Вопросы по pfSense 2.5/Plus

smils · Mar 25, 2021, 6:30 AM

Не понятно зачем в GUI status IPSec сделали список как на скрине.
Сначала вводит в ступор, будто все пиры лежат.

viktor_g · Mar 25, 2021, 6:30 AM

@smils это баг 2.5,
список патчей который желательно применить для IPsec:
https://forum.netgate.com/topic/161159/client-ipsec-eap-vpn-does-not-work-after-upgrade-to-2-5release/6

В данной версии довольно много изменений относительно предыдущего стабильного релиза 2.4.5-p1,
Стабилизирующий релиз 2.5.1 на подходе:
https://redmine.pfsense.org/versions/61

pigbrother · Mar 30, 2021, 9:56 AM

По умолчанию установшик, получинный в Client Export устанавливает помимо tap6-адаптера еще и драйвер WinTUN (tun-драйвер от разработчиков WireGuard).
Если в конфиг клиента вписать
windows-driver wintun
Соединение происходит в разы быстрее. Проверил, это реально так.
Тут:
https://rustedowl.livejournal.com/59557.html
пишут, что растет и производительность:

латентность "через windows-tap6" - 5мс (стандартный драйвер OpenVPN)
латентность "через WinTUN" - 4мс
iperf3:
"через windows-tap6" - 193Mb\s
"через winTUN" - 253Mb\s

В принципе, вставить windows-driver wintun можно и в Additional configuration options в Client Export Utility

viktor_g · Mar 30, 2021, 9:56 AM

@pigbrother said in Вопросы по pfSense 2.5/Plus:

По умолчанию установшик, получинный в Client Export устанавливает помимо tap6-адаптера еще и драйвер WinTUN (tun-драйвер от разработчиков WireGuard).
Если в конфиг клиента вписать
windows-driver wintun
Соединение происходит в разы быстрее. Проверил, это реально так.
Тут:
https://rustedowl.livejournal.com/59557.html
пишут, что растет и производительность:

латентность "через windows-tap6" - 5мс (стандартный драйвер OpenVPN)
латентность "через WinTUN" - 4мс
iperf3:
"через windows-tap6" - 193Mb\s
"через winTUN" - 253Mb\s

В принципе, вставить windows-driver wintun можно и в Additional configuration options в Client Export Utility

Можете сделать feature request?
https://docs.netgate.com/pfsense/en/latest/development/feature-requests.html

Unc · Mar 31, 2021, 6:33 AM

Pf - автоматически не присваивает WAN интерфейсу ipv6 адресс.
Провайдер поддерживает. На роутере асус работает. На PF нет.
Все настройки Wan по умолчанию.
Подскажите где может быть косяк?

viktor_g · Mar 31, 2021, 7:17 AM

@unc said in Вопросы по pfSense 2.5/Plus:

Pf - автоматически не присваивает WAN интерфейсу ipv6 адресс.
Провайдер поддерживает. На роутере асус работает. На PF нет.
Все настройки Wan по умолчанию.
Подскажите где может быть косяк?

Это баг версии 2.5, исправлено в обновлении 2.5.1(пока в стадии тестирования):
https://redmine.pfsense.org/issues/11454

Unc · Mar 31, 2021, 7:37 AM

@viktor_g said in Вопросы по pfSense 2.5/Plus:

Это баг версии 2.5, исправлено в обновлении 2.5.1(пока в стадии тестирования):
Обновился до 2.5.1
Ничего не изменилось (
WAN_DHCP6
*********** 0.0ms 0.0ms 100% Offline, Packetloss

viktor_g · Apr 3, 2021, 8:51 AM

@unc Создайте отдельную тему, будем смотреть

pigbrother · Apr 3, 2021, 8:53 AM

Решил попробовать wireguard в 2.5.
Наткнулся на такую информацию от Netgate:
https://docs.netgate.com/pfsense/en/latest/vpn/wireguard/index.html

WireGuard has been removed from releases after pfSense Plus 21.02-p1 and pfSense CE 2.5.0, when it was removed from FreeBSD.
If upgrading from a version that has WireGuard active, the upgrade will abort until all WireGuard tunnels are removed. For more details, see our Release Notes

И вот вероятная причина, почему такое решение было принято:
Во FreeBSD 13 чуть не оказалась халтурная реализация WireGuard с нарушением лицензии и уязвимостями.

viktor_g · Apr 14, 2021, 9:16 AM

@unc said in Вопросы по pfSense 2.5/Plus:

Pf - автоматически не присваивает WAN интерфейсу ipv6 адресс.
Провайдер поддерживает. На роутере асус работает. На PF нет.
Все настройки Wan по умолчанию.
Подскажите где может быть косяк?

Исправлено в 2.5.1:
https://www.netgate.com/blog/pfsense-plus-21-02-2-release-and-pfsense-ce-2-5-1-release-now-available.html

proger · Apr 15, 2021, 8:53 PM

Подскажите пожалуйста, если кто знает: после обновления до 2.5.0 (и далее 2.5.1 - проблема сохранилась) возникла проблема с Dynamic DNS/NoIP (платный).
Не обновляет IP: cheсk IP почему-то всегда возвращает последнее значение, а не реальное, и считает что ничего не поменялось, соответственно адрес не обновляет.

P.S. Сорри за оффтоп, но прям печаль какая-то. За последние 8 лет, если не больше, я на этом форуме был 1 раз, и то обошлось поиском... После выхода 2.5.0 - каждые пару недель тут, сначала отвалилась авторизация OpenVPN (ладно, был патч хотя бы, баг старый вроде), 2.5.1 - отвалился nat на втором интерфейсе, DynDNS не работает в обоих... прям за гранью... Можно сказать базовые вещи отваливаются. Я, конечно, откачусь на 2.4.5, там где возможно, но тенденция с настолько сырыми "релизами" наводит на грустные мысли. Есть надежда что это временно? Там же вроде серьезно что-то меняли между 2.4.5 -> 2.5.0, если я не ошибаюсь?

viktor_g · Apr 15, 2021, 9:46 PM

@proger said in Вопросы по pfSense 2.5/Plus:

Подскажите пожалуйста, если кто знает: после обновления до 2.5.0 (и далее 2.5.1 - проблема сохранилась) возникла проблема с Dynamic DNS/NoIP (платный).
Не обновляет IP: cheсk IP почему-то всегда возвращает последнее значение, а не реальное, и считает что ничего не поменялось, соответственно адрес не обновляет.

Похоже на регрессию изменений в https://redmine.pfsense.org/issues/6638

Создайте пожалуйста багрепорт, посмотрим:
https://docs.netgate.com/pfsense/en/latest/development/bug-reports.html

2.5.1 - отвалился nat на втором интерфейсе, DynDNS не работает в обоих...

Багрепорт открыт, исправлено в 2.6:
https://redmine.pfsense.org/issues/11805

proger · Apr 19, 2021, 7:08 AM

@viktor_g
Создал:
https://redmine.pfsense.org/issues/11815

viktor_g · Apr 20, 2021, 6:45 AM

@proger said in Вопросы по pfSense 2.5/Plus:

@viktor_g
Создал:
https://redmine.pfsense.org/issues/11815

Добавьте побольше DDNS логов с включенной опцией "Verbose Logging"

Возможно ошибка связана с новым API No-IP:
https://www.noip.com/integrate/request
хотя там нет никаких спец опций для paid аккаунтов

proger · Apr 20, 2021, 7:11 AM

@viktor_g
Verbose logging стоит
при Save&Force Update то что я скинул - это все что появляется в логах

Дело в том, что это на боевой системе, и чтобы проверить мне приходится менять адрес на несоответствующий в noip, клиенты отваливаются, а поэкспериментировать пока негде

PTZ-M · Apr 23, 2021, 7:14 AM

Коллеги приветствую.
Столкнулся с магией!
С момента появления в интерфейсе "Версия 2.5.1 доступно" в версии 2.4.5-RELEASE (amd64) сделан Tue Mar 24 15:25:50 EDT 2020. У меня стабильно по пятницам в ~9:03 отрубаются все OpenVPN клиенты. Пока вручную сервис не перезапустишь - ничего не поднимается. В стандартных логах (3 уровень) ничего интересного.
Естественно ничего не делалось и не трогалось (Аптайм 31 Days 15 Hours 49 Minutes 11 Seconds). Возникла крамольная мысль, что так принуждают перейти на новую версию. Прошу помощи в развенчивании такого сомнения.

UPD доп. инфа - pfSense на MultuWAN в неравном LoadBalancer, и для OpenVPN настроен только WAN1

viktor_g · Apr 23, 2021, 10:53 AM

@ptz-m said in Вопросы по pfSense 2.5/Plus:

Коллеги приветствую.
Столкнулся с магией!
С момента появления в интерфейсе "Версия 2.5.1 доступно" в версии 2.4.5-RELEASE (amd64) сделан Tue Mar 24 15:25:50 EDT 2020. У меня стабильно по пятницам в ~9:03 отрубаются все OpenVPN клиенты. Пока вручную сервис не перезапустишь - ничего не поднимается. В стандартных логах (3 уровень) ничего интересного.
Естественно ничего не делалось и не трогалось (Аптайм 31 Days 15 Hours 49 Minutes 11 Seconds). Возникла крамольная мысль, что так принуждают перейти на новую версию. Прошу помощи в развенчивании такого сомнения.

UPD доп. инфа - pfSense на MultuWAN в неравном LoadBalancer, и для OpenVPN настроен только WAN1

Куча пользователей до сих пор на 2.4.5-p1 и 2.4.4-p3, работают без всякой магии)
Установите пакет Cron и проверьте что запускается в это время
Не исключены и причуды провейдера - выставьте Monitoring IP для WAN1 в 8.8.8.8, к примеру, и посмотрите не будет ли потерь пакетов в это время

pigbrother · Apr 23, 2021, 11:36 AM

@ptz-m said in Вопросы по pfSense 2.5/Plus:

Прошу помощи в развенчивании такого сомнения.

На одной из точек трудится 2.3.х. Куча Open VPN.
Из-за карантина не дают обновить. Аптайм был 290 с лишним дней - выключили подачу электроэнергии.

werter · Apr 24, 2021, 6:35 AM

Добрый
@ptz-m

С вероятностью 90+ это ваш провайдер так себя ведет.

Как вариант:
ovpn умеет слушать localhost (127.0.0.1)
Перевесьте ovpn на localhost, сделайте проброс с ВАН1 и ВАН2 на 127.0.0.1
и выбранный ранее порт.

В настройках клиентов в конфиге укажите
...
remote WAN1-ip-or-name port udp
remote WAN2-ip-or-name port udp
...

Тогда клиенты по умолч. будут коннектиться к WAN1, а при проблемах - к WAN2. Плюс в cron можно добавить строку, чтобы в выбранное время (типа 09:07) служба ovpn на пф перезапускалась. Тогда клиенты вновь переконнектятся на WAN1.
Костыль, но рабочий )

Зы. Или просто строка в кроне, чтобы в 9:05 служба ovpn на пф перезапускалась. Это проще и тоже может сработать.

GarryTom · May 10, 2021, 8:51 PM

Обнаружился баг в 2.5 в режиме MultiWAN.
Есть три внешних интерфейса (WAN, OPT1, OPT2). На первых двух белые IP, на них проброшены 25 и 80 порты. В 2.4.4 и 2.4.5 проброс прекрасно работает на обоих интерфейсах, а в 2.5 - только на WAN. На OPT1 порты остаются закрытые.
Если отключить WAN и OPT2, т.е. оставить только один внешний интерфейс (OPT1), то на OPT1 проброс начинает работать.
Я последовательно ставил версии и заливал один и тот же конфигурационный файл:
2.4.4 - работает
2.4.5 - работает
2.5.1 - не работает
2.6 (!) - работает.