OPNsense Forum
International Forums => German - Deutsch => Topic started by: FA-jka on May 25, 2018, 01:34:12 pm
-
Hallo,
in meinem Beispiel-Szenario habe ich eine pfSense 2.4.3, die ein QSC und ein Telekom Gateway kennt und im Failover-Betrieb nutzt. http://www.ewetel.net/~th3_force/pfSense_GUI-Fehler/Szenario_1.png (http://www.ewetel.net/~th3_force/pfSense_GUI-Fehler/Szenario_1.png)
Die zusätzliche Anforderung lautet, das Netz 192.168.130.0/24 über ein Gateway anzusprechen, dass bereits im LAN residiert. http://www.ewetel.net/~th3_force/pfSense_GUI-Fehler/Szenario_2.png (http://www.ewetel.net/~th3_force/pfSense_GUI-Fehler/Szenario_2.png)
Dazu habe ich zuerst ein weiteres Gateway angelegt. http://www.ewetel.net/~th3_force/pfSense_GUI-Fehler/GW_LANCOM.png (http://www.ewetel.net/~th3_force/pfSense_GUI-Fehler/GW_LANCOM.png)
Den Abschnitt mit der statischen Route lasse ich jetzt mal weg, da irrelevant. Anzumerken wäre aber, dass es problemlos funktioniert.
Warum schreibe ich dann überhaupt diesen Beitrag?
Nun, wenn das Gateway 10.10.10.160 nicht angelegt bzw. nicht aktiv ist und ich eine neue übergreifende Firewallregel erstellen möchte, gelange ich "gleich als Erstes" in den gewohnten Dialog: http://www.ewetel.net/~th3_force/pfSense_GUI-Fehler/Floating_Rule_ohne_GW.png (http://www.ewetel.net/~th3_force/pfSense_GUI-Fehler/Floating_Rule_ohne_GW.png)
Wenn das Gateway aktiv ist, dann gelange ich beim Anlegen einer übergreifenden Regel (natürlich) in den gleichen Dialog. Nur sieht der dieses Mal etwas anders aus: http://www.ewetel.net/~th3_force/pfSense_GUI-Fehler/Floating_Rule_mit%20GW.png (http://www.ewetel.net/~th3_force/pfSense_GUI-Fehler/Floating_Rule_mit%20GW.png)
Ihr seht - der Abschnitt mit den erweiterten Optionen wird sofort geöffnet dargestellt. Auch sind hier ein paar Dinge anzumerken:
- Wenn ich unter "Source" das LAN net auswähle, speichere und erneut öffne, dann wird in dem Eingabefeld rechts daneben das Wort "lan" geschrieben und ich kann weiterhin ein Subnetz auswählen. Normalerweise werden das Eingabefeld und das Subnetz dann ausgegraut dargestellt.
- Der Button "Display Advanced" im Abschnitt "Source" hat keine Funktion
- Der Button "Display Advanced" im Abschnitt "Extra Options" reagiert nicht auf den ersten Klick, beim zweiten Klick schließt er die Optionen
- Ich kann in den erweiterten Optionen kein Gateway auswählen (so bin ich überhaupt erst darauf aufmerksam geworden)
Inzwischen bin ich so weit zu glauben, dass es sich um einen Betriebssystemfehler handelt. Ein Update auf 2.4.3_1 schafft keine Abhilfe. Das Problem ist hardwareunabhängig und mit einer "frischen" Installation reproduzierbar.
Gruß,
Jörg
Edit: Ich sehe gerade, dass die eingebundenen PNG-Bilder nicht angezeigt werden (Darstellungsfehler in der Forensoftware). Als Anhang kann ich die nicht einbringen, da es mehr als 4 Bilder sind.
Edit2: Mit JPG-Grafiken funktioniert es ebenfalls nicht. Ich habe deshalb die externen Bilder durch Hyperlinks ersetzt.
-
Hallo FA-jka,
Hilft ggf. ein Update auf 18.1.8?
Grüsse
Franco
-
mhhm, er redet oben ja von pfsense ...
-
Hallo,
mhhm, er redet oben ja von pfsense ...
Ups - da habt Ihr tatsächlich Recht. Ich war fälschlicherweise davon ausgegangen, dass das Verhältnis von OPNsense zu pfSense genau so ist wie das Verhältnis von Fedora zu CentOS bzw. RedHat - mea maxima culpa.
Ich diskutiere das parallel in anderen Foren, in denen allerdings einige gnadenlos überzeugter pfSense-Anhänger versuchen, mich in die "Trollecke" zu schieben und meiner Meinung nach auch unangemessen persönlich werden und überhaupt nicht auf das Thema eingehen. Maximale Aussage ist da: "Wieso? Das Routing über das Gateway funktioniert doch - was willst Du mehr?"
Sagen wir mal so: Wenn es tatsächlich ein reproduzierbarer Fehler in der pfSense ist und sichergestellt ist, dass dieser Bug in der OPNsense nicht vorhanden ist, wäre ich so langsam aber sicher geneigt, über eine Migration sämtlicher Plattformen nachzudenken. Wir betreiben die Firewalls intern, bei Kunden vor Ort und auch in unserem "Brot und Butter" Messegeschäft.
Gruß,
Jörg
-
Hi!
Ich würde an deiner Stelle einfach schnell mal den Aufbau in einer OPNsense nachstellen und schauen, was passiert, sicher hat sonst kaum jemand Erfahrung mit genau diesem setup?!
Immer damit rechnen, dass dein Account im pfsense (nun ja: ntegat.com) Forum gesperrt wird, nur weil du hier postest. Ist mir vor Jahren passiert und diversen anderen Leuten (die dort und hier die selben Nicks verwenden ;-) ) mittlerweile auch...
Grüße!
-
@chemlud das ist totaler Quatsch. Ich bin in beiden Foren Moderator - und nicht gesperrt. Auch nach der Übernahme. Nach all der Zeit kann man diesen unnötigen "die anderen sind doof" Attitüde auch mal getrost sein lassen. Dieses ewig gestrige Gezänk ist lästig und keinem Projekt förderlich. Zudem bin ich der Meinung, dass gerade der deutsche Teil dort sehr anständig und ordentlich diskutiert und bis auf einige wirklich "seltsame" Anfragen auch gut beantwortet wird.
@FA-jka
Zumindest ist mir nicht geläufig, dass er im pfSense Forum diskutiert hat darüber - ansonsten gern den Link hieher. Da wird per default NIEMAND in eine Trollecke abgeschoben von irgendwelchen "Die Hard" pfSense Jüngern. Allein bei der Definition frage ich mich schon, ob man damit nicht einfach provozieren möchte. Ein user @FA-jka ist mir zumindest dort nirgends bekannt.
Desweiteren frage ich mich weiter: Warum erstellst du überhaupt eine Floating Regel? Gibt es überhaupt einen triftigen Grund dafür? Im Normalfall ist das nämlich unnötig. Zudem habe ich in einer DC Umgebung selbst einige große pfSense Installationen laufen mit mehreren Gateways auf egal welchem Interface, da die Sense hier als Core Router läuft. Dein Problem kann ich dort beileibe nicht nachvollziehen, würde aber hier auch nochmals hinterfragen, was du eigentlich mit Floating Regeln willst.
Da dein Beitrag aber auch Null Infos enthält außer der "vielleicht Fehler"-Beschreibung und was du eigentlich erreichen möchtest, ist alles andere hier auch ziemliche Spekulation.
Gruß
-
Hallo Jegr! Na, ich kenne mittlerweile ein knappes Duzend Leute, die drüben gesperrt sind, nachdem sie hier gepostet haben. :-)
Ich habe nie etwas Verbotenes drüben gepostet, mein Account wurde einfach gesperrt. Aber ich verdiene auch nicht mein Geld mit Firewalls. :-D
-
Hallo,
Zumindest ist mir nicht geläufig, dass er im pfSense Forum diskutiert hat darüber - ansonsten gern den Link hieher.
Da hast Du Recht. Ich habe diese Erfahrungen in einem dritten, systemübergreifenden Forum sammeln dürfen.
Desweiteren frage ich mich weiter: Warum erstellst du überhaupt eine Floating Regel?
Ja, das hätte ich tatsächlich als Nächstes hinterfragt :-)
Ich bin dieser Anleitung gefolgt: http://www.communig8.com/articles/64-open-source/137-pfsense-multi-wan-how-to-really-make-it-work
Inzwischen bin ich mir aber auch nicht sicher, ob das alles so klug ist, da der Traffic meiner Beobachtung nach bereits von den automatisch erstellten NAT-Regeln "abgegriffen" wird (die augenscheinlich eine höhere Priorität als die Floating Rules haben).
Da dein Beitrag aber auch Null Infos enthält außer der "vielleicht Fehler"-Beschreibung und was du eigentlich erreichen möchtest, ist alles andere hier auch ziemliche Spekulation.
Der Fehler existiert, allerdings glaubt mir das halt niemand :-) Ich habe gestern ein Video veröffentlicht, welches die Darstellungsfehler aufzeigt.
Offenbar habe ich hier versehentlich ein ein "Wespennest" gestochen. Da es in meinem Fall tatsächlich um die pfSense und nicht um die OPNsense handelt, wäre es wohl tatsächlich etwas "provokant", das hier an dieser Stelle zu diskutieren.
Bitte entschuldigt vielmals, dass ich die beiden Systeme verwechselt / vermischt habe. Das war wirklich nicht meine Absicht.
Wir sind seit ca. 4 Jahren auf der Suche nach einem "IP-Cop Nachfolger" und hatten die OPNsense bis jetzt noch gar nicht so auf den Schirm. Ich denke, es wird jetzt darauf hinauslaufen, dass wir die OPNsense betrachten. Falls wir hier zeitnah ein wohlwollendes Ergebnis "hinbekommen", hätte sich die o.g. Problematik für uns sowieso erledigt.
Gruß,
Jörg
-
Hi Jörg,
Alles prima, keine Sorge. Falls du OPNsense ausprobieren solltest und den Fehler reproduzieren kannst schauen wir uns den gern gemeinsam an. :)
Da wir vor 3 Jahren auch aus Gründen der Lizenzierung forken mussten bedeutete dass wir keinen Code seit dem mehr integrierten um die Lizenz beim Original zu halten. Daher ist es nicht mehr gut vergleichbar was Bugs angeht.
> Nach all der Zeit kann man diesen unnötigen "die anderen sind doof" Attitüde auch mal getrost sein lassen.
Es gibt die die es betrifft, und andere die es nicht betrifft. Die die es nicht betrifft dürfen auch akzeptieren, dass andere anderes erlebt haben. Wenn wir die Geschichte nicht erzählen dürfen und andere sie dann auch nicht hören wollen und dies lautstark fordern, wie können wir dann etwas besser machen als vorher wo die Meinung und Erlebnisse anderer unterdrückt wurden? Daher halte ich die Attitüde "unötige 'die anderen sind doof' Attitüde auch mal getrost sein lassen [kann]" eher ungeschickt und als Teil des Problems die Identität andere unterdrücken zu wollen anzusehen ist. Ich lass das Beispiel mal weg. ;)
Grüsse
Franco
-
> Da hast Du Recht. Ich habe diese Erfahrungen in einem dritten, systemübergreifenden Forum sammeln dürfen.
Da du mir den Link zugeschickt hast - danke dafür! - hab ich das inzwischen auch lesen dürfen. Somit sehe ich das ähnlich wie du, der Ton ist dort definitiv schlecht gewesen, allerdings sehe ich da jetzt nicht unbedingt jemanden, den ich kennen würde aus dem pfSense Forum, so dass das leider eher gegen die Forenkultur dort spricht. Schade! Dein Problem hättest du im pfSense Forum sicher "angenehmer" diskutieren können.
> Ja, das hätte ich tatsächlich als Nächstes hinterfragt :-)
Fein :D War mir nämlich irgendwie unklar, was du damit eigentlich versucht hast, aber ich habe auch das verlinkte Video angesehen, definitiv ein seltsames Phänomen, allerdings hast du auch MultiWAN am Start, so dass das mit den Gateways durchaus was zu tun haben könnte. Allerdings würde ich auch mal nachsehen, ob sich das GW auf dem LAN bspw. auf dem Interface / LAN Screen ebenfalls eingenistet hat, wenn ja, dort abwählen und nochmal nachschauen.
> Ich bin dieser Anleitung gefolgt:
Die ist aber auch von 2012, pfSense 2.4.x von 2017 ;) Also lieber mal unter doc.pfsense.org nachschauen :)
> Offenbar habe ich hier versehentlich ein ein "Wespennest" gestochen. Da es in meinem Fall tatsächlich um die pfSense und nicht um die OPNsense handelt, wäre es wohl tatsächlich etwas "provokant", das hier an dieser Stelle zu diskutieren.
Für mich nicht :) Ich helfe an allen Fronten, egal ob in den Foren oder geschäftlich.
> Ich denke, es wird jetzt darauf hinauslaufen, dass wir die OPNsense betrachten.
Das kannst du auf alle Fälle tun, ich möchte auch gar nicht so viel pfSense spezifisch hier diskutieren, damit das einfach nicht OT wird, weil sich die Systeme gerade an der UI dann doch ein wenig unterscheiden was Regeln etc. angeht. Aber wenn du das ursprüngliche Problem weiter diskutieren und ggf. lösen möchtest - was ich persönlich spannend fände - kannst du das gerne auch unter https://forum.netgate.com/category/7/deutsch tun. Ich werde es mir auf jeden Fall dann ansehen.
> und als Teil des Problems die Identität andere unterdrücken zu wollen anzusehen ist
@Franco: Ich hatte dir das damals auch schon geschrieben als ich den Modposten hier angenommen habe. Wir arbeiten mit beidem, ich helfe auch beiden. Aber irgendwann muss man die Vergangenheit auch ruhen lassen. Und da mag meine Formulierung ein wenig harsch oder leicht dahergesagt sein - und ja, es hat mich damals nicht betroffen - aber man muss (und ja ich meine muss!) im Sinne beider Projekte und des Vorankommens auch mal 5 gerade sein und Geschichte Geschichte sein lassen. Die wurde ja nicht mal erzählt, sondern einfach eine Tatsachenbehauptung in den Raum gestellt, die eben damals so passiert sein mag. Inzwischen gab es das aber schon lange nicht mehr. Dann muss man nicht drauf rumreiten - meine Meinung. Vor allem da ich da nicht allein bin, Dirk (Monstermania), Teddy und andere sind auch schon viel an beiden Fronten unterwegs. Und das ist IMHO auch sehr gut so :)
Aber zum Thema zurück: Ich fände es schön, wenn Jörg ggf. das ganze - damit wir hier nicht OT werden - im pfSense Forum anfragt und vielleicht nebenbei auch mal mit der OpnSense testet. Vom Video her sieht das für mich eher nach einer Randerscheinung aus, die ggf. zuschlägt bei dem Gateway Dropdown, aber das das auslöst, keine Ahnung. Vielleicht ist es auch ein Parsing Bug, dass der GW Name oder die Description irgendwas im HTML Code brechen und deshalb das GW Dropdown "kaputt geht". Evtl. liegt es daran, dass das andere nicht nachstellen können. :)
Viele Grüße
-Jens
-
Hallo Jens,
Bin da voll und ganz bei dir und ich glaub wird sind auf dem richtigen Weg. Die Reaktionen dürfen in beide Richtungen nicht "zu krass" ausfallen, dann wird das auch schnell eine Sache über die man gern und sachlich spricht.
Es ist einfach etwas anderes wenn man aktiv löscht, um Diskussionen zu verhindern die nicht gefällig sind, als eine Platform für faire Gespräche und Abwiegen der Optionen zu etablieren. Letzteres ist schwieriger, aber nachhaltiger.
Wenn man jetzt also als These "woanders passiert so was nicht also muss das hier aufhören" annimmt, ist es etwas schwierig damit zu argumentieren weil die Gründe für die Abweichung beding sind durch die Taten die wir nicht beeinflussen können. :)
Grüsse
Franco
-
Ganz genau. :) Ich nehme mir auch nicht raus für beide Seiten reden zu können ;) Aber zumindest im deutschsprachigen Bereich habe ich da keine Beschwerden was Austausch und Transparenz in beide Richtungen angeht und das mag ich so auch beibehalten :D
Schlußendlich stehen aber hinter beiden Projekten - auch wenns bei Netgate vielleicht mehr ist als bei Decisio - Firmen mit Gewinnabsicht dahinter und da kann man auch nachvollziehen - auf beiden Seiten - wenn sich da keiner gern in die Suppe spucken lässt. Und Foren sind da Hausrecht. Am Ende des Tags macht einfach der Ton die Musik und solang man da freundlich bleibt, fliegt da auch kein Porzellan durchs Haus. ;)
Was ja leider - um wieder On Topic zu kommen - im von Jörg beschriebenen Fall bei einem anderen nicht OS-spezifischen Forum nicht der Fall war. Wie gesagt hat er mir den Thread geschickt und ich fand die Art und Weise auch etwas dreist und herablassend, hätte es aber wohl wahrscheinlich als "Jungspund-Getue" abgetan statt als Angriff gewertet. Trotzdem natürlich nicht schön. Wie gesagt - wir müssen hier ja kein pfSense spezifisches Problem durchkauen - ich würde das sogar gern nachrecherchieren wenn er das Problem nochmal im pfSense Forum postet und bin gespannt ob er es ggf. auch mit opnsense testet und was dabei herauskommt.
Ich hatte zumindest die gezeigten Effekte selbst noch nicht, daher würde ich gern wissen woher das rührt.
Grüße Jens
-
Hallo,
Wie gesagt - wir müssen hier ja kein pfSense spezifisches Problem durchkauen
Wie gesagt - ich sitze im Moment noch im Tränenteich :-) Vielleicht richtige ich mir die nächsten Tage mal einen Zugang im pfSense Forum ein und postet das da noch einmal. Aktuell bin ich etwas "unmotiviert".
Tut mir leid, wenn ich hier versehentlich für "Unruhe" gesorgt und etwas polarisiert habe.
Gruß,
Jörg
-
> Tut mir leid, wenn ich hier versehentlich für "Unruhe" gesorgt und etwas polarisiert habe.
Mach dir darum keinen Kopf, hau das gern auf der anderen Seite nochmal raus und evtl. findet man dann, warum das überhaupt so reagiert. Andere Fragen waren ja auch, ob es bei den normalen Regeln funktioniert und nur bei Floats auftritt sowie ob das zusätzliche Gateway auf dem LAN bspw. beim LAN Interface als GW für das Interface zB auch eingetragen wurde. Vielleicht kannst du das dann noch nachposten :)
-
@FA-jka / Jörg:
Könnte ggf. das hier dein Problem "gewesen" sein?
https://redmine.pfsense.org/issues/8447
Das liest sich erstaunlich ähnlich zu dem, was ich gesehen habe in deinem Video. Hattest du es mit der neuesten Version und Patchlevel ausprobiert (2.4.3_1)? Ggf. ist das Problem also tatsächlich (wenn ich recht gelesen habe) mit 2.4.1.x irgendwie reingekommen und nun erwischt worden.
Grüße Jens
-
Hallo,
das sieht dem tatsächlich ähnlich, allerdings tritt das Problem bei mir auch mit der 2.4.3_1 auf. Ob ich bei der Regel jetzt IPv4, IPv6 oder IPv4+IPv6 auswähle ist unerheblich, da das Problem ja bereits an der Stelle sichtbar wird, wo man das Protokoll auswählt.
Die Auswahl des Protokolls kann keine Auswirkungen haben, da der Darstellungsfehler in der GUI zu dem Zeitpunkt bereits "auf dem Schirm" ist.
Gruß,
Jörg