Netgate 6100 zeigt Probleme mit VLAN und webinterface
-
Hallo Team ... Hy JeGr,
ich hab eine Netgate 6100 welche lange Zeit ganz normal und sauber funktioniert hat, doch seit kurzem habe ich Probleme mit dem VLAN das einzelne IDs einfach nicht mehr funktionieren.
Und nach dem Update heute, stürtzt das Webinterfasce ab, erst nach Neustart der FW ist das Web IF wieder erreichbar.Um das zu Netz Problem Überprüfen habe ich von der CLI der Netgate selbst folgende Befehle abesetzt:
ping -S 10.10.202.1 8.8.8.8
Ich wollte von dem VLAN mit der VLAN ID 202 einen Ping auf Google absetzten, was auch funktioniert hat
Demnach meine ich das diese VLAN IF ix2.202 funktioniert, wen nauch der test nur nach aussen ging.Habe ich aber nun einen PC oder Laptop an dem IF (über CISCO CBS250) kann der Computer nicht mal mehr eine IP beziehen.
Ich dachte nun zuerst an einen Konfigurationsfehler des CBS 250 und habe anschliessend einen CBS 350 konfiguriert, jedoch ist das verhalten der Clients identisch.
Da alle IF bezüglich DHCP nahezuidentisch sind und zuvor auch funktioniert haben gehe ich erstmal nciht dafon aus das es am DHCP Server liegt.Alle weiteren VLANs (Ca 10 Stk) die konfiguriert sind funktionieren, doch diese ID mag einfach nicht tun.
Auch wenn ich den Port am Switch ändere, und auf einen anderen Port von z.B. GE3 auf GE7, hilft das bei der VLAN ID einfach nichts.Was mich wundert denn mind 1 - 2 Jahre gab es keinerleih Probleme dieser Art.
Daher kann ich nur raten ob eventuell etwas mit dem RAM nicht OK ist?
Die Netgate CLI bietet nun aber leider keinen RAM Test aus dem Menü, wie kann man da nun am besten vorgehen um einen HW Fehler zu diagnostizieren etc ?Grüße
-
- welche Version genau setzt du ein (bist du schon auf 24.11)?
- welchen DHCP Server setzt du ein?
- was meinst du mit GE3 & GE7 (ich habe selber eine Netgate 6100) und laut der Offiziellen Dokumentation gibt es keine Ports mit GE3 & GE7 oder meinst du damit die Ports von deinem Switch?
-
@micneu
Hallo auch und merci für die Schnelle Antwort :)Current Firmware Version 03.00.00.03t-uc-18
Aktuelles OS 24.11 (gestern nacht aktualisiert)Als DNS Server käuft der KEA
GE 1 .... -24= Gigabit Ethernet, die IF von CISCO werden so benannt und ich setzte einen CISCO CBS250 ein.
Was mir auffällt, ist das nachdem ich den Range der Schnittstelle (VLAN ID 202) ix2.202 von 30 auf 29 erweitert habe, scheint es zu tun und seither war auch kein Absturtz mehr der WEB GUI .... gib mir noch etwas Zeit das ich es beobachten kann ... DANKE
-
@megazocker said in Netgate 6100 zeigt Probleme mit VLAN und webinterface:
nach dem Update heute, stürtzt das Webinterfasce ab
Das hatte ich nach Konfigurationsänderungen auch mehrfach nach dem Update auf 24.11. Nur ein hartes Ausschalten war noch möglich. Auch habe ich Probleme mit dem neuen KEA, DHCPv6 funktioniert nicht richtig, der DHCPv6 Server stürzt dann ab.
Ich hatte nur keine Zeit mich mit den Fehlern zu beschäftigen, deswegen habe ich das Netgate 6100 komplett neu aufgesetzt. Diesmal wieder mit der Version 24.03/ISC und alles läuft reibungslos.
-
Warum zum ... setzt ihr Kea ein, das ist immer noch im Test und nicht per Default aktiv.
Ich lasse von dem Ding die Finger bis es wirklich fertig ist, denn so lange es keine DHCP Options unterstützt, ist es für mich unbenutzbar und Beta.Dein Cisco hat das VLAN nicht hochgefahren, weil es nur auf dem einen Port anlag.
Ja das machen Ciscos gern mal.Was ich auch schon erlebt habe, das ein VLAN nicht mehr funktioniert hat, da musst ich es löschen und neu anlegen, dann war es wieder funktional.
Bei einem Dell hatte sogar jemand mal ein VLAN mit defekt beschriftet, war vermutlich das gleiche Problem. Ist halt Software und da geht mal was schief, also VLAN aus der DB raus löschen und neu anlegen reicht, oder wie in deinem Fall Interface rein packen die Access definiert sind veranlasst ihn immer das auch hoch zu fahren.
Und meine Kisten laufen vollkommen stabil mit 24.11, vollkommen ohne Hänger, Probleme oder sonst was, weil nix BETA KEA Feature Testbox.
Das habe ich nicht mal auf der Test VM aktiviert. -
Hallo pfSense Fans,
nachdem ich das Netz von /30 auf /29 erweitert habe, und nun einige Zeit beobachtet habe, scheint das alles stabiel zu laufen.
Bei mir nutze ich jedoch nur den KEA als DHCP V4 V6 ist nicht aktiviert.Mir fehlt zugegeben die Expertice auf CLI das Problem zu suchen, doch sollte man schon dafon ausgehen können das eien Netgate 6100 bei dem Preis stabiel läuft.
Wenn ich zurückblicke gabs sowas beim Urfater MoNoWall nicht und auch die anderen pfSense Versionen hatten soetwas nicht!
Als Betatesteter von Netgate bin ich mir da wirklich zu schade, auch Blackfriday Angebot löst das Kernproblem nicht!Ich überlege da eher ob ich in Zukunft nicht auf OpenSense umsteige denn da gibt es auch deutlich mehr Updates was auch tief blicken läast, zumindest aus meiner Sicht.
Ich beobachte das weiter .. DANK euch fürs Feedback
-
@megazocker said in Netgate 6100 zeigt Probleme mit VLAN und webinterface:
Bei mir nutze ich jedoch nur den KEA als DHCP V4 V6 ist nicht aktiviert.
Mir fehlt zugegeben die Expertice auf CLI das Problem zu suchen, doch sollte man schon dafon ausgehen können das eien Netgate 6100 bei dem Preis stabiel läuft.
Die 6100er läuft vollkommen stabil, aber du selbst hast von ISC auf KEA umgeschaltet, Default ist weiterhin ISC. Damit hast du dich ganz bewusst für den Test einer experimentellen Konfiguration entschieden!
Das war nicht der Hersteller Netgate, das warst du höchst selber.Also blame nicht die Hardware und Software für einen Klick den du selber ausgeführt hast.
@megazocker said in Netgate 6100 zeigt Probleme mit VLAN und webinterface:
Ich überlege da eher ob ich in Zukunft nicht auf OpenSense umsteige denn da gibt es auch deutlich mehr Updates was auch tief blicken läast, zumindest aus meiner Sicht.
Kann man so oder so sehen.
Bei einer Firewall die stabil läuft, überlegt man sich sehr genau ob man da jetzt wie bei Windows alle 2 Wochen mal wieder die neusten Features rein ballert oder nicht.
Damit geht jedes mal ein Wartungsfenster und ein Reboot einher.
In entsprechendem Umfeld, Testen, Termin abstimmen, Termin ankündigen, Update ausführen, Funktion prüfen und das alle 2 Wochen.
Wenn ein mission critical Patch ein muss, ok. Aber einfach so, vergiss es...Kommt mir da eher vor wie, läuft aber wir schrauben mal live dran rum und daher bekommst du alle 2 Wochen einen neuen Release zum spielen.
Wirst du dann einen Blick in die Enterprise Version von OPNsense, dann oh wunder, ist das nicht alle 2 Wochen ein Update für raus, sondern nur wenn es muss oder es wirklich Zeit ist eine neue, cool, nützliche Funktion stabil ein zu bauen....
Die nutzen halt die normale Version für live test, kannst aber gern mit machen, wie hier mit dem KEA, doch dann bitte hier aufregen:
https://forum.opnsense.org -
@megazocker said in Netgate 6100 zeigt Probleme mit VLAN und webinterface:
nachdem ich das Netz von /30 auf /29 erweitert habe, und nun einige Zeit beobachtet habe, scheint das alles stabiel zu laufen.
Bei mir nutze ich jedoch nur den KEA als DHCP V4 V6 ist nicht aktiviert.Und die 6100 ist eine sehr stabile Box die hier sowohl im Lab als auch bei mir problemlos läuft. Auch mit 24.11 aktuell. Wenn du vor 24.11 aktiv KEA als unstable DHCP betreibst - nun. Dafür gibts Release Notes und Changelogs die GROSS ROT schreiben, dass es (bis vor 24.11) noch SEHR Alpha war.
Mir fehlt zugegeben die Expertice auf CLI das Problem zu suchen, doch sollte man schon dafon ausgehen können das eien Netgate 6100 bei dem Preis stabiel läuft.
Und das tut sie weil nichts von dem was du beschreibst in anderen Konstellationen nachvollziehbar ist. Somit wird es sehr wahrscheinlich nicht an der HW, sondern an irgendeinem Teil deiner Config liegen, die wir nicht erahnen können. Glaskugellesen und so ;)
Wenn ich zurückblicke gabs sowas beim Urfater MoNoWall nicht und auch die anderen pfSense Versionen hatten soetwas nicht!
Das ja nen ziemlicher "Hot Take". Ne 20 Jahre alte Software die nicht mal Ansatzweise die gleiche Komplexität hat mit 2024 zu vergleichen, ist schon ziemlich wild. Ja ne Pferdekutsche hatte auch keine Probleme im Vergleich mit nem "modernen" Auto bei dem alles digitale Touchpads sind... ;)
Als Betatesteter von Netgate bin ich mir da wirklich zu schade, auch Blackfriday Angebot löst das Kernproblem nicht!
Keine Ahnung wo du hier Betatester bist, nur weil deine spezifische Konfig nicht läuft? Auch ein ziemlich sinn-ferner Take der niemandem Hilft außer irgendwelchen Missmut zu verbreiten. Für die eigene Konfig ist nicht immer der Hersteller schuld und der kann auch nicht immer alle Konfig-Probleme erahnen.
Ich überlege da eher ob ich in Zukunft nicht auf OpenSense umsteige denn da gibt es auch deutlich mehr Updates was auch tief blicken läast, zumindest aus meiner Sicht.
Was lässt denn wo tief blicken? Das ist genauso ein Trash-Satz/Post wie die 2 Aussagen darüber. Nur weil DEINE Konfig nicht läuft, ist das Produkt, der Hersteller und sowieso jeder schuld. :) Cool, so könnte ich mir Support auch einfach machen ;)
Ich sehe da auch nicht inwiefern das a) Relevanz hat und b) wo da deutlich mehr Updates sind. Es gab 2 Plus Updates (und Plus ist bei ner Netgate HW immer drauf) dieses Jahr. Und letztes Jahr. Und davor sogar 3. Und davor 2. Inwieweit ist das anders als die halbjährlichen Releases von OPNsense, die genauso ihren Release Zyklus haben? Nur weil OPN hier mehr Point Releases nachschieben mit Bugfixes sind das mehr Updates? Nach deiner Logik(!) könnte man jetzt umgekehrt sagen "Ja puh muss das Murks sein, wenn die jetzt jedes Mal nach Release noch 5-10 Mal Bugfix Releases nachschieben müssen!" Tun sie nicht und ist es nicht. Aber genau den Apfel-Gurken-Vergleich machst du gerade auf.Ich beobachte das weiter .. DANK euch fürs Feedback
Da wir weiterhin keine Ahnung von deiner konkreten Konfiguration haben, kann man auch wenig helfen. Wenn ich aber "/30" lese, dann gehen bei mir Alarmlampen an und ich sehe eher das Problem in Konfigurationsfehler als bei sonstwas. Bei /30 hab ich 4-2 also 2 Adressen zur Verfügung. Das schreit mich HART nach einem Problem in der Konfig an, denn wenn die Sense eine IP hat, bleibt noch eine über. Und NICHT alle DHCP Server kommen damit klar, IPs aus einem 1-IP Pool zu vergeben oder ggf. statisch zuzuweisen, weil static map und pool sich ggf. nicht überschneiden dürfen, etc. etc.
Also alleine das macht mich schon sehr skeptisch, ob das ganze "Drama", welches du hier ausgebreitet hast, nicht einen sehr simplen Grund hat der absolut gar nichts mit FreeBSD, irgendeiner Sense o.ä. zu tun hat, sondern mit Netzverständnis, dem DHCP Server und nicht genug zu KEA und den Einschränkungen recherchiert.BTW: OPNsense - das haben wir gerade erst letzten Freitag in der Usergroup bequatscht - hat genauso Probleme bei KEA und spricht dort deshalb immer noch von Alpha use und sagt das auch. Sprich: genau das Gleiche wie pfSense auch:
TL;DR: Calm down und evaluiere erst einmal, ob das Problem nicht von deiner eigenen Konfiguration verursacht wird. Und bitte erstmal sinnbefreite Rundumschläge & Blamings an alle außer einem selbst unterlassen, bevor man genau weiß, was das Problem überhaupt ist. Und ne 10/20 Jahre alte Software als Vergleich zu bringen: einfach nein :)
-
Follow-Up:
Dass DHCP Server oder deren Konfiguration häufiger mal mit /30 ein Problem haben, zeigt sich bspw. auch hier, auf das wir durch Zufall bei anderem Kundenkontakt und Supportfall gestolpert sind (Kunde wollte hier auch eine /30 Delegation haben):
https://community.ui.com/questions/How-to-setup-DHCP-30/00f029f1-9a42-46c9-a3b6-074c3de39c77
Es ist durchaus "Besonders", nur eine einzelne IP via DHCP bereitstellen zu wollen und nicht jeder Service kommt damit klar, dass Start und Ende gleich sein sollen - da es nur eine IP gibt. Wenn zudem dann noch dazu kommt, dass man diese IP reservieren will für ein Gerät (via MAC) wird es annähernd unmöglich für Server, die es nicht mögen, wenn die static mappings im Pool Range sind. Was in der Vergangenheit selbst der ISC DHCP zu älteren Tagen nicht leiden konnte. Während der Monowall Zeit wäre das bspw. unmöglich gewesen. Das wird durch die Beobachtung gestützt, dass KEA mit /29 wohl kein Problem hat. Kleinere Netze als /29 sollte man außerdem tunlichst vermeiden, wenn man mit Segmentierung arbeitet, da /29 die kleinste Größe ist um ein Netz ggf. redundant auszulegen. Dafür werden für ein sauberes Setup alleine 3 IPs notwendig, womit /30 kategorisch ausscheidet.
Außer bei einem Peer2Peer DirektRouting bei einem VPN Interface bspw. ist daher von /30 in Routings oder Interface Setups abzuraten. Unabhängig davon, ob man hier pfSense, OPNsense, IPfire, OpenWRT oder Unifi einsetzt. Das ist schlichtweg durch das generelle Netzlayout und -design vorgegeben. Daher laufen auch Transfernetze häufig via /29. Und darum setzt man auch so gut wie nirgends kleinere Netze als /64 bei IPv6 ein, da alles andere ein Schuß ins eigene Bein ist und man sich die verwendeten Protokolle oder Dienste sabotiert.
Cheers :)
-
@JeGr Hallo Jens sei mir gegrüst ...
Nachdem ich mich abgeregt habe, denn das hat mir den letzte Nerv geraubt, hab ich heute nachmal hingesehen und, nachdem nun das ganze seither Stabil lief, mich getraut den Identisch Konfigurierten CISCO CBS 350 für den bisherigen CISCOP CBS 250 getaucht .... und danach ging wieder nichts mehr.Daraufhin habe ich afgrund der Kommentrere und Infos zu KEA den ISC wieder aktiviert rebootet mit dem Ergebniss das die Netgate wieder ausstieg.
Das kann nur eines Bedeutet .. das der CISCO CBS 350 eine gewaltige makle hat .. denn zunächst tut alles und dann wieder nicht .. dann mal wieder kurz und ... vorbei und Tod.
Ergo muss es der Scheiss Switch sein.
Sicher haben diese Dinger eine Diagnose, doch die findet nichts .. er mosser nichts an und meint alle sei gut.Zum KEA Selber .. OK ich muss einsehen das er Alpha war ist mir entgangen .. aber ich habe auch nicht die Zeit mich so intensiev damit zu befassen das ich jeden Trick kenne.
Mein Augabenm bereich ist ...weit gefächert da ich alles mache .. entlastung sieht anders aus und es reicht mir auch .. erinert mich an Cinetic (wen nauch nciht so schlimm).
Die Frage warum eine Alpha Software zur Wahl gegeben wird nur weil ISC EOL ist muss man aber schon stellen dürfen.
Ist uncool finde ich.Bei dem CIDR 30 würden mich aber die Detail warum das so schief geht und ein Problem ist schon jucken.
Die Idee zum CIDR 30 ist das eben keine weitere IP mehr vorhanden ist und nur der Statische Eintrag zählt .. da hab ich wohl schlicht pech gehabt ;) aufgrund der Probleme die entstehen können (sind mir aber dennoch nicht klar).
KEA hab ich deaktiviert und daher fühlte ich mich auch als Betatester was mich halt echt in Rage versetzt hat, zu dem Zeitpunkt ..muss man auch bedenken und ich bin der Meinung das ich da recht habe. Selbst wenn anderre Ihre Meinung anders vertretten .. was aber i.o ist .. man muss nicht jede Meinug teilen oder mittragen.
Nachdem ich wieder auf meine default settings ging hat auch alles funktioniert wie man es erwarten kann.
Ich nutze auf der sense IX2 (Combo Port 1 GB) und kippe da in das für TRUNK IF alle VLAN IDs rein, der Combo ist ein CISCO GBICs mit Glas der dan auf einen GBICs connectet ist, der auf einem Combo Port (GE 25) mit Glas des CISCO CBS250 switches mündet. Von dort aus werden dann die VLANS auf die einzelnen Ports GE1 - GE24 verteilt.
Das funktioniert 1A
Ich hab noch eine APU4 mit einem Glas, dort wertde ich mir das mit dem CBS350 der wohl spinnt ansehen aber entspannt.
Auf der werde ich aber die OPNSende nutzen da ich ken Aktuelles image der pfsense Community auf anhieb gefunden habe nutzen, die sind ja stark verwandt und der Grund ist schlicht, das ich einen Plan B haben will wenn mal was nciht geht.JAP das sollrte soweit als zusammenfassung kpassen da du ja in dem Forum der Master bist ;)
Am PPKA haben di mir gesagt das du bei Qwertiko bist und die dich mal gebucht haben. BNur haben sie nciht überlegt was sie bracuehn und wollen ... habs ihnen ghesagt .. wen ner kommt macht euch vorher gedanken. Da die IT am PPKA aber eine Katastrophe ist hab ich die Reisleine gezogen und bin zurück zum KIT. Am PPKA gibts da so einen Polizisten der meint er kann IT und die Präsidentin und einen Direktor hinter sich hat darf der jeden mist machen .. das wollte ich nicht mehr mittragen unsd seinen rotz ausbaden zumal die frech Ihren Namen unter meien Konzepte geschrieben haben Fck Yu und tschüss.
Ich hoffe dir gehts soweit gut und du rockst natürlich den Laden ;) und das Forum .. FGachwissen hast du ja Eimerweise was soll da schon schief gehen ;)
Und wenn du dich entspannst ... bin ich bei STFC auch schon über dein Kürzek gestolpert ;)
Grüßel Uwe
LLaP