Umsteiger auf pfSense mit Problemen



  • Hallo,

    ich bin von der Astaro Software-Lösung auf die pfSense umgestiegen. Leider mit Problemen.
    Hier mal die Ausstattung

    • Mini-Itx D525 Atom Board von Intel
    • 4GB Speicher
    • 80er Sata Platte
    • Dual Intel Pro PCI-Ex Karte + onboard Lan
    • 2 WAN Anbindungen über Speedport 201

    Alles ist soweit konfiguriert und funktioniert soweit. Aber nach einiger Zeit läßt sich die Web-Console nicht mehr öffnen (bzw. es dauert sehr lange) und ein Aufruf einer Internetseite schlägt fehl.
    Der Zugriff auf die Console selbst (also direkt am Rechner) gelingt problemfrei und ohne Verzögerung. Nach einem Reboot gibts auch erstmal keine Probleme.
    Ich habe extra einen Syslog-Server aufgesetzt, aber da ist nichts weiter zu sehen. Nur die Standardeinträge. Ein paar "pass in" und dhcp requests.

    Als ich die Blocked Pakets auch noch geloggt habe, habe ich gesehn, dass hier schon mächtig geblockt wird. Ist ja auch gut so. Kann das die Firewall ins Nirvana schicken?

    Hat jemand noch eine Idee?

    Gruss DoubleT



  • achja….

    Version von pfSense ist 2.0.1 Rel.

    Erste vorsichtige Vermutung geht in Richtung Multi Wan. Nachdem ich die 2.WAN abgeschaltet hab, scheint es zu laufen (3xaufholzklopf)

    Gibt es da noch bekannte Probleme?

    Gruss DoubleT



  • Hallo,

    die Speedport 201 sind Modems, korrekt ?
    Überprüfe bitte, dass beide ADSL Anschlüsse NICHT den gleichen Gateway benutzen. Das funktioniert nicht mit MUlti-WAN im Moment.

    Du könntest dir einmal von der Konsole aus die Systemauslastung anzeigen lassen.
    Dazu gibst du folgendes ein:

    top
    

    Evtl. gibt es dort eine hohe Auslastung - evtl. eine NIC defekt.
    Das ist der nächste Punkt. Du könntest das WAN interface, was aktuell läuft, einmal auf die andere NIC schalten bzw. die funktionierende abklemmen und die andere an.

    Du könntest auch mal unter System -> Advanced -> Networking -> "Polling" einschalten.



  • Hallo,

    ja, die 201er sind Modems. Beide über unterschiedliche Accounts am selben ISP (T-….). Damit sollte es eigentlich ausgeschlossen sein, dass hier die selben GWs verwendet werden.

    Mit einem WAN lief er jetzt 24h durch. Hab jetzt den 2. Wan wieder eingeschaltet. Mal sehen....

    OK. top läuft jetzt nebenher.

    Wenn er wieder abhängt, werd ich mal Polling einschalten. Danke für den Tipp.



  • Hallo,

    bringt leider nichts.
    Sobald der zweite WAN eingeschaltet ist, kommt es bei höherer Traffic zur Blockade.

    TOP zeigt nichts nennenswertes an. Polling bringt nicht wirklich viel.



  • @DoubleT:

    Hallo,

    bringt leider nichts.
    Sobald der zweite WAN eingeschaltet ist, kommt es bei höherer Traffic zur Blockade.

    TOP zeigt nichts nennenswertes an. Polling bringt nicht wirklich viel.

    Stöpselst du immer nur den WAN2 an und ab oder hast du auch mal WAN2 angeschlossen und WAN1 ab gemacht ?
    Es geht ja darum rauszufinden, ob es etwas mit dem WAN zu tun hat oder evtl. mit einer Netzwerkkarte oder mit der pfsense allgemein.

    Hast du zusätzliche Packages installiert ?



  • So, Zwischenbericht….

    ich hab beide WANs mal ab mal angeschaltet, die Lan Interfaces getauscht, die beiden Modem untereinander gewechselt....

    Jeweils einzeln ohne Probleme funktionstüchtig. Damit kann ich eigentlich ein Hardwareproblem ausschließen.

    Ich habe nun die Auswahl des Default Gateways im System / Routing Menu abgeschaltet. Seit dem laufen beide WANs im Verbund.... (wiedermalaufholzklopf). Macht ja eigentlich auch kein Sinn. Nun schaltet er zwischen den beiden WANs brav hin und her. Macht schön den Verteiler...

    UND sogar (unerwartet) bündelt er die Leitungen zur Geschwindigkeitsverdopplung.








  • Ähm, du benutzt also LoadBalancing, richtig ?
    Du hast dafür eine Gateway-Group erstellt, welche beide WANs beinhaltet und welche auch beide den gleichn "Tier" Wert haben, also beide z.B. "Tier 1". ?
    Und du hast diese Gateway-Group dann auch in deinen Firewall Einstellungen der LAN-Schnittstelle als "Gateway" eingetragen, ja ?

    Wenn es möglich ist, könntest du nochmal screenshots von Gateways, Groups and der Firewall-LAN-Schnittstelle posten ?



  • Ja, so habe ich es eingerichtet.
    Screenshots anbei












  • Hi,

    also augenscheinlich sieht soweit alles korrekt konfiguriert aus.
    Was mich allerdings etwas "stört" bzw. wo ich mir nicht ganz sicher bin ist bei "Disable Gateway Monitoring".
    Soweit ich weiss, wird jede Sekunde ein ping von der pfsense an diese Monitor IP gesendet. Auf Basis dieser Antwortzeiten entsteht dann auch der "RRD Graph". Wo ich mir jetzt nicht sicher bin ist, ob dann das "LoadBalancing" korrekt funktioniert. Denn "Member Down" kann ja ohne eine Gegenstelle, die man versucht zu erreichen, meiner Meinung nach nicht durchgeführt werden. Da bin ich aber unsicher. (Eigentlich stehts ja in der Beschreibung sehe ich gerade "Always up".)

    Es wäre jedoch für dich ein Versuch wert, wenn du jeweils eine Monitor IP einträgst, z.B. 8.8.8.8 und 8.8.4.4, das sind zwei Google-DNS-Server, die sich anpingen lassen.



  • Also im Moment funktionierts ganz gut. Ich meine, wenn der eine WAN weg ist, brauch ich kein Monitoring, was mir sagt es is weg…Klar kann dann keine Reaktion erfolgen. Muss es das? Der Router nimmt einfach den anderen WAN und das soll er auch (und macht er auch).

    Immerhin bleibt pfSense nicht einfach wieder stehen. Scheint wohl tatsächlich der Haken bei "Default Gateway" gewesen zu sein. Mir schauen mal....



  • Bei mir geht es auch mit diesem Haken (Default GW). Aber das Ergebnis zählt und wenn es läuft, wie du willst, ist es ja ok :)



  • OK. Ich werd das jetzt beobachten. Läuft jetzt seit 24h durch. Ohne Probleme. Das gabs bisher noch nicht.
    Danke erstmal für die Hilfe.



  • Nach 2 Tagen problemfrei war es heute früh wieder soweit. WebConfig war praktisch nicht zu erreichen. Internetzugang nicht möglich. TOP zeigte eine Systemauslastung von 25% statt normalerweise 1-3%. Zugriff über Console und SSH war möglich.
    Wie kann ich genauer auslesen, welche Prozesse hier evtl. spinnen? Mit TOP hatte ich nur die hohe Systemlast sehen können. Die gelisteten Prozesse waren alle bei 0,xx%.



  • @DoubleT:

    Nach 2 Tagen problemfrei war es heute früh wieder soweit. WebConfig war praktisch nicht zu erreichen. Internetzugang nicht möglich. TOP zeigte eine Systemauslastung von 25% statt normalerweise 1-3%. Zugriff über Console und SSH war möglich.
    Wie kann ich genauer auslesen, welche Prozesse hier evtl. spinnen? Mit TOP hatte ich nur die hohe Systemlast sehen können. Die gelisteten Prozesse waren alle bei 0,xx%.

    Hallo,

    ich bin leider kein Kommandokonsolen Experte, aber im Forum gibt es oft den Hinweis, das Kommando "top" mit Zusatzparameters zu nutzen.
    Evtl probierst du mal:

    top -S
    

    Mehr infos hier:
    http://www.freebsd.org/cgi/man.cgi?query=top&sektion=1



  • OK. Danke. Den hatte ich irgendwie übersehen. Werd ich beim nächsten "Hängerchen" mal testen.



  • Also…..

    Das muss noch ein Programm Bug sein.
    Mit zwei PPPoE DSL Leitungen kam es immerwieder zu "hängern"

    Ich habe jetzt eine Leitung über einen eigenen Router versorgt. Seitdem ist Ruhe.



  • Zum Thema PPPoE:
    Such mal im forum nach PPPoE und Multi-WAN und du kannst auch mal im changelog der pfsense von 2.0 auf 2.0.1 schauen. Diese Problematik wurde behandelt, aber ist wohl noch nicht in allen Situationen einwandfrei.

    Ich kann dir da jetzt aber leider auch nicht weiter helfen.



  • Ja, Danke, das hatte ich schon gesehen. Aber man zweifelt eben erstmal an sich und den Einstellungen (vor allem als Umsteiger). Das scheint dann eben wirklich noch ein Problem in der Software zu sein.

    Danke erstmal für die Hilfe.


Locked