OPNsense Forum
International Forums => German - Deutsch => Topic started by: Andreas on November 14, 2015, 11:27:59 am
-
Hi,
ich möcht nicht unverschämt klingen aber was ist los mit der 15.7.19 Firmware?
Statt besser wird es irgendwie eher schlechter
ständig crash reports wenn man was speichern will - und es speichert nichts :(
CPU last höher
GUI reagiert sehr sehr langsam
VPN Status läuft nicht im dev
VPN (IPSEC) läuft gar nicht sogar
-
Hallo Andreas,
IPsec... Ist das ohne Neustart der Box bzw. Stop/Start von IPsec?
Kann gut möglich sein, dass der fliegende Wechsel des Status Backends von Strongswan die Ursache ist.
Von generellen Problemen mit 15.7.19 haben (bis jetzt) wir nicht gehört.
Eine langsame GUI liegt eigentlich nur am Backend-Daemon, der seine Daten nicht vom System bekommen kann, dann wartet auch die GUI darauf.
Gruss
Franco
-
Hi Franco,
also
IPSEC - mit neustart komplett und restart service
der dritte reboot half jetzt
thema gui - glaub hab euch 4 oder 5 crash reports geschickt. ich trau mich kaum noch was einzustellen weil es ewig dauert bzw. im fehler endet.
Gruß
Andreas
-
Das ist ein Fall für Ad, ich habe mal einen Crash Report weitergeleitet.
-
In der Zwischenzeit... ist das ältere Hardware?
-
neue hardware von deviso
https://www.applianceshop.eu/security-appliances/19-rack-appliances/opnsense-based/opnsense-a10-quad-core-ssd-rack.html
-
Ich hab's auch grad gesehen, stimmt. 15.7.18_1 hatte diese Probleme soweit ich über den Code blick nicht. Das ist ziemlich merkwürdig dass es selbst damit nicht ging nach den Reports zu urteilen, ist das richtig?
-
ja,
es gibt definitv probleme
jetzt läuft vpn und status.. aber hat wieder nen neuen fingerprint erzeugt?!
im übrigen sehr schön geworden der neue status... jetzt fehlt nur noch das "realtime" bzw. die bessere analyse möglichkeit da
aber firewall rules ändern dauert ewig bis er das speichert...
-
Habe die Vermutung das liegt an den vielen IPsec Tunneln, ich seh deine Config nicht, aber es sind mehr als 2-3, richtig?
Hängt vermutlich nicht am IPsec selbst, sondern am geänderten Interface Caching Code im PHP. Kriegen wir aber wieder hin mit Ad's Hilfe. :)
-
aktuell sind es 2 ipsec.
was sind denn für dich viele? :) ich würde so bei 20 tunneln von viel sprechen?! (wobei ich dahin will mittelfristig)
btw. vorschlag für verbesserung:
wenn ein update ein neustart erfordert baut doch ne routine ein die entweder zeitgesteuert das ganze neustartet oder wenn der traffic über die opnsense ein maß für eine einstellbare zeit unterschreitet
-
Dazu müssen wir zuerst wissen, dass ein Neustart auch wirklich notwendig ist. Das ist besonders schwierig mit den Services, die im alten Codezustand nie neu gestartet werden. Da funktionierte *jedes* Update so: Update -> Neustart. Wöchentliche Updates machen so einen Neustart recht unangenehm, deshalb haben wir diese außer beim großen Betriebssystem-Update ausgeschalten.
Beste Praxis beim Update: Immer Rebooten, auch wenn nicht zwangsläufig möglich. Eine Überarbeitung dieser Philosophie ist erst bis 16.7 vorstellbar. Der korrekte Ansatz wäre hier auch das Basissystem in Plugins zu schnüren, die dann per Update auch genau wissen, dass sie neu gestartet werden müssen. Dazu brauchen wir auch erstmal den letzten Schub für das Plugin-System. :)
Ich hatte ein OPT9 gesehen, das hatte mich verwundert... Vielleiht habe ich mich auch getäuscht.
Intern hatten wir das noch etwas diskutiert soeben, hast du Tunnel, die im Status als nicht verbunden angezeigt werden? Auf Grund von Fehlkonfigurationen scheint Strongswan einfach zu blockieren wenn es so eine Verbindung sieht und das wirkt sich schlecht auf den Backend-Timeout aus. Wenn du Netzte hast die nicht funktionieren hilft vielleicht schon ein Deaktivieren derer.
-
Opt9 hab ich nur als fehlermeldung gesehen. aber sonst nirgends im system. sag ja da ist was quer.
im moment laufen alle tunnel. (2)
in wie fern kann sich denn da was falsch konfigurieren wenn es doch eigentlich über die webui läuft?
evtl die schonmal angefragten falschen netzmasken?
-
Muss nicht sein, opt9 ist der interface key, der bleibt, hieße aber es wurden mindestens 11 Interfaces angelegt. Schwer zu sagen ob da noch alte Interface mit falscher Konfiguration drin hängt.
Die config.xml kann heruntergeladen werden und editiert werden. Alle XML Tags von interfaces die du nicht benutzt sollte raus, genau wie IPsec Konfigurationen. Leider ist es schwierig nach der XML per Mail zu Fragen wegen IPsec Keys usw.
-
Hi,
Rückmeldung bzgl. der Dev - hier funktioniert IPSEC Status NICHT!
erst neustart des dienstes... wobei vorher die gesamte firewall neugestartet wurde.
-
Ich komm hier nicht mit ohne Versionsnummern. Wir haben keinen Status Unterschied zwischen Dev und Release sowohl bei 15.7.18 als auch 15.7.19. Die Konfiguration hat sich auch nicht geändert, es ist also bis auf den Status Ausfall, denn du bei 15.7.18 gesehen hast alles konsistent solange nicht Pakete von 15.7.18 und 15.7.19 gemischt werden... Eine neue Installation von 15.7.18 und wechsel auf opnsense-devel ist nämlich nicht gut, weil dann das 15.7.18 System ein 15.7.19 Development Paket hat und das geht definitiv nicht.
Bitte also noch mal geordnet... Wo find es an und wie hast du getestet? Wie kam 15.7.18 ins Spiel zum Gegentesten?
Gruss
Franci
-
Hab dir eben die Config geschickt.
So langsam.
Ich hab von 15.7.18 dev nen update gemacht auf 15.7.19 dev
Da blieben die Probleme mit dem IPSec Status.
dann wechsel auf 15.7.19 stable
erst nach dem 3 Neustart dann lief das mit IPSec Status.
dann um gegen zu testen wieder wechsel auf dev. - nach neustart lief dort auch ipsec status.
allgemein bei beidem extrem langsame GUI und crashes. wobei es jetzt wohl etwas definierter ist - siehe crash report (opt 1 rules).
hab jetzt opt1 deaktiviert um gegen zu testen. bisher läuft sie ruhiger.
-
neuste probleme
dhcp server... startet immer neu und schiesst mir alles andere ab...:(
-
update
ich kann den dhcp nicht abschalten. er startet sich selber immer wieder neu.
wenn ich dhcp abschalte drücke stopt der suricata in der übersicht...
update die stable scheint das verhalten nicht zu haben?! hier startet der dienst nicht ständig neu
-
Hi,
Update zu den Problemen
Save und darauf hin update scheint die Filter Regeln dann zu laden.
Mit Längerer Betrieb der Firewall (wir reden von hier ca. 3,4 Stunden) wird die Firewall insgesamt langsamer bzgl. GUI und die Möglichkeiten des Speichern geht verloren.
Teilweise scheinen sich beim save auch Filter falsch zu laden - so dass die Firewall "löchrig" wird.
-
Fehler treten weiterhin eher sporadisch auf, das macht das Debugging so schwierig. Mit 15.7.20 kommt verbessertes Debugging, 15.7.21 hat dann auch hoffentlich den Fix.
Siehe: https://github.com/opnsense/core/issues/473
-
Vermutlich gelöst mit 15.7.20 (NICHT dev). Bitte um Rückmeldung.
-
Aktuell kann ich keine Problem berichten.
DANKE!!!
-
Prima, so weit so gut. Jetzt müssen wir nur noch so umbauen, dass wir die Patches wieder rauswerfen ohne dass es langsamer wird. :D
-
War deine Vermutung denn richtig Richtung VPNs?
Was habt ihr denn effektiv patchen müssen? Man wird ja schon neugierig
-
https://github.com/opnsense/core/commit/c3a85baff87892e0a972f64cb652cf2b910da903
https://github.com/opnsense/core/commit/8cce8267be0572f6d49554f514ae91cad78369ee
https://github.com/opnsense/core/commit/8a4585828e1c8343570bdc269b7bebf444b705a9
https://github.com/opnsense/core/commit/7d00f8c9b4b9f3cb9fbb735de153ed5b9a51674c
https://github.com/opnsense/core/commit/a26d6c5b5deb2d908a3b4e99932a2635ee356f0f
https://github.com/opnsense/core/commit/cc145db938938ff32ebe0de093e30ca3e8d8f677
https://github.com/opnsense/core/commit/1ab17d3127b72604a0c2122b01bf71cd9f6e855d
https://github.com/opnsense/core/commit/84854b175c2526f83d53acafcab1a46f561a5e5a
Es hat wahrscheinlich nach wie vor mit irgendwelchem VPN-Effekten zu tun, aber nur im Gegenspiel mit einer komplexeren Konfiguration, verschleiert durch einige "Beschleunigungen" wie oben zu sehen. Das muss jetzt noch weiter auseinander genommen werden und dann bei denen getestet werden, die von Problemen berichtet haben.