MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway

viragomann

@slu
Nun, das war kein Bekenntnis meinerseits. Ich hab dort (noch) keinen Account.

Meine Installationen sind noch alle auf 2.4.5. Bislang konnte ich aufkeimende Upgrade-Gelüste erfolgreich unterdrücken.
OPNSense mal zu testen würde mich mindestens ebenso reizen. Vor einem Jahr galt sie ja noch als weniger zuverlässig. Das dürfte sich aber mittlerweile zum Besseren geändert haben.

Die Spaltung der pfSense in CE und Plus gefällt mir gar nicht. Vor allem, nachdem die anscheinend doch deutlich auseinanderlaufen. Ich möchte sie gewerblich und im Non-Profit einsetzen und würde daher beide verwenden.

Auch verstehe ich nicht, dass sich die User hier nun schon über Wochen über dieselben masiven Probleme beklagen müssen. Keine Kleinigkeiten, sondern, wie in deinem Fall, gravierend den Betrieb störende Fehlern.

slu

@viragomann said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:

@slu
Nun, das war kein Bekenntnis meinerseits. Ich hab dort (noch) keinen Account.

also ich habe da ja einen Account :)

Meine Installationen sind noch alle auf 2.4.5. Bislang konnte ich aufkeimende Upgrade-Gelüste erfolgreich unterdrücken.

Das ist ein Zustand denn ich eigentlich vermeiden möchte, sind ja auch immer wieder Sicherheitspatches enthalten.

Aktuelles Beispiel, eigentlich sollte man auf 2.5.1 in Kombiantion mit einem HAProxy, geht aber wegen dem Port Forward Problem nicht.

OPNSense mal zu testen würde mich mindestens ebenso reizen. Vor einem Jahr galt sie ja noch als weniger zuverlässig. Das dürfte sich aber mittlerweile zum Besseren geändert haben.

Ich teste schon...

Bob.Dig

Ist vielleicht doch nicht so der große usecase, gleichzeitige Portforward s auf mehren WANs? Aber sicherlich ärgerlich so was. Man sieht quasi live, wie das branchen schon nicht mehr unter Kontrolle ist... Und viele haben davor gewarnt, gesagt, dass es so keinen Sinn macht und here we are.

slu

@bob-dig said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:

Ist vielleicht doch nicht so der große usecase, gleichzeitige Portforward s auf mehren WANs?

Scheint so, für uns war es eine kleine Katastrophe weil wir unseren kleinen Upload über mehrere WAN verteilen.

Aber klar wer die pfSense mit nur einem WAN einsetzt merkt das nicht...
Wobei ein Gateway mit OpenVPN auch das Problem haben könnte.

viragomann

@bob-dig said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:

Ist vielleicht doch nicht so der große usecase, gleichzeitige Portforward s auf mehren WANs?

Ich nutzte das auch über Jahre. Hätte zwar zur Not auch alles über einen Anschluss gehen können, aber wofür hat man dann Multi-WAN? Hätte mich gewiss ziemlich genervt.

slu

Ich finde es erstaunlich das hier nichts ergänzt wird, kein Hinweis:
https://docs.netgate.com/pfsense/en/latest/releases/21-02-2_2-5-1.html

Wenn man das im Forum nicht gelesen hat rennt man in das Problem.
Beim Ticket [1] gibts auch keine Rückmeldung, man hängt total in der Luft.

https://redmine.pfsense.org/issues/11805

Bob.Dig

@viragomann said in [MutiWAN NAT/Port Forward pfSense 2.5.1

aber wofür hat man dann Multi-WAN? Hätte mich gewiss ziemlich genervt.

Wenn man nicht zurück gehen kann/will, was kann man machen, z.B. eine zweite pfSense aufsetzen?
Just curious.

fireodo

@slu said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:

Ich finde es erstaunlich das hier nichts ergänzt wird, kein Hinweis:
https://docs.netgate.com/pfsense/en/latest/releases/21-02-2_2-5-1.html

Wenn man das im Forum nicht gelesen hat rennt man in das Problem.
Beim Ticket [1] gibts auch keine Rückmeldung, man hängt total in der Luft.

https://redmine.pfsense.org/issues/11805

< vermutung an>
... vielleicht liegt das Problem tiefer im System und ein Patch lässt sich nicht so leicht erstellen.
< vermutung aus />

Schönen Tach noch,
fireodo

JeGr

@fireodo Ich finde auch, dass aktuell gerade durch die 2.5 Ankündigungen alles gleich zum Riesenproblem hochstilisiert wird.

Ich sehe auch kein Stück, dass es "ruhig" um pfSense wird. Und bei OPNsense tummeln sich vielleicht mehr Leute, die sich einfach informieren, aber wegen einem "hätte wäre wenn vielleicht blubb" steigen nicht wirklich viele einfach so um. Zumal das Gras auf der anderen Seite auch nicht grüner ist. PBR Routing bei OpenVPN, PPPoE geht nach Update nicht, etc. etc. - es gibt genug Sachen die immer wieder auch regelmäßig ärgerlicherweise bei OPNsense aufschlagen. Da ich mit beiden Gruppen rede, muss man da links wie rechts nichts schönreden.

@viragomann said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:

Die Versionen driften wohl noch rascher zum Nachteil der Community Edition auseinander als befürchtet.

Das ist halt auch quatsch, denn direkt im Patchlevel davor hatte die Plus das gleiche Problem. Wahrscheinlicher ist eher, dass es durch irgendwas getriggert wird, was durch ne andere Anpassung mal links wie rechts dann mal runterfällt. Bis man so einen UseCase eben abgeklopft hat, was genau der Auslöser ist, kann es eben sein, dass es nicht immer auf allen Seiten auftaucht. Plus muss eben gerade extra gebaut werden wegen eigener Hardware und Treibern. Gabs auch früher mal bei ISO vs. Image oder NanoBSD vs Full Install - solche Sachen kommen halt vor.

Man sieht quasi live, wie das branchen schon nicht mehr unter Kontrolle ist... Und viele haben davor gewarnt, gesagt, dass es so keinen Sinn macht und here we are.

Was siehst du denn wo, welche Branches angeblich keinen Sinn machen? Also was ihr da gerade überall reindiskutiert ist schon echt teils an den Haaren rangezogen ;)

Dass die Netgate Peoples vielleicht gerade ziemlich was um die Ohren haben und deshalb mit Fehlerbehebung etwas dauert könnte durchaus verständlich sein, wenn man bedenkt, dass man Wireguard komplett rauspatchen musste in der .1 und das so absichern, dass die vorhandenen Installs dann nicht versehentlich einfach updaten, weil sonst wieder Geschrei groß ist. Die sind also schon gerade gut am Freidrehen. Und dann tauchen mit dem Rebase zu 12.2 auch noch ständig irgendwelche Seiteneffekte auf.

Ja, das Release gerade ist echt etwas ruppig. Hatte im Vergleich OPNsense davor aber auch (mehrfach) schon und da gibts allerdings nicht so viel Drama deshalb. Könnte man sich jetzt überlegen warum, aber anscheinend gehen die Nutzer schon davon aus, dass es sich etwas Bananen-mäßig verhält und erst 1-2 Patch Releases braucht bis es richtig läuft. Die hauen ja auch pro Version mal gut 7-10 Point Releases hinterher. Will ich gar nicht sagen, ob das gut/besser ist oder nicht, ist eben eine andere Philosophie bei den Releases.

Oh zu ZFS: wir rollen seit Jahren alles pfSense nur mit ZFS aus. Lief auf HW wesentlich besser.

slu

@fireodo said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:

< vermutung an>
... vielleicht liegt das Problem tiefer im System und ein Patch lässt sich nicht so leicht erstellen.
< vermutung aus />

Das ist gut vorstellbar, würde aber die Known Issues nicht stören

slu

@jegr said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:

Das ist halt auch quatsch, denn direkt im Patchlevel davor hatte die Plus das gleiche Problem.

Das hatte ich gesehen und ich kann mir nur zu gut vorstellen wie man sich ärgert (als Entwickler) wenn das mit der 2.5.1 wieder auf den Tisch kommt. Ist mir ja auch alles schon einmal passiert, so ist es nicht.

Hochkochen würde ich das Problem nicht, nein. Irgend eine Abschätzung wann es ein Fix/Workaround kommt wäre trotzdem hilfreich...

viragomann

@jegr said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:

denn direkt im Patchlevel davor hatte die Plus das gleiche Problem.

Das hatte ich schon mitbekommen. Frage mich aber in diesem Zusammenhang, ob man das Problem nach der Erfahrung und dem Fix bei Plus nicht von vornweg bei der CE vermeiden hätte können. Oder muss die Community nun alle Räder selbst neu erfinden.
Vielleicht war es ein einmaliger Vorfall, aber zusammen mit allem anderen, was in jüngerer Zeit über die Aufspaltung Plus-CE publik wurde sieht für mich doch irgendwie so aus, als wollte man von der Community profitieren, sollte es was geben, aber nichts zurückgegen. Wissensaustausch auf der Einbahnstraße also. Da stehen Gewinner und Verlierer von vornherein fest.

Oh zu ZFS: wir rollen seit Jahren alles pfSense nur mit ZFS aus. Lief auf HW wesentlich besser.

Die Frage bezüglich ZFS war, ob jemand Erfahrung mit Snapshots und Rollbacks hat.

JeGr

@viragomann said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:

Vielleicht war es ein einmaliger Vorfall, aber zusammen mit allem anderen, was in jüngerer Zeit über die Aufspaltung Plus-CE publik wurde sieht für mich doch irgendwie so aus, als wollte man von der Community profitieren, sollte es was geben, aber nichts zurückgegen. Wissensaustausch auf der Einbahnstraße also. Da stehen Gewinner und Verlierer von vornherein fest.

Ist ja eher andersrum. Die Plus hatte das Problem zuerst, irgendwie hat man es wegbekommen und lustigerweise geht der gleiche Fix wohl nicht in der CE. Treiber? OS? Irgendwas anderes? Wer weiß. Die haben aber eben gleich mehrere Baustellen aktiv offen. Und wenn sie wüssten wie schnell es geht hätten sies sicher ins Ticket geschrieben. Wenn aber da vor 6 Tagen drinsteht, dass es nachvollziehbar ist und jemand recht zuversichtlich ist, dass er ggf. nen Fix hat, dann wirds wohl potentiell nicht mehr so lange dauern. Aber wenn du sowas aufmachst oder offen hast, dann willst du den Fix da sicher auch nicht rushen um das nächste Problem aufzumachen oder das gleiche Ding bei der Plus wieder einzuführen. Regression Bugs sind eben immer fies :)

Die Frage bezüglich ZFS war, ob jemand Erfahrung mit Snapshots und Rollbacks hat.

Tatsächlich noch nicht, keine Zeit gehabt. Und aktuell leider sehr viel mit Support, Seminaren und Workshops zu tun. Das nimmt gerade ganz gut zu, da sich viele aktuell nach Alternativen umsehen, nachdem es bei den Hardware Firewall Herstellern gerade auch ständig kracht ;)

m0nji

Kurze Frage in die Runde:
Seit dem 2.5.1 Update will mein OpenVPN nicht mehr wirklich über mein 2. WAN Interface (nicht Default Interface).
Die Verbindung kann aufgebaut werden(Win Clinet --> pfSense) aber sobald man dann auf eine interne Ressource z.b. über RDP oder HTTP zugreifen will, stürzt der Tunnel ab.
Kann das jemand bestätigen, dass es mit dem verlinkten Bug zusammenhängt? So richtig matchen kann ich das mit dem Bugreport nicht, weil ich kein Port Forwarding nutze sondern direkt eine Firewall Rule auf dem WAN2 Interface

Das sind die letzten Logeinträge im OpenVPN Client

2021-04-20 14:26:20 IPv4 MTU set to 1500 on interface 12 using service
2021-04-20 14:26:26 Initialization Sequence Completed
2021-04-20 14:27:04 read TCP_CLIENT: Unknown error (code=10060)
2021-04-20 14:27:04 Connection reset, restarting [-1]
2021-04-20 14:27:04 SIGUSR1[soft,connection-reset] received, process restarting

slu

So wie es aussieht muss man auf die 2.6.0-dev wechseln, keine schöne Situation.
Wenn ich wüsste ob wir hier von 2 Wochen oder 2 Monaten sprechen...

fireodo

@slu said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:

Wenn ich wüsste ob wir hier von 2 Wochen oder 2 Monaten sprechen...

Diese Frage wird wohl nicht mal das Netgate-Team beantworten können ...

Grüße,
fireodo

slu

@fireodo
naja es gibt ja ein Patch der auch schon im 2.5.er Zweig ist...

JeGr

@slu So wie es aussieht muss man auf die 2.6.0-dev wechseln, keine schöne Situation.

Warum sollte man auf 2.6dev wechseln müssen?

slu

@jegr

pfSense 2.5.1 kann ich nicht einsetzten wegen dem Bug.
2.5.0 hat aber das openssl Problem was mit dem HAProxy unschön ist.

Was mache ich jetzt?

Oder ist das openssl Problem keines für den Use Case pfSense?

fireodo

@slu said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:

Was mache ich jetzt?

In den englischsprachigen Kommentaren sagen einige dass ein Wechsel zur 2.6 devel sinnvoll wäre weil es dort dieses Problem nicht gibt - aber unter Umständen handelt man sich anderweitig noch größeren Ärger ein ...
Meine 5 Cents ...

Grüße,
fireodo