FW Rules werden teilweise nicht angewendet
-
Ich hole das Thema mal wieder hoch, da es nun nachweislich auftritt. Ich habe nun neben den normalen WAN, noch ein Test WAN angelegt. Neues Interface, sonst nichts. Nur eine Regel die greifen soll (was sie auch vorerst tut).
Geht nun dieses WAN kurz down und kommt wieder online, wird die Regel nicht mehr angewendet! Man sieht sie jedoch noch Stunden danach unter den States:
Erst wenn ich die States lösche, greift die Regel wieder. Wie werde ich diesem Problem Herr?
-
Kann ich nur nochmal auf @viragomann hinweisen. Wenn es das Problem ist, dass States aktiv bleiben (warum überhaupt) auf dem WAN das down geht und nach dem UP dann die Verbindungen nicht mehr laufen, dann solltest du über den Haken mit "State Killing on GW failure" nachdenken und den setzen.
Darauf hattest du aber leider nicht geantwortet außer dass dus nicht möchtest. Deine Argumentation
Würde sicherlich helfen, aber damit riskiere ich schon einen Verbindungsabbruch bei Packetloss. Das möchte ich vermeiden. Und da mein WAN1 eine DOCSIS Verbindung ist, ist Packetloss leider nicht so selten.
ist aber etwas widersinnig, bei "nur" packet loss greift der Haken nicht. GW failure ist klar definiert als "GW DOWN" und das passiert erst bei >20% packet loss. Bei >10% kann ich schon nicht mehr ordentlich arbeiten, da ist mir dann völlig wurscht ob die FW schon bei 10 oder erst ab 20% anfangen würde States wegzuwerfen. Anyway das wird nicht einfach so bei 1-2% loss mal aus Jux getriggert. Daher würde ich das testen.
Auch wenn mich mehr interessieren würde wie es überhaupt sein kann, dass da States so lange bleiben :)
-
Ja, das interessiert mich eben auch. Zumal das Problem "neu" ist. Ich nutze seit bald 10 Jahren pfSense und habe das Problem erst seit einigen Monaten. An den Einstellungen habe ich dabei aber nichts geändert.
-
@mrsunfire Habe ja nun auch seit einiger Zeit Probleme mit Packetloss an der pfSense und meinem Kabelanschluss...
Ein Gedanke noch, ThinkBroadband nutzt auch IPv6, je nachdem, was Du dort eingetragen hast. Von daher auch mal deren IPv6 freigeben oder sichergehen, dass die hinterlegte Adresse nur zu IPv4 auflöst.
Da wir gerade drüber reden, habe ich mich mal eingeloggt und was sehe ich da? Kein Wunder, dass ich gestern heftigst gelaggt und heute einen neuen Anschluss bestellt habe. OMG
PS: Wenn ich mich so durch die Tage klicke, sind es schon öfters Bilder des Grauens, verstörend und faszinierend zugleich.
-
Ne, Ingress habe ich eigentlich kaum. Wenn, dann ist die Leitung meist wirklich down nachts, wegen Wartungsarbeiten. Danach geht nur leider der Graph nicht mehr, dabei ist es auch egal ob IPv4 oder v6. Die States sind offen, werden aber nicht mehr genutzt. Für mich ist das ein Bug seit 1-2 Versionen.
