Update 2.2 -> 2.2.4 Embedded APU1.4D … Anleitung für BSD-Dummies?



  • Ich habe hier eine Dual-PfSense auf APU1.4D-Basis und möchte die neueste FW einspielen.
    Ich habe die Aussage, dass das bei den Dinger NICHT über die Weboberfläche geht. Ein passendes Upgrade-Image habe ich mir grade heruntergeladen, aber ich muss jetzt wissen, wie ich genau damit vorgehe.

    Wenn ich das recht verstanden habe muss ich die SD aus der Sense nehmen und das *.img da drauf packen. Da ich nur Windows-PC habe, fehlen mir vermutlich entprechende Tools? Gibt es da eine Anleitung, die das Schritt für Schritt erklärt?

    Da ich ja ein CARB habe, kann ich das ja problemlos auch im Betrieb machen, wenn ich erst mal nur eine der Kisten Update, da die Config zurückspiele und dann die andere, falls die erste dann geht.

    gruß



  • Hallo!

    @bitboy0:

    Ich habe hier eine Dual-PfSense auf APU1.4D-Basis und möchte die neueste FW einspielen.
    Ich habe die Aussage, dass das bei den Dinger NICHT über die Weboberfläche geht.

    Von wem?? Und warum sollte das nicht gehen?

    Halte dich an die Anleitung: https://doc.pfsense.org/index.php/Upgrade_Guide#Upgrading_High_Availability_Deployments

    Grüße



  • Die Aussage habe ich vom Hersteller & von hier: https://doc.pfsense.org/index.php/Upgrade_Guide#Embedded

    Die Aussage war: Ich muss dazu die SD aus der Sense entnehmen und das Image irgendwie dann da drauf packen … l

    Also was nu?



  • Das betrifft aber die Versionen bis pfSense 1.2.3.

    Ich habe eine ebedded Version auf einem ALIX Boad mit einer CF-Karte laufen und die schon öfter upgegradet. Ich denke, dass wird bei APU + SD ebenso möglich sein. Jedenfalls wenn du die NanoBSD Version installiert hast. Dies wird am Dashboard in den Systeminformationen bei Plattform angezeigt.

    Wenn du erstmalig ein NanoBSD Image der pfSense auf eine Karte schreibst, werden auf Karte 3 Partitionen erstellt. Eine ist die, die aktuell gestartet ist, die andere ist für das Upgrade vorgesehen, in der dritten, kleinen Partition steht die Konfiguration.
    Wenn du auf Diagnostic > NanoBSD gehst kannst du einstellen, welche Partition (Slice in BSD) gestartet werden soll. Auch kannst du da den aktuell gebooteten Slice (wird auch am Dashboard angezeigt) auf den anderen kopieren. Sinnvoll bsp., wenn du irgendwelche Änderungen an den Scripten vornimmst.

    Okay, wenn du also die NanoBSD Version 2.2 installiert hast, sollte ein Upgrade möglich sein. Die Verfügbarkeit eines Upgrades wird dann auch gleich am Dashboard unter Version angezeigt. Darauf geklickt und dann noch einmal bestätigt und pfSense macht den Rest selbst und startet anschließend neu.



  • mhhh … okay ... also zur Sicherheit den Slice duplizieren und dann ganz normal ein Upgrade über dei Weboberfläche?
    Bei 2.2 auf 2.2.4 sollten auch keine Probleme mit CARB auftreten?



  • Slice duplizieren ist bei einem Standard-Upgrade nicht erforderlich. Der Slice, den du gestartet hast und vor dem Upgrade ja in Ordnung ist, bleibt ohnehin unberührt. Sollte etwas schief gehen und pfSense nach dem Upgrade gar nicht starten, kann man den Boot-Slice auch in der Console beim Starten ändern.

    Halte dich an die Upgrade-Empfehlungen für CARP, das ist, wenn ich mich recht erinnere, erst CARP daktivieren, dann die Backup-pfSense upgraden und diese danach in den Echtbetrieb zu versetzten, um zu sehen, ob alles einwandfrei läuft. Wenn es passt, den Master upgraden und CARP wieder aktivieren. Aber lies sicherheitshalber nach.

    Mit 2.2.4 habe ich auf dem ALIX keine Probleme. Das Upgrade sollte anstandslos durchlaufen.



  • Hab das dann jetzt gemacht….

    Slave ging problemlos... auch im Echtbetrieb. Danach Master.
    Der Master hatte dann aber plötzlich zwei Gateways in der Übersicht nicht mehr, konnte bestimmte Netze nicht mehr erreichen usw. Obwohl das alles weiterhin sichtbar in den Menüs vorhanden war.

    Auch das Backup, was ich VOR dem Update gemacht hatte änderte nichts.
    ich hab dann vom Slave ein Backup gemacht, da die IF-IP's angepasst und das dann auf den Master geladen. Dort dann die SYNC-Setting richtig angegeben und jetzt geht es wieder.

    Irgendwie gut, wenn man immer wenigstens EINE Kiste hat, die tut, was sie soll ;) Aber auch etwas gruselig, wenn zwei identische Kisten mit identischer Config sich bei dem identischen Update so unterschiedlich verhalten ...



  • Okay, ich müsste lügen, würde ich sagen, dass bei mir alle Upgrades bisher problemlos verliefen. Aber meist klappt es, wie es soll.
    ;)

    Im CARP Modus betreibe ich keine NanoBSDs, aber daran hat es wohl auch nicht gelegen.


  • LAYER 8 Moderator

    OK ich mag Thread Nekromantie nicht, aber 2-3 Wochen ist ja noch "grün". Hier sind aber so viele Fehler versteckt im Thread, dass ich die unbedingt hier nochmal kommentieren möchte, für den Fall, dass hier jemand diesen Thread durch die Suche findet und sich lauter Dinge merkt, die schlicht falsch sind:

    0: pfSense ist kein Linux, es basiert auf FreeBSD. BSD ist kein Linux, sondern ein UNIX. Und nein, das ist nicht "ungefähr das Selbe" ;)
    1: nanoBSD Installationen von pfSense können bereits seit Major Release 2(.x) sauber geupdatet werden. Klar gibt es hie und da immer mal kleine Problemchen, aber ein Update ist kein Problem. Dafür gibt es genau die beiden Boot-Slices
    2: die neuen pcEngines Geräte heißen APU, nicht ALIX APU, ALIX oder sonstwie. ALIX ist die Vorgängergeneration (x86), WRAP noch älter. APUs sind AMD T40E CPUs und kein Mini-Atom oder sonstwas
    3: Der HA/Failover Protokoll Stack heißt CARP
    4: Updatereihenfolge ist korrekt erkannt: Erst Slave, dann Master. Ggf. sollte hier vorher dann auch CARP kurz auf dem Slave abgeschaltet werden, wenn der (neue) Master wieder hochkommt. Damit lassen sich versehentliche Split-Brains vermeiden.

    :)



  • ::)


  • Banned

    Seeehr deutsch, dieser deutsche Forenteil… (smoke)


  • LAYER 8 Moderator

    @2chemlud: Das hat an der Stelle nicht viel mit deutsch zu tun. Wenn du mal durch die Beiträge blätterst - auch gern englische - findest du viele, die einfach eine Console oder Shell sehen und automatisch meinen, das ist Linux. Dann wird kurz gegoogelt und dann kommen die Fragen warum man xy nicht via z einfach auf pfSense installieren kann. Darum ist es schon wichtig, manchmal drauf hinzuweisen, dass es eben kein Linux ist.
    OK, den CARP Punkt gönne ich euch, der war vielleicht Kleinmeierei, aber es gab ebenso schon häufiger Wechselspielchen, in denen erst von APU, dann von ALIX, dann auf einmal ALIX APU geschrieben wurde und das macht Hilfestellung einfach unnötig schwer, zumal die völlig unterschiedliche Innenleben und auch Speichermedien haben. Deshalb einfach klar ausdrücken, dann gehts umso schneller wenn Hilfe gebraucht wird. Die soll ja auch nicht nur "so ungefähr" stimmen ;)



  • @2chemlud:

    Seeehr deutsch, dieser deutsche Forenteil… (smoke)

    Also ich denke das man bei einem "Full Member" Status den Leuten ruhig abverlangen kann dass sie wissen
    das pfSense auf FreeBSD basiert und ein BSD System eben nicht Linux ist, aber in der Überschrift steht
    klar "Linux" bzw. wird dort genannt.

    Bei einem Wechsel von Alix auf APU Board muss man damit rechnen dass die LAN Ports umbenannt worden sind
    und man sie wieder neu zuordnen muss! Das kann gerade bei einer CARP/Cluster Konfiguration richtig in die Hose
    gehen.

    Des weiteren ist dies ja auch ein "User to User" Forum und kein Support Forum!
    Es gibt auch zwei Bücher zu pfSense und man kann auch sicherlich eine "Gold
    Membership" Mitgliedschaft erwerben und dann einmal so etwas mit den professionellen
    Leuten "Step by Step" erledigen.



  • Ich bin immer dankbar für sinnvolle Infos und Verbesserungen.

    Ich möchte gerne dazu meinen Senf noch absondern ;)

    0: pfSense ist kein Linux, es basiert auf FreeBSD. BSD ist kein Linux, sondern ein UNIX. Und nein, das ist nicht "ungefähr das Selbe" ;)
    Nein, das weiß ich nicht. Das ist mir auch nehezu egal und unwichtig. Alles was ich davon zu sehen bekommen habe sieht aus wie Linux und lässt sich so benutzen wie Linux. Angefangen von VI auf der Shell und was ich auch sonst noch als Anwender zu sehen bekomme.

    1: nanoBSD Installationen von pfSense können bereits seit Major Release 2(.x) sauber geupdatet werden. Klar gibt es hie und da immer mal kleine Problemchen, aber ein Update ist kein Problem. Dafür gibt es genau die beiden Boot-Slices
    Der Verkäufer (Varia-Store) meiner APU's warnt schriftlich vor dem Update über die Weboberfläche. Dort habe ich die Sensen mit 2.2 vorinstalliert bezogen und da ging ich eben davon aus, dass das irgendwie stimmen wird.

    2: die neuen pcEngines Geräte heißen APU, nicht ALIX APU, ALIX oder sonstwie. ALIX ist die Vorgängergeneration (x86), WRAP noch älter. APUs sind AMD T40E CPUs und kein Mini-Atom oder sonstwas
    Das betrifft mich eh nicht. Ich hab nur von APU gesprochen.

    3: Der HA/Failover Protokoll Stack heißt CARP
    Ja, aus irgendeinem Grund schreibe ich immer wieder das mit B am Ende … Asche auf mein Haupt.

    4: Updatereihenfolge ist korrekt erkannt: Erst Slave, dann Master. Ggf. sollte hier vorher dann auch CARP kurz auf dem Slave abgeschaltet werden, wenn der (neue) Master wieder hochkommt. Damit lassen sich versehentliche Split-Brains vermeiden.
    So hab ich das gemacht, so geht es auch...

    Support habe ich nicht "verlangt", sondern Hilfe von Usern ... Und ich überlege schon heftig, ob nicht https://de.wikipedia.org/wiki/OPNsense besser für mich ist, weil dort der Tonfall irgendwie entspannter rüber kommt und es vielleicht nicht mal schlechter ist

    ;)



  • Moin,

    hat da Jemand Sensibletten geschluckt?  :D

    Inzwischen steht doch alles im Thread, damit ist er keine Totgeburt wie in vielen anderen Foren, also Alles ist gut. :-*

    teddy



  • Mir reicht es, zu verstehen, was der Schreiber meint. Manchen anderen offenbar auch. Da brauch ich nicht jeden kleinen Irrtum auf einer halben Seite breit zu treten.
    Korrigieren ist ja okay, aber dafür würd ich keinen eigenen Post schreiben. Manche sehen das aber anders…
    ;)


  • LAYER 8 Moderator

    Gute Güte, ich lass in Zukunft gut gemeinte Verbesserungen wieder sein. Wenn dann das nächste halbe Dutzend Anfragen kommen, warum dann X nicht wie Linux ist, Y bei der Installation nicht geht oder Z mal wieder keine Antwort innerhalb von 5min bekommt, ignorier ichs. Dass mein Kommentare jetzt hier so ein Drama auslöst und totgeritten wird, hab ich auch nicht kommen sehen.
    Finde nur das Kommentar mit OPNsense wieder sehr lustig. Nur weil man dann mit einem öffentlichen Forenteil von einzelnen Personen, die überhaupt keine Verbindung zum Projekt haben ein Problem hat (oder eins konstruiert), wird dann das Produkt in Frage gestellt und mit Wechsel gewunken. Der Zusammenhang erschließt sich mir nicht, aber bitte, jeder wie er mag :)



  • Ich kann damit leben, muss ja nicht alles lesen.  ;)
    Aber wenn ich mal selbst etwas, mit (scherzhaften) Hinweis auf dich, selbst korrigiere, sollt das auch bei dir so gelten, ohne dass du dich gleich schmollend in die Ecke stellst.

    Finde nur das Kommentar mit OPNsense wieder sehr lustig
    Ist mir gar nicht aufgefallen. Da hat obiges zugetroffen.  :)



  • @viragomann:

    Finde nur das Kommentar mit OPNsense wieder sehr lustig
    Ist mir gar nicht aufgefallen. Da hat obiges zugetroffen.  :)

    Nö, das hängt ja nicht hier dran. Aber auch im englischen pfSense-Forum finde ich den Ton einfach sehr ruppig. Und teilweise auch sehr wenig hilfreich.
    Ich hab da letztens wegen einem openVPN-Problem (Outboud-NAT bei mehreren oVPN-Servern) gefragt. Zwar wurde mir bestätigt, dass das eben so ist, aber auf Fragen bezüglich dem Hintergrund das so zu lösen, wie es eben gelöst ist, wird dann schon keine Antwort mehr gegeben…


  • LAYER 8 Moderator

    Aber wenn ich mal selbst etwas, mit (scherzhaften) Hinweis auf dich, selbst korrigiere, sollt das auch bei dir so gelten, ohne dass du dich gleich schmollend in die Ecke stellst.
    Ich schmolle nicht ;) ich wundere mich nur über die Ausmaße - und es gibt eben auch Zeiten, wo mir auch die Sonne nicht aus dem Hinterteil scheint - dann sag ichs eben manchmal auch wie's ist (für mich, subjektiv) :D

    Man sieht eben auch tagtäglich im Umgang mit Kunden, Problemen und Netzen/IT etc. immer häufiger mal was, bei dem man sich am liebsten nen rostigen Nagel ins Hirn bohren möchte. ;)

    Aber anyway, ich werd mich sehr wahrscheinlich eh bald am Riemen reißen müssen (und/oder vielleicht den Mod abgeben) da wir gerade in der Akkreditierung sind für Partnerstatus und ich will mir nur ungern irgendwas unterstellen lassen, ich würde irgendwas irgendwie irgendwarum wohin ausnutzen (auch wenns Quark ist). :)



  • @bitboy0:

    Aber auch im englischen pfSense-Forum finde ich den Ton einfach sehr ruppig. Und teilweise auch sehr wenig hilfreich.
    Ich hab da letztens wegen einem openVPN-Problem (Outboud-NAT bei mehreren oVPN-Servern) gefragt. Zwar wurde mir bestätigt, dass das eben so ist, aber auf Fragen bezüglich dem Hintergrund das so zu lösen, wie es eben gelöst ist, wird dann schon keine Antwort mehr gegeben…

    Aber doch. CMB hat erklärt, dass mehrer VPN Server als Interface group angesehen werden, und daher die IP nach Round Robin rotiert.
    Er hat auch einen Weg genannt, dem entgegen zu treten, abgesehen, von dem den du selbst erkannt hast: Jedem Server ein Interface zuweisen. Ist aber eben auch nicht gerade weniger Arbeit.

    Ach ja, möchte noch ergänzen: CMB ist offenbar einer der Hauptentwickler von pfSense. Habe Nachsehen, wenn er sich kurz fast.



  • 0: pfSense ist kein Linux, es basiert auf FreeBSD. BSD ist kein Linux, sondern ein UNIX. Und nein, das ist nicht "ungefähr das Selbe" ;)

    Ich finde das eigentlich auch nicht immer angebracht nur so ein Forum lebt ja nun einmal auch von
    dem was bei Google oder anderen Suchmaschinen so alles angezeigt wird und wenn nun recht viele
    Leute das selbe Problem haben und lesen dann Linux statt FreeBSD oder gar pfsense werden sie eben
    nicht aufmerksam auf diesen Beitrag hier und können anhand dessen auch nicht Ihr eigenes Problem
    lösen. Also von daher finde ich es schon recht gut das JeGre da aufpasst denn so ein Forum lebt eben
    mit und von seinen Usern und auch wie es von "draußen" angesehen wird.

    …. weil dort der Tonfall irgendwie entspannter rüber kommt und es vielleicht nicht mal schlechter ist

    Ich finde den Artikel von heise online gerade nicht wieder, aber dort wurde berichtet das eine Kernel
    Entwicklerin das Team verlässt weil Ihr der raue Umgangston im OpenSource Umfeld nicht passt und
    das war erst vor recht kurzer Zeit.

    Und hier mal eine aktuelle Aussage aus einem anderen deutschsprachigen Forum:
    ich sach ma so, wenn Du von dem ganzen Mist nicht den blassesten Schimmer hast, dann lass es oder gehe ins bild.de Forum…

    Und ich überlege schon heftig, ob nicht https://de.wikipedia.org/wiki/OPNsense besser für mich ist,

    Es ist eben auch nur ein User zu User Forum, aber selbst hier hat man noch sehr viel mehr Möglichkeiten
    als nur das Forum selber:

    • Die beiden pfSense Bücher zur Selbsthilfe und Studium damit man selber besser klar kommt
    • Gold Mitgliedschaft, Zugang zu Dokumenten und eventuell konfiguriert dort ja jemand oder gar mehrere
      das Problem oder auch andere mit dir zusammen aus weil so ein großer Bedarf ist, z.B. in Form eines
      WorkShops oder einer Gruppenarbeit
    • pfSense Universität und dort Kurse belegen die sich speziell mit Deinem Problem beschäftigen
    • professionellen Support einkaufen, kostet ist aber dann auch schnell gelöst, je nach Problem halt
    • Das ganze als Projekt in Auftrag geben von der Planung und dem Design bis hin zur Umsetzung und
      Ausführung, kann man alles auf pfSense.org anleiern, gut für Deinen Fall eventuell überzogen.
    • Das Forum in dem wir hier gerade sind.

    Das ist sicherlich nicht alles passend zu Deinem Problem bitboy0 nur die Möglichkeiten sind ja vorhanden
    und das sollten andere erst einmal nachmachen, auf das gesamte Angebot bezogen.

    Also ich denke das hier doch wohl eher alles im grünen Bereich ist und das Angebot sich auch sehen lassen
    kann.

    Aber anyway, ich werd mich sehr wahrscheinlich eh bald am Riemen reißen müssen (und/oder vielleicht den Mod abgeben) da wir gerade in der Akkreditierung sind für Partnerstatus und ich will mir nur ungern irgendwas unterstellen lassen, ich würde irgendwas irgendwie irgendwarum wohin ausnutzen (auch wenns Quark ist).

    Es gibt immer Charaktere die nicht miteinander harmonieren, aber weil Bitboy0 nun hier in diesem
    Beitrag nicht klar kommt willst Du den Mod abgeben? Das überlege Dir noch mal ganz in Ruhe.


  • LAYER 8 Moderator

    berichtet das eine Kernel Entwicklerin das Team verlässt weil Ihr der raue Umgangston im OpenSource Umfeld nicht passt und das war erst vor recht kurzer Zeit.

    Ist hier aber ein wenig OOC (out of context) zumal man der Dame hinterher durch den Mailinglisten Verlauf durchaus nachweisen konnte, dass sie das ganze recht gut angefeuert hat. Der Auslöser war eigentlich eine (vielleicht rauhe, aber freundschaftliche) Stichelei von Linus zu Greg und einem anderen Maintainer. Da sagt Man(n) im Umgang schonmal was wie "na du alter Depp?" - dass das ihr nicht glatt saß und was sie draus gemacht hat, war da aber mehr als hätte sein müssen und unnötig. Konnte man auch recht gut auf Slashdot verfolgen: http://linux.slashdot.org/comments.pl?sid=8123533&cid=50667697

    Es gibt immer Charaktere die nicht miteinander harmonieren, aber weil Bitboy0 nun hier in diesem
    Beitrag nicht klar kommt willst Du den Mod abgeben? Das überlege Dir noch mal ganz in Ruhe.

    Da hast du aber mal eben nen ganzen Textblock übersprungen ;) Mir geht in meiner Antwort ja gar nicht um Bitboy selbst, nicht mal im ersten Beitrag - den ich nur verfasst hatte um eben Absprünge via Suchmaschinen etc. klarzustellen und keine falschen Infos zu verbreiten. Mit Bitboy persönlich hab ich da überhaupt kein Problem - ich versuche eh auch wenns mal ruppig geschrieben ist nie persönlich zu werden.

    Es ging um den Punkt, dass wir gerade an der Partner Akkreditierung sind, bereits normalen Partnerstatus provisorisch haben und in den nächsten Wochen dann Authorized pfSense Partner werden (wollen). Da sind wir noch in Diskussion, da wir hier keinen #Aufschrei anzetteln wollen für den Fall, dass andere Partner sich dann mal hier einfinden.


  • Banned

    Im englischen Forumsteil gibt es 2 Poster mit überragenden technische Fähigkeiten und erbärmlichen zwischenmenschlichen Fähigkeiten. Es könnte alles so gut sein, wenn die guten Leute ein wenig mehr Geduld mitbringen würden, oder einfach mal garnix posten…

    Klar, das hält man nur ein paar Wochen durch, aber dann kann man sich ja ein bisschen Ferien vom Forum nehmen und dann mit frischer Kraft wiederkommen.

    Dieser Ton von GANZ oben herab (ala: "wenn du keine Ahnung hast, geh und kauf dir Support" für jemanden, der ein Heim- oder Minifirmennetz aufsetzt, ohne irgendwelchen Budgets, wirklich so gefallen im englischen Teil) ist nicht gut für ein Projekt.

    Wenn OPNsense noch ein paar Monate hat, werde ich es auch probieren...



  • Nicht falsch verstehen … ich hab hier kein schlimmes Problem und keine unüberwindbaren Differenzen.

    Im englischen Forum habe ich eine Frage gestellt und eine Antwort bekommen. Damit war der "Status" auch klar.
    Allerdings habe ich dann gerne noch wissen wollen, was der - sicherlich vorhandene - Sinn hinter eine bestimmten Einstellung ist, die aber entgegen der implizierten Möglichkeit nicht so funktioniert, wie man es eben erwartet. Hier im Forum wusste es zunächst auch keiner und @vigaroman war auch erst mal etwas erstaunt, dass es anders geht als erwartet.
    Man lernt ja nie aus und ich hatte mir eben erhofft, dass ich da eine Erklärung bekomme, warum das da so ist

    Leider kam da dann nix mehr...

    opnSense hat trotzdem in einigen Dingen frischen Wind dahinter, wie viele neue Projekte. Die Basis ist eh die gleiche erst mal, aber jetzt muss man mal sehen, wie es da läuft.


  • LAYER 8 Moderator

    Nicht falsch verstehen … ich hab hier kein schlimmes Problem und keine unüberwindbaren Differenzen.

    Nie so verstanden :)

    Man lernt ja nie aus und ich hatte mir eben erhofft, dass ich da eine Erklärung bekomme, warum das da so ist

    OK, aber dann muss man ggf. auch verstehen, dass die Macher etc. zwar im Forum aktiv sind, aber jede Nachfrage können die auch nicht sehen und kommentieren, sonst programmiert den Kram keiner mehr ;) Ich muss gestehen ich hatte schon mit dem Premium Support zu tun und die tun ihr Möglichstes auch dann im Nachgang mal solche Fragen vielleicht noch mit 1-2 Sätzen zu erklären.

    Vielleicht ist es an der Stelle dann informativ leider nicht so gut gelaufen, vielleicht ist es an anderer Stelle sogar schon beschreiben oder dokumentiert, wer weiß. Aber von den sonstigen Leuten - auch von den Postern die Chemlud als mit "erbärmlich zwischenmenschlichen Fähigkeiten" beschreibt - glaube ich nicht daran, dass es böswillig gemeint ist. Ich denke da ist sicher auch so jemand wie DoktorNotor gemeint, der sich auch schon fast einen Spaß daraus macht, negatives Karma zu sammeln. Ja der ist ein totales Rauhbein. Aber ehrlich gesagt, wenn ich die Posts von ihm lesen, bin ich ein wenig an Dr. House erinnert.

    opnSense hat trotzdem in einigen Dingen frischen Wind dahinter, wie viele neue Projekte. Die Basis ist eh die gleiche erst mal, aber jetzt muss man mal sehen, wie es da läuft.

    Ich will mich da nicht in irgendwelche Politik einmischen, aber ich sehe OpnSense momentan noch sehr skeptisch. Das ist aber allein meine subjektive Meinung. Ich finde es nur seltsam auffällig, dass meistens, wenn sich jemand extrem beschwehrt über irgendwas im nächsten Atemzug was von OPNsense kommt. Vielleicht mag der Ton da toller sein (noch), die Vorgehensweise finde ich aber auch hie und da eher fraglich, vor allem wenn man im gleichen Atemzug über pfSense lästert/herzieht. Aber wie gesagt, das ist mein subjektiver Eindruck, was draus wird wird sicher die Zeit zeigen. Momentan sehe ich für mich außer einer bisschen schicken GUI nichts Sinnvolles :)

    Aber um deine Überschrift trotzdem nochmal aufzugreifen: https://forum.pfsense.org/index.php?topic=101753.0
    Was wäre denn deine TOP3 an Fragen? Dann ziehen wir vielleicht alle ein positives Fazit aus dem ganzen Thread :)

    Grüße



  • Bei meinen Fragen ging es um das thema hier:
    https://forum.pfsense.org/index.php?topic=100871.0

    Bei mehreren oVPN-Servern auf der Sense und Outbound-NAT muss man ja das Interface angeben, auf dem der oVPN seine Sachen raus gibt.
    Im Outbound-NAT-Dialog kann man dann aus dem Dropdown bei "Translation"  "Interface Adresse" auswählen, aber das funktioniert nicht sinnvoll.
    Denn wenn man mehr als eine OpenVPN-Server hat, dann macht er RoundRobin über ALLE in Betrieb befindlichen Open-VPN-Server Interface Adressen.

    Wenn man also nur einen oVPN-Server definiert hat geht das. Wenn man später einen zweiten oVPN-Server definiert, wird man mit dem Outbound-NAT plötzlich riesen Probleme haben und sicher nicht DA suchen, wo der Fehler liegt.

    Meine Fragen bezogen sich darauf, warum also in dem Dropdown nicht automatisch die einzelnen IF-Adressen auftauchen, die von den verschiedenen oVPN-Servern auch benutzt werden und warum stattdessen diese "Group" da auftaucht, die man in der Regel ja nicht benutzen kann. Oder die man besser nicht benutzen SOLLTE, wenn man später keine Probleme damit haben will.

    Das liegt wohl daran, das "Inteface Adresse" für oVPN eine "Group" ist… Da macht der das eben so. Das war kurz gesagt die Antwort im englischen Forum zu meiner Frage, ob das ein Bug sei oder Absicht. Außerdem wurde ich recht barsch darauf hingewiesen, dass das ja "Überall" in der Dokumentation steht... allerdings habe ich es auch danach nicht gefunden und die Frage auf einen "Startpunkt" in der Dokumentation, wo ich das nachlesen kann blieb genau so unbeantwortet wie die Fragen davor.

    Auch hier im Forum wusste das zunächst mal keiner... erst als ich dann dahinter gekommen bin und die Lösung hingeschrieben habe, haben sich zwei gemeldet, die wohl selber schon mal über das Verhalten gestolpert waren und es ebenfalls nicht so intuitiv fanden. Aus meiner Sicht also einfach ein unnötiger Stolperstein bei der Konfiguration.


  • LAYER 8 Moderator

    Da kann ich dir durchaus Recht geben :) Aber danke dass dus nochmal hier postest, die Posts aus dem deutschen Bereich landen ja recht zügig in Google, so wirds dann vielleicht auch dem ein oder anderen User helfen können :)


Log in to reply