FB verliert Kontakt jeden Tag um 12 und um 0Uhr

Klaus2314

@viragomann Ich hatte den ping ja vorher default-mäßig auf der FB . Da gab es komischerweise ständig gateway error 64 (oder 65, weiss nicht mehr) und random abbrüche. Die Fehler gingen weg seit ich 1.1.1.1 anpinge (also kein gateway error mehr aber eben die aussetzer). Können aber unabhängige Probleme sein glaube ich.

viragomann

@Klaus2314
Du schreibst oben, dass die Verbindungen weg sind, wenn das Problem auftritt. Hast du etwa hier den Haken gesetzt:
System > Advanced > Miscellaneous > State Killing on Gateway Failure

Klaus2314

@viragomann Nein das ist ohne Haken.

Klaus2314

OK, also es scheint eindeutig an Suricata zu liegen. Ich hatte den updater auf 21 nach gestellt und der verbindingsverlust war jetzt exakt um 00:22. Vorher update auf 00:08 und Abbruch um 00:09.

Eigenartig. Was tun? Schätze mal update auf "unchristliche Zeit" setzen und auf alle 24 statt 12 Stunden stellen?

Oder ich ändere eine dieser Settings?

Ich habe Suricata mal auf 1 mal am Tag um 3:21 gesetzt. Zumindest schmeisst es dann Tagsüber nicht immer alle VPN clients raus.

Bob.Dig

@Klaus2314 Vielleicht mal Live Rule Swap on Update probieren. Hab dein Problem nicht, bei mir läuft es aber auch nicht auf WAN.

viragomann

Hatte einige Zeit lang auch Suricata laufen und kenne das Problem auch nicht. Allerdings ebenfall am internen Interface.

Klaus2314

OK, Ich beobachte es mal ein paar Tage. Das Ding ist: Suricata läuft im Moment ausschließlich noch im Analysemodus also Blocking ist komplett aus und seine updates muss es ja über das WAN laden, egal ob nun da läuft oder nicht. Oder sehe ich das falsch?

viragomann

@Klaus2314 said in FB verliert Kontakt jeden Tag um 12 und um 0Uhr:

also Blocking ist komplett aus und seine updates muss es ja über das WAN laden

Die Updates zu laden wird wohl auch nicht die Ursache des Problems sein. Aber unabhängig, ob das Blocking deaktiviert ist, müssen die neuen Regeln anschließend am konfigurierten Interface angewandt werden, du möchtest ja die Logs sehen. Dazu wird vermutlich Suricata neu gestartet, und das wahrscheinlich im Promiscuous Mode. Vielleicht hilft es auch diesen zu deaktivieren.

Als ich mich seinerzeit mit Suricata beschäftigt habe, wurde der Betrieb am WAN gar nicht empfohlen, ist vermutlich noch immer nicht anders. Deswegen habe ich es am DMZ Interface betrieben.

JeGr

Richtig, IDS generell arbeiten ja VOR dem Filter bzw. im Kernel vor / mit dem Netzwerktreiber, damit sie das Paket abfangen können, bevor es am Interface "wirklich ankommt" (und an den Paketfilter wandern würde).
Dann ist es bei einem Neuladen und Reinit des Interfaces wegen Promisc Mode durchaus denkbar, dass es dann da ein kurzes Ruckeln am Interface gibt. Das muss überhaupt kein GW down sein - wie oben beschrieben sehe ich da eh keinen, sondern eher ein "reinit/neuladen" und durchstarten des Interfaces und der Dienste. Das führt dann eben zu kurzem Verbindungsabriß wenn VPN und Co neu durchgestartet werden.

cheers

Klaus2314

Seit der Umstellung keine Ausfälle mehr.

Danke!

fireodo

@Klaus2314 said in FB verliert Kontakt jeden Tag um 12 und um 0Uhr:

Seit der Umstellung keine Ausfälle mehr.

Danke!

Was genau, hast du jetzt umgestellt, wenn ich fragen darf?

Schöne Grüße,
fireodo

Klaus2314

@fireodo Ich hatte die Uhrzeit geändert um sicher zu gehen, wer der Verursacher ist und dann Suricata vom WAN gelöscht. Jetzt gibt es hin und wieder Kontaktverluste aber zu komplett zufälligen Zeiten und auch nicht täglich.

fireodo

@Klaus2314 said in FB verliert Kontakt jeden Tag um 12 und um 0Uhr:

@fireodo Ich hatte die Uhrzeit geändert um sicher zu gehen, wer der Verursacher ist und dann Suricata vom WAN gelöscht. Jetzt gibt es hin und wieder Kontaktverluste aber zu komplett zufälligen Zeiten und auch nicht täglich.

Alles Klar! Danke!