CAM Error beim Aufruf der Firewall-Logs über die GUI

altmetaller

Hallo,

wenn ich die Firewall-Logs über die GUI aufrufe, hängt sich das Webinterface komplett weg und ich sehe in der Konsole diese angehängte Fehlermeldung.

Ich habe mehrere (hochwertige und neue!) SD-Karten verschiedenen Typs ausprobiert und diese auch mehrfach auf Fehler überprüft -> die Karten sind allesamt 100% in Ordnung.

Wenn ich z.B. via less in die Firewall-Logs reinschaue, werden diese ebenfalls fehlerfrei angezeigt.

Wie gesagt: Nach Auftreten des Fehlers hängt die GUI komplett, das Problem lässt sich nur durch "Stecker ziehen" beseitigen.

Es handelt sich um ein APU.1D Board, welches eigentlich recht verbreitet ist. Hier die Specs: PC Engines APU.1D Board (2 GByte, 3xLAN) (NRG Systems)

Any hints?!

Liebe Grüße,
Jörg

P.S.: Sry für "Fehlermeldung als Screenshot" - mein serielles Terminal kann irgendwie kein Cut & Paste.

micneu

@altmetaller said in CAM Error beim Aufruf der Firewall-Logs über die GUI:

PC Engines APU.1D Board (2 GByte, 3xLAN) (NRG Systems)

bitte nicht persönlich nehmen, schicke die hardware in rente, die ist ja stein alt. ich würde abstand von der APU hardware nehmen.

mehr kann ich zu deinem thema nicht sagen

altmetaller

@micneu Ich "tüddel" gerade noch ein bisschen herum und habe das mal spaßeshalber auf einem i7 (6 Kerne, 16GB RAM, Samsung 850 Pro SSD) ausprobiert. Selbst mit einer jungfräulichen Standard-Installation bekomme ich da das gleiche Fehlerbild.

Wie viele Kerne und wie viel RAM empfiehlst Du denn, um mein gigantisches Netzwerk (immerhin knapp 30 Clients) mit LAN zu versorgen?

micneu

@altmetaller ich muss nochmal fragen:

• du hast eine n test auf einem weit potenteren sytsem gemacht?
• installation war nativ auf der ssd (samsung)?
• du hast deine config eingelesen oder ohne deine config?
• wo genau hast du den screenshot gemacht?
• in welcher log (oder wo genau hast du den logeintrag gefunden), ich finde den bei mir nicht deshalb müsstest du mal genau beschreiben
• welche sense version setzt du genau ein?

PS: meine persönliche meinung, SD karte ist nicht mehr praktikabel für eine firewall. glaube auch nicht das die überhaupt mit ZFS funktioniert?

altmetaller

@micneu said in CAM Error beim Aufruf der Firewall-Logs über die GUI:

Ich muss nochmal fragen:

Das brauchst Du nicht. Weil, Du schriebst ja selber:

mehr kann ich zu deinem thema nicht sagen

:-)

Gruß,
Jörg

viragomann

@altmetaller said in CAM Error beim Aufruf der Firewall-Logs über die GUI:

Ich "tüddel" gerade noch ein bisschen herum und habe das mal spaßeshalber auf einem i7 (6 Kerne, 16GB RAM, Samsung 850 Pro SSD) ausprobiert. Selbst mit einer jungfräulichen Standard-Installation bekomme ich da das gleiche Fehlerbild.

Mit Standardeinstellungen?
Standardmäßig werden nur 200 Zeilen vom Log angezeigt, wenn sich das noch nicht geändert hat und das schafft die Installation nicht?

NOCling

Welche Version ist im Einsatz, hier kam ja vor kurzem jemand mit einer 2.3 oder 2.4 an.

Es gab Probleme in bestimmten Versionen mit der Log Komprimierung, die sollte man abschalten.

Ein CLI Terminal kopiert das markierte automatisch, kenne das nicht anderes.
Ansonsten einfach printable output in ein Log schreiben.

Was die Hardware angeht, ja würde mal Zeit für was neueres, gibt ja auch die IPU Reihe, wenn du dem Hersteller treu bleiben willst.
Da geht es auch eher um aktuelle Features wie AES usw. Das gibts bei deiner CPU von 2011 noch alles nicht.
Wie schnell ist das Inet und gibt es des PPPoE bei dir?

altmetaller

Hallo @NOCling

Es handelt sich um eine 2.6

Ich habe ein bisschen gegoogelt und bin auf diverse Hinweise gestoßen, dass es sich um einen Fehler im zugrundeliegenden BSD-Betriebssystem handelt.

Ich habe das BIOS von dem Board "hochgezogen" (und bin jetzt knapp 9 Jahre "aktueller"^^).

Das hat keine Abhilfe geschaffen und dabei würde ich es erst einmal belassen: Ich weiß ja, wo ich nicht draufklicken darf. Aber irgendwie ist das jetzt schon eine "Delle im Vertrauen" :-(

Gruß,
Jörg

micneu

@nocling said in CAM Error beim Aufruf der Firewall-Logs über die GUI:

Welche Version ist im Einsatz, hier kam ja vor kurzem jemand mit einer 2.3 oder 2.4 an.

Es gab Probleme in bestimmten Versionen mit der Log Komprimierung, die sollte man abschalten.

Ein CLI Terminal kopiert das markierte automatisch, kenne das nicht anderes.
Ansonsten einfach printable output in ein Log schreiben.

Was die Hardware angeht, ja würde mal Zeit für was neueres, gibt ja auch die IPU Reihe, wenn du dem Hersteller treu bleiben willst.
Da geht es auch eher um aktuelle Features wie AES usw. Das gibts bei deiner CPU von 2011 noch alles nicht.
Wie schnell ist das Inet und gibt es des PPPoE bei dir?

wo hast du denn draufgeklickt, möchte schauen was du genau meinst
meinst du das?

altmetaller

Hallo,

@micneu Ich habe unter „System Logs“ auf „Firewall Logs“ geklickt.

Wenn ich alle Logs über die Settings löschen will, schmiert die Firewall ebenfalls ab.

rm /var/log/filter*.

…schafft auch keine Abhilfe.

Gruß,
Jörg

micneu

@altmetaller danke. kann bei mir keine probleme feststellen (hätte mich aber auch gewundert, meine hardware ist völlig überdimensioniert)

• also das ding stürt sogar ab wenn du es auf dem terminal machst?
• auch wenn du nur ein

ls -lah /var/log/filter*

machst?

• stürzt dein core i7 bei dem ssh zugriff auch ab?

wie schon geschrieben habe ich bei mir keine probleme:

[22.05-RELEASE][admin@rt4]/root: ls -lah /var/log/filter*
-rw-------  1 root  wheel    83K Feb  2 15:26 /var/log/filter.log
-rw-------  1 root  wheel    30K Feb  2 15:00 /var/log/filter.log.0.bz2
-rw-------  1 root  wheel    29K Feb  2 12:56 /var/log/filter.log.1.bz2
-rw-------  1 root  wheel    29K Feb  2 11:16 /var/log/filter.log.2.bz2
-rw-------  1 root  wheel    29K Feb  2 10:04 /var/log/filter.log.3.bz2
-rw-------  1 root  wheel    32K Feb  2 09:15 /var/log/filter.log.4.bz2
-rw-------  1 root  wheel    28K Feb  2 07:35 /var/log/filter.log.5.bz2
-rw-------  1 root  wheel    29K Feb  2 06:38 /var/log/filter.log.6.bz2

altmetaller

Hallo,

@micneu said in CAM Error beim Aufruf der Firewall-Logs über die GUI:

also das ding stürt sogar ab wenn du es auf dem terminal machst?

Nein. Das Problem taucht in meinen Beobachtungen nur dann auf, wenn die GUI mit den Firewall-Logs konfrontiert wird (evtl. noch an anderen Stellen, aber die habe ich bis jetzt nichts weiter gefunden).

Meine (Filter-)Log-Dateien und deren Archive sind allerdings knapp 500KB groß. Mit less usw. kann ich fehlerfrei darauf zugreifen, das Löschen hat wie gesagt nichts gebracht.

Ich werde mir mal die OpenSense angucken, die fußt im Moment auf BSD 14 und da wurden gerade im CAM-Bereich diverse Bugs gefixt seit der 12.3. Der vorgenannte Bugs sollte in BSD 12.3 (pfSense 2.6) eigentlich auch gefixt sein; in meinem Fall tritt das aber nun mal noch auf. Vielleicht wurden die Patches von Hand geportet und dieser vergessen(?).

Insofern betrachte ich das Thema als "erledigt", zumal mich die Seitenhiebe in Bezug auf meine Hardware (die aktueller und leistungsfähiger ist als das, was in den offiziellen pfSense-Applikationen steckt) etwas nerven. Sry.

Gruß,
Jörg

NOCling

Ich habe mit der 1100er angefangen, mit 2.4.4 und da ist so ein Verhalten nie aufgetreten.

Ggf. hat deine Installation ja auch eine Macke, wie lange wurde die schon von einer auf die andere Version hoch gezogen?
Schon mal mit einer Neuinstallation versucht?

Dafür hat OPNsense andere Probleme.
Und das auf einer 12 Jahre alten Hardware mal Probleme auftreten können, sollte dir auch einleuchten. Also mal mit Prime95 testen ob die noch korrekt rechnet und der RAM keine Bits kippt.
Von mir aus kannst du die auch noch weitere 10 Jahre betreiben, wenn die deinen Ansprüchen auch dann noch genügt.

altmetaller

@nocling Die Konfiguration wurde aus einer 2.x exportiert und auf die 2.6 importiert. Der Fehler tritt auch auf frischen Installationen ohne weitere Konfiguration auf.

Die Hardware ist sicher keine 10 Jahre alt, gerade einmal 2 Jahre älter als das zugrundeliegende FreeBSD 12.3 und - wie gesagt - deutlich jünger als die Hardware aus den aktuellen offiziellen Appliances.

Vermutlich hat jemand von euch gegoogelt, wann der Prozessor eingeführt wurde und daraus auf das Alter geschlossen. Wenn das hier der „Level“ ist, bin ich tatsächlich raus.

Kurzum: Googeln kann ich selber ;-)

case closed

noplan

@altmetaller

Wild guess als einer der genügend von der Hardware entsorgt hat
Es ist nicht die Karte sondern die Hardware Verbindung dorthin

Mechatroniker zum durchsehen geben der kann s fixen
Is wahrscheinlich teurer als ne neue (gebrauchte apu4d4)
Wobei bei den Preisen kannst dir gleich ne Sg2100 holen

Soviel zum Hardware Fehler möglicherweise

Lg

noplan

@altmetaller

Apu 4d4. Macht hier knapp 150 clients

Nein kein vpn
Nein keine heavy internet Leitung

Aber das war ja nicht die frage

noplan

@altmetaller said in CAM Error beim Aufruf der Firewall-Logs über die GUI:

Nein. Das Problem taucht in meinen Beobachtungen nur dann auf, wenn die GUI mit den Firewall-Logs konfrontiert wird (evtl. noch an anderen Stellen, aber die habe ich bis jetzt nichts weiter gefunden).

Und du bist sicher es liegt an der Firewall und nicht am Client der die Daten anzeigt....

So mal gefragt

noplan

@altmetaller

Schwachsinn was du hier schreibst!

(und nein die die bisher hier geantwortet haben googeln ihre antworten nicht, die schreiben dir das auf dem weg zwischen kaffefilter und maschine nebenbei)

die best parctice konfigs draußen in tha free world zeigen das es anders ist.

Und ja ich weiß recht fit was die apus können und was geht / nicht.

sumUP
hardware Problems oder flasche herangehensweise in der beschreibung.

interessant wäre ja noch
was sagt den top wenn dir das log file schmiert ?

und weil es gerade passt,
die BIOS Version hat jetzt in 2 geprüften fällen die ich gerade nachbauen hab lassen nix nix nix an verbesserung verschlechterung gebracht ... (außer das die hardware jetzt lt bios weniger lang hinterher hinkt)

ach ja EINLADUNG für dich @altmetaller zum nächsten USERGROUP TREFFEN !
Termin siehe subFORUM GERMAN USER GROUP oder so

da können wir dann richtig über die APUs plaudern

ICH FREU MICH !

br
NP

I my APUs

JeGr

@altmetaller Also erstmal wenn ich mir den Thread durchlese: Wenn du so dunnhäutig bist, dass du bei Kritik sofort am zurückschießen bist und dann gleich die Diskussion verweigerst wird das egal wo eh nichts. Da kannst du auch gern zu OPNsense bei mir kommen - lustig, dass dort viele von hier ebenfalls vertreten sind inkl mir - und wirst die gleichen Fragen bekommen, weil das Ganze sich sehr nach seltsamer Hardware oder Bug anhört.

Das sieht im Error Log sehr nach dem SD Kartenbus/-slot aus und der Zugriff auf die Karte.
Wenn das wirklich eine APU1 ist, würde mich das auch nicht wundern, da der Slot damals mehrfach Probleme gemacht hatte. Davon hab ich selbst noch eine mit 9-10y auf dem Buckel hier rumliegen.

@altmetaller said in CAM Error beim Aufruf der Firewall-Logs über die GUI:

Wie viele Kerne und wie viel RAM empfiehlst Du denn, um mein gigantisches Netzwerk (immerhin knapp 30 Clients) mit LAN zu versorgen?

Das ist die falsche Frage, da die Anzahl Clients keinerlei Meßwert sind. Da sollte man eher hinterfragen welchen Traffic man da rechnet, ob man VLANs innerhalb des Netzes schiebt und daher Gigabit routen will oder encrypted VPN Traffic hat. Was mit einer APU1 sehr unschön werden kann, da ihr essentielle HW wie AES-NI fehlt.

Da haben dann aber auch die Kollegen hier recht, wenn sie sagen, dass ich hier keine SD-Karte mehr für den Betrieb empfehlen würde. Absolut nicht, da das schon damals für Probleme gesorgt hat wenn viel Logs geschrieben wurden und man im Gegensatz zu damals heute kaum noch industrial grade SD Karten bekommt, die solche Schreiblasten längerfristig fahren können.

@altmetaller said in CAM Error beim Aufruf der Firewall-Logs über die GUI:

Das brauchst Du nicht. Weil, Du schriebst ja selber:

Vielleicht lustig gemeint, aber jemand damit indirekt zu sagen, dass er still sein soll, finde ich sehr unschön hier!

@altmetaller said in CAM Error beim Aufruf der Firewall-Logs über die GUI:

Ich "tüddel" gerade noch ein bisschen herum und habe das mal spaßeshalber auf einem i7 (6 Kerne, 16GB RAM, Samsung 850 Pro SSD) ausprobiert. Selbst mit einer jungfräulichen Standard-Installation bekomme ich da das gleiche Fehlerbild.

Und genau das haben wir versucht zu hinterfragen, denn das kann niemand nachvollziehen. Dutzende Systeme mit SSD seit 2.4 Release haben das Problem nicht. Keine SSD die da verbaut wurde hat jemals Probleme beim Log Zugriff geworfen, weswegen wir genau da stutzig geworden sind.

Allerdings kam dann auch einiges von falschen Annahmen und Statements, mit denen ich hier gern mal kurz aufräumen würde:

@altmetaller said in CAM Error beim Aufruf der Firewall-Logs über die GUI:

Ich werde mir mal die OpenSense angucken, die fußt im Moment auf BSD 14 und da wurden gerade im CAM-Bereich diverse Bugs gefixt seit der 12.3. Der vorgenannte Bugs sollte in BSD 12.3 (pfSense 2.6) eigentlich auch gefixt sein; in meinem Fall tritt das aber nun mal noch auf. Vielleicht wurden die Patches von Hand geportet und dieser vergessen(?).

OPNsense basiert nicht auf FreeBSD 14, sondern auf 13. pfSense wird in ein paar Wochen auf FreeBSD 14 basieren, weil dahin schon seit Monaten das Rebasing läuft. Ändert aber nichts an der Tatsache, dass auch in FBSD12 beide Systeme noch nie das beschriebene Verhalten gezeigt haben, dass beim Log Zugriff via UI plötzlich nichts mehr ging und sie sich weggehängt haben. Wenn du das angeblich - da nie bestätigt, sondern nur mit saloppem Kommentar abgetan - auch mit anderer HW getestet haben möchtest, wäre es schön gewesen hier mehr Details zu erfahren, zumal du eine alte Konfiguration eingespielt hast? Neu installiert kann ich das zumindest nirgendwo nachvollziehen. Egal was für ne Hardware und wir verkaufen viel davon und in der Breite unterschiedlich. Egal ob das ne x64, i5/i7, C2000, C3000, sonstwas Büchse ist, gabs das mit ner SSD noch nie. Daher wäre Debugging schöner gewesen als sinnfreie Wortgefechte und falsche Statements.

@altmetaller said in CAM Error beim Aufruf der Firewall-Logs über die GUI:

Insofern betrachte ich das Thema als "erledigt", zumal mich die Seitenhiebe in Bezug auf meine Hardware (die aktueller und leistungsfähiger ist als das, was in den offiziellen pfSense-Applikationen steckt) etwas nerven. Sry.

Wenn die Realität dich so stresst tut mir das leid, ändert aber nichts an Tatsachen, die du leider ziemlich verdreht im Kopf hast:

1. Wenn du wirklich wie verlinkt von einer APU1 redest, dann ist das leider falsch was du schreibst, denn das Gerät mag dir dann vor 2 Jahren verkauft worden sein, ist aber Altmetall gewesen. Das halte ich vom Verkäufer für sehr frech, aber wenn man jemanden findet, kann man das natürlich machen. Fakt ist aber - und da muss keiner Googeln dafür: APU1 war eine SEHR kurze Plattform von PCengines und auch nicht gut. Das SeaBIOS/CoreBIOS hatte ständige Probleme und kam nicht aus dem Knick, es konnte anfänglich nicht von mSATA gebootet werden und und und. Noch dazu wurden bereits nach einem Jahr die Komponenten knapp und AMD konnte diverse Teile nicht mehr liefern, so dass man die Plattform wesentlich schneller als die alten ALIX/WRAPs aufgegeben hat und mit der APU2 den Nachfolger brachte.
   Warum ich das weiß? Weil ich a) noch eine APU1(!) hier rumliegen habe die einige Fehler aufweist und b) vor ~8 Jahren die alte inzwischen ausgemusterte APU2 in meiner Firma eingekauft habe.

2. Nur weil du die vor 2 Jahren gekauft hast, macht das den SOC nicht neu. APU1 wurde schnell EOL geschickt aus Mangel an Ersatzteilen, weil selbst AMD die Teileherstellung eingestellt hatte. Die vor 2 Jahren noch zu kaufen ist wie gesagt frech, da das Modell >8 Jahre bereits EOL war.

3. Ein neues BIOS macht keinen neuen Chip. Deine APU1 ist trotzdem annähernd 10 Jahre alt, hat noch die unschön reagierenden Realtek NICs on board und keinerlei AES-NI was ein major flaw schon beim Release war. Zudem gab es genug andere Probleme mit schlchter Qualität bei verbauten Teilen, Überhitzung etc.

4. Auch die APU2 die 2015/2016 in A/B Stages gekommen ist wurde seither nicht verändert. Ja es gibt APU3/4/6/whatever, das ist aber der gleiche 8 Jahre alte SOC der durch neue Nummerierung nicht schneller wird. Daher ist dein Kommentar zu "schneller als das was in offiziellen Netgate Kisten steckt einfach nur Unfug. Selbst die ARM64 Kiste (2100) ist potenter als die APU1 und einer APU2/3/4 durchaus ebenbürtig. Da wollen wir von den Atom C3000 Kisten wie 4100/6100/8200 gar nicht anfangen, die nicht umsonst 10G NICs haben. Das ist dann schon ein krasses Eigentor.
   BTW brauchst du auch hier bei OPNsense nicht suchen, denn Decisio selbst verbaut APU ähnliche Kisten (aber mit tatsächlich neuerem SOC und größerer Ausführung) nur noch in den allerkleinsten Boxen und hat die alten APUs mehr als ausgemistet. Da fangen die Midrange Boxen mit Ryzen auf dem Niveau der Netgate C3000er an und das hat seine Gründe.

@altmetaller said in CAM Error beim Aufruf der Firewall-Logs über die GUI:

Die Hardware ist sicher keine 10 Jahre alt, gerade einmal 2 Jahre älter als das zugrundeliegende FreeBSD 12.3 und - wie gesagt - deutlich jünger als die Hardware aus den aktuellen offiziellen Appliances.

FreeBSD 12.3 ist keine 8 Jahre alt. Sorry to say. Der 12.3 Release Tree ist vom Dezember 2021. Im Gegensatz zu einer APU1 HW kann Software weiterentwickelt werden, auch wenn deren UR-Release (12.0) von 2018 ist. Und damit immer noch neuer als eine APU2 BTW.

@altmetaller said in CAM Error beim Aufruf der Firewall-Logs über die GUI:

Kurzum: Googeln kann ich selber ;-)

Es wäre schön gewesen, wenn man weniger defensiv seine HW verteidigt und aufgeschlossener liest, was die Leute einem versuchen zu sagen.

Vor allem hätten wir dann versuche können auf deinem i7 Testsystem mit SSD das ganze nachzustellen, da das relativ sicher ein Konfigurations- oder anderes HW Problem sein muss.

@altmetaller said in CAM Error beim Aufruf der Firewall-Logs über die GUI:

Meine (Filter-)Log-Dateien und deren Archive sind allerdings knapp 500KB groß. Mit less usw. kann ich fehlerfrei darauf zugreifen, das Löschen hat wie gesagt nichts gebracht.

Ich habe Systeme bei Kunden auf i5/i7 HW mit normalen SSDs (SATA) verbaut, die 10MB pro Logfile haben und das problemlos in der UI parsen können. Das ist somit kein "bekannter Fehler" oder Bug des Systems, sondern da spielt bei dir definitiv was anderes den Showstopper.

@altmetaller said in CAM Error beim Aufruf der Firewall-Logs über die GUI:

in meinem Fall tritt das aber nun mal noch auf. Vielleicht wurden die Patches von Hand geportet und dieser vergessen(?).

Wenn das der Fall wäre, könntest du davon im Forum mehrere Dutzend Posts lesen mit Geschrei, denn SSDs und Logs in der UI anzuschauen ist wohl kaum eine esoterische Funktion, sondern Standard Nutzungsverhalten. Wenn man 2.6 allerdings frisch auf SSD mit ZFS installiert ist die Kompression eh aus, weil ZFS auf dem Data Slice online compression macht.

Wie gesagt haben wir hier mehrere Dutzend Installationen von pf oder OPN mit aller möglicher gemixter Hardware, darum haben wir da ein recht gutes Gesamtbild und das ist definitiv kein Problem das häufiger auftritt oder sonstwie bekannt ist. Wenn das neuinstalliert auf halbwegs aktueller x86 HW auftritt würde ich das gern durchspielen, denn das würde mich sehr wundern, wenn das bis dato unbekannt wäre und nur jetzt bei dir vorkommt. Da würde ich vorher aber nochmal die HW auf Herz und Nieren testen.

Cheers

altmetaller

Hallo,

@jegr said in CAM Error beim Aufruf der Firewall-Logs über die GUI:

Es wäre schön gewesen, wenn man weniger defensiv seine HW verteidigt

Es wäre schön gewesen wenn man mal akzeptiert hätte, dass es definitiv nicht an der Hardware liegt.

Ich habe den Fehler inzwischen gefunden: Die GUI schmiert genau dann ab, wenn bestimmte Zeichenkombinationen in den LOG-Dateien auftauchen. Was in meinem Fall aufgrund der Netzwerkkonfiguration wohl regelmäßig passiert ist.

Ich habe ein paar Sachen in meinem Netzwerk geändert, das Problem tritt jetzt definitiv nicht mehr auf.

Versuch' mal, das aus meiner Sicht zu sehen: Wenn der Beitrag hier darin besteht, nach dem Prozessor zu googlen und festzustellen, dass die Markteinführung über 10 Jahre her ist und dann gleich die Schlussfolgerung: "Oh, alt - dann ist das die Ursache" folgt und sich der Rest es Forums an diese blödsinnige(!) Schlussfolgerung klammert, wirkt das nicht besonders professionell und motivierend.

Zumal ich ja geschrieben habe, dass der Fehler auf diversen Testszenarien (inklusive dem o.g. i7 6-Kerner) auftritt.

Gruß,
Jörg

(Zufrieden, den Fehler gefunden zu haben und dennoch maximal demotiviert)