Ich will es nur mal los werden .... pfS 2.5

Bob.Dig

Musste wegen einem "Hardware Problem" tatsächlich inzwischen "from scratch" installieren und kann auch feststellen, es läuft ganz gut.
Morgen kommt dann noch pfBlocker drauf und dann bin ich bis auf IPv6 fertisch. So und so.
Edit: Gerade mal neu gestartet und obwohl alle VPNs wieder laufen, rennt irgendwas die ganze Zeit gegen den "Killswitch" und es will nicht aufhören...

noplan

@bob-dig

Wir haben noch keine einzige
Wo DNSBL Rennen muss auf 2.5 gezogen

jahonix

@noplan said in Ich will es nur mal los werden .... pfS 2.5:

es läuft und läuft und läuft und läuft ...

Das finde ich super für Dich!
Ich bin seit v0.9.x bei pfSense und habe noch nie so ein Desaster wie mit der 2.5.0 erlebt. Seit 1,5 Jahren lief unser IPsec Tunnel vom remote Büro ins HQ völlig störungsfrei und zuverlässig. Mit 2.5.0, auch mit allen verfügbaren Patches eingespielt, ist das leider nicht mehr der Fall. An jedem Morgen ist der Tunnel down und ein reboot der Maschine belebt ihn für unbestimmt Zeit wieder. Das Log ist voll mit 500+ unsinnigen Einträgen innerhalb von nur 45 min.

Da ich hauptberuflich nicht IT sondern AV mache, habe ich weder Lust noch bekomme ich dafür die Zeit, nach der Ursache zu forschen. Das muss einfach störungsfrei laufen.
Das tut es bei uns jetzt wieder seit einem Rollback auf 2.4.5_p1. Genauer gesagt habe ich die Appliance gegen eine mit der älteren Version getauscht. Jetzt ist wieder Ruhe.

Wenn ein Update eine konfigurierte Funktion unbrauchbar macht, dann ist für mich das Update im Eimer. Punkt.

noplan

@jahonix

Hi

Ja das mit ipsec und dns ist einer der Hauptgründe wieso wir alles was mit
DNSBL und ipsec am laufen haben noch nicht auf 2.5 gezogen haben

Und f den Rest stimm ich dir zu

NOCling

Ich bin mit meinen beiden auch wieder auf 2.4.5p1 zurück und werde wegen der IPsec Problematik erstmal den p2 Stand abwarten.
Im 21.02p1 wurde ja nur der Deadlook für ARMv7 behoben.

Der Start der 2.5 war leider etwas steinig.
Aber da wurde unter der Haube auch so ziemlich alles geändert was das FreeBSD angeht, von daher ist das ok.

Und wirklich Not auf die 2.5er Version zu wechseln habe ich jetzt nicht, kann das mit der aktuelle noch gemütlich abwarten, die läuft ja Fehlerfrei, schnell und stabil.

jahonix

@nocling said in Ich will es nur mal los werden .... pfS 2.5:

unter der Haube auch so ziemlich alles geändert was das FreeBSD angeht, von daher ist das ok.

Machst Du Witze? Das ist so NICHT ok.

Entweder müssen sie vorher (noch) mehr testen oder mehrere Zwischenversionen veröffentlichen, in der nur jeweils ein Teil der Dinge geändert wurde. Dann ist das bestimmt besser beherrschbar.

Ich bin wirklich schon seit 0.9.irgendwas mit pfSense unterwegs und es gab in der Zeit einige holprige Releases. Man konnte sich aber zumindest darauf verlassen, dass das Entwicklerteam Fehler eingestanden und möglichst kurzfristig gefixte Versionen veröffentlicht hat.
Aktuell habe ich nicht den Eindruck, dass das so noch der Fall ist.

NOCling

Also mich hat niemand gezwungen auf die neue Version zu wechseln, weil auf der alten nix funktioniert hat.

Und das bei jeder größeren Systemumstellung in der IT das eine oder andere Problem mit dabei sein kann, sollte jedem klar sein der ein wenig vom Fach ist.

Warten wir doch mal ab, wo jetzt genau die Fehler bezüglich IPsec her kommen, denn so wie ich das verstanden habe, ist das erst kurz vor dem finale rein gekommen.

Ggf. war das ein Seiteneffekt, eines Bugfix der zum Release implementiert wurde.

Ich warte das jetzt ganz entspannt ab.

Was funktioniert denn bei dir alles nicht mit der 2.4.5p1, so das du auf den neuen Release unbedingt jetzt wechseln musst?

JeGr

@jahonix said in Ich will es nur mal los werden .... pfS 2.5:

Entweder müssen sie vorher (noch) mehr testen oder mehrere Zwischenversionen veröffentlichen, in der nur jeweils ein Teil der Dinge geändert wurde. Dann ist das bestimmt besser beherrschbar.

Wie willst du das bitte machen, wenn sich das KOMPLETTE BaseOS aktualisiert wie bei 2.5? Zwischenschritt mit halb FBSD 11.x und halb 12.x? ;) So funktioniert das nicht.

Ja es hat sich zusätzlich noch - eben wegen FBSD 12/13 - einiges an Strongswan geändert und die Art des Control Zugriffs ist jetzt anders. Das hat Probleme gemacht. Aber wenn es in Tests nicht funktioniert hätte, dann wäre es auch nicht released worden. Dafür gabs lange die Beta Snapshots, über ne Woche die RCs und dann den Final. Ich war seit Wochen schon auf 2.5 Snapshots und hatte Test-Tunnel die problemlos liefen. Wenn das "alle" betroffen hätte, dann hätte es vorher geknallt.

Natürlich ist die Wahrnehmung wenn man direkt betroffen ist anders und dann ist gern mal alles scheiße. Been there, done that, have the T-Shirt. Aber ich bezweifle ernsthaft, dass da was "nicht lang genug" getestet war, sondern dass es eben einen gewissen Kreis an Nutzern betrifft, die IPsec wie bei den Fritten bspw. etwas knirschend am Laufen haben. Nur hat man davor eben ggf. nichts von mit bekommen.

NOCling

War ja mit meinen beiden Netgate Appliances auch ein 2.5 Opfer, der Tunnel wollte einfach nicht mehr.
IPv6 auch nicht und dann hatte ich auf flicken kein Bock mehr und bin wieder runter auf die Sorgenfrei 2.4.5p1.

Das hat mich auch ein paar h gekostet, vor allem da mir mein SG-3100 beim ersten Upgrade geplatzt ist und ich hier schon eine Neuinstallation hin legen musste.
Das sind dann halt ein paar Reibungsverluste bei so einem großen Sprung unter der Haube.

Selber schuld, warum installiere ich auch gleich am ersten Tag statt mal 1-2 Wochen easy im Forum quer zu lesen ob das Teil brauchbar ist.

noplan

@jegr

haben die IPsec Tunnel bei dir im Test funktioniert ?
ehrlich gesagt wir hams nicht getestet ... ... ... weil klar was es wird zuerst nur auf den standard boxen ausgerollt

jop ich stimm dir voll kommen zu

Been there, done that, have the T-Shirt.

noplan

@nocling said in Ich will es nur mal los werden .... pfS 2.5:

Selber schuld, warum installiere ich auch gleich am ersten Tag statt mal 1-2 Wochen easy im Forum quer zu lesen ob das Teil brauchbar ist.

naja es macht ja (scheinbar) nur bumms in bestimmten Konstellationen
wie es @JeGr treffend beschrieben hat

die IPsec wie bei den Fritten bspw. etwas knirschend am Laufen haben

was mich hier nebenbei killt ist der "wireguard hype" aber ich glaub das ist ein Freitag Thema

noplan

@jahonix

wenn ich esrichtig verstanden hab is kommenden freitag pfs user group treffen (online)
schau vorbei is immer lustig und informativ

lgNP

JeGr

@noplan said in Ich will es nur mal los werden .... pfS 2.5:

was mich hier nebenbei killt ist der "wireguard hype" aber ich glaub das ist ein Freitag Thema

Ist erstaunlich wie jeder jetzt plötzlich WG braucht, cool findet oder nutzen will - ohne Hirn und Verstand. Hab da auch schon welche "Chef hat gehört dass da jetzt WG drin ist und will das dann bald mal testen, können sie das einrichten?" - äh klar, wenn er keine User ID, keinen Login gegen LDAP/AD und keinen Status über eingeloggte User etc. haben will? "Oh..."

noplan

@jegr

Hab da auch schon welche "Chef hat gehört dass da jetzt WG drin ist und will das dann bald mal testen, können sie das einrichten?" - äh klar, wenn er keine User ID, keinen Login gegen LDAP/AD und keinen Status über eingeloggte User etc. haben will? "Oh..."

yes yes yes ... ... ... ... hatte hier heute einige dieser Anfragen,
und mein wahnsinngier AMI hat bereits das 2te Video draußen (site2site & peers) die nächsten Tage kommen noch mehr solche Wahnwitze...

site2site rennt hier bereits über die Richtfunkstrecke ganz fein und is nützlich (glaub ich halt mal)

JeGr

@noplan Tunnel - ja. Performance gut bis toll, Rest OK'ish. Fehlender Status etc. sind IMHO unschön. In komplexeren Szenarien - CARP, Multilink - unbrauchbar da sich nicht an Interface haltend. Dann nur sinnvoll mit Routingprotokollen lösbar, aber wer will bei nem CARP Cluster plötzlich ohne Not OSPF ausrollen.

Dial-In: Gleiche Probleme bei komplexerem Setup. Bei Daheim-Nutzern kein Ding, dann schöne Performance. Für Firmen oft unnütz, da keinerlei Zustand, Status oder sonstiges anzeig oder abfragbar, kein Log, keine Diagnose, das will niemand betreuen mit Leuten die dann (zurecht) sagen "es geht net" und kein Log mitschicken (können). Keine ext. Auth, keine ID des Logins. Außer States kein Zustand. Also corporate Umfeld - außer in Tunneln wenn beide Seiten nicht CARP sind - OK. Rest blergh.

noplan

@jegr

ich hatte einen call, die waren der Meinung das sie sich durch WG anstellevon openVPN
eine anpassung nach open der Leitung / Hardware sparen würden. (das könnte durch Effizienz von WG ja durchaus argumentierbar sein)

als sie dann verstanden haben das alle features die sie jetzt mit openVPN haben weg sind war das thema erledigt

aber die Effizienz von WG in auswirkung auf Endpunkt der Leitung und bei Hardware is sicher spannend (immer ab 30 user)

NOCling

Habe zwischen meinen beiden Süßen Böxchen ja nur ein S2S aber sorry ohne Status, Logs usw. habe ich da echt kein Bock drauf. Der IPsec zur Fritz ist mir die Tage um die Ohren geflogen, weil ich hier von jemandem gelesen habe der es mit DH14 hin bekommen hat.

Sorry das Log zeigte mir dann gestern bei der Fehlersuche was anderes. Und bei IPsec siehst mal eben wo es klemmt, aber auf Glaskugel habe ich privat in der IT echt kein Bock.

Das muss ich in der Firma schon oft genug machen bei der neuen Installation x von Dienstleister y, der von Mitarbeiter z gerade aufgebaut wird der sich so gut auskennt wie e^-?...

Noch ein Grund mehr einfach entspannt in das Versönchen 2.5 rein zu warten, das wird irgendwann schon sauber laufen, bis dahin bekommt es noch Windeln und Fläschchen...

Lip

@jahonix

Wie macht man denn so einen Rollback zu 2.4.5?

Ich war leider leichtsinnig und habe auch das update eingespielt. Nun geht kein IPSec Tunnel mehr und auch ein Drucker über Airprint ist nicht mehr möglich....

NOCling

Ich hoffe du hast ein Backup vom Zeitpunkt vor dem Update, dann installierst du die Firewall mit dem 2.4.5p1 Image neu und spielst dein Backup ein.
Dann solltest du die Version noch umstellen, das er dir das Update erstmal nicht mehr anbietet, denn sonst installierst du noch Pakete die für die neue Version gedacht sind und hast wieder neue Probleme.

jahonix

@lip said in Ich will es nur mal los werden .... pfS 2.5:

Wie macht man denn so einen Rollback zu 2.4.5?

Der Term klingt besser als die Prozedur ist.
Es ist, wie NOCling geschrieben hat, eine Installation der alten Version und Einspielen der vorher gesicherten Config. Das Ergebnis ist dann hoffentlich eine wieder stabil laufende Vorversion.