MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway
-
pfSense 2.5.1 kann ich nicht einsetzten wegen dem Bug.
2.5.0 hat aber das openssl Problem was mit dem HAProxy unschön ist.Was mache ich jetzt?
Oder ist das openssl Problem keines für den Use Case pfSense?
-
@slu said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
Was mache ich jetzt?
In den englischsprachigen Kommentaren sagen einige dass ein Wechsel zur 2.6 devel sinnvoll wäre weil es dort dieses Problem nicht gibt - aber unter Umständen handelt man sich anderweitig noch größeren Ärger ein ...
Meine 5 Cents ...Grüße,
fireodo -
@fireodo said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
In den englischsprachigen Kommentaren sagen einige dass ein Wechsel zur 2.6 devel sinnvoll wäre weil es dort dieses Problem nicht gibt - aber unter Umständen handelt man sich anderweitig noch größeren Ärger ein ...
Jap, das ist genau der Punkt. Für diese Systeme möchte ich nicht auf 2.6 devel gehen.
Bei meiner privaten Netgate Appliance hab ich damit kein Schmerz... -
Verstehe das Problem nicht. Wenn es in 2.6-dev jetzt sauber läuft und entsprechend ein Fix damit gerade getestet wird, dann gibts auch nen Backport oder zumindest Cherry Picking mit Patch für 2.5 in naher Zukunft. Lief so in der Vergangenheit auch, verstehe nicht warum jetzt gerade jeder in Panik ist, dass es jetzt nicht mehr so sein sollte. Und kommt mir nicht mit dem Plus Kram, denn egal was Plus ist oder wird (oder eben nicht ist/wird) wurde von Anfang an kommuniziert, dass Bugfixes, Security Fixes etc etc. alle weiterhin bearbeitet und ordentlich umgesetzt werden. Dass man aber nach dem Wireguard Rollback und den Problemen mit VPN auf 2.5 und dem Forwarding Kram in 21.2 bzw. 2.5.1 jetzt eben NICHT nen Schnellschuß Patch raushauen möchte sondern ordentlich testen muss, versteht sich für mich ebenfalls von selbst.
Würde daher die Redmine Issues im Auge behalten und abwarten.
2.5.0 hat aber das openssl Problem was mit dem HAProxy unschön ist.
Habe ich aktuell gerade wegen Überlastung an anderer Stelle nicht auf dem Schirm, was gibt es da?
Da ich gerade selbst nen kleinen HAproxy Bug reported hatte, habe ich da nichts gesehen, dass es irgendein OpenSSL/HAproxy Problem gibt. Oder gehts generell einfach um den OpenSSL Bugfix auf 1.1.1k der dann erst mit 2.5.1 drin ist? -
@jegr said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
Lief so in der Vergangenheit auch, verstehe nicht warum jetzt gerade jeder in Panik ist, dass es jetzt nicht mehr so sein sollte. Und kommt mir nicht mit dem Plus Kram, denn egal was Plus ist oder wird (oder eben nicht ist/wird) wurde von Anfang an kommuniziert, dass Bugfixes, Security Fixes etc etc. alle weiterhin bearbeitet und ordentlich umgesetzt werden.
keine Sorge um Plus gehts mir nicht und ich bin mir sicher das es ein Fix gibt, die Frage ist nur wann weil..
..mir ist unklar wie groß das openssl problem ist
..ich in 10 Jahren noch nie das Problem hatte nicht updaten zu können und ich keine Ahnung hab was passiert wenn jetzt Packetupdates kommen (z.B. es ist was gegen die neue OpenSSL Version gebaut bzw. verwendet das).Da ich gerade selbst nen kleinen HAproxy Bug reported hatte, habe ich da nichts gesehen, dass es irgendein OpenSSL/HAproxy Problem gibt
Vielleicht hab ich das auch nur falsch verstanden, stecke in dem Problem nicht tief genug drin.
https://forum.netgate.com/topic/162586/openssl-cve-2021-3449-cve-2021-3450?_=1619176564095
https://redmine.pfsense.org/issues/11755
Während ich geschrieben hab hast Du editiert, hoffe meine Antwort passt noch :)
pfSense Gold subscription
-
@slu said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
und ich keine Ahnung hab was passiert wenn jetzt Packetupdates kommen (z.B. es ist was gegen die neue OpenSSL Version gebaut bzw. verwendet das).
Wen die Branches in System > Update > System Update und Update Settings auf deiner aktuellen Version gesetzt sind, sollte kein Paket gezogen werden, das nicht kompatibel ist.
-
@slu said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
https://redmine.pfsense.org/issues/11755
Jup, was Virago sagt. Wenn der Branch sauber gesetzt ist, kann man auch aktuell mit 2.4.5-p1 Pakete installieren ohne aus Versehen auf 2.5 upzudaten, etc. Also kommts drauf an, was man ausgewählt hat.
2.6 auf nem Entwicklungssystem OK, zu Hause auch, live wäre mir das eher nicht so recht.
Wenn 2.5.0 das Einzige Problem OpenSSL ist, dann würde ich 2.5 nehmen, denn was ich bislang zu den beiden Lücken gelesen habe - obwohl sie korrekt "hoch" eingestuft sind - sind es DoS Angriffsflächen. Also im Dümmsten Fall fliegt der HAproxy eben weg und stirbt. Wenn du aber MultiWAN hast und grad von den Forwards betroffen bist, warum auch immer die nicht so wollen wie sie sollen, dann würde ich ggf. eher bei 2.5 bleiben als ganz zurückzurollen auf 2.4 - aber das muss jeder selbst entscheiden. Besser wirds da bspw. mit OpenSSL ja auch nicht. :) -
@jegr said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
Jup, was Virago sagt. Wenn der Branch sauber gesetzt ist, kann man auch aktuell mit 2.4.5-p1 Pakete installieren ohne aus Versehen auf 2.5 upzudaten, etc. Also kommts drauf an, was man ausgewählt hat.
interessant, das war mir nicht klar, wieder was gelernt.
Wenn 2.5.0 das Einzige Problem OpenSSL ist, dann würde ich 2.5 nehmen, denn was ich bislang zu den beiden Lücken gelesen habe - obwohl sie korrekt "hoch" eingestuft sind - sind es DoS Angriffsflächen. Also im Dümmsten Fall fliegt der HAproxy eben weg und stirbt. Wenn du aber MultiWAN hast und grad von den Forwards betroffen bist, warum auch immer die nicht so wollen wie sie sollen, dann würde ich ggf. eher bei 2.5 bleiben als ganz zurückzurollen auf 2.4 - aber das muss jeder selbst entscheiden. Besser wirds da bspw. mit OpenSSL ja auch nicht. :)
Hast mich überzeugt, ich bleibe bei der 2.5.0 vorerst :)
Mal sehen ob der HAProxy irgendwann mal weg ist... -
@slu https://redmine.pfsense.org/issues/11805
sollte also hoffentlich nicht lange dauern, es benötigt aber auf jeden Fall ein 2.5.2 da Kernel Level Fix. Deshalb gibts auch nirgends einen Hotfix oder sonstwas zum Einspielen und wenn es ein Kernel Fix ist, dauert es entsprechend länger, weil die ganze Release Kette dann getestet werden muss. Darum zieht sichs auch so lange.
Erklärt auch warum Plus dieses Mal nicht betroffen ist, weil es wohl eine Regression war, also irgendeine Kernel Anpassung hat das wieder mit reingebracht obwohls schon raus war. Vielleicht einfach human-error und vom falschen Stand aus nen Rebase vom Git gemacht oder whatever. Da aber Plus und CE (minimal) andere Kernels haben (schon immer wegen Treibern für ARM etc.) ist das erklärbar.
Cheers
-
@jegr
ja der Aufwand für diesen Fix ist leider höher als gedacht.Mal sehen wann sich was tut, ich hatte auf ein -p1 gehofft.
Im Moment steht das Ticket auf 2.6.0, mal sehen... -
Was mich wirklich wundert, nach wie vor steht nichts in den Known Issues, das verstehe ich nicht.
Die Leute rennen weiterhin in dieses Problem... -
Hallo in die Runde,
hier ist auch ein 2.5.1-Geplagter, der von den Fehlern nichts wusste und nun arge Probleme nach dem Update hat.
DNS ging auf der pfsense nicht mehr - da habe ich mir schnell geholfen und nen pihole ins Netz genommen.
Was aber viel schlimmer ist, dass IPSec-Tunnel ständig wegbrechen. Bzw sie sind Online, aber es geht kein Traffic mehr rüber. Manchmal läuft es Stunden durch und manchmal ist nach 5Minuten wieder Ende.Weiß schon jemand mehr bzgl. Patches? Habe hier in der Produktivumgebung kein gutes Gefühl mit Dev-Versionen.
Das ganze läuft auf einer Netgate XG-7100.
Danke für eine Rückmeldung und liebe Grüße
-
Ich stelle mich mal in der Geplagten Reihe hinten an.
Habe seit zwei Wochen Probleme mit OpenVPN Latenz. Das fällt produktiv aber nur bei den VoIP Verbindungen auf. Unterbrüche von bis zu 3 Sekunden im Gespräch. Alle anderen Dienste (Mail, Fileshare, etc.) laufen stabil. Dennoch stehen mir 50 User auf den Füssen, weil sie nicht mehr sauber telefonieren können.Endlosping vom Client zum Server durch den Tunnel wirft unregelmäßig hohe Latenzen (3000ms) und Timeouts raus. Aussen herum Ping ohne Tunnel direkt auf eine public IP erzeugt zur gleichen Zeit keine Auffälligkeiten. Liegt also definitiv am Tunnel.
Hab zum Testen auf eine derbe Hardware gewechselt. Das hat die Latenz zwar von 3200ms auf 1500ms runtergebracht. Unterbrüche im Gespräch bleiben aber.
Ein downgrade auf die vorher verwendete 2.4.4 funktioniert einwandfrei aber ich will eigentlich den Open SSL Exploit schliessen.
Hat die 2.5.0 die 1.1.1k noch nicht drin und die hat das Gateway Problem nicht?
Gruss
Dennis -
Wie lange war deine Downtime für das Downgrade ungefähr?
Überlege wirklich diesen Schritt zu gehen, aber habe keine Ahnung vom nötigen Zeitfenster.
CFG der 2.4.5/19.1 habe ich glücklicherweise.Ein weiteres Problem ist übrigens noch, dass ich keine DHCP-Leases mehr ansehen kann.
Zu Hause läuft alles problemlos, allerdings in virtualisierter Umgebung ohne Multi-WAN.
-
@one
es gab bei der 2.5.0 DNS Probleme - siehe:
https://forum.netgate.com/topic/161092/2-5-0-dns-service-stopping-randomly/17?_=1620652045965Wenn du es geschickt anstellst, solltest du mit 15-20 min. Downtime davonkommen können.
Für solche Fälle ist eine zweite HW viel Wert ;-) -
ich habe die pcengines appliance 2x gekauft. so kann ich offline eine neue pfsense installieren, config einspielen, anschauen. der switch over dauert dann nur 3 minuten und pakete installieren, nachdem die neue hardware wieder internet hat.
-
Es scheint sich was zu tun:
https://redmine.pfsense.org/versions/65
2.5.2 -
Oder doch nicht...
-
@slu Warum "nicht"? Nur weil seit 5 Tagen niemand eine Kategorie befüllt in ihrem Redmine? Daraus würde ich jetzt nichts ablesen wollen.
Zudem war nach der Plus Ankündigung ja kommuniziert, dass die Releases gerade bei Plus kürzer werden sollen und je nach Inhalt auch die CE jetzt endlich mal kürzere Release Zeiten bekommt. Da man bei den Plus Versionen in Redmine immer noch von 21.05 und 21.09 spricht und die "5er" bislang nicht geskipped wurde wie ich eigentlich erwartet/vorausbeschworen hatte, könnte es durchaus sein, dass das Bugfix in 2.6/21.05 kommt und man keine Minor Version mehr raus pusht, sondern statt dessen gleich auf 2.6 geht und das side-by-side mit 21.05 noch diesen Monat rauswirft.
-
@jegr said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:
@slu Warum "nicht"? Nur weil seit 5 Tagen niemand eine Kategorie befüllt in ihrem Redmine? Daraus würde ich jetzt nichts ablesen wollen.
Es war mal kurz was drin ist aber wieder rausgefolgen. Vielleicht ist der Redmine Eintrag für ein build notwendig, hätte aber auch gar nichts gehen die 2.6.0 :)
Vielleicht wechseln wir auch mal auf Plus, so ganz kann ich mich damit aber noch nicht anfreunden...
