"Mark gateway down" unerwartetes Verhalten

fireodo

@nobanzai said in "Mark gateway down" unerwartetes Verhalten:

@fireodo: Danke für die Anwort, aber warum scheint dir das sinvoller zu sein?
Wenn ich die von dir genannten Haken setze, erkennt er doch überhaupt nicht mehr, dass das Gateway weg ist und versucht weiter, darüber Daten zu schicken - oder verstehe ich die beiden Optionen auch falsch?

Im Grunde genommen geht es doch darum einen falschen Alarm zu verhindern. Diese Optionen sind dafür da um das Gateway zu überwachen und im Falle des "down" auf den anderen vorhandenen Internetzugang zu schalten. So verstehe ich diese Einstellungen.
Hier kann man es nachlesen: https://docs.netgate.com/pfsense/en/latest/routing/gateway-settings.html

nobanzai

@fireodo: Hm.
"Useful for local gateways or WANs that do not need to be monitored."
Aber das muss ja gemonitored werden - sonst merkt er garnixht, dass es weg ist und nutzt es weiter 8-< Ich steht verständnismäßig grad echt am Schlauch.

nobanzai

Disable Gateway Monitoring:
This will consider this gateway as always being up.

Gateway Action:
Disable Gateway Monitoring Action No action will be taken on gateway events. The gateway is always considered up.

Mark Gateway as Down This will force this gateway to be considered down.

Und ich will ja, dass es als "down" angesehen wird, nicht dass es "always up" ist.

fireodo

@nobanzai said in "Mark gateway down" unerwartetes Verhalten:

Mark Gateway as Down This will force this gateway to be considered down.

Und ich will ja, dass es als "down" angesehen wird, nicht dass es "always up" ist.

Dann ist das die für Dich richtige Einstellung!

Schönen Sonntach,
fireodo

nobanzai

@fireodo said in "Mark gateway down" unerwartetes Verhalten:

@nobanzai said in "Mark gateway down" unerwartetes Verhalten:

Mark Gateway as Down This will force this gateway to be considered down.

Und ich will ja, dass es als "down" angesehen wird, nicht dass es "always up" ist.

Dann ist das die für Dich richtige Einstellung!

Ja, dummerweise funtkioniert es halt nicht 8-<

Schönen Sonntach,
fireodo

Danke für deine Geduld trotzdem!

Ciao.
Michael.

fireodo

@nobanzai said in "Mark gateway down" unerwartetes Verhalten:

@fireodo said in "Mark gateway down" unerwartetes Verhalten:

@nobanzai said in "Mark gateway down" unerwartetes Verhalten:

Danke für deine Geduld trotzdem!

Keine Ursache - schade daß es zu keiner Lösung geführt hat!

mrsunfire

Der Anschluss scheint gestört, also entstören lassen. Ansonsten gibts noch in den Advanced Options die Möglichkeit einen Delay einzubauen. Bringt Dir bei Ingress aber auch nicht viel.

nobanzai

@mrsunfire
Ich weiß, dass der Anschluss gestört ist, deswegen will ich ja das Gateway als down markieren. Auch die Delays bringen da eher wenig, weil packet loss bis 100% für mehrere Minuten auftritt. So eine Leitung will ich ja eben gerade nicht nutzen.
Dummerweise funktioniert "Mark Gateway as down" nicht und mir fällt keine andere Maßnahme ein, als die LAN-Kabel zum Router an dieser Leitung zu ziehen. Leider kann ich dann auch nicht mehr auf den Router schauen, um dessen Monitor oder Log zu sehen.
Ich könnte schwören, dass in der Vorversion des pfSense-Systems "Mark Gateway as down" noch geklappt hat.

nobanzai

"Flush all states when a gateway goes down" muss aus sein, sonst werden alle States und damit alle Verbindungen gekillt, sobald der High Watermark bei der Überwachung erreicht ist. Und das gilt leider auch für Gateways, die als down markiert wurden.

Rico

Ich habe das bei mir gerade getestet und es funktioniert exakt so wie ich es erwarten würde.
Gateway Group WAN_DHCP Tier 1, WAN2_DHCP Tier 2
Traffic geht über WAN_DHCP. Setze ich bei WAN_DHCP die Option Mark Gateway as Down geht der Traffic über WAN2_DHCP.

-Rico

nobanzai

Sorry, aber das ist ja auch nicht das Problem.
Ja, der Traffic geht dann über das andere Gateway. Das funktioniert ohne Probleme.
Aber wenn das Gateway, das auf "down" gewzungen wurde, über high oder unter low Watermark kommt, reagiert dennoch die pfSense und wirft alle Status weg, wenn der Haken bei "Flush all states when a gateway goes down" gesetzt ist.
Meine Erwartung wäre gewesen, dass sie das bei einem Gateway nicht tut, das bewusst "down" gesetzt wurde.
Das ist bei sehr wackeligen Gateway, die alle paar Minuten zwischen 20 und 90% Packet Loss schwanken halt ein Problem. Dann hat man ständig Verbindungsabbrüche. Und wenn dann obendrauf auch noch ein openpvn sitzt, bricht das auch alle paar Minuten raus.
IMHO macht das ein wenig den Sinn von "Mark Gateway as down" kaputt.

JeGr

@nobanzai said in "Mark gateway down" unerwartetes Verhalten:

Flush all states when a gateway goes down

Und warum ist das überhaupt gesetzt? Im Normalfall brauche ich diese Option nur für langlebige Verbindungen die sonst vielleicht hakeln würden. Das sind dann aber oft solche wie VoIP, die eh oft auf einem spezifischen Interface gebunden sind weil bspw. der VoIP Provider nur via Line 1 aber nicht Line 2 erreichbar ist (außer man hat wirklich was Provider-unabhängiges).

Ich denke in deinem Fall spielt hier das Mark Gateway down schon seine korrekte Rolle, wird aber vom state flush plattgebügelt. Und der ist IMHO unnötig/unsinnig. Ja damit wird ggf. schneller um/zurückgeschaltet aber zu Kosten, dass es jedes Mal ALLES weghaut, egal was es ist, auch States, die damit nichts zu tun haben (bspw. intern LAN auf DMZ o.ä.). Daher würde ich erstmal hinterfragen, ob das nicht eh falsch gesetzt ist.

Grüße

nobanzai

@JeGr
Das ist wegen der langlebigen Verbindungen gesetzt - 2 x VPN, VOIP, ...!
Ich wollte das auch nicht, aber meine Gudsde hat so lange rum gemault wegen ihres dann imer versterbenden VPN, dass mir nix Anderes übrig geblieben ist, als das zu setzen 8-<
Ich mache es halt jetzt so, dass ich beides immer parallel umsetze:

"Mark Gateway as down" on
"Flush all states when a gateway goes down" off

oder eben

"Mark Gateway as down" off
"Flush all states when a gateway goes down" on

nobanzai

Hm, evtl. kann man das lösen, indem man klärt, warum das VPN immer verstirbt.
Das openvpn ist auf ein Failover-Gateway gesetzt. Wenn da der TIER 5 weg bricht, während der TIER 1 noch da ist, ist noch alles gut. Wenn aber der TIER 5 wiederkommt, hauts die VPN-Verbindung weg.
Irgendwie liegt das womöglich an dem beschriebenen Verhalten, dass ein Switch zurück nicht funktioniert. Aber ich kann es nicht greifen, warum das ein Problem ist, wenn doch nicht der primäre, sondern der Failover TIER weg geht.

nobanzai

Achso ja - es geht nicht um ein openvpn auf den pfSensen, sondern um einen Client dahinter auf einen Server im Internet.

m0nji

Ich kann zwar dein Problem nicht direkt lösen aber etwas seltsam verhält sich das schon.
Bemerke bei meiner Vodafone Kabel Leitung aktuell ein ähnliches Verhalten.
Default Gateway ist eine FailoverGroup, Member ist Tier1 Vodafone Kabel und Tier2 VVDSL. Wird der Schwellwert bei Tier1 erreicht und ist nicht mehr verfügbar, wird auf Tier2 gewechselt. Soweit alles korrekt. Nur wenn Tier1 wieder da ist, wechselt die pfSense des öfteren NICHT zurück und noch viel schlimmer ist, Tier2 verliert die PPPoe Verbindung, welche auch nicht wieder automatisch aufgebaut wird.

nobanzai

@m0nji
Hm, das hört sich aber irgendwie nach einem anderen Problem an, das meinem eher vorgelagert ist.

Bob.Dig

@nobanzai said in "Mark gateway down" unerwartetes Verhalten:

ich verwende hier zwei pfSensen mit der neuesten Version 2.4.5-RELEASE-p1 im Multi-WAN-Betrieb.

Wieso verwendest du zwei mal pfSense?

nobanzai

@Bob-Dig
HA-Lösung, d.h. Failover mit zwei Leitungen.

JeGr

Aber beide Leitungen auf beiden Geräten aufgelegt oder? :)