MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway
-
Wer MultiWAN und NAT/Port Forward verwendet sollte lieber nicht auf die 2.5.1 wechseln:
https://redmine.pfsense.org/issues/11805Das ist das erste mal das ich in 10 Jahren auf die alte Version zurückrollen musste :)
Ich bin mal gespannt ob es ein Hotfix gibt, leider ist auf github noch nichts zu sehen. -
Betrifft nur die CE?
Die Versionen driften wohl noch rascher zum Nachteil der Community Edition auseinander als befürchtet.
-
@viragomann
wenn ich das richtig verstanden habe war vorher die plus betroffen.Musste jetzt erstmal auf 2.5.0 zurück und hab etwas Hoffnung das es ein Hotfix gibt, keine Ahnung wie man da inzwischen unterwegs ist.
-
@slu
Apropos Rollback, wie macht ihr das?Ich bin da ja noch bei der klassischen Methode: Neuinstallation der älteren Version unter Verwendung der aktuellen Konfig. Das erfordert aber physischen Zugang zu der Hardware, falls die pfSense nicht virtualisiert läuft.
Unter 2.4.x war das aber auch schon seit Jahren nicht mehr erforderlich.In einem Thread hier hat vor ein paar Wochen ein Kollege von der Möglichkeit von ZFS Snapshots geschrieben, die Vorgänge aber nicht verständlich erklärt. Habe mir vorgemerkt, mich mal mit diesem Thema auseinander zu setzen, wenn Zeit ist.
Ich habe zwar mittlerweile all meine Installation auf ZFS. Dass das auch Snapshots unterstützt war, mir allerdings bis dato nicht bekannt. Ich kenne das von Linux auf BtrFS und hatte es da schon erfolgreich eingesetzt.
Für die Remote-Administration einer pfSense wäre das in 2.5.x Zeiten doch interessant.
Verwendet das schon jemand? -
@viragomann
ich hab neu installiert, an ZFS habe ich noch gar nicht gedacht.Bin gespannt wie es mit dem Problem weiter geht, sehr unangenehme Situation, vor allem wegen dem openssl Fix.
-
Täuscht mich das oder ist es extrem ruhig geworden um pfSense?
-
@slu
Schau mal ins OPNSense Forum. Vielleicht findest du da ein paar bekannte Leute, die früher hier aktiv waren.
Hab gestern wieder welche entdeckt. -
@viragomann
:)
Ich bin echt am überlegen und testen, mal sehen wie sich das entwickelt.
Finde es schon komisch das Port Forward defekt ist bei MultiWAN und man das nicht mal bei den Known Issues hinzufügt... -
@slu
Nun, das war kein Bekenntnis meinerseits. Ich hab dort (noch) keinen Account.Meine Installationen sind noch alle auf 2.4.5. Bislang konnte ich aufkeimende Upgrade-Gelüste erfolgreich unterdrücken.
OPNSense mal zu testen würde mich mindestens ebenso reizen. Vor einem Jahr galt sie ja noch als weniger zuverlässig. Das dürfte sich aber mittlerweile zum Besseren geändert haben.Die Spaltung der pfSense in CE und Plus gefällt mir gar nicht. Vor allem, nachdem die anscheinend doch deutlich auseinanderlaufen. Ich möchte sie gewerblich und im Non-Profit einsetzen und würde daher beide verwenden.
Auch verstehe ich nicht, dass sich die User hier nun schon über Wochen über dieselben masiven Probleme beklagen müssen. Keine Kleinigkeiten, sondern, wie in deinem Fall, gravierend den Betrieb störende Fehlern.
-
@viragomann said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
@slu
Nun, das war kein Bekenntnis meinerseits. Ich hab dort (noch) keinen Account.also ich habe da ja einen Account :)
Meine Installationen sind noch alle auf 2.4.5. Bislang konnte ich aufkeimende Upgrade-Gelüste erfolgreich unterdrücken.
Das ist ein Zustand denn ich eigentlich vermeiden möchte, sind ja auch immer wieder Sicherheitspatches enthalten.
Aktuelles Beispiel, eigentlich sollte man auf 2.5.1 in Kombiantion mit einem HAProxy, geht aber wegen dem Port Forward Problem nicht.
OPNSense mal zu testen würde mich mindestens ebenso reizen. Vor einem Jahr galt sie ja noch als weniger zuverlässig. Das dürfte sich aber mittlerweile zum Besseren geändert haben.
Ich teste schon...
-
Ist vielleicht doch nicht so der große usecase, gleichzeitige Portforward s auf mehren WANs? Aber sicherlich ärgerlich so was. Man sieht quasi live, wie das branchen schon nicht mehr unter Kontrolle ist... Und viele haben davor gewarnt, gesagt, dass es so keinen Sinn macht und here we are.
-
@bob-dig said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
Ist vielleicht doch nicht so der große usecase, gleichzeitige Portforward s auf mehren WANs?
Scheint so, für uns war es eine kleine Katastrophe weil wir unseren kleinen Upload über mehrere WAN verteilen.
Aber klar wer die pfSense mit nur einem WAN einsetzt merkt das nicht...
Wobei ein Gateway mit OpenVPN auch das Problem haben könnte. -
@bob-dig said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
Ist vielleicht doch nicht so der große usecase, gleichzeitige Portforward s auf mehren WANs?
Ich nutzte das auch über Jahre. Hätte zwar zur Not auch alles über einen Anschluss gehen können, aber wofür hat man dann Multi-WAN? Hätte mich gewiss ziemlich genervt.
-
Ich finde es erstaunlich das hier nichts ergänzt wird, kein Hinweis:
https://docs.netgate.com/pfsense/en/latest/releases/21-02-2_2-5-1.htmlWenn man das im Forum nicht gelesen hat rennt man in das Problem.
Beim Ticket [1] gibts auch keine Rückmeldung, man hängt total in der Luft.https://redmine.pfsense.org/issues/11805
-
@viragomann said in [MutiWAN NAT/Port Forward pfSense 2.5.1
aber wofür hat man dann Multi-WAN? Hätte mich gewiss ziemlich genervt.
Wenn man nicht zurück gehen kann/will, was kann man machen, z.B. eine zweite pfSense aufsetzen?
Just curious. -
@slu said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
Ich finde es erstaunlich das hier nichts ergänzt wird, kein Hinweis:
https://docs.netgate.com/pfsense/en/latest/releases/21-02-2_2-5-1.htmlWenn man das im Forum nicht gelesen hat rennt man in das Problem.
Beim Ticket [1] gibts auch keine Rückmeldung, man hängt total in der Luft.https://redmine.pfsense.org/issues/11805
< vermutung an>
... vielleicht liegt das Problem tiefer im System und ein Patch lässt sich nicht so leicht erstellen.
< vermutung aus />Schönen Tach noch,
fireodo -
@fireodo Ich finde auch, dass aktuell gerade durch die 2.5 Ankündigungen alles gleich zum Riesenproblem hochstilisiert wird.
Ich sehe auch kein Stück, dass es "ruhig" um pfSense wird. Und bei OPNsense tummeln sich vielleicht mehr Leute, die sich einfach informieren, aber wegen einem "hätte wäre wenn vielleicht blubb" steigen nicht wirklich viele einfach so um. Zumal das Gras auf der anderen Seite auch nicht grüner ist. PBR Routing bei OpenVPN, PPPoE geht nach Update nicht, etc. etc. - es gibt genug Sachen die immer wieder auch regelmäßig ärgerlicherweise bei OPNsense aufschlagen. Da ich mit beiden Gruppen rede, muss man da links wie rechts nichts schönreden.
@viragomann said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
Die Versionen driften wohl noch rascher zum Nachteil der Community Edition auseinander als befürchtet.
Das ist halt auch quatsch, denn direkt im Patchlevel davor hatte die Plus das gleiche Problem. Wahrscheinlicher ist eher, dass es durch irgendwas getriggert wird, was durch ne andere Anpassung mal links wie rechts dann mal runterfällt. Bis man so einen UseCase eben abgeklopft hat, was genau der Auslöser ist, kann es eben sein, dass es nicht immer auf allen Seiten auftaucht. Plus muss eben gerade extra gebaut werden wegen eigener Hardware und Treibern. Gabs auch früher mal bei ISO vs. Image oder NanoBSD vs Full Install - solche Sachen kommen halt vor.
Man sieht quasi live, wie das branchen schon nicht mehr unter Kontrolle ist... Und viele haben davor gewarnt, gesagt, dass es so keinen Sinn macht und here we are.
Was siehst du denn wo, welche Branches angeblich keinen Sinn machen? Also was ihr da gerade überall reindiskutiert ist schon echt teils an den Haaren rangezogen ;)
Dass die Netgate Peoples vielleicht gerade ziemlich was um die Ohren haben und deshalb mit Fehlerbehebung etwas dauert könnte durchaus verständlich sein, wenn man bedenkt, dass man Wireguard komplett rauspatchen musste in der .1 und das so absichern, dass die vorhandenen Installs dann nicht versehentlich einfach updaten, weil sonst wieder Geschrei groß ist. Die sind also schon gerade gut am Freidrehen. Und dann tauchen mit dem Rebase zu 12.2 auch noch ständig irgendwelche Seiteneffekte auf.
Ja, das Release gerade ist echt etwas ruppig. Hatte im Vergleich OPNsense davor aber auch (mehrfach) schon und da gibts allerdings nicht so viel Drama deshalb. Könnte man sich jetzt überlegen warum, aber anscheinend gehen die Nutzer schon davon aus, dass es sich etwas Bananen-mäßig verhält und erst 1-2 Patch Releases braucht bis es richtig läuft. Die hauen ja auch pro Version mal gut 7-10 Point Releases hinterher. Will ich gar nicht sagen, ob das gut/besser ist oder nicht, ist eben eine andere Philosophie bei den Releases.
Oh zu ZFS: wir rollen seit Jahren alles pfSense nur mit ZFS aus. Lief auf HW wesentlich besser.
-
@fireodo said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
< vermutung an>
... vielleicht liegt das Problem tiefer im System und ein Patch lässt sich nicht so leicht erstellen.
< vermutung aus />Das ist gut vorstellbar, würde aber die Known Issues nicht stören
-
@jegr said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
Das ist halt auch quatsch, denn direkt im Patchlevel davor hatte die Plus das gleiche Problem.
Das hatte ich gesehen und ich kann mir nur zu gut vorstellen wie man sich ärgert (als Entwickler) wenn das mit der 2.5.1 wieder auf den Tisch kommt. Ist mir ja auch alles schon einmal passiert, so ist es nicht.
Hochkochen würde ich das Problem nicht, nein. Irgend eine Abschätzung wann es ein Fix/Workaround kommt wäre trotzdem hilfreich...
-
@jegr said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
denn direkt im Patchlevel davor hatte die Plus das gleiche Problem.
Das hatte ich schon mitbekommen. Frage mich aber in diesem Zusammenhang, ob man das Problem nach der Erfahrung und dem Fix bei Plus nicht von vornweg bei der CE vermeiden hätte können. Oder muss die Community nun alle Räder selbst neu erfinden.
Vielleicht war es ein einmaliger Vorfall, aber zusammen mit allem anderen, was in jüngerer Zeit über die Aufspaltung Plus-CE publik wurde sieht für mich doch irgendwie so aus, als wollte man von der Community profitieren, sollte es was geben, aber nichts zurückgegen. Wissensaustausch auf der Einbahnstraße also. Da stehen Gewinner und Verlierer von vornherein fest.Oh zu ZFS: wir rollen seit Jahren alles pfSense nur mit ZFS aus. Lief auf HW wesentlich besser.
Die Frage bezüglich ZFS war, ob jemand Erfahrung mit Snapshots und Rollbacks hat.
-
@viragomann said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
Vielleicht war es ein einmaliger Vorfall, aber zusammen mit allem anderen, was in jüngerer Zeit über die Aufspaltung Plus-CE publik wurde sieht für mich doch irgendwie so aus, als wollte man von der Community profitieren, sollte es was geben, aber nichts zurückgegen. Wissensaustausch auf der Einbahnstraße also. Da stehen Gewinner und Verlierer von vornherein fest.
Ist ja eher andersrum. Die Plus hatte das Problem zuerst, irgendwie hat man es wegbekommen und lustigerweise geht der gleiche Fix wohl nicht in der CE. Treiber? OS? Irgendwas anderes? Wer weiß. Die haben aber eben gleich mehrere Baustellen aktiv offen. Und wenn sie wüssten wie schnell es geht hätten sies sicher ins Ticket geschrieben. Wenn aber da vor 6 Tagen drinsteht, dass es nachvollziehbar ist und jemand recht zuversichtlich ist, dass er ggf. nen Fix hat, dann wirds wohl potentiell nicht mehr so lange dauern. Aber wenn du sowas aufmachst oder offen hast, dann willst du den Fix da sicher auch nicht rushen um das nächste Problem aufzumachen oder das gleiche Ding bei der Plus wieder einzuführen. Regression Bugs sind eben immer fies :)
Die Frage bezüglich ZFS war, ob jemand Erfahrung mit Snapshots und Rollbacks hat.
Tatsächlich noch nicht, keine Zeit gehabt. Und aktuell leider sehr viel mit Support, Seminaren und Workshops zu tun. Das nimmt gerade ganz gut zu, da sich viele aktuell nach Alternativen umsehen, nachdem es bei den Hardware Firewall Herstellern gerade auch ständig kracht ;)
-
Kurze Frage in die Runde:
Seit dem 2.5.1 Update will mein OpenVPN nicht mehr wirklich über mein 2. WAN Interface (nicht Default Interface).
Die Verbindung kann aufgebaut werden(Win Clinet --> pfSense) aber sobald man dann auf eine interne Ressource z.b. über RDP oder HTTP zugreifen will, stürzt der Tunnel ab.
Kann das jemand bestätigen, dass es mit dem verlinkten Bug zusammenhängt? So richtig matchen kann ich das mit dem Bugreport nicht, weil ich kein Port Forwarding nutze sondern direkt eine Firewall Rule auf dem WAN2 InterfaceDas sind die letzten Logeinträge im OpenVPN Client
2021-04-20 14:26:20 IPv4 MTU set to 1500 on interface 12 using service 2021-04-20 14:26:26 Initialization Sequence Completed 2021-04-20 14:27:04 read TCP_CLIENT: Unknown error (code=10060) 2021-04-20 14:27:04 Connection reset, restarting [-1] 2021-04-20 14:27:04 SIGUSR1[soft,connection-reset] received, process restarting
-
So wie es aussieht muss man auf die 2.6.0-dev wechseln, keine schöne Situation.
Wenn ich wüsste ob wir hier von 2 Wochen oder 2 Monaten sprechen... -
@slu said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
Wenn ich wüsste ob wir hier von 2 Wochen oder 2 Monaten sprechen...
Diese Frage wird wohl nicht mal das Netgate-Team beantworten können ...
Grüße,
fireodo -
@fireodo
naja es gibt ja ein Patch der auch schon im 2.5.er Zweig ist... -
@slu So wie es aussieht muss man auf die 2.6.0-dev wechseln, keine schöne Situation.
Warum sollte man auf 2.6dev wechseln müssen?
-
pfSense 2.5.1 kann ich nicht einsetzten wegen dem Bug.
2.5.0 hat aber das openssl Problem was mit dem HAProxy unschön ist.Was mache ich jetzt?
Oder ist das openssl Problem keines für den Use Case pfSense?
-
@slu said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
Was mache ich jetzt?
In den englischsprachigen Kommentaren sagen einige dass ein Wechsel zur 2.6 devel sinnvoll wäre weil es dort dieses Problem nicht gibt - aber unter Umständen handelt man sich anderweitig noch größeren Ärger ein ...
Meine 5 Cents ...Grüße,
fireodo -
@fireodo said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
In den englischsprachigen Kommentaren sagen einige dass ein Wechsel zur 2.6 devel sinnvoll wäre weil es dort dieses Problem nicht gibt - aber unter Umständen handelt man sich anderweitig noch größeren Ärger ein ...
Jap, das ist genau der Punkt. Für diese Systeme möchte ich nicht auf 2.6 devel gehen.
Bei meiner privaten Netgate Appliance hab ich damit kein Schmerz... -
Verstehe das Problem nicht. Wenn es in 2.6-dev jetzt sauber läuft und entsprechend ein Fix damit gerade getestet wird, dann gibts auch nen Backport oder zumindest Cherry Picking mit Patch für 2.5 in naher Zukunft. Lief so in der Vergangenheit auch, verstehe nicht warum jetzt gerade jeder in Panik ist, dass es jetzt nicht mehr so sein sollte. Und kommt mir nicht mit dem Plus Kram, denn egal was Plus ist oder wird (oder eben nicht ist/wird) wurde von Anfang an kommuniziert, dass Bugfixes, Security Fixes etc etc. alle weiterhin bearbeitet und ordentlich umgesetzt werden. Dass man aber nach dem Wireguard Rollback und den Problemen mit VPN auf 2.5 und dem Forwarding Kram in 21.2 bzw. 2.5.1 jetzt eben NICHT nen Schnellschuß Patch raushauen möchte sondern ordentlich testen muss, versteht sich für mich ebenfalls von selbst.
Würde daher die Redmine Issues im Auge behalten und abwarten.
2.5.0 hat aber das openssl Problem was mit dem HAProxy unschön ist.
Habe ich aktuell gerade wegen Überlastung an anderer Stelle nicht auf dem Schirm, was gibt es da?
Da ich gerade selbst nen kleinen HAproxy Bug reported hatte, habe ich da nichts gesehen, dass es irgendein OpenSSL/HAproxy Problem gibt. Oder gehts generell einfach um den OpenSSL Bugfix auf 1.1.1k der dann erst mit 2.5.1 drin ist? -
@jegr said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
Lief so in der Vergangenheit auch, verstehe nicht warum jetzt gerade jeder in Panik ist, dass es jetzt nicht mehr so sein sollte. Und kommt mir nicht mit dem Plus Kram, denn egal was Plus ist oder wird (oder eben nicht ist/wird) wurde von Anfang an kommuniziert, dass Bugfixes, Security Fixes etc etc. alle weiterhin bearbeitet und ordentlich umgesetzt werden.
keine Sorge um Plus gehts mir nicht und ich bin mir sicher das es ein Fix gibt, die Frage ist nur wann weil..
..mir ist unklar wie groß das openssl problem ist
..ich in 10 Jahren noch nie das Problem hatte nicht updaten zu können und ich keine Ahnung hab was passiert wenn jetzt Packetupdates kommen (z.B. es ist was gegen die neue OpenSSL Version gebaut bzw. verwendet das).Da ich gerade selbst nen kleinen HAproxy Bug reported hatte, habe ich da nichts gesehen, dass es irgendein OpenSSL/HAproxy Problem gibt
Vielleicht hab ich das auch nur falsch verstanden, stecke in dem Problem nicht tief genug drin.
https://forum.netgate.com/topic/162586/openssl-cve-2021-3449-cve-2021-3450?_=1619176564095
https://redmine.pfsense.org/issues/11755
Während ich geschrieben hab hast Du editiert, hoffe meine Antwort passt noch :)
-
@slu said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
und ich keine Ahnung hab was passiert wenn jetzt Packetupdates kommen (z.B. es ist was gegen die neue OpenSSL Version gebaut bzw. verwendet das).
Wen die Branches in System > Update > System Update und Update Settings auf deiner aktuellen Version gesetzt sind, sollte kein Paket gezogen werden, das nicht kompatibel ist.
-
@slu said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
https://redmine.pfsense.org/issues/11755
Jup, was Virago sagt. Wenn der Branch sauber gesetzt ist, kann man auch aktuell mit 2.4.5-p1 Pakete installieren ohne aus Versehen auf 2.5 upzudaten, etc. Also kommts drauf an, was man ausgewählt hat.
2.6 auf nem Entwicklungssystem OK, zu Hause auch, live wäre mir das eher nicht so recht.
Wenn 2.5.0 das Einzige Problem OpenSSL ist, dann würde ich 2.5 nehmen, denn was ich bislang zu den beiden Lücken gelesen habe - obwohl sie korrekt "hoch" eingestuft sind - sind es DoS Angriffsflächen. Also im Dümmsten Fall fliegt der HAproxy eben weg und stirbt. Wenn du aber MultiWAN hast und grad von den Forwards betroffen bist, warum auch immer die nicht so wollen wie sie sollen, dann würde ich ggf. eher bei 2.5 bleiben als ganz zurückzurollen auf 2.4 - aber das muss jeder selbst entscheiden. Besser wirds da bspw. mit OpenSSL ja auch nicht. :) -
@jegr said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
Jup, was Virago sagt. Wenn der Branch sauber gesetzt ist, kann man auch aktuell mit 2.4.5-p1 Pakete installieren ohne aus Versehen auf 2.5 upzudaten, etc. Also kommts drauf an, was man ausgewählt hat.
interessant, das war mir nicht klar, wieder was gelernt.
Wenn 2.5.0 das Einzige Problem OpenSSL ist, dann würde ich 2.5 nehmen, denn was ich bislang zu den beiden Lücken gelesen habe - obwohl sie korrekt "hoch" eingestuft sind - sind es DoS Angriffsflächen. Also im Dümmsten Fall fliegt der HAproxy eben weg und stirbt. Wenn du aber MultiWAN hast und grad von den Forwards betroffen bist, warum auch immer die nicht so wollen wie sie sollen, dann würde ich ggf. eher bei 2.5 bleiben als ganz zurückzurollen auf 2.4 - aber das muss jeder selbst entscheiden. Besser wirds da bspw. mit OpenSSL ja auch nicht. :)
Hast mich überzeugt, ich bleibe bei der 2.5.0 vorerst :)
Mal sehen ob der HAProxy irgendwann mal weg ist... -
@slu https://redmine.pfsense.org/issues/11805
sollte also hoffentlich nicht lange dauern, es benötigt aber auf jeden Fall ein 2.5.2 da Kernel Level Fix. Deshalb gibts auch nirgends einen Hotfix oder sonstwas zum Einspielen und wenn es ein Kernel Fix ist, dauert es entsprechend länger, weil die ganze Release Kette dann getestet werden muss. Darum zieht sichs auch so lange.
Erklärt auch warum Plus dieses Mal nicht betroffen ist, weil es wohl eine Regression war, also irgendeine Kernel Anpassung hat das wieder mit reingebracht obwohls schon raus war. Vielleicht einfach human-error und vom falschen Stand aus nen Rebase vom Git gemacht oder whatever. Da aber Plus und CE (minimal) andere Kernels haben (schon immer wegen Treibern für ARM etc.) ist das erklärbar.
Cheers
-
@jegr
ja der Aufwand für diesen Fix ist leider höher als gedacht.Mal sehen wann sich was tut, ich hatte auf ein -p1 gehofft.
Im Moment steht das Ticket auf 2.6.0, mal sehen... -
Was mich wirklich wundert, nach wie vor steht nichts in den Known Issues, das verstehe ich nicht.
Die Leute rennen weiterhin in dieses Problem... -
Hallo in die Runde,
hier ist auch ein 2.5.1-Geplagter, der von den Fehlern nichts wusste und nun arge Probleme nach dem Update hat.
DNS ging auf der pfsense nicht mehr - da habe ich mir schnell geholfen und nen pihole ins Netz genommen.
Was aber viel schlimmer ist, dass IPSec-Tunnel ständig wegbrechen. Bzw sie sind Online, aber es geht kein Traffic mehr rüber. Manchmal läuft es Stunden durch und manchmal ist nach 5Minuten wieder Ende.Weiß schon jemand mehr bzgl. Patches? Habe hier in der Produktivumgebung kein gutes Gefühl mit Dev-Versionen.
Das ganze läuft auf einer Netgate XG-7100.
Danke für eine Rückmeldung und liebe Grüße
-
Ich stelle mich mal in der Geplagten Reihe hinten an.
Habe seit zwei Wochen Probleme mit OpenVPN Latenz. Das fällt produktiv aber nur bei den VoIP Verbindungen auf. Unterbrüche von bis zu 3 Sekunden im Gespräch. Alle anderen Dienste (Mail, Fileshare, etc.) laufen stabil. Dennoch stehen mir 50 User auf den Füssen, weil sie nicht mehr sauber telefonieren können.Endlosping vom Client zum Server durch den Tunnel wirft unregelmäßig hohe Latenzen (3000ms) und Timeouts raus. Aussen herum Ping ohne Tunnel direkt auf eine public IP erzeugt zur gleichen Zeit keine Auffälligkeiten. Liegt also definitiv am Tunnel.
Hab zum Testen auf eine derbe Hardware gewechselt. Das hat die Latenz zwar von 3200ms auf 1500ms runtergebracht. Unterbrüche im Gespräch bleiben aber.
Ein downgrade auf die vorher verwendete 2.4.4 funktioniert einwandfrei aber ich will eigentlich den Open SSL Exploit schliessen.
Hat die 2.5.0 die 1.1.1k noch nicht drin und die hat das Gateway Problem nicht?
Gruss
Dennis -
Wie lange war deine Downtime für das Downgrade ungefähr?
Überlege wirklich diesen Schritt zu gehen, aber habe keine Ahnung vom nötigen Zeitfenster.
CFG der 2.4.5/19.1 habe ich glücklicherweise.Ein weiteres Problem ist übrigens noch, dass ich keine DHCP-Leases mehr ansehen kann.
Zu Hause läuft alles problemlos, allerdings in virtualisierter Umgebung ohne Multi-WAN.