auf dem Bildschirm nur noch:

F1 pfsense

F6 PXE
Boot: F1
|

Das war alles … kein Fehler, nichts hat sich bewegt und damit war ich wieder bei NULL vorher hat ja der neustart ohne Probleme funktioniert ...

• Also 2.2 runter geladen
• CD rein und installiert ... bzw. erst mal console. Aber die Platte hatte keine Partitionen mehr...
• Die Option (XML finden und damit neu installieren) fand logischerweise dann auch nichts zum wieder herstellen.

Also hab ich PFsense 2.1.5 gezogen und dachte, da DAs ja gelaufen ist und ich davon auch ein XML-Backups habe ... also 2.2 scheint eher NICHT STABLE zu sein und dann mach ich DAS wieder drauf.

• CD rein und installiert
• erst mal grob das LAN zum Laufen gebracht und XML importiert ...
• Tja, KEINE meiner XML-Dateien (alte, neue ... egal) konnte erfolgreich die Konfiguration wieder herstellen.

Ich hab dann also WIEDER per Copy und Paste - basierend auf einer neuen XML - die Zertifikate und andere Sachen in einer neuen XML zusammengefügt und imprtiert...

Nach 8h und erheblichen Verrenkungen geht es jetzt wieder ... aber das kann es doch eigentlich nicht sein! Was um Himmels Willen an den alten XML nicht okay sein soll konnte ich nicht erkennen. der XML-Editor hat mir keine Strukturfehler gezeigt.

Jedenfalls hat das keinen Spaß gemacht und hat mich als eher Windows User an meine Grenzen gebracht. Also ein bisschen Konsole ist ja kein Problem, aber normal sollte das ja SO nicht sein ...
eine 2.2 Stable kann in meinen Augen SO einen Mist auch nicht ernsthaft als normal verkaufen, oder? Bei einer Preview oder Beta muss man damit natürlich rechnen...

Wie lege ich also ein Backup an, das danach auch schnell und sicher wieder zum Laufen zu bringen ist?
Warum übernimt er die Konfiguration beim Update nicht, kann plötzlich keine Partitionen mehr finden (Platte ist eh fast neu, und hat keine Fehler)
Warum kann man nach dem installieren einer vorher laufenden Version die vorhandenen XML-Dateien nicht benutzen ... beim imprtieren wurden ja keine Fehler nagezeigt, nur nach dem Neustart war NICHTS von der XML in der Konfiguration zu sehen?

Also ich hab jetzt gleich mal eine zweite Kiste gebaut ... da kann ich mit spielen ohne die Firma lahm zu legen, allerdings finde ich es nicht so prickelnd, wenn ein simples Update von Stable 2.1.5 auf 2.2 so einen rattenschwanz an Ärger erzeugt.

gruß

bax2000

Hallo Bitboy!

Keine gute Geschichte! Aber weil Du ja am Anfang von Kritik geschrieben hast….;)

Wenn unser "Informatiker" bei einem solchen Update IM LAUFENDEN Betrieb so vorgegangen wäre wie Du........na ja.....da hätte ich wohl mal mit ihm reden müssen.

In einer Produktivumgebung würde ich nie im Leben das funktionierende Originalmedium nutzen! Das gehört für den Fall der Fälle, den Du ja jetzt kennst, an die Seite gepackt.
Also vorher System clonen - am besten auf einen USB-Stick. Denn genau dafür ist pfSense vorgesehen. Eine SSD bringt ja mal fast Nichts.

Du hättest also im Schadensfall einfach die alte SSD wieder anstecken können und hättest auf einen besseren Zeitpunkt für Experimente warten können.

Nur so für's nächste Update... ;)

Gruß!

bitboy0

Ja, nun .. also …

:-\

Klar passiert mir das SO nicht mehr! Das ein Update den ganzen Router lahm legt und es dann 8h dauert und viel Handarbeit nötig ist, bis es wieder läuft ... nun, damit hatte ich einfach in keinem Fall gerechnet.

Also ich bin wirklich offen für Verbesserungen an ALLEN Teilen des Systems. Ich hab das ja zunächst mal so vorgesetzt bekommen und habe mich da auch auf den Verlassen, der es so hingestellt hat. Also Egal was WAR... jetzt muss es richtig werden!

Zunächst mal Hardware:
Die Netzwerkkarte "Intel EXPI9404PTLBLK PRO1000PT" ist meines Erachtens wohl nicht so schlecht.
Der Rechner darunter muss nicht so viel Leistung haben, Rechnen muss der nicht so viel.
4GB sind ausreichen?
statt SSD-HDD besser einen Stick?
Welcher Stick ist da passend?
Wie clone ich das System auf einen Stick?

Sollte man einen zweiten Router bereit halten und mit dem ersten abgleichen? Wenn ja, wie soll das praktisch gehen?

Ich kann zwar englisch, aber ich muss zugeben, es ist nicht was ich am liebsten lese. Gibt es da eher grundsätzliche Informationen in einer Übersicht in Deutsch?

Auch das Thema "Failover" zwischen Internetleitungen hat bisher nicht zufriedenstellend funktioniert ... gibt es eine einfach Anleitung, die das an einem einfachen Beispiel zeigt, wie das zu konfigurieren ist?

Die Dokumentation - die ich bisher gesehen habe - hat mir keinen Überblick geben können ... alles sehr detailiert und auf einen ganz kleinen Aspekt ausgrichtet, aber keine gute Möglichkeit sich einen Überblick zu schaffen.

Also ich wäre wirklich bereit da auch Zeit rein zu investieren, damit ich weniger abhängig von "Experten" werde, die mir etwas hinstellen... von dem ich hier schon in der ersten Antwort eher den Eindruck habe: Das taugt so eigentlich nicht...

gruß

JeGr

Ich möchte dazu gar keine näheren Kommentare geben, sondern nur ein paar nackte Tatsachen kommentieren. Da du das hier als großen Rant benutzt, möge es dir zum Luftablassen dienen, allerdings finde ich so etwas meist eher kontraproduktiv, denn das fängt schon in deinen ersten Sätzen an:

Wir haben hier einen Rechner stehen , der von einer kleinen IT-Firma als Router konfiguriert wurde.

Eine kleine IT Firma hat das Ding also aufgebaut und - übergeben an euch/dich? Oder betreuen die das? Warum hat dann nicht von denen jemand das Update gemacht, der sich ggf. damit auskennt? Nur eine Idee/Frage, denn das wundert mich schon.

Leider startete aber pfsense nicht neu. keine Weboberfläche, kein Zugang über Putty und ohne Grafikkarte natürlich auch sonst keine Ausgabe. GANZ PRIMA!

Das ist natürlich unschön, allerdings muss ich mich fragen:

• warum baut jemand einen Rechner so auf und
• wenn der nicht den Anforderungen entspricht (wegen fehlendem korrekten PCIe Slot), warum wird dann nicht von Anfang an andere Hardware verbaut und nicht auf "Bastelniveau" weitergefummelt?

Wenn ich selbst oder meine Firma irgendwo Geräte installiert, dann passen die auf den Kunden oder kommen da gar nicht erst hin. Ein rumgefrickel wie "Oh Hardware passt nicht zu Karte X die aber benötigt wird, dann bauen wir halt die Grafikkarte aus…" gibt es nicht. Sowas ist hochgradig unprofessionell. Natürlich kann man sich berufen, dass pfSense auch ohne Grafik läuft - APUs funktionieren ja auch nicht anders - aber wenn ich schon eine selbstgebaute Kiste hinstelle, sollte die auch sauber funktionieren.

Statt ufs:/dev/ad6s1a muss das jetzt ufs:/dev/ada0s1a heißen ... also ok, dann lief er etwas weiter.

Diese Info war zwar etwas kleiner, aber durchaus in den Patch/Changelogs vorhanden und war (leider) Voraussetzung. Dafür gab es auch entsprechende Skripte die VOR einem Update ausgeführt werden sollten. Deshalb auch die Frage, warum die IT Firma das Update nicht durchgeführt hat. Evtl. hätten die das gewusst?

• Trotz identisch eingesetzter NIC fand er aber einen "Interface missmatch" und ich musste die Zuordnung neu angeben.

Das kann durchaus ein Problem von

Da auf die Schnelle auch nirgendwo eine PCI-Grafikkarte zu bekommen war, musste also ein neues Board her (mit onboard-Grafik)

sein. Da ein neues Board seine IRQs und Zuweisungen ggf. anders verwaltet, würde es mich nicht verwundern, wenn hier ggf. eben auch Schnittstellen anders belegt wurden. Zudem hatte das Ursprungsboard ja noch eine Onboard NIC(?) die sich nun sehr wahrscheinlich mit geändert hat. Ergo war der "Fehler" durchaus korrekt -> aber vermeidbar. Dass man Hardware im Fehlerfall umbauen muss, ist auch kein ordentlicher Zustand.

Also dann stand auf dem Bildschirm nur noch: (...)

Wie lange? Das das dort steht ist normal. Und ggf. auch 10s lang. Das ist der PreBoot Loader. Was brachte F1 oder F6? Enter?

Jedenfalls hat das keinen Spaß gemacht und hat mich als eher Windows User an meine Grenzen gebracht.

Verstehe ich voll und ganz, allerdings muss ich dann wieder fragen: Warum verwaltest du dann die Firewall bei solch einem Update und nicht ein Netzwerker oder die IT Firma die es installiert hat? Damit stelle ich gar nicht deine Kompetenz in Frage aber du sagst ja selbst, dass du im Fehlerfall ziemlich aufgeschmissen warst.

Fehlerbeschreibungen...

Die Fehler an sich kann ich persönlich leider gar nicht nachvollziehen und auch andere Kollegen hier im Forum werden sicher - trotz Problemen hie und da - bestätigen können, dass die Updates auf 2.2 im Großen und Ganzen recht einfach gelaufen sind. Auch XML Imports (der richtigen Version) sollten kein Problem darstellen. Was mich an der Stelle wieder zur Hardware bringt, die - wiederum subjektiv meine Sicht - ich untragbar finde. Solch ein Bastelgebilde für eine Firma im Produktiveinsatz zu nutzen, halte ich einfach für untragbar. Da kannst du persönlich vielleicht nichts dazu (hoffe ich ;)) aber sowas kann nicht angehen, dass man zusammengefrickelte Hardware für eine Firewall hinstellt, die so mission-critical sein soll.

Zudem:

Also ich hab jetzt gleich mal eine zweite Kiste gebaut ... da kann ich mit spielen ohne die Firma lahm zu legen, allerdings finde ich es nicht so prickelnd, wenn ein simples Update von Stable 2.1.5 auf 2.2 so einen rattenschwanz an Ärger erzeugt.

DAS wäre ein MUSS gewesen von Anfang an. Und zwar nicht irgendeine doofe Kiste zum Zerspielen, sondern von Anfang an 2 identische Kisten ordentlich aufzubauen und als CARP Cluster zu betreiben. Die 3 vorhandenen Leitungen/Wege ins Netz hätte man mit entsprechenden Transfernetzen an beide Nodes anbinden können, so dass auch ein ordentlicher Failover möglich gewesen wäre. Somit hätte sich dein Ausfall auf 0min beschränkt, da du beim Update des Slaves ggf. schon bemerkt hättest, dass nichts mehr funktioniert und den dann hättest rausnehmen oder wieder auf 2.1.5 bringen können. Wenn die Firma wegen dem SBS/Mail/etc. so sehr auf Internet angewiesen ist, dass man 3 Leitungen/LTE zahlt, dann aber eine zusammengefriemelte Hardware-Krücke als FW nutzt, dazu fällt mir leider wenig ein ;)

Trotzdem aber zu deiner Frage:

Wie lege ich also ein Backup an, das danach auch schnell und sicher wieder zum Laufen zu bringen ist?

Über Diagnostics/Backup&Restore. Die erzeugte XML lässt sich wieder einspielen. Warum das bei deiner verrückten Installation nicht tat - entzieht sich leider meiner Kenntnis, da du leider auch keinerlei Fehler posten kannst (musste ja alles schnell gehen und da kann man selten ordentlich diagnostizieren).

Warum übernimt er die Konfiguration beim Update nicht, kann plötzlich keine Partitionen mehr finden (Platte ist eh fast neu, und hat keine Fehler)

Das Verhalten von 2.1 >> 2.2 ist dokumentiert und beschrieben, dass VOR dem Update die Partitionen evtl zu konvertieren sind. Entsprechende Skripte stehen auch bereit. Das stand aber im Update-Log. Es war auch nicht bei jeder Installation der Fall, bei deiner anscheinend schon, da diese wohl ursprünglich von einer älteren Version aus geupdatet wurde(?). Meine Knoten mit SSD/Festplatten Installation sind bereits im ada0xxx-Format , obgleich ich noch keine Update Skripte laufen lies.

Warum kann man nach dem installieren einer vorher laufenden Version die vorhandenen XML-Dateien nicht benutzen ... beim imprtieren wurden ja keine Fehler nagezeigt, nur nach dem Neustart war NICHTS von der XML in der Konfiguration zu sehen?

Das spricht eher für ein Festplatten/Partitionsfehlverhalten, denn die Konfiguration ist auf einem Extra Slice (also einer extra Partition) untergebracht. Ich vermute, diese hat bei deiner händischen Umstellung einen Knacks davon getragen oder hatte diesen evtl. vorher schon. Da die Konfig im laufenden Betrieb im RAM gehalten wird, merkt man da recht wenig von.
Eine neue Config für eine alte Version zu benutzen ist nie gut und kann eben manchmal nicht funktionieren. Wie sollen bspw. neue Parameter oder Änderungen an der Konfiguration dann vom alten System interpretiert und gelesen werden? Das wäre die gleiche Problematik als wenn ich eine Cisco IOS 7 Config in IOS 6 versuche zu laden, es funktioniert eben leider nicht. Von alt auf neu wird eben beim Import ggf konvertiert und ausgelesen.

Warum wie gesagt bei dir generell jedes Mal der Import versagt hat, kann man schlecht jetzt aus der Glaskugel lesen, da man keinerlei Debugging mehr betreiben kann, es hört sich aber schon sehr nach eine Plattenproblem an (und das muss nicht Hardware heißen, sondern ggf. Partition o.ä.).

Wie anfangs gesagt, bitte das als ganz neutralen Text betrachten, ich weiß selbst wie es ist unter Strom Dinge fixen zu müssen wenn wirklich alles brennt. Aber vielleicht kannst du den ein oder anderen Punkt (Hardware, Redundanz, Backup etc.) mal in Ruhe nochmals betrachten und dann das momentane Chaos verbessern. Ich würde auch überlegen, ob ich überhaupt einen "komischen" Eigenbau Rechner mit seltsamen Marotten haben will, oder ob mir nicht mit ordentlicher Hardware für meinen Zweck besser gedient ist. Bspw. 2 kleine Kisten mit 2-Kern Rangeley Atom Prozessor, 4-6 Interfaces und eine kleine SSD reingeschraubt und mit diesen 2 Kisten dann einen ordentlichen CARP Cluster gebaut. Ohne andere Teile die da drin rumfliegen und nicht passen oder nocht getauscht werden müssen. Und dabei vielleicht noch Platz, Strom und Nerven gespart :)

Beste Grüße
Jens

bax2000

Also ich bin selbst ja auch kein Profi, es gibt sie aber hier ganz sicher!

Ich würde Dir empfehlen die Probleme in einzelne Teilbereiche zu zerlegen und dann dazu Beiträge zu starten. So bleibt Alles übersichtlich und ist evtl. auch für Andere interessant die dann nicht alles lesen müssen.

Ausfallsicherheit: Das Thema hatte ich selbst mit zwei VDSL-Leitungen. Dazu hat mir der User JeGR hervorragend geholfen. Einfach mal anschreiben oder auf eine Antwort warten. Von ihm kommt sicher Etwas dazu.

Gruß, und nicht den Kopf hängen lassen! Stück für Stück einarbeiten und es wird klappen.

JeGr

Addendum wegen neuem Post:

Klar passiert mir das SO nicht mehr! Das ein Update den ganzen Router lahm legt und es dann 8h dauert und viel Handarbeit nötig ist, bis es wieder läuft … nun, damit hatte ich einfach in keinem Fall gerechnet.

Damit muss man bei jedem Teil des Equipments rechnen. Egal ob das Firewall, Switch oder sonstwas ist. Legt man Hand an, kann es sein, dass irgendwas nicht mehr läuft. Beim Switch die Firmware aktualisiert, Patch auf der Firewall, Windows Update auf dem SBS. Deshalb hat man für kritische Komponenten oft/immer Hochverfügbarkeit definiert - oder Ausfall einkalkuliert. Lief in keiner Firma bislang anders :)

Sollte man einen zweiten Router bereit halten und mit dem ersten abgleichen? Wenn ja, wie soll das praktisch gehen?

Anscheinend bist du mit dem Feature Set von pfSense nicht vertraut? CARP und Clustering sowie HA / Hochverfügbarkeit gehören gerade zu den Kernfunktionen, die man im Firmenumfeld haben will und deshalb gern pfSense nutzt (um nicht bei Cisco oder Juniper teuer HA kaufen zu müssen ;))

Die Netzwerkkarte "Intel EXPI9404PTLBLK PRO1000PT" ist meines Erachtens wohl nicht so schlecht.

Es geht weniger um schlecht als um "was muss es können" und "wird sie sauber unterstützt".

Der Rechner darunter muss nicht so viel Leistung haben, Rechnen muss der nicht so viel.

Das hängt von deinem Einsatzzweck ab. Wenn bspw. Squid oder Snort laufen, schon.

4GB sind ausreichen?

siehe oben.

statt SSD-HDD besser einen Stick?

Ist es jetzt eine SSD? SSHD? HDD? Aus der Bezeichnung geht das nicht ganz hervor ;) Einen Stick würde ich nicht vorziehen, nein.

Welcher Stick ist da passend?

siehe oben

Wie clone ich das System auf einen Stick?

Nein. Clonen würde ich das System DEFINITIV nicht. Es gibt wesentlich bessere Methoden! (siehe CARP Cluster / HA!) Vor allem muss bei diesen nicht händisch eingegriffen werden.

Ich kann zwar englisch, aber ich muss zugeben, es ist nicht was ich am liebsten lese. Gibt es da eher grundsätzliche Informationen in einer Übersicht in Deutsch?

Nein, deshalb versuchen wir das deutsche Forum auch gut zu führen ;) Ansonsten gibt es durchaus auch in DE Consultants und Firmen, die dir Support und Installation für pfSense anbieten.

Auch das Thema "Failover" zwischen Internetleitungen hat bisher nicht zufriedenstellend funktioniert ... gibt es eine einfach Anleitung, die das an einem einfachen Beispiel zeigt, wie das zu konfigurieren ist?

Anleitung ja, einfach "jein" - das hängt einfach von deinem Skill-Level im Thema Netzwerk, Infrastruktur und Firewalling ab.

Die Dokumentation - die ich bisher gesehen habe - hat mir keinen Überblick geben können ... alles sehr detailiert und auf einen ganz kleinen Aspekt ausgrichtet, aber keine gute Möglichkeit sich einen Überblick zu schaffen.

Welche war das? doc.pfsense.org?

Also ich wäre wirklich bereit da auch Zeit rein zu investieren, damit ich weniger abhängig von "Experten" werde, die mir etwas hinstellen... von dem ich hier schon in der ersten Antwort eher den Eindruck habe: Das taugt so eigentlich nicht...

"Experten" sind so ein Ding... Ich würde mich nicht als "Experte" bezeichnen, aber ich selbst biete im Kleinen, genauso wie meine Firma im Großen durchaus Installation, Konfiguration, Support und/oder Betreuung von Netzwerkkomponenten an. Solch ein Update hätte ich den Kunden sicher nicht allein machen lassen. Vor allem nicht an zusammengefrickelter Hardware. Wie gesagt - sowas gehört sich normalerweise nicht. Wenn ich daheim fürs Labor bastle vielleicht, aber nicht für 24/7 Einsatz beim Kunden.

Die Frage ist: willst du dir alle notwendigen Skills anlernen oder holt man sich jemand mit ins Boot, der einen da ordentlich berät und weiterbringt, damit man auch selbst nicht dumm stirbt. Und als Firma ist letzteres meist nicht der schlechteste Fall :)

Disclaimer: ich möchte hier jetzt nicht Werbung für Dienstleistung machen, nur weil ich sowas prinzipiell anbiete! ;) Ich möchte nur darauf hinweisen, dass es nicht verkehrt ist, sich bei spezifischen Problemen Spezialisten ins Boot zu holen, die einem was ordentlich aufbauen und zeigen, wie man damit umgeht. Und nicht nur Black-Boxen abliefern (die auseinanderfallen).

@Bax2000: Kann mich zwar nicht an deinen spezifischen Einzelfall erinnern, aber es freut mich sehr, wenns dir geholfen und dich weitergebracht hat. Andere wie bspw. Rudi können das ja hoffentlich auch so sagen :) freu

Grüße

peterhart

Hallo,
jeder Admin kennt wohl die geschilderten Probleme so oder in ähnlicher Form auch bei anderen IT-Systemen.
Der wichtigste Ansatz wurde hier schon genannt und sollte wirklich in Fleisch und Blut übergehen.
1. Niemals an einem Live System herum experimentieren und Migrationen durchführen!
2. Immer - und zwar vorher - Redundanzen bereithalten.
3. "Klarmachen der Aufgabe", d. h. Migrationsplanung!!! (Schritte, Zeitplan etc. festlegen)

Der Ansatz ich migriere mal schnell ein System und es wird schon gut gehen, geht leider meistens in die Hose.

Ich weiß, für viele klingt das irgendwie alles nach schlauen Sprüchen.
Aber es  ist was Wahres dran ;-)

Gruß
Peter

bitboy0

Wie gesagt .. Luft ablassen schon, aber nicht im Sinne von sinnlosem Meckern!

Das ZIEL ist es, es jetzt besser zu machen!

ich bin kein "Admin", sondern habe hier in der Firma viele Aufgaben. Die Firma ist nicht so groß und ich bin "Die Technik". Das bedeutet, es wird von mir vieles aus sehr verschiedenen bereichen erwartet und ich kann auch vieles, aber ich kann mich nicht mit jemandem vergleichen, der NUR Admin ist und entsprechend spezialisiert ist. Das bedeutet: Ich bin als Admin eher nicht gut ausgebildet.

Es gibt keine Möglichkeit das Problem durch einen dedizierten Admin zu lösen und mein Chef will auch keine Service-Verträge mit den ganzen Firmen abschließen. Also muss ich das irgendwie selber in den Griff bekommen. Externe kommen hin und wieder zum Einsatz, wenn ich mir die grundsätzliche Einrichtung nicht zutraue oder ich es einfach nicht mit den anderen Aufgaben vereinbaren kann, zeitlich.

Also wird z.B. ein SBS2008 hier installiert, mir erklärt wie ich da die grundsätzlichen Aufgaben erledigen kann und dann ist das mein Problem. Für die HARDWARE gibt es in dem Fall einen Vertrag, also wenn der SBS2008 ausfällt wird uns innerhalb von 8h ein Ersatz hingestellt und das Backup - was wir hier auf LTO machen - wird wieder eingespielt. Die alltäglichen Sachen sind meine Aufgabe… also neue User anlegen, Rechte zuteilen oder ändern und den Leuten ihr Postfach einrichten. Rechner installieren, in die Domäne packen usw.

Genau so ist es mit dem Router. Eine Fritzbox kann ich ;) aber die kann eben nicht alles was wir brauchen. Also habe ich einer Empfehlung folgend einen Externen beauftragt uns da was anzubieten. Der hat das gemacht und es lief. Der hat mir erklärt wie ich damit grundsätzlich umgehen kann und dann ist er gegangen.

An dieser Situation wird sich eher nichts ändern, also nützt es leider auch nichts darüber zu schimpfen... ich muss damit klar kommen und lernen was ich brauche um besser damit klar zu kommen.
Also der Router wurde offensichtlich NICHT optimal aufgebaut und nicht betreut. Das weiß ich jetzt und jetzt suche ich einen Weg es besser zu machen.

Ich hoffe ich bekomme hier Hilfe zur Selbsthilfe...

Liebr "JeGr" ... du hast mit vielen Fragen sicher recht, da kann ich nichts gegen sagen. Jetzt will ich aber keine zeit mehr damit vertrödeln über diese Fehler zu jammern, sondern nehme gerne deine Anregungen auf um es besser zu machen.

Ein paar Punkte aber beantworte ich noch, weil du gezielt danach gefragt hast:

Also dann stand auf dem Bildschirm nur noch: (...)

Tja ... also nach 10 Minuten hab ich das langweilig gefunden. F1 brachte nur, das der "|" sofort erschien... ohne F1 hat er ein paar Sekunden gebraucht um den hin zu schreiben. Danach bewegte sich NICHTS mehr. normal dreht sich der Strich ja dann " | / \ " und es erfolgen die verschiedenen Meldungen, die eben beim hochfahren erfolgen. Da hat sich aber eben nichts mehr gedreht, es gab keine Meldungen.

Zu den Problemen mit der Hardware .. nun, keine Frage! Das war wohl nix und der Umbau hat sicher zusätzlich Ärger gemacht. ich würde jetzt gerne wissen wie in deinen Augen so eine Kiste aussehen sollte. Dann mach ich das so und zwar mit ZWEI gleichen Kisten!

Ich habe nicht versucht eine 2.1.5 XML unter 2.2 einzulesen oder umgekehrt ... es ging nicht... und sollte gehen wenn die Hardware vernünftig ist... also Schwam drüber... wenn ich das jetzt richtig aufbaue sollte es in Zukunft gehen!

Transfernetze? Carb-Cluster? Da hab ich bisher nichts gehört davon...  CARB ist - so hab ich das jetzt verstanden - dafür geeignet zwei Router parallel zu betreiben und beim Ausfall einer Kiste nahtlos umzuschalten ... ja, das möchte ich! Den "Experten" frage ich aber lieber nicht mehr ... ich denke, wenn ich das jetzt selber lerne, ist das besser ;) Gibt es dazu eine Anleitung?

Zu deinem Hardware-Vorschlag ... gibt es solche Kisten fertig zu kaufen? oder gibt es Teilelisten für solche Kisten? Dann mach ich das. Auf basteln im negativen Sinne hab ich echt keine Lust mehr ... also wenn es da was vernünftiges gibt, für nicht zu dickes Geld, dann mach ich das gern!

Die SSD ist eine EVO 840 120GB ...

Das Ding muss einer Hand voll Leuten externen Zugriff über VPN bieten. Allerdings sind selten mehr als 2 oder drei User extern Aktiv. active-Sync/IMAP/FTP geht ohne VPN. In Zukunft sollen zwei externe einen eigenen Router bekommen (Netz zu Netz VPN) und darüber mit unserer Telefonanalge arbeiten können. Die hat eine VoIP-Karte drin und das hat früher mit zwei SonicWall auch schon mal funktioniert.

Wir haben folgende Leitungen:

• Kabel (150/10 feste IP)
• DSL (6/1 feste IP)
• UMTS (nur wenn wirklich alles tot sein sollte und dann auch nur eine eplus-SIM ... also normal ist das NICHT aktiv!)

Wenn das Kabel ausfällt soll er DSL benutzen, sonst soll DSL nicht genutzt werden... also wirklich nur als Notlösung. Kabel und DSL haben feste IPs.

Ja, "doc.pfsense.org" war das ...

Ich denke, am Ende muss ich im Notfall eh alles machen, also jetzt gehts ja wieder und dann brenne ich das eben noch in mein Hirn, was ich brauche. Hält jung, oder? ;)

gruß

PS: Anleitungen auf Englisch gehen natürlich auch... auch wenn ich es gerne Deutsch mag

bax2000

Hallo nochmal, Bitboy!

Oh wie ich Dich verstehen kann…...ich bin hier auch "Die Technik" und kenne all Deine Probleme.

Ein ernstgemeinter Tip von mir: Dokumentiere dir wirklich Alles! Und such dir unbedingt noch eine Person der Du zumindest grundlegende Dinge vermitteln kannst.

Du wirst sonst nie einen ruhigen Urlaub haben - glaub mir - ich weiß leider sehr genau wovon ich hier spreche ;)

bitboy0

Ich bin seit 17 Jahren hier und kenne das problem mit dem urlaub sehr gut  ::)

Ich habe vor zwei Jahren angefangen hier den Wildwuchs i nden griff zu bekommen und das ist anstrengend. Das führt aber eben auch zu neuen Problemen! Das unser Router jetzt ein sehr wichtiger Teil des Ganzen ist, und das er eben nicht schnell mal eben von irgendjemandem ersetzt werden kann ist mir wohl inzwischen aufgefallen. Aber da gibt es noch mehr so Sachen… also ich muss da dran bleiben.

JETZT erst mal den Router richtig machen... dann das nächste Thema!

Schon mal Danke auf jeden Fall für jeden konstruktiven und hilfreichen Ratschlag, der zu unserem Chaos hier passt! ;)

Auric

@bitboy0:

Zu deinem Hardware-Vorschlag … gibt es solche Kisten fertig zu kaufen? oder gibt es Teilelisten für solche Kisten? Dann mach ich das. Auf basteln im negativen Sinne hab ich echt keine Lust mehr ... also wenn es da was vernünftiges gibt, für nicht zu dickes Geld, dann mach ich das gern!

Ist nicht die Hardware die Jens beschrieben hat, ist IMHO eine ausreichen starke Hardware

http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-19-Komplettsystem-mit-2x-APU1D4-1GHZ-Dual-Core-4GB-R::3261.html

ich bin hier übrigens auch "die Technik" (oder besser "Arschfüralles") und laufe halt als einäugiger unter den Blinden hier herum.  ::)

Gruss Auric

bitboy0

Ja, allerdings brauche ich ja 4 Netwerkanschlüsse … 3 * WAN und einmal LAN ...

Aber ich schau mal selber noch was es da so gibt draußen, in der weiten Welt ;)

gruß

JeGr

@Auric: Ich hatte an eine APU gedacht, kommt aber nicht in Frage (m.M.n.), da wir hier von mind. 3 WAN Quellen ausgehen (Cable, DSL, LTE) und mind. einem LAN (wenn wir den SBS nicht noch in eine DMZ packen wollen). Somit gehen der APU schlicht die Ports aus.

@Bitboy:

Ich hatte eine ähnliche Diskussion schon mit Rudi bzgl. Einsatzes von Spezialisten und finde es schade, wenn sich Chefs heute tatsächlich noch die Meinung gönnen können, dass jemand, der neben anderen Arbeiten noch genug am Hals hat, dann auch noch Super-Admin, Super-Netzwerker und sonstwas sein soll. Das kann niemand leisten, der den Job nicht Vollzeit macht, sondern das nur "mit" betreuen muss. Und das sollte auch jedem Chef einleuchten. Dazu kommt, dass gerade Netzwerk und System Techniken so schnell kommen und gehen, dass man sich damit beschäftigen muss. Das kann man aber nur wenn man die Zeit hat. Das kannst du allein gar nicht leisten. Deshalb ist es auch schade, dass dann einfach erwartet wird, dass sich jemand durch so einen Dschungel einfach durchwurschtelt, anstatt man sich mit einem Systemhaus o.ä. unterhält und sich supporten lässt. Dann können die bspw. Hardware, Netzwerk, Software etc. aus einer Hand liefern und auch Support wenns brennt. Da das aber scheinbar nicht geht (SEUFZ) wird es auf deinem Rücken ausgetragen. Sehr sehr schade. Gerade in solchen Konstellationen kann IT oder Operations as a service durchaus Sinn machen.

Tja … also nach 10 Minuten hab ich das langweilig gefunden. F1 brachte nur, das der "|" sofort erschien... ohne F1 hat er ein paar Sekunden gebraucht um den hin zu schreiben.
Danach bewegte sich NICHTS mehr. normal dreht sich der Strich ja dann " | / \ " und es erfolgen die verschiedenen Meldungen, die eben beim hochfahren erfolgen.
Da hat sich aber eben nichts mehr gedreht, es gab keine Meldungen.

Autsch, spricht für Partitions/Bootmanager Versagen.

Ich habe nicht versucht eine 2.1.5 XML unter 2.2 einzulesen oder umgekehrt ... es ging nicht... und sollte gehen wenn die Hardware vernünftig ist... also Schwam drüber... wenn ich das jetzt richtig aufbaue sollte es in Zukunft gehen!

Das sollte es in der Tat, auch wenn es immer mal Probleme geben mag, mir ist ein Restore Fail bislang nur sehr selten begegnet.

Transfernetze? Carb-Cluster? Da hab ich bisher nichts gehört davon...  CARB ist - so hab ich das jetzt verstanden - dafür geeignet zwei Router parallel zu betreiben und beim Ausfall einer Kiste nahtlos umzuschalten
... ja, das möchte ich! Den "Experten" frage ich aber lieber nicht mehr ... ich denke, wenn ich das jetzt selber lerne, ist das besser ;) Gibt es dazu eine Anleitung?

CARP - Common Address Redundancy Protocol - nicht CARB ;) Low Carb musst du bei deinen neuen Kisten nicht fahren - die dürfen schon Bumms haben :)

Zu deinem Hardware-Vorschlag ... gibt es solche Kisten fertig zu kaufen? oder gibt es Teilelisten für solche Kisten?
Dann mach ich das. Auf basteln im negativen Sinne hab ich echt keine Lust mehr ... also wenn es da was vernünftiges gibt, für nicht zu dickes Geld, dann mach ich das gern!

Ja gibt es, allerdings ohne Speichermedium. Sprich SSD o.ä. muss man noch obendrauf packen. APUs wären eine Idee gewesen, aber das würde - wegen der Anzahl an Schnittstellen (3) - ausarten, da man dann davor noch nen VLAN fähigen Switch klemmen müsste um mit einem Interface statt dreien klar zu kommen.
Die Rangeley Atom Kisten dürften für dich mehr als genug Power haben und kommen mit 4 oder 6 NICs. Allerdings sind die dann auch etwas teurer. Da liegt einer auch schonmal so bei ~400-450 Euro. Dafür aber ne Kiste ähnlich wie ein Switch, kein Hardware geamsel oder bewegliche Teile etc. Also ein Router / eine Firewall, wie man sie quasi auch von anderen "Größen" erwartet. Kein umgebauter/selbstgebauter PC.

Die SSD ist eine EVO 840 120GB ...

Hmpf. Solide Desktop SSD, aber sofern du keine Zusatzpakete à la Squid, Snort, etc. einsetzt, überdimensioniert.

Das Ding muss einer Hand voll Leuten externen Zugriff über VPN bieten. Allerdings sind selten mehr als 2 oder drei User extern Aktiv. active-Sync/IMAP/FTP geht ohne VPN.

Dafür ist alles von der APU aufwärts genug, was Power angeht.

In Zukunft sollen zwei externe einen eigenen Router bekommen (Netz zu Netz VPN) und darüber mit unserer Telefonanlage arbeiten können. Die hat eine VoIP-Karte drin und das hat früher mit zwei SonicWall auch schon mal funktioniert.

also jeder von den Nasen bekommt nen Router und ihr baut nen Tunnel auf (LAN2LAN Kopplung). Geht via OpenVPN oder IPSEC. Kein größeres Problem.

Wir haben folgende Leitungen:

• Kabel (150/10 feste IP)
• DSL (6/1 feste IP)
• UMTS (nur wenn wirklich alles tot sein sollte und dann auch nur eine eplus-SIM ... also normal ist das NICHT aktiv!)
  Wenn das Kabel ausfällt soll er DSL benutzen, sonst soll DSL nicht genutzt werden... also wirklich nur als Notlösung. Kabel und DSL haben feste IPs.

Bis auf UMTS recht einfach zu konfigurieren, UMTS wäre aber machbar.

Ich denke, am Ende muss ich im Notfall eh alles machen, also jetzt gehts ja wieder und dann brenne ich das eben noch in mein Hirn, was ich brauche. Hält jung, oder? ;)

Jein, es geht weniger ums Einbrennen, sondern um das komplette Setup: Also Infrastruktur analysieren, evaluieren und dann einen ordentlichen Plan machen mit

• wie baue ich die Infrastruktur (Netzplan, IP Netze, Masken, Kommunikationsbeziehungen)
• was brauche ich an Geräten (Firewalls, Switche vllt noch.,)
• wie sind die Voraussetzungen und wie kann ich das implementieren
• etc etc.

DAS ist der Job, den normalerweise jemand macht, der sich mit sowas auskennt. Sich das anschauen, planen, beschreiben, durchtesten und dann zusammen mit dir implementieren und ausführen. Dass du es später betreuen musst und das dann auch wissen musst (Stichwort Doku) ist ja klar. Aber du kannst dir schlecht jetzt mal eben ein paar Jahre Netzwerk Layout, Technik, Routing etc. ins Hirn brennen damit du das alles ordentlich aufsetzen kannst :) Das war auch der Punkt den ich mit Spezialist/Externem etc. meinte. Wenn schon keine Betreuung durch Hilfe von außen, dann wenigstens die Planung etc. richtig machen lassen. Und sowas erkennt man meist daran, dass jemand erstmal detailliert wissen will, was im LAN so los ist, was es an WANs gibt, wie die Verkabelung aussieht, wie die Verkehrswege aussehen etc. etc. und nicht ne Blackbox hinflanscht ;) Und macht ers richtig gut, gibts nen NetzPlan o.ä. dazu (zumindest den Teil den er umsetzt).

Gruß
Jens

GruensFroeschli

Wir haben folgende Leitungen:

• Kabel (150/10 feste IP)
• DSL (6/1 feste IP)
• UMTS (nur wenn wirklich alles tot sein sollte und dann auch nur eine eplus-SIM … also normal ist das NICHT aktiv!)

@bitboy0:

Ja, allerdings brauche ich ja 4 Netwerkanschlüsse … 3 * WAN und einmal LAN ...

Aber ich schau mal selber noch was es da so gibt draußen, in der weiten Welt ;)

gruß

Zwei kleine VLAN fähige Switches sollten da Abhilfe verschaffen können.
Wir setzen bei uns relativ viele von denen ein: http://support.netgear.com/product/GS108Ev3

JeGr

@Gruens
Ja, VLANs wären ein Weg, allerdings ist das auch wieder Komplexität und für jemand, der damit noch nie gearbeitet hat nochmal eine Schicht mehr, mit der man im Fehlerfall klar kommen muss :)

Just saying ;)

Auric

@JeGr:

@Auric: Ich hatte an eine APU gedacht, kommt aber nicht in Frage (m.M.n.), da wir hier von mind. 3 WAN Quellen ausgehen (Cable, DSL, LTE) und mind. einem LAN (wenn wir den SBS nicht noch in eine DMZ packen wollen). Somit gehen der APU schlicht die Ports aus.

Grundsätzlich stimmt das natürlich, ich könnte mir aber vorstellen das man gerade diese "langsamen" Datenkanäle problemlos über drei VLANs "getrunked" an einen Port der APU hängen könnte. (nur so eine Idee)  ???

uups da hab ich wohl zu spät..

Auric

zu doof für die forensoftware.. sorry

bitboy0

Ja, also VLAN hört sich natürlich schon gut an … aber wie schon angemerkt wurde: Es wird dadurch noch komplexer und wenn ich mal im Urlaub bin kommt der einzige Kolle, der auch noch etwas Technik kann , damit dann spätestens nicht mehr klar... auch für mich würde es das nicht extrem einfach machen.

Also ich tendiere zu zwei "normalen" PC's:

• micro-ATX-Boards mit onboard VGA (MSI A78M-E35)
• AMD-CPU FM2+ A4-4000
• RAM 4GB (reicht das?)
• INTEL NIC (4fach)  EXPI9404PTLBLK PRO1000PT
• SAMSUNG EVO SSD (840/850) mit 120GB

Einen davon habe ich ja hier schon. Der läuft nach dem Theater jetzt ohne Mucken und dann spare ich mir lieber das mit den VLAN.

Wenn ich zwei davon habe brauche ich ja aber noch irgendwie etwas Zubehör, oder?

• Wie verteile ich einen WAN auf Zwei Router?
• Wie richte verbinde ich das LAN ein, damit der Ausgang beider Router da wieder zusammengeführt wird?
• Wie verbinde ich die Router, damit es einen CARB-Cluster gibt.

Also unser aktuelles Netz:

• Es gibt einen Root-Server bei einem Hoster. Dort liegt das WWW und die email-Postfächer.
• Lokal haben wir drei WAN-Möglichkeiten, wobei nur das KABEL wirklich ausreichend schnell ist. DSL kommt hier nur maximal mit 6000/500 an und reicht dann nur knapp. UMTS ist schneller als DSL, aber der Traffic ist zu hoch um damit länger als ein paar Tage zu überbrücken.
• Es gibt einen Windows-Server und eine Telefonanlage mit VoIP-Karte
• Zur Zeit sind lokal hier 8 PC's am Netz
• Es gibt 10 Smartphones, die über Active-Sync ihre Daten bekommen
• 4 Mitarbeiter sind endweder hier im Büro, ODER zuhause per VPN am arbeiten
• einige externe rufen unregelmäßig Mails über IMAP ab

Zur Zeit ist email einrichten umständlich:

• email beim Hoster einrichten
• Postfach/User im Windows Server einrichten
• Pop3-Connector für den Abruf der Mails über POP einrichten (MapiLab)
  Die User rufen dann die Mails bei uns hier ab.

Das machen wir, damit alle mails über den Virenscanner gehen und die Mails auch in der Datensicherung landen.

Ziel wäre es die Mails nur noch direkt über den Windows-Server einzurichten und den MX direkt hier her zu leiten. Dann ist nur noch das Postfach/user hier anzulegen und der Rest erledigt sich.
Aber dann wird es natürlich noch wichtige eine zuverlässige Lösung zu haben.

gruß

Auric

ich hatte auch Respekt von der VLAN Geschichte bis ich es dann tatsächlich mal gemacht hab. Bei dem Cisco war es nicht supereasy aber machbar, mit dem Billigswitch wie einem TP-Link T-SG105E war das wirklich supereinfach, grob umrissen

Der Port an dem du die pfSense Box hängst ist der Trunk Port, also da laufen alle VLANs drüber und die Daten behalten die Tags und die anderen Ports kannst du anhängen was du willst an Internetquellen du musst nur jedem Port über die PVID Funktion im Switch eine eigene VLAN Nummer verpassen, und dafür sorgen das die Daten die den Port verlassen die Tags wieder vom Switch entfernt bekommen.

Und mit den VLAN Nummern kannst du an der pfSense Box supereinfach in Interfaces: Vlan an das reelle Interface (Port) der pfSense Box all die VLANs einrichten die du benötigst.

Wenn du jetzt Schiss hast dass die Urlaubsvertretung in dem Fall das der Switch verreckt (nicht seeeehr wahrscheinlich) aufgeschmissen ist…

dann hol einfach für 23€ den Switch noch einmal, richte ihn identisch ein (10 Sekunden weil du ein Backup der Settings einspielen kannst)  und beschrifte die 4 LAN kabel und die beiden Switche gleich. Wenn jetzt der Switch verreckt muss der Hausmeister nur den neuen an den Strom anhängen und die 4 LAN Kabel an den gleichen Port wie beim defekten Switch am neuen Switch einstecken (farblich gestaltet schafft das ein Analphabet)

Gruss Auric

bitboy0

Ok …

Also das kann man ja überlegen ... siehe unten...

erst mal muss aber jetzt neue Hardware her, 2 identische Geräte und die sollen später redundant arbeiten.
Es wäre toll wenn wir erst mal diesen Punkt angehen und ich dann bestellen kann.

Diese Intel-NICs sind nicht billig, aber sind wohl für den Zweck gut und zuverlässig.
Ich hab mir das jetzt noch mal angeschaut und tendiere zu mini-itx mit Intel Core3

Das wäre klein, flexibel und preislich für den Chef ok. Dazu brauche ich dann noch switche?
ich hab drei WAN und ein LAN und eigentlich brauche ich dann noch einen dedizierten Port für CARB, oder?

Also wenn ich die drei WAN über VLAN auf einen Port zusammenfasse brauche ich erst mal einen switch der VLAN kann.
Da schließe ich dann die drei WAN an, konfiguriere die Ports jeweils in ein eigenes VLAN und dann hab ich EIN Kabel von dem Switch zum pfsense...

aber wie bekommt der zweite pfsense dieses Signal? Auch von dem switch?
Und wie fasse ich das LAN (also das interne Netz) der beiden Router zusammen, so das es dann an unseren normalen Switch gehen kann?

Das CARB-zeug braucht einen eigenen Port und einen eigenen kleinen Switch, oder? Da verteile ich von Hand ein paar Adressen aus einem privaten Netwerk und die beiden Kisten schicken sich dann über den Weg Daten zu und handeln aus wer das Sagen hat, oder?

gruß