PfSense freeze auf AlixBoard 2D13 in ungleichmäßigen Abständen
-
Guten Morgen,
ich habe mir vor rund zwei Wochen im komplett Set das AlixBoard 2D13 gekauft. Pfsense war auf einer 2GB vorinstalliert.
Auf NIC 0 ist mein LAN und auf NIC 2 das WAN. Auf dem WAN hängt ein Kabeldeutschlandmodem das im Bridgemodus arbeitet und jeweis nur eine IP per DHCP verteilt.Auf dem System an sich ist wirklich auch nichts los. Es läuft permanent eine OpenVPN Clientsitzung in ein anderes Netz und 2 OpenVPN Server laufen auf bereitschaft (1192 UDP und 443 TCP). Per SSH betrachtet sind die Lastwerte auch immer sehr niedrig. AVR immer um die 1,x und der RAM, dadurch das das Board ja leider so wenig hat, immer bei 80% Auslastung. Dies ist ja allerdings auch nicht weiter schlimm da sich der Kernel ja eh immer ein wenig mehr nimmt als er braucht.
Die installierten Plugins halten sich auch arg im Grenzen. Als einziges Plugin ist der Clientexport von VPN aktiv.
Nun passiert es in unvorhersehbaren Abständen, dass PFsense enfach freezed. Keine NIC ist dann mehr per Ping zu erreichen und es hilft nur stromlos machen.
Nach dem reboot sind dann auch alle Logs und Graphen weg.Kann mir da eventuell jemand ein paar Tips geben?
Bin mit PFsense auch noch nicht 100% vertraut. -
Hi,
unter System: Advanced: Miscellaneous sollten ganz unten die Einstellungen zur RAM Disk aktiv sein, korrekt? Welche Einstellungen sind hier angegeben?
Hintergrund ist, dass man hier periodische RRD Backups machen kann, damit die beim nächsten Boot zur Verfügung stehen. Wenn das Phänomen wieder auftritt hat man dann ggf. wenigstens von -5 oder -15min vorher noch die Rahmendaten um zu sehen, ob das System da vielleicht CPU oder RAM mäßig in Überlast geht.Andere Alternative wäre sich einen Rechner herauszudeuten und diese ständig anzulassen und mit einem SYSLog Service zu bedienen. Dann die pfSense Logs an diesen Rechner schicken lassen, somit sind dann auch die Logs direkt vor dem Crash noch lesbar.
Grüße
-
unter System: Advanced: Miscellaneous sollten ganz unten die Einstellungen zur RAM Disk aktiv sein, korrekt? Welche Einstellungen sind hier angegeben?
Die Einstellungen sind noch auf Standart also bei Ramdisk /tmp 40mb und bei /var 60mb.
Bei Periodic RRD Backup habe ich jetzt mal 1h gewählt.
Das das AlixBoard unterdimensioniert ist sollte ja eigentlich nicht der Fall sein oder?
-
Hi,
Das das AlixBoard unterdimensioniert ist sollte ja eigentlich nicht der Fall sein oder?
Wenn Du das Alix nicht noch mit Squid, Squidguard und anderen netten Futures an die Grenze des machbaren bringst, normalerweise nicht.
Bei mir läuft das mit 3 OpenVPN-Servern seit Monaten absolut problemlos.
Gruß orcape -
Pfsense war auf einer 2GB vorinstalliert.
Welche Version denn?
Eigentlich sollten alle laufen, aber die Info kann nicht schaden.Wenn Du noch einen Rechner in der Nähe hast, dann könntest Du auf dem ein Terminalprogramm zum seriellen Port der Alix laufen lassen und hoffen, dass noch irgend eine Meldung darauf sichtbar ist, nachdem sich Dein Router verabschiedet hat.
-
Vielen Dank für die Tipps, habe da nun auch mal ein wenig rumgespielt. An sich läüft auch alles stabil auf der version 2.2, nur bekomme ich ab und an immer folgende Notis:
There were error(s) loading the rules: /tmp/rules.debug:21: cannot define table bogonsv6: Cannot allocate memory - The line in question reads [21]: table <bogonsv6>persist file "/etc/bogonsv6"</bogonsv6>
Danach kommt dann auch mal wieder ein freeze..also scheint es ja im Zusammenhang zu stehen.
Beim googlen hiernach wird man allerdings nicht wirklich schlau. -
Hallo ich hatte das gleiche problem als mein pfsense neu aufgesetzt habe weil meine Mbuf usage auf max war nachdem ich ihn in der /boot/loader.conf.local erhöht hatte war das problem weg, du kannst ja mal auf dein dashboard schauen wie hoch die auslastung ist.
um die maximale zuordung zu erhöhen must du in die /boot/loader.conf.local und in der Zeile kern.ipc.nmbclusters="" die zahl in den anführungszeichen erhöhen kannst ja mal auf 50000 stellen und danach rebooten sei aber gewarnt das erhöht deine Speicherauslastung.
kleiner tipp einfach ändern kannst du das unter https://deinepfsenseip/edit.php und da die /boot/loader.conf.local auswählen.
-
Danke für den Tipp, bei mir gibt es aber lediglich die loader.conf aber das wird ja dann sicher die selbe sein.
der Inhalt sieht so aus :
loader_color="NO"
autoboot_delay="5"
beastie_disable="YES"
vm.kmem_size="435544320"
vm.kmem_size_max="535544320"
comconsole_speed="9600"
hw.usb.no_pf="1"Einfach mal den Wert mit hinzufügen oder vm.kmem_size_max anpassen?
-
Den wert bitte nicht anfassen du kannst den eintrag kern.ipc.nmbclusters="100000" falls er nicht vorhanden sein sollte einfach hinzufügen und dann rebooten den wert 100000 habe ich nur zu anschaungszweigen eingefügt den kannst du selber bestimmen. Die Standardmäsig eingestelleten 25600 sind aber sehr eng kalkuliert ^^
zum vergleich bei mir sieht die datei so aus:
autoboot_delay="3"
vm.kmem_size="435544320"
vm.kmem_size_max="535544320"
kern.ipc.nmbclusters="1000000"
comconsole_speed="115200"
hw.usb.no_pf="1" -
There were error(s) loading the rules: /tmp/rules.debug:21: cannot define table bogonsv6: Cannot allocate memory - The line in question reads [21]: table <bogonsv6>persist file "/etc/bogonsv6"
Diese Zeile hat aber 0,0 gar nichts mit irgendwelchen Hardware NIC Ethernet MBUFs zu tun Kinder. Da steht doch ganz klar was Phase ist: Es gibt Probleme die Bogons Tabelle zu aktualisieren, da der Speicher (RAM) dafür nicht ausreicht. Anscheinend versucht die Sense bei dir eben zum eingestellten Intervall die Bogons neu herunterzuladen, schreibt das File nach /etc/bogonsv6 und will das dann dynamisch in den Filter nachladen. Das klappt aber nicht (siehe erster Teil des Fehler), da eben der notwendige Speicher dafür nicht alloziiert werden kann. Entweder also mal komplett neu starten (evtl. hat da was den Speicher blockiert) oder dann mal auf der Console oder via Diganostics/Command:
wc -l /etc/bogonsv6
aufrufen und prüfen, wie groß die Datei ist. Evtl. ist auf der ALIX noch ein zu geringer Wert wegen dem wenigen RAM für die Maximale Firewall-Regel-Tabellengröße hinterlegt.
Dann muss ggf. der Eintrag unter Advanced, Firewall/NAT (max tables) erhöht werden.Grüße</bogonsv6>
-
Vielen Dank für deine hilfreiche Antwort :P
In entwa ableiten konnte ich aus der Meldung auch schon, aber die Schlussfolgerung auf den Wert…naja ::)Ich habe es jetzt seit einer Woche laufen mit verdoppeltem Wert und nun läuft es erstmal. Ich werde das einfach mal per Icinga ne weile Monitoren und dann sehe ich ja was da so über die Zeit pasiert :P
-
…zu früh gefreut. Mit dem Ändern des Wertes hat sich das Problem leider nur hinausgeschoben.
Was mir ebenfalls aufgefallen ist, dass wenn ich pfsens reboote, sind erstellte Verzeichnisse weg.
Erläuterung: Ich habe vnstat installiert und um es nutzen zu können verlagt das Package ein verzeichnis unter /var/lib/vnstat.
Nach dem reboot ist dieses dann auch weg. Eine readonly partition kann es ja eigentlich nicht sein, da ja dann gar kein schreiben möglich wäre. -
Die Scripte /etc/rc.conf_mount_rw und /etc/rc.conf_mount_ro sind da deine Freunde
-
Danke für den Tipp,
ich habe jetzt mal im Webinterface unter "Diagnostics" / NanoBSD - Permanent Read/Write aktiviert aber leider sind nach dem reboot wieder alle Dirs weg. Ich habe ebenfalls mal per ssh per mount -p geguckt wie die Berechtigungen aussehen aber da steh ebenfalls rw…
-
Hallo!
Benötigst du unbedingt IPv6? Wenn nicht, deaktiviere es in Advanced > Network und das Problem wird gelöst sein.
Wenn doch, kannst du versuchen den Wert "Firewall Maximum Table Entries" in Advanced > Firewall / NAT zu erhöhen. Wenn du keine speicherhungrigen Packeges laufen hast, solltest du genug RAM zur Verfügung haben, um den Wert auch deutlich zu erhöhen.Grüße
-
@virago:
Benötigst du unbedingt IPv6? Wenn nicht, deaktiviere es in Advanced > Network und das Problem wird gelöst sein.
Das wäre m.M.n. zur Diagnose OK, aber 2015 IPv6 abzuschalten anstatt IPv4 endlich zu kippen ist glaube ich wohl eher der falsche Ansatz ;) Ja, da kommt dann immer als Gegenargument dass es doch noch gar nicht so viele Systeme mit v6 gibt etc. etc. aber solange der Druck nicht vom Endkunden kommt, drehen die Firmen ewig Däumchen.
-
@virago:
Benötigst du unbedingt IPv6? Wenn nicht, deaktiviere es in Advanced > Network und das Problem wird gelöst sein.
Das wäre m.M.n. zur Diagnose OK, aber 2015 IPv6 abzuschalten anstatt IPv4 endlich zu kippen ist glaube ich wohl eher der falsche Ansatz ;)
Ich habe aktuell kein Verlangen danach und habe es auf meinen Systemen nicht aktiv.
Und so sollte das auch jeder andere für sich beantworten dürfen. ;) -
Ich habe aktuell kein Verlangen danach und habe es auf meinen Systemen nicht aktiv.
Das mag ja auf dich zutreffen, die Realität ist allerdings eine andere, dass an v6 eben nichts mehr vorbei geht. Man kann sich das einreden etc. aber das ändert leider nichts dran. Schon jetzt mit dem massiven Aufgebot durch Kabelbetreiber etc. haben wir viel zu viel dumme Strukturen wie CGNs und IPFTs die zusammen mit den Light-Anschlüssen den Kunden die "heile v4 Welt"(TM) vorgaukeln, indem mit v6 Anschlüssen dann böse Hacks und teure Hardware verwendet werden um auf biegen und brechen irgendwie v4 zum Kunden zu bekommen. Und das muss wech. Alles. Bald! :)Kein Evangelium oder so, aber ich war jetzt bereits in zwei IPv6 Schulungen und spüre das in der Arbeit als ISP an allen Ecken und Enden. Die letzten Jahre konnte man es immer weiter rauszögern und noch weiter ziehen, aber jetzt ist langsam Ende im Gelände. Und das muss sowohl oben wie unten (Kunden) ankommen. ;)
Aber das nur mein verstaubter Blickwinkel ;)
-
@JeGer
Dass dieses Thema im Umgang deiner Ausschweifung in einen anderen Thread gehört, an welchem ich mich wohl nicht beteiligen würde, sollte hier niemand besser wissen als du als Moderator.
Hier ist dieses nicht Thema und interessiert wohl dem hilfesuchenden TO ebenso wenig wie die meisten anderen.Grüße
-
Richtig. Ist OT, aber insofern relevant, als dass ich es aus meiner Sicht heute nicht mehr empfehlen kann, dass die Problem"lösung" sein soll, die aktuelle/neue Technik abzuschalten. Deshalb habe ich das angebracht. Dass Diskussionen für oder wider woanders hingehören, da gebe ich dir recht :) ich habe damit aber auch nicht dich persönlich angreifen wollen, sondern das nur generell einbringen wollen. Denn auch wenn es bei anderen im Privatbereich jetzt nicht so präsent ist, wird wohl dieses Jahr mit eines derer sein, bei denen IPv6 eine Rolle spielen wird.
Aber zurück zum Thema und genug der Ausschweifung. Danke dir trotzdem!