Вопросы по pfSense 2.5/Plus
-
@pigbrother said in Вопросы по pfSense 2.5/Plus:
@viktor_g Вопрос пока такой.
так какOpenVPN upgraded to 2.5.0
Не будет ли проблем с подключением клиентов предыдущих версий? Не всегда и не на всех клиентах версию OpenVPN можно обновить оперативно или обновить вообще.
Важно чтобы у вас в Custom options не было упразднённых опций OpenVPN, в остальном должно работать, у openvpn вообще неплохо с совместимостью с предыдущими версиями.
см. https://docs.netgate.com/pfsense/en/latest/releases/2-5-0.html#openvpn
особенно:
Data cipher negotiation (Formerly known as Negotiable Cryptographic Parameters, or NCP) is now compulsory. Disabling negotiation has been deprecated.The GUI now supports renewing certificate manager entries (certificate authorities and certificates)
Этого не хватало. У меня некоторые сертификаты через пару лет истекают.
Достаточно нажать на иконке с закручивающейся стрелкой:
на странице сертификатов
-
@viktor_g said in Вопросы по pfSense 2.5/Plus:
Достаточно нажать на иконке с закручивающейся стрелкой:
Да, именно в 2.5 это появилось. Тестировал еще в бете на виртуальной машине.
Сильно изменились настройки компрессии. Фактически - осталось 2 режима.
Похоже от компрессии в дальнейшем откажутся вовсе.Restructured the OpenVPN settings directory layout Changed from /var/etc/openvpn[-csc]/<mode><id>.<file> to /var/etc/openvpn/<mode><id>/<x> This keeps all settings for each client and server in a clean structure
Надеюсь, при обновлении это произойдет гладко.
We strongly encourage using AEAD ciphers such as AES-GCM, future versions of OpenVPN will require them and will not have configurable cipher lists.
А вот will not have configurable cipher lists. может в будущем стать проблемой совместимости со старыми устройствами.
-
А может знаете когда IPSec VPN починят? У меня всё плохо. Через несколько секунд пинги не проходят хоть аутентификация успешная да и сам туннель никогда не отключается. Но вот только стоит пользователям мышкой шевельнуть, как всё стопорится. Беда. Обновились до Pfsense+ , перед этим два года всё работало прекрасно, ничего подкручивать не приходилось
-
@currentusername создайте отдельную тему для обсуждения
-
@pigbrother вчера обновился до 2.5. И в итоге до 10 вечера провозился с откатом на стабильно работающий 2.4. Основная проблема в OpenVPN. У меня 3 роутера Zyxel Extra на 3.5.6 клиентских (разной степени свежести железа), после обновления - 2-ва перестали коннектится. Перепробовал все танцы с бубном. Добился, что после отключения опции со сжатием, и третий начал периодически отваливаться. Один раз какой-то из ранее отвалившихся, вдруг появился в таблице как undefined на пару секунд после ребута pfsense.
Жду или версии 2.5.1 или лайф-хака. Ну или просто забить на обновления, всё равно 2.6 на моём железе уже не взлетит, а 2.4 выполняет свои обязанности. -
@ptz-m said in Вопросы по pfSense 2.5/Plus:
@pigbrother вчера обновился до 2.5. И в итоге до 10 вечера провозился с откатом на стабильно работающий 2.4. Основная проблема в OpenVPN. У меня 3 роутера Zyxel Extra на 3.5.6 клиентских (разной степени свежести железа), после обновления - 2-ва перестали коннектится. Перепробовал все танцы с бубном. Добился, что после отключения опции со сжатием, и третий начал периодически отваливаться. Один раз какой-то из ранее отвалившихся, вдруг появился в таблице как undefined на пару секунд после ребута pfsense.
Жду или версии 2.5.1 или лайф-хака. Ну или просто забить на обновления, всё равно 2.6 на моём железе уже не взлетит, а 2.4 выполняет свои обязанности.Лучше создать отдельную тему с обсуждением,
В новом OpenVPN обновлён до версии 2.5, надо смотреть логи -
@viktor_g said in Вопросы по pfSense 2.5/Plus:
В новом OpenVPN обновлён до версии 2.5, надо смотреть логи
Да, претензии к несовместимости скорее нужно адресовать не к pfSense. Однако от этого не легче, если на удаленных площадках устройства, обновления OpenVPN для которых ожидать можно долго или не получить никогда.
@ptz-m said in Вопросы по pfSense 2.5/Plus:
Жду или версии 2.5.1 или лайф-хака
Кажется маловероятным. Остается надеяться на обновления для вашего Keenetic Extra (KN-1710).
Наткнулся на такую директиву:
--disable-occ – Этот параметр позволяет взаимодействовать двум разным версиям OpenVPN. Это очень удобно в том случае, если вы поддерживаете удаленных пользователей, которые по каким-либо причинам не получают обновления ПО.
Попробуйте, вдруг поможет. Ну и компрессию - отключить.Почитал про новое в OpenVPN 2.5:
https://github.com/OpenVPN/openvpn/blob/release/2.5/Changes.rst
Не очень понятен смысл:
Since PF is going away in 2.6.0, this is just turning the crash into a well-defined program abort, and no further effort has been spent in rewriting the PF plugin error handlingOn Windows, OpenVPN can now use wintun devices. They are faster than the traditional tap9 tun/tap devices, but do not provide --dev tap mode - so the official installers contain both. To use a wintun device, add --windows-driver wintun to your config (and use of the interactive service is required as wintun needs SYSTEM privileges to enable access).
https://www.wintun.net
Wintun is a very simple and minimal TUN driver for the Windows kernel, which provides userspace programs with a simple network adapter for reading and writing packets. It is akin to Linux's /dev/net/tun and BSD's /dev/tun. Originally designed for use in WireGuard, Wintun is meant to be generally useful for a wide variety of layer 3 networking protocols and experiments -
@ptz-m
Попробуйте прошивку padavan для вашего Кинетика. Она интереснее стоковой.
Возможно, в ней овпн версии 2.5.
Как собрать под ваш роутер есть на форуме 4pdaЗы. Про ваш роутер https://4pda.ru/forum/index.php?showtopic=902584
Есть еще вариант попробовать родную прошивку 3.6, но она тестовая. -
Всем привет. Есть вопрос по версии 2.5 pfsense.
В центре сертефикацит, насколько есть смысл ставить галочки на пункты Trust Store и Randomize Serial. Разве сертификаты не добовляются в доверенные, раз роутер их пропускает и серийный номер серта генерируется не автоматом случайной последовательностью чисел ? Прошу не пинать, я пока на стартовом пути понимания OpenVPN и не смог найти ответы на свои вопросы . -
@dr_mat said in Вопросы по pfSense 2.5/Plus:
Trust Store и Randomize Serial. Разве сертификаты не добовляются в доверенные, раз роутер их пропускает и серийный номер серта генерируется не автоматом случайной последовательностью чисел ?
Нет, по-умолчанию для каждого нового сертификата используется следующий номер:
"When enabled, if this CA is capable of signing certificates then serial numbers for certificates signed by this CA will be automatically randomized and checked for uniqueness instead of using the sequential value from Next Certificate Serial."В Trust Store обычно нужно добавлять сертификаты если на вышестоящем прокси/файрволле используется SSL Bumping (просмотр шифрованного трафика). В таком случае CA сертификат SSL MITM устройства добавляется в доверенные и весь HTTPS трафик, в т.ч. идущий с самого pfSense (например обновления) будет просматриваться.
-
У меня при обновлении до 2.5 просто накрылся загрузчик на диске.
2 машины до этого обновились нормально. На этой много чего накручено было ( хорошо диск клонировал). -
@pavelmil said in Вопросы по pfSense 2.5/Plus:
хорошо диск клонировал
Если не секрет- чем клонировали? Или имеется в виду снэпшот виртуальной машины с pf?
-
Clonezilla. Никаких проблем с ней нет.
-
@pavelmil said in Вопросы по pfSense 2.5/Plus:
Clonezilla
Клонирует поблочно (быстро) или долго (dd)?
Тутhttps://qna.habr.com/q/319828
Пишут, что только dd.
@pavelmil said in Вопросы по pfSense 2.5/Plus:
хорошо диск клонировал
Образ развернулся без проблем?
-
Добрый.
@pavelmil
Посмотрите в сторону виртуализации пф.
Перед обновлением делается снепшот и в течение минуты возвращается обратно.Зы. Даже скрипт можно написать (писал для proxmox ve как-то).
Руками делаем снепшот ВМ с пф и обновляем пф.
Скриптом ребут ВМ с пф и если в течение N-минут с прокса нет пинга до 8.8.8.8 - откат пф по снепшоту. Просто и действенно. Можно пользовать для удаленных филиалов без вмешательства на той стороне. -
Привет
Никак не моду решить проблему с исключением не нужных подсеток в OSPF.
Обновил pfsense до версии 2.5 и после чего понял что Quaga больше не доступна. Установил пакет frr так как там обнаружил OSPF, Удалось засести это дело и динамическая маршрутизация заработала.
Но как добавить исключения, сетей которые мне не нужно передавать на удаленный хост?
Пробовал сделать с помощью Access Lists не получилось
через Route Maps тоже не получается
Кто делал помогите !!! -
@pigbrother нашли косяк 2015 года, ждём уже скоро 2.5.1 там поправят или можно самостоятельно - https://forum.netgate.com/topic/161398/openvpn-with-laptop-clients-failing-after-pfsense-upgrade-to-2-5-0/11
т.ч. насиловать кенетик слава богу не надо :-) -
2.5.1 в процессе:
https://redmine.pfsense.org/versions/61 -
Добрый
@testsia
Вещаем ВСЕ маршруты, но разруливаем ACL-ми.forum.netgate.com/topic/145252/osfp-distributing-routes-just-using-access-lists-not-bothering-with-interfaces-expect-the-vti-ones
Или вот так (правильнее, адаптировать для пф) docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html
Зы. Внимание https://forum.netgate.com/topic/161176/filter-some-routes
По ссылке есть патч и как его применять.Зы2. Сыроват 2.5 ( Поспешили.
-
@werter said in Вопросы по pfSense 2.5/Plus:
Добрый
@testsia
Вещаем ВСЕ маршруты, но разруливаем ACL-ми.forum.netgate.com/topic/145252/osfp-distributing-routes-just-using-access-lists-not-bothering-with-interfaces-expect-the-vti-ones
Или вот так (правильнее, адаптировать для пф) docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html
Зы. Внимание https://forum.netgate.com/topic/161176/filter-some-routes
По ссылке есть патч и как его применять.Зы2. Сыроват 2.5 ( Поспешили.
Удалось разобраться, все стало намного сложнее чем у Quaga, получился просто нужно в FRR походить по веб интерфейсу и в разных местах подбавлять настройки, в результате мы должны получить Raw Config такой же как был в Quaga вот такой:
! frr defaults traditional hostname gw-main01.XXX.com.ua hostname gw-main01.XXX.com.ua password HrXVubpS1wyn log syslog service integrated-vtysh-config ! ip router-id 194.XXX.XX.XX ! interface ovpnc13 description "ospfd: vpn_01_XXX01_XXX01_Volz" ip ospf network point-to-point ip ospf cost 5 ip ospf area 1.1.1.1 interface ovpnc12 description "ospfd: vpn_01_XXX01_XXX01_Volz - ospfd: vpn_02_XXX01_XXX01_TXXX" ip ospf network point-to-point ip ospf cost 15 ip ospf area 1.1.1.1 interface ovpns6 description "ospfd: vpn_01_XXX01_XXX01_Volz - ospfd: vpn_02_XXX01_XXX01_TXXX - ospfd: vpn_01_krn01_XXX01" ip ospf network point-to-point ip ospf cost 5 ip ospf area 1.1.1.1 interface ovpns7 description "ospfd: vpn_01_XXX01_XXX01_Volz - ospfd: vpn_02_XXX01_XXX01_TXXX - ospfd: vpn_01_krn01_XXX01 - ospfd: vpn_01_zln01_XXX01" ip ospf network point-to-point ip ospf cost 5 ip ospf area 1.1.1.1 ! router ospf ospf router-id 192.XXX.XX.XX log-adjacency-changes detail redistribute connected route-map ACCEPTFILTERS area 1.1.1.1 shortcut default ! access-list all permit any ! ip prefix-list ACCEPTFILTERS seq 18 deny XXX.XXX.XX.XX.0/24 ip prefix-list ACCEPTFILTERS seq 19 deny XXX.XXX.XX.XX.0/24 ip prefix-list ACCEPTFILTERS seq 20 deny 10.10.14.8/29 ip prefix-list ACCEPTFILTERS seq 21 permit any ! route-map ACCEPTFILTERS permit 10 match ip address prefix-list ACCEPTFILTERS ! line vty ! end
И все заработало, остался вопрос один.
В Quage есть строка ip protocol ospf route-map ACCEPTFILTER
Не могу найти ее в FRR
Может кто знает как добавить ее. -
@testsia
c ABR не стали пробовать?
docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html -
@werter said in Вопросы по pfSense 2.5/Plus:
@testsia
c ABR не стали пробовать?
docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html
нет не пробовал. Но спасибо.
Попробую как-то на стенде -
@testsia said in Вопросы по pfSense 2.5/Plus:
И все заработало, остался вопрос один.
В Quage есть строка ip protocol ospf route-map ACCEPTFILTER
Не могу найти ее в FRR
Может кто знает как добавить ее. -
Не понятно зачем в GUI status IPSec сделали список как на скрине.
Сначала вводит в ступор, будто все пиры лежат. -
@smils это баг 2.5,
список патчей который желательно применить для IPsec:
https://forum.netgate.com/topic/161159/client-ipsec-eap-vpn-does-not-work-after-upgrade-to-2-5release/6В данной версии довольно много изменений относительно предыдущего стабильного релиза 2.4.5-p1,
Стабилизирующий релиз 2.5.1 на подходе:
https://redmine.pfsense.org/versions/61 -
По умолчанию установшик, получинный в Client Export устанавливает помимо tap6-адаптера еще и драйвер WinTUN (tun-драйвер от разработчиков WireGuard).
Если в конфиг клиента вписать
windows-driver wintun
Соединение происходит в разы быстрее. Проверил, это реально так.
Тут:
https://rustedowl.livejournal.com/59557.html
пишут, что растет и производительность:латентность "через windows-tap6" - 5мс (стандартный драйвер OpenVPN)
латентность "через WinTUN" - 4мс
iperf3:
"через windows-tap6" - 193Mb\s
"через winTUN" - 253Mb\sВ принципе, вставить windows-driver wintun можно и в Additional configuration options в Client Export Utility
-
@pigbrother said in Вопросы по pfSense 2.5/Plus:
По умолчанию установшик, получинный в Client Export устанавливает помимо tap6-адаптера еще и драйвер WinTUN (tun-драйвер от разработчиков WireGuard).
Если в конфиг клиента вписать
windows-driver wintun
Соединение происходит в разы быстрее. Проверил, это реально так.
Тут:
https://rustedowl.livejournal.com/59557.html
пишут, что растет и производительность:латентность "через windows-tap6" - 5мс (стандартный драйвер OpenVPN)
латентность "через WinTUN" - 4мс
iperf3:
"через windows-tap6" - 193Mb\s
"через winTUN" - 253Mb\sВ принципе, вставить windows-driver wintun можно и в Additional configuration options в Client Export Utility
Можете сделать feature request?
https://docs.netgate.com/pfsense/en/latest/development/feature-requests.html -
Pf - автоматически не присваивает WAN интерфейсу ipv6 адресс.
Провайдер поддерживает. На роутере асус работает. На PF нет.
Все настройки Wan по умолчанию.
Подскажите где может быть косяк? -
@unc said in Вопросы по pfSense 2.5/Plus:
Pf - автоматически не присваивает WAN интерфейсу ipv6 адресс.
Провайдер поддерживает. На роутере асус работает. На PF нет.
Все настройки Wan по умолчанию.
Подскажите где может быть косяк?Это баг версии 2.5, исправлено в обновлении 2.5.1(пока в стадии тестирования):
https://redmine.pfsense.org/issues/11454 -
@viktor_g said in Вопросы по pfSense 2.5/Plus:
Это баг версии 2.5, исправлено в обновлении 2.5.1(пока в стадии тестирования):
Обновился до 2.5.1
Ничего не изменилось (
WAN_DHCP6
*********** 0.0ms 0.0ms 100% Offline, Packetloss -
@unc Создайте отдельную тему, будем смотреть
-
Решил попробовать wireguard в 2.5.
Наткнулся на такую информацию от Netgate:
https://docs.netgate.com/pfsense/en/latest/vpn/wireguard/index.htmlWireGuard has been removed from releases after pfSense Plus 21.02-p1 and pfSense CE 2.5.0, when it was removed from FreeBSD.
If upgrading from a version that has WireGuard active, the upgrade will abort until all WireGuard tunnels are removed. For more details, see our Release NotesИ вот вероятная причина, почему такое решение было принято:
Во FreeBSD 13 чуть не оказалась халтурная реализация WireGuard с нарушением лицензии и уязвимостями. -
@unc said in Вопросы по pfSense 2.5/Plus:
Pf - автоматически не присваивает WAN интерфейсу ipv6 адресс.
Провайдер поддерживает. На роутере асус работает. На PF нет.
Все настройки Wan по умолчанию.
Подскажите где может быть косяк?Исправлено в 2.5.1:
https://www.netgate.com/blog/pfsense-plus-21-02-2-release-and-pfsense-ce-2-5-1-release-now-available.html -
Подскажите пожалуйста, если кто знает: после обновления до 2.5.0 (и далее 2.5.1 - проблема сохранилась) возникла проблема с Dynamic DNS/NoIP (платный).
Не обновляет IP: cheсk IP почему-то всегда возвращает последнее значение, а не реальное, и считает что ничего не поменялось, соответственно адрес не обновляет.P.S. Сорри за оффтоп, но прям печаль какая-то. За последние 8 лет, если не больше, я на этом форуме был 1 раз, и то обошлось поиском... После выхода 2.5.0 - каждые пару недель тут, сначала отвалилась авторизация OpenVPN (ладно, был патч хотя бы, баг старый вроде), 2.5.1 - отвалился nat на втором интерфейсе, DynDNS не работает в обоих... прям за гранью... Можно сказать базовые вещи отваливаются. Я, конечно, откачусь на 2.4.5, там где возможно, но тенденция с настолько сырыми "релизами" наводит на грустные мысли. Есть надежда что это временно? Там же вроде серьезно что-то меняли между 2.4.5 -> 2.5.0, если я не ошибаюсь?
-
@proger said in Вопросы по pfSense 2.5/Plus:
Подскажите пожалуйста, если кто знает: после обновления до 2.5.0 (и далее 2.5.1 - проблема сохранилась) возникла проблема с Dynamic DNS/NoIP (платный).
Не обновляет IP: cheсk IP почему-то всегда возвращает последнее значение, а не реальное, и считает что ничего не поменялось, соответственно адрес не обновляет.Похоже на регрессию изменений в https://redmine.pfsense.org/issues/6638
Создайте пожалуйста багрепорт, посмотрим:
https://docs.netgate.com/pfsense/en/latest/development/bug-reports.html2.5.1 - отвалился nat на втором интерфейсе, DynDNS не работает в обоих...
Багрепорт открыт, исправлено в 2.6:
https://redmine.pfsense.org/issues/11805 -
@viktor_g
Создал:
https://redmine.pfsense.org/issues/11815 -
@proger said in Вопросы по pfSense 2.5/Plus:
@viktor_g
Создал:
https://redmine.pfsense.org/issues/11815Добавьте побольше DDNS логов с включенной опцией "Verbose Logging"
Возможно ошибка связана с новым API No-IP:
https://www.noip.com/integrate/request
хотя там нет никаких спец опций для paid аккаунтов -
@viktor_g
Verbose logging стоит
при Save&Force Update то что я скинул - это все что появляется в логахДело в том, что это на боевой системе, и чтобы проверить мне приходится менять адрес на несоответствующий в noip, клиенты отваливаются, а поэкспериментировать пока негде
-
Коллеги приветствую.
Столкнулся с магией!
С момента появления в интерфейсе "Версия 2.5.1 доступно" в версии 2.4.5-RELEASE (amd64) сделан Tue Mar 24 15:25:50 EDT 2020. У меня стабильно по пятницам в ~9:03 отрубаются все OpenVPN клиенты. Пока вручную сервис не перезапустишь - ничего не поднимается. В стандартных логах (3 уровень) ничего интересного.
Естественно ничего не делалось и не трогалось (Аптайм 31 Days 15 Hours 49 Minutes 11 Seconds). Возникла крамольная мысль, что так принуждают перейти на новую версию. Прошу помощи в развенчивании такого сомнения.UPD доп. инфа - pfSense на MultuWAN в неравном LoadBalancer, и для OpenVPN настроен только WAN1
-
@ptz-m said in Вопросы по pfSense 2.5/Plus:
Коллеги приветствую.
Столкнулся с магией!
С момента появления в интерфейсе "Версия 2.5.1 доступно" в версии 2.4.5-RELEASE (amd64) сделан Tue Mar 24 15:25:50 EDT 2020. У меня стабильно по пятницам в ~9:03 отрубаются все OpenVPN клиенты. Пока вручную сервис не перезапустишь - ничего не поднимается. В стандартных логах (3 уровень) ничего интересного.
Естественно ничего не делалось и не трогалось (Аптайм 31 Days 15 Hours 49 Minutes 11 Seconds). Возникла крамольная мысль, что так принуждают перейти на новую версию. Прошу помощи в развенчивании такого сомнения.UPD доп. инфа - pfSense на MultuWAN в неравном LoadBalancer, и для OpenVPN настроен только WAN1
Куча пользователей до сих пор на 2.4.5-p1 и 2.4.4-p3, работают без всякой магии)
Установите пакет Cron и проверьте что запускается в это время
Не исключены и причуды провейдера - выставьте Monitoring IP для WAN1 в 8.8.8.8, к примеру, и посмотрите не будет ли потерь пакетов в это время