[Bug ?] Problem mit Outbound NAT unter 2.1.5



  • Hallo Community

    Nachdem ich mehrere Tage meines Lebens damit verbracht habe meine PFSense wieder zum laufen zu bringen, wollte ich meine Erfahrungen hier veröffentlichen.

    Da ich wegen eines Softwareproblem meine PFsense neu aufsetzen musste, habe ich die Gunst der Stunde genutzt meine bisher ungenutzte APU produktiv zu setzen.
    Wie dem auch sei, ich hatte die Version 2.1.5 (Life-Installer Memorystick Serial amd64) aufgespielt und die einige Einstellungen (DHCP, DNS, IPSEC, OVPN, Certs) von meinem produktiv System übernommen.

    Das funktionierte auch soweit, bis ich die APU produktiv setzte. Anfangs noch ohne Probleme, konnte ich wie gewohnt ins Internet gehen. Doch als ich wegen einem zusätzlichen Interface das Outbount NAT von Auto auf Manuell umstellen musste, fingen die Probleme an. Die APU machte kein NAT mehr, die Firewall loggte auch nicht mehr (sehr merkwürdig). Ein Neustart brachte kein Erfolg und das zurückstellen auf Automatik und ein weiterer Neustart brachte auch nichts.

    Dienste wie Squid, IPsec oder OVPN funktionierten noch, weil diese Dienste direkt auf dem WAN Interface gebunden waren und kein NAT benötigten alles andere ging einfach nicht mehr.

    Als ich keine Ideen mehr hatte, setzte ich meine alte Machine wieder neu (2.1.5) auf und setzte diese wieder ein. Doch dann passierte genau das gleiche  ??? Sobald ich das Outbound NAT von Automatik auf Manuell umstellte und neustartete war kein NAT mehr da und die Firewall loggte nicht mehr.

    Nach langem hin und her, hatte ich dann die APU mit der 2.1.4 neu aufgesetzt, die Konfig eingespielt und produktiv gestetzt. Danach das NAT auf Manuell gesetzt und was soll ich sagen…. es funktionierte weiterhin.

    Mir ist aufgefallen, solange man keine Änderungen am Outbound NAT macht und/oder die Einstellungen schon in einer älteren Version durchgeführt wurden sind, funktioniert NAT auch mit der 2.1.5.

    Kann das jemand bestätigen bzw. reproduzieren oder bin ich nur zu Blöd gewesen.  ?

    lg Rubinho



  • Kann ich teilweise bestätigen. Bei mir war jedoch das Problem dass Auto nicht alle Netze eingetragen hat. Nachdem ich auf manuell gestellt habe und die Netze per Hand eintrug, funktionierte alles. Ich vermute daher auch einen Bug bzw. Schönheitsfehler.



  • Manual funktioniert seit einigen Versionen schon nicht richtig. Meines Erachtens.

    Früher hat pfSense, wenn man von Auto auf Manual umgestellt aht alle benötigten Regeln selbst erstellt. Mittlerweile bekomme ich nur noch die WAN Regeln erstellt. Somot fehlen mir die Regeln für die anderen Interfaces. Die erstellt man aber ganz einfach durch klicken auf das Plus neben der jeweiligen Regel. Alles was man dann noch machen muss ist das interface zu wechseln.
    Das dauert weniger als 5 Minuten, ist aber nerfig.



  • In der Theorie ja, aber wenn nach dem Umschalten auf Manuell, der Packetfilter den Dienst komplett einstellt (wie bei mir) und egal was ich anstelle, er nicht wieder in Betrieb geht (auch nicht nach dem zurückschwenken auf Auto) ist das mehr als nervig.

    Ich hab das Ganze jetzt mal auf einer VM mehr oder weniger nachgebildet und dort funktioniert Manual NAT kurioserweise wie es soll.

    Ich weiß nicht welche meiner Konfigeinstellung dazu geführt hat, damit der Packetfilter unter 2.1.5 seinen Dienst quittiert. Es ist jedenfalls bei 2 unterschiedlichen Geräten passiert (nach einer Neuinstallation), jedesmal nachdem ich ein OVPN Interface ins NAT eingebunden hatte.

    Unter 2.1.4 funktioniert jedenfalls alles und ich traue mich momentan nicht auf 2.1.5 zu gehen.


  • Moderator

    Sehr merkwürdig, kann ich so leider auch nicht nachvollziehen. Haben hier mehrere Systeme direkt schon mit manueller NAT konfiguriert und trotz seitenweiser NAT Regeln (kommen auch ständig welche hinzu) keine Probleme. Ebenfalls von 2.1 -> 2.1.1 -> … -> 2.1.5 geupdatet ohne Probleme (die mit NAT zusammenhängen, trotz alle Zwischenschritte mitgenommen).



  • Ich finde es auch sehr seltsam, somal es auf meiner Alix und auf einer VM Läuft, nur halt nicht die identische konfig.

    @JeGr
    Mein Zweitsystem hab ich momentan auf meinem Schreibtisch in dem besagten zickigen Zustand stehen. Wenn ich irgendwas abfragen soll (Logs, States, whatever) sag bescheid. Der Packetfilter (Prozess) arbeitet auf dem System weiter nicht, obwohl Outbound NAT wieder auf Auto steht.

    Im Englischen Forumsbereich (NAT) werde ich momentan mit Unverständnis konfrontiert, weil ich zwei Nat Mappings vom gleichen LAN-Netz in zwei unterschiedliche WAN-Interfaces manuell gesetzt habe. Das wäre angeblich der Grund für das Versagen von Packetfilter.  Vielleicht liegt es daran, dass sie mich mangels meiner Englischkenntissen, nicht richtig verstehen oder umgekehrt  :/ (Google Translator ist fürn Ar****)