PfSense freeze auf AlixBoard 2D13 in ungleichmäßigen Abständen
-
Vielen Dank für die Tipps, habe da nun auch mal ein wenig rumgespielt. An sich läüft auch alles stabil auf der version 2.2, nur bekomme ich ab und an immer folgende Notis:
There were error(s) loading the rules: /tmp/rules.debug:21: cannot define table bogonsv6: Cannot allocate memory - The line in question reads [21]: table <bogonsv6>persist file "/etc/bogonsv6"</bogonsv6>
Danach kommt dann auch mal wieder ein freeze..also scheint es ja im Zusammenhang zu stehen.
Beim googlen hiernach wird man allerdings nicht wirklich schlau. -
Hallo ich hatte das gleiche problem als mein pfsense neu aufgesetzt habe weil meine Mbuf usage auf max war nachdem ich ihn in der /boot/loader.conf.local erhöht hatte war das problem weg, du kannst ja mal auf dein dashboard schauen wie hoch die auslastung ist.
um die maximale zuordung zu erhöhen must du in die /boot/loader.conf.local und in der Zeile kern.ipc.nmbclusters="" die zahl in den anführungszeichen erhöhen kannst ja mal auf 50000 stellen und danach rebooten sei aber gewarnt das erhöht deine Speicherauslastung.
kleiner tipp einfach ändern kannst du das unter https://deinepfsenseip/edit.php und da die /boot/loader.conf.local auswählen.
-
Danke für den Tipp, bei mir gibt es aber lediglich die loader.conf aber das wird ja dann sicher die selbe sein.
der Inhalt sieht so aus :
loader_color="NO"
autoboot_delay="5"
beastie_disable="YES"
vm.kmem_size="435544320"
vm.kmem_size_max="535544320"
comconsole_speed="9600"
hw.usb.no_pf="1"Einfach mal den Wert mit hinzufügen oder vm.kmem_size_max anpassen?
-
Den wert bitte nicht anfassen du kannst den eintrag kern.ipc.nmbclusters="100000" falls er nicht vorhanden sein sollte einfach hinzufügen und dann rebooten den wert 100000 habe ich nur zu anschaungszweigen eingefügt den kannst du selber bestimmen. Die Standardmäsig eingestelleten 25600 sind aber sehr eng kalkuliert ^^
zum vergleich bei mir sieht die datei so aus:
autoboot_delay="3"
vm.kmem_size="435544320"
vm.kmem_size_max="535544320"
kern.ipc.nmbclusters="1000000"
comconsole_speed="115200"
hw.usb.no_pf="1" -
There were error(s) loading the rules: /tmp/rules.debug:21: cannot define table bogonsv6: Cannot allocate memory - The line in question reads [21]: table <bogonsv6>persist file "/etc/bogonsv6"
Diese Zeile hat aber 0,0 gar nichts mit irgendwelchen Hardware NIC Ethernet MBUFs zu tun Kinder. Da steht doch ganz klar was Phase ist: Es gibt Probleme die Bogons Tabelle zu aktualisieren, da der Speicher (RAM) dafür nicht ausreicht. Anscheinend versucht die Sense bei dir eben zum eingestellten Intervall die Bogons neu herunterzuladen, schreibt das File nach /etc/bogonsv6 und will das dann dynamisch in den Filter nachladen. Das klappt aber nicht (siehe erster Teil des Fehler), da eben der notwendige Speicher dafür nicht alloziiert werden kann. Entweder also mal komplett neu starten (evtl. hat da was den Speicher blockiert) oder dann mal auf der Console oder via Diganostics/Command:
wc -l /etc/bogonsv6
aufrufen und prüfen, wie groß die Datei ist. Evtl. ist auf der ALIX noch ein zu geringer Wert wegen dem wenigen RAM für die Maximale Firewall-Regel-Tabellengröße hinterlegt.
Dann muss ggf. der Eintrag unter Advanced, Firewall/NAT (max tables) erhöht werden.Grüße</bogonsv6>
-
Vielen Dank für deine hilfreiche Antwort :P
In entwa ableiten konnte ich aus der Meldung auch schon, aber die Schlussfolgerung auf den Wert…naja ::)Ich habe es jetzt seit einer Woche laufen mit verdoppeltem Wert und nun läuft es erstmal. Ich werde das einfach mal per Icinga ne weile Monitoren und dann sehe ich ja was da so über die Zeit pasiert :P
-
…zu früh gefreut. Mit dem Ändern des Wertes hat sich das Problem leider nur hinausgeschoben.
Was mir ebenfalls aufgefallen ist, dass wenn ich pfsens reboote, sind erstellte Verzeichnisse weg.
Erläuterung: Ich habe vnstat installiert und um es nutzen zu können verlagt das Package ein verzeichnis unter /var/lib/vnstat.
Nach dem reboot ist dieses dann auch weg. Eine readonly partition kann es ja eigentlich nicht sein, da ja dann gar kein schreiben möglich wäre. -
Die Scripte /etc/rc.conf_mount_rw und /etc/rc.conf_mount_ro sind da deine Freunde
-
Danke für den Tipp,
ich habe jetzt mal im Webinterface unter "Diagnostics" / NanoBSD - Permanent Read/Write aktiviert aber leider sind nach dem reboot wieder alle Dirs weg. Ich habe ebenfalls mal per ssh per mount -p geguckt wie die Berechtigungen aussehen aber da steh ebenfalls rw…
-
Hallo!
Benötigst du unbedingt IPv6? Wenn nicht, deaktiviere es in Advanced > Network und das Problem wird gelöst sein.
Wenn doch, kannst du versuchen den Wert "Firewall Maximum Table Entries" in Advanced > Firewall / NAT zu erhöhen. Wenn du keine speicherhungrigen Packeges laufen hast, solltest du genug RAM zur Verfügung haben, um den Wert auch deutlich zu erhöhen.Grüße
-
@virago:
Benötigst du unbedingt IPv6? Wenn nicht, deaktiviere es in Advanced > Network und das Problem wird gelöst sein.
Das wäre m.M.n. zur Diagnose OK, aber 2015 IPv6 abzuschalten anstatt IPv4 endlich zu kippen ist glaube ich wohl eher der falsche Ansatz ;) Ja, da kommt dann immer als Gegenargument dass es doch noch gar nicht so viele Systeme mit v6 gibt etc. etc. aber solange der Druck nicht vom Endkunden kommt, drehen die Firmen ewig Däumchen.
-
@virago:
Benötigst du unbedingt IPv6? Wenn nicht, deaktiviere es in Advanced > Network und das Problem wird gelöst sein.
Das wäre m.M.n. zur Diagnose OK, aber 2015 IPv6 abzuschalten anstatt IPv4 endlich zu kippen ist glaube ich wohl eher der falsche Ansatz ;)
Ich habe aktuell kein Verlangen danach und habe es auf meinen Systemen nicht aktiv.
Und so sollte das auch jeder andere für sich beantworten dürfen. ;) -
Ich habe aktuell kein Verlangen danach und habe es auf meinen Systemen nicht aktiv.
Das mag ja auf dich zutreffen, die Realität ist allerdings eine andere, dass an v6 eben nichts mehr vorbei geht. Man kann sich das einreden etc. aber das ändert leider nichts dran. Schon jetzt mit dem massiven Aufgebot durch Kabelbetreiber etc. haben wir viel zu viel dumme Strukturen wie CGNs und IPFTs die zusammen mit den Light-Anschlüssen den Kunden die "heile v4 Welt"(TM) vorgaukeln, indem mit v6 Anschlüssen dann böse Hacks und teure Hardware verwendet werden um auf biegen und brechen irgendwie v4 zum Kunden zu bekommen. Und das muss wech. Alles. Bald! :)Kein Evangelium oder so, aber ich war jetzt bereits in zwei IPv6 Schulungen und spüre das in der Arbeit als ISP an allen Ecken und Enden. Die letzten Jahre konnte man es immer weiter rauszögern und noch weiter ziehen, aber jetzt ist langsam Ende im Gelände. Und das muss sowohl oben wie unten (Kunden) ankommen. ;)
Aber das nur mein verstaubter Blickwinkel ;)
-
@JeGer
Dass dieses Thema im Umgang deiner Ausschweifung in einen anderen Thread gehört, an welchem ich mich wohl nicht beteiligen würde, sollte hier niemand besser wissen als du als Moderator.
Hier ist dieses nicht Thema und interessiert wohl dem hilfesuchenden TO ebenso wenig wie die meisten anderen.Grüße
-
Richtig. Ist OT, aber insofern relevant, als dass ich es aus meiner Sicht heute nicht mehr empfehlen kann, dass die Problem"lösung" sein soll, die aktuelle/neue Technik abzuschalten. Deshalb habe ich das angebracht. Dass Diskussionen für oder wider woanders hingehören, da gebe ich dir recht :) ich habe damit aber auch nicht dich persönlich angreifen wollen, sondern das nur generell einbringen wollen. Denn auch wenn es bei anderen im Privatbereich jetzt nicht so präsent ist, wird wohl dieses Jahr mit eines derer sein, bei denen IPv6 eine Rolle spielen wird.
Aber zurück zum Thema und genug der Ausschweifung. Danke dir trotzdem!
-
IPv6 zu deaktivieren kommt bei mir nicht in Frage, da ich hinter einem Kabeldeutschland Anschluss sitze, welcher eine IPv6 Adresse zugeteilt bekommt ;)
Ich denke das ich die Lösung des Problems auch langsam lokalisiert habe. PFsense ist im Grunde nämlich nicht schuld. Ich habe eine 100Mbit Leitung und das AlixBoard geht bei viel Last dann einfach in die Knie. Ein Blick in die Hardwareempfehlungen zeigt ja auch deutlich auf, dass mein Board für die Leitung viel zu leistungsarm ist.
Sofern bleibt mir langfristig nichts Weiteres übrig, als in neue Hardware zu investieren.Trotzdem vielen Dank für Eure Tipps ! ;)
