Subjektiv, pfSense hängt immer mal wieder kurz
-
Hallo und mal eine Frage in die Runde,
ich hatte ja bereits geschrieben, dass ich neu bei Firewall und pfSense bin.
Ein schuldiger ist seit Jahren der Provider, das war bis jetzt auch alles im Rahmen, wenn natürlich da jetzt 6 Leute im Homeoffice sind, merkt man das aber bereits spürbar, wenn mal was hängt.
Jetzt habe ich/die Familie den subjektiv(en) den Eindruck, dass die Internetverbindung über die neue pfSense (mit der aktuellen Version) Firewall des Öfteren kurzfristig so bis 45 Sekunden "hängt".
Also die Auslastung der CPU dümpelt immer so bei 15% vor sich hin,
Hauptspeicher ist bei 48% und nie höher gesehen,
Swap usage 0%,
Disk usage 1%,
Netzwerkkarten alle funkelnagelneu, 1Gbit geht so auch zum Provider Modem als WAN und als LAN arbeiten seit langem ein GS108Ev3 Switch mit 1Gbit und diverse weitere 1Gib Switche im Hause, wobei nur die pfSense jetzt neu ist, will sagen die bestehende "Infrastruktur" (bis auf die neuen Netzwerkkarten in der pfSense) hat bis auf das bekannte Problem mit dem Provider tadellos, auch mit 6 Leuten funktioniert; das kann es also nicht sein (oder doch?).Zuzüglich läuft noch pfBlockerNG und Suricata mit, aber die CPU ist so gut wie gar nicht ausgelastet.
Könnte das sein, wenn da die Upgrades gefahren werden, dass die Firewall dann hängt?BandwidthD zeigt mir auch nichts an.
Im Log ist, für mich als Laie, nichts ersichtlich.
Diverse Speedchecks zeigten keine Probleme auf, es gab auch keine Netzstörungen.
Was komisch ist, der dpinger zeigt so gut wie immer an, dass das Gateway da ist, aber wenn ich dann mal eine URL anpinge geht das sehr oft halt nicht und so nach 15 Sekunden klappt das wieder; was ich jedoch dem bekannten Problem mit dem Provider zuordne.
Natürlich kann auch alles Bestens mit der pfSense sein und vielleicht durch das vermehrte Arbeiten der Leute im Homeoffice die Last beim Provider größer sein.
Im Netz habe ich nicht so richtig was gefunden, da habe viele ganz andere Störungen, auch mit den Providern, welche aber bei mir nicht zutreffen.
Ich erwarte mir jetzt keine konkrete Anleitung, sondern eher nur so einen Tipp/Idee, wo man denn vielleicht suchen könnte.
Besten Dank im Voraus!
-
ich würde jetzt einen Radio-Stream starten und mit Musikhören nachweisen, ob der Link zum Provider die ganze Zeit lang steht oder eben nicht. Das kann natürlich auch ein simples "ping" oder ein Tool wie PingPlotter, macht aber nicht so viel Spaß.
Wenn der Link steht (wovon ich ausgehe), dann würde ich mal schaue, ob der DNS Server sauber läuft oder sich zB durch ständige reboots im Log verewigt.
Welchen benutzt Du, Forwarder oder Resolver? -
Den Resolver.
Klasse Idee, also Radio läuft bei mir eigentlich problemlos (gebrauche es aber nur recht kurz zu den Nachrichten) und die Kinder streamen über Spotify und Netflix. Nach Rücksprache mit den Kindern haben diese nichts zu beanstanden, glaube aber das die Streaming-Dienste auch cachen und so kleinere Probleme nicht auffallen.
Werde mal das Radio über das Wochenende längere Zeit laufen lassen, mal sehen was da passiert.
Super Idee, das mit dem Pingplotter, genau das was ich brauche !!! Wollte schon den dpinger eine zusätzliches Ziel angeben, aber leider habe ich nichts gefunden wie man das konfigurieren könnte; glaube aber das es nicht möglich ist.
Ich lass jetzt mal den Pingplotter über das Wochenende arbeiten und wenn der was protokolliert durchsuche ich damit dann das Log.
Dankeschön!
-
Volltreffer !!!
Das ging schneller als erwartet.
Das war eine geniale Idee mit dem Pingplotter !!!
Das hat den DNS Resolver im Log eingetragen und zwar alle paar Minuten:
Restart of unbound 1.10.1.
Ich habe dann das da gefunden, ist bereits 3 Jahre alt:
https://www.reddit.com/r/PFSENSE/comments/6iz26h/help_with_unbound_restarting/"Do you have "Register DHCP leases in the DNS Resolver" enabled under DNS Resolver settings?
When enabled, it causes Unbound to be restarted upon each DHCP offer, causing frequent restarts."
Das gab´s dann kürzlich auch hier:
https://forum.netgate.com/topic/115482/frequent-unbound-restarts/72?loggedin=trueIn der pfSense abgeschaltet und es funktioniert.
So einen Pingplotter könnte die pfSense gut gebrauchen, nur Schade dass sie jetzt (die Community Edition), sofern man den Stimmen in diversen Foren glauben darf, auf´s Abstellgleis von Netgate geschoben wird; hätte ich das vorher gewußt, hätte ich was anderes installiert, aber durch Corona wird sie jetzt erst mal eine Weile laufen müssen und dann sehen wir weiter.Den Pingplotter laß ich aber mal weiter laufen um sehen was die Probleme mit meinem Provider sein könnten, obwohl ein "Ausfall" von mehreren Sekunden für uns nicht so dramatisch ist.
Nochmals Dankeschön!
-
@nosense-0 said in Subjektiv, pfSense hängt immer mal wieder kurz:
Super Idee, das mit dem Pingplotter, genau das was ich brauche !!! Wollte schon den dpinger eine zusätzliches Ziel angeben, aber leider habe ich nichts gefunden wie man das konfigurieren könnte; glaube aber das es nicht möglich ist.
Einfach: neues Dummy Gateway anlegen mit bspw. Namen TestGW. Als IP bspw. die 1.1.1.1 eintragen, Haken rein bei disable action (pfSense soll ja nichts machen wenn das GW down ist) und dann die Advanced Options aufklappen. Dort ganz unten den Haken bei non-local gateway reinmachen. Speichern. Fertig. Du hast ein GW angelegt, das ständig angepingt wird und dass du unter Monitoring/GW Stats auslesen kannst.
So einen Pingplotter könnte die pfSense gut gebrauchen,
Siehe oben. Aber das ist Monitoring und gehört in ein Monitoring System. Nicht auf die Firewall. Höchstens als Notnagel.
ofern man den Stimmen in diversen Foren glauben darf, auf´s Abstellgleis von Netgate geschoben wird; hätte ich das vorher gewußt, hätte ich was anderes installiert, aber durch Corona wird sie jetzt erst mal eine Weile laufen müssen und dann sehen wir weiter.
Abwarten und nicht jetzt schon Schlüsse ziehen. Version 2.5 und auch 2.6 wird es definitiv geben und auch bei anderen Punkten hat sich abgezeichnet, dass sich da durchaus weitere Entwicklung zutragen wird. Bspw. Update auf FreeBSD 13 im Unterbau. Etc. Also nicht gleich die Panik-Nebelkerze anzünden - erstmal abwarten.
Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
-
Einfach: neues Dummy Gateway anlegen mit bspw. Namen TestGW. Als IP bspw. die 1.1.1.1 eintragen, Haken rein bei disable action (pfSense soll ja nichts machen wenn das GW down ist) und dann die Advanced Options aufklappen. Dort ganz unten den Haken bei non-local gateway reinmachen. Speichern. Fertig. Du hast ein GW angelegt, das ständig angepingt wird und dass du unter Monitoring/GW Stats auslesen kannst.
Oh Mann, es kann so einfach sein, wenn man weiß wie ;-)
Super geniale Idee, läuft schon :-)))Panik-Nebelkerze anzünden
Ich, Panik, nö, pfSense ist reine Bespaßung für mich, zwar soll meine Familie sicher arbeiten können, so viel Ernsthaftigkeit muss schon sein, aber wenn ich eine Firewall brauche, kaufe ich mir einfach eine und gut ist!
Und was das Abwarten anbelangt, schauen wir doch einfach mal was die nächsten 5 Jahre sich so ergeben wird...
-
@nosense-0 said in Subjektiv, pfSense hängt immer mal wieder kurz:
Und was das Abwarten anbelangt, schauen wir doch einfach mal was die nächsten 5 Jahre sich so ergeben wird...
Eben das :)
@nosense-0 said in Subjektiv, pfSense hängt immer mal wieder kurz:
Oh Mann, es kann so einfach sein, wenn man weiß wie ;-)
Ist bei den meisten Sachen so ;)
Jetzt noch der Hinweis:- Status / Monitoring
- rechts oben Schraubenschlüssel
- hellblauer Button: Display Advanced
- daneben: + Add View
- neuen Namen angeben, bspw. Quality oder Gateway
- Left Axis: Quality, dein "normales" IPv4 WAN Gateway, bspw. GW_WAN
- Right Axis: Quality, dein "neues Fake" IPv4 WAN Gateway, bspw. Dummy_WAN
- Options: 8 Hours, 1 Minute
- Save View
Damit hast du dann dein normales GW links und dein "Test" Gateway rechts im Blick. 8 Stunden Ansicht ist die maximale Größe in der noch 1mtl die Infos mitgeschrieben werden. Bei 1 Tag oder höher hast du dann "nur" noch 5min oder höhere Auflösung. Aber wenn man morgens mal die Nacht nachschauen will was war, sind 8h meist OK. Und selbst die 5min Intervalle reichen bei 1-2d noch um Ausfälle des WANs/Internets zu sehen.
Mit externem und internem Gateway nebeneinander kann man dann auch ganz gut sehen, ob das was lokales war, ob die Firewall ein Problem hatte, ob es der vorgeschaltete Router o.ä. war, oder ob es wirklich auf der Internet Strecke ein Problem gab.
Damit hat man dann schon ein bisschen integriertes Monitoring bzw. Graphen, wenn der ISP mal wieder erzählen möchte, dass da ein Problem bei dir war, du aber schön belegen kannst, dass das Problem extern aufgetreten ist (und dass es ggf. Paketverlust über längeren Zeitraum gab).
Kann man natürlich noch mehr Tabs erstellen oder andere Sachen mitloggen :)
-
@jegr said in Subjektiv, pfSense hängt immer mal wieder kurz:
Einfach: neues Dummy Gateway anlegen ...
Großartige Idee, danke! Probiere ich mal aus.
-
Wenn was down geht gibt es ja auch OOTB emails, fand ich bisher auch sehr erhellend.
-
Wow, ist ja der Wahnsinn, vielen Dank für die Wissensvermittlung!!!!
Und das klappt super!
Der Ausreißer nach untern ist, Absicht da wird per Schaltuhr täglich das Modem zum Provider neu gestartet und eine Stunde später wird die pfSense automatisch, auch täglich, neu gestartet.
So gefällt mir das :-)))
-
Werde ich mal direkt antesten, gute Idee !
-
@jegr
Ist ja noch genialer, hatte das überlesen, dass man die View abspeichern kann, super !!!Habe mit als zweites Gateway meine eigne (private) Webseite eingerichtet und ping die alle 15 Sekunden an, so kann ich die gleich mit überwachen.
Klasse !!!
-
Ja, ja wenn nichts mehr geht, lies endlich die Gebrauchsanleitung...
Unter System/Advanced/Notifications steht ja auch klipp und klar, das der Test Knopf für "Test SMTP Settings" nur die abgespeicherten Daten verwendet, also zuerst abspeichern und dann diesen Knopf drücken ;-)
Nur wer liest schon was sooo klein in der Zeitung steht ;-)
Falls es aber dann doch nicht geklappt hat, vor jedem erneuten Abspeichern, nochmals das Passwort erneut eintippen.
So, die Chose mit der Benachrichtigung läuft jetzt auch, wird ja immer besser :-)
