Messages

Hallo,

das sieht dem tatsächlich ähnlich, allerdings tritt das Problem bei mir auch mit der 2.4.3_1 auf. Ob ich bei der Regel jetzt IPv4, IPv6 oder IPv4+IPv6 auswähle ist unerheblich, da das Problem ja bereits an der Stelle sichtbar wird, wo man das Protokoll auswählt.

Die Auswahl des Protokolls kann keine Auswirkungen haben, da der Darstellungsfehler in der GUI zu dem Zeitpunkt bereits "auf dem Schirm" ist.

Gruß,
Jörg

Hallo,

Wie gesagt - wir müssen hier ja kein pfSense spezifisches Problem durchkauen

Wie gesagt - ich sitze im Moment noch im Tränenteich :-) Vielleicht richtige ich mir die nächsten Tage mal einen Zugang im pfSense Forum ein und postet das da noch einmal. Aktuell bin ich etwas "unmotiviert".

Tut mir leid, wenn ich hier versehentlich für "Unruhe" gesorgt und etwas polarisiert habe.

Gruß,
Jörg

Hallo,

Zumindest ist mir nicht geläufig, dass er im pfSense Forum diskutiert hat darüber - ansonsten gern den Link hieher.

Da hast Du Recht. Ich habe diese Erfahrungen in einem dritten, systemübergreifenden Forum sammeln dürfen.

Desweiteren frage ich mich weiter: Warum erstellst du überhaupt eine Floating Regel?

Ja, das hätte ich tatsächlich als Nächstes hinterfragt :-)

Ich bin dieser Anleitung gefolgt: http://www.communig8.com/articles/64-open-source/137-pfsense-multi-wan-how-to-really-make-it-work

Inzwischen bin ich mir aber auch nicht sicher, ob das alles so klug ist, da der Traffic meiner Beobachtung nach bereits von den automatisch erstellten NAT-Regeln "abgegriffen" wird (die augenscheinlich eine höhere Priorität als die Floating Rules haben).

Da dein Beitrag aber auch Null Infos enthält außer der "vielleicht Fehler"-Beschreibung und was du eigentlich erreichen möchtest, ist alles andere hier auch ziemliche Spekulation.

Der Fehler existiert, allerdings glaubt mir das halt niemand :-) Ich habe gestern ein Video veröffentlicht, welches die Darstellungsfehler aufzeigt.

Offenbar habe ich hier versehentlich ein ein "Wespennest" gestochen. Da es in meinem Fall tatsächlich um die pfSense und nicht um die OPNsense handelt, wäre es wohl tatsächlich etwas "provokant", das hier an dieser Stelle zu diskutieren.

Bitte entschuldigt vielmals, dass ich die beiden Systeme verwechselt / vermischt habe. Das war wirklich nicht meine Absicht.

Wir sind seit ca. 4 Jahren auf der Suche nach einem "IP-Cop Nachfolger" und hatten die OPNsense bis jetzt noch gar nicht so auf den Schirm. Ich denke, es wird jetzt darauf hinauslaufen, dass wir die OPNsense betrachten. Falls wir hier zeitnah ein wohlwollendes Ergebnis "hinbekommen", hätte sich die o.g. Problematik für uns sowieso erledigt.

Gruß,
Jörg

Hallo,

mhhm, er redet oben ja von pfsense ...

Ups - da habt Ihr tatsächlich Recht. Ich war fälschlicherweise davon ausgegangen, dass das Verhältnis von OPNsense zu pfSense genau so ist wie das Verhältnis von Fedora zu CentOS bzw. RedHat - mea maxima culpa.

Ich diskutiere das parallel in anderen Foren, in denen allerdings einige gnadenlos überzeugter pfSense-Anhänger versuchen, mich in die "Trollecke" zu schieben und meiner Meinung nach auch unangemessen persönlich werden und überhaupt nicht auf das Thema eingehen. Maximale Aussage ist da: "Wieso? Das Routing über das Gateway funktioniert doch - was willst Du mehr?"

Sagen wir mal so: Wenn es tatsächlich ein reproduzierbarer Fehler in der pfSense ist und sichergestellt ist, dass dieser Bug in der OPNsense nicht vorhanden ist, wäre ich so langsam aber sicher geneigt, über eine Migration sämtlicher Plattformen nachzudenken. Wir betreiben die Firewalls intern, bei Kunden vor Ort und auch in unserem "Brot und Butter" Messegeschäft.

Gruß,
Jörg

Hallo,

in meinem Beispiel-Szenario habe ich eine pfSense 2.4.3, die ein QSC und ein Telekom Gateway kennt und im Failover-Betrieb nutzt. http://www.ewetel.net/~th3_force/pfSense_GUI-Fehler/Szenario_1.png

Die zusätzliche Anforderung lautet, das Netz 192.168.130.0/24 über ein Gateway anzusprechen, dass bereits im LAN residiert. http://www.ewetel.net/~th3_force/pfSense_GUI-Fehler/Szenario_2.png

Dazu habe ich zuerst ein weiteres Gateway angelegt. http://www.ewetel.net/~th3_force/pfSense_GUI-Fehler/GW_LANCOM.png

Den Abschnitt mit der statischen Route lasse ich jetzt mal weg, da irrelevant. Anzumerken wäre aber, dass es problemlos funktioniert.

Warum schreibe ich dann überhaupt diesen Beitrag?

Nun, wenn das Gateway 10.10.10.160 nicht angelegt bzw. nicht aktiv ist und ich eine neue übergreifende Firewallregel erstellen möchte, gelange ich "gleich als Erstes" in den gewohnten Dialog: http://www.ewetel.net/~th3_force/pfSense_GUI-Fehler/Floating_Rule_ohne_GW.png

Wenn das Gateway aktiv ist, dann gelange ich beim Anlegen einer übergreifenden Regel (natürlich) in den gleichen Dialog. Nur sieht der dieses Mal etwas anders aus: http://www.ewetel.net/~th3_force/pfSense_GUI-Fehler/Floating_Rule_mit%20GW.png

Ihr seht - der Abschnitt mit den erweiterten Optionen wird sofort geöffnet dargestellt. Auch sind hier ein paar Dinge anzumerken:

• Wenn ich unter "Source" das LAN net auswähle, speichere und erneut öffne, dann wird in dem Eingabefeld rechts daneben das Wort "lan" geschrieben und ich kann weiterhin ein Subnetz auswählen. Normalerweise werden das Eingabefeld und das Subnetz dann ausgegraut dargestellt.
• Der Button "Display Advanced" im Abschnitt "Source" hat keine Funktion
• Der Button "Display Advanced" im Abschnitt "Extra Options" reagiert nicht auf den ersten Klick, beim zweiten Klick schließt er die Optionen
• Ich kann in den erweiterten Optionen kein Gateway auswählen (so bin ich überhaupt erst darauf aufmerksam geworden)

Inzwischen bin ich so weit zu glauben, dass es sich um einen Betriebssystemfehler handelt. Ein Update auf 2.4.3_1 schafft keine Abhilfe. Das Problem ist hardwareunabhängig und mit einer "frischen" Installation reproduzierbar.

Gruß,
Jörg

Edit: Ich sehe gerade, dass die eingebundenen PNG-Bilder nicht angezeigt werden (Darstellungsfehler in der Forensoftware). Als Anhang kann ich die nicht einbringen, da es mehr als 4 Bilder sind.

Edit2: Mit JPG-Grafiken funktioniert es ebenfalls nicht. Ich habe deshalb die externen Bilder durch Hyperlinks ersetzt.