Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - athurdent

Pages 1 ... 15 16 17
#241
General Discussion / Re: CARP arp reply with wrong src mac
May 05, 2017, 12:44:30 PM
Thanks for your efforts! So, no luck in fixing this?
#242
General Discussion / Re: CARP arp reply with wrong src mac
May 04, 2017, 02:29:37 PM
Hi Franco,

this problem is mostly about traffic passing through the firewall. Here is an example, just one ping packet, pinging a host on the Internet through the firewall:

Code Select
14:09:17.236464 b0:10:41:71:**:30 > 00:00:5e:00:01:01, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 40521, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.***.38 > 194.***.***.230: ICMP echo request, id 47905, seq 6, length 64
14:09:17.258560 92:38:7e:91:**:2a > b0:10:41:71:**:30, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 244, id 26065, offset 0, flags [none], proto ICMP (1), length 84)
    194.***.***.230 > 192.168.***.38: ICMP echo reply, id 47905, seq 6, length 64

As you can see, the 192.168 IP correctly sends the ICMP packet to the CARP virtual MAC address, but the pfSense gateway answers with the hardware MAC address of it's interface.
Most people won't notice that, but at least here the switches connected to the switch the pfSense gw is connected to now have no idea where to send traffic to the CARP MAC 00:00:5e:00:01:01. Hence they flood it to all ports, which again normally no one will really notice. But once you start wondering why the WLAN accesspoints connected to your switches start flooding ACK packets not destined to any WLAN device when someone downloads from a wired machine, this becomes a potential performance problem for your WLAN. It eats up airtime :)
#243
General Discussion / CARP arp reply with wrong src mac
May 04, 2017, 01:16:46 PM
Hi, did a quick search in the forums and on github but did not find an answer, is this FreeBSD/pfSense CARP problem also an issue in OPNsense?

https://redmine.pfsense.org/issues/6957
#244
German - Deutsch / Re: Bewertung der pfsense Aktivitäten
March 03, 2015, 06:43:59 PM
Bisher hab ich nur IPSec (IKEv2) getestet, das funktioniert gegen eine Cisco ASA, aber hilft Dir nicht :)
Ich sehe gerade, normale i386 gibt's jetzt auch. Ich würde aber trotzdem mal LibreSSL testen, da soll die Reise ja hingehen, je mehr es probieren, desto besser...
Die Normalen findest Du hier:
http://sourceforge.net/projects/opnsense/files/15.1.7/
#245
German - Deutsch / Re: Bewertung der pfsense Aktivitäten
March 03, 2015, 04:16:05 PM
Hmm, also zumindest bei den LibreSSL Builds gibts auch i386:
https://pkg.opnsense.org/snapshots/
#246
15.1 Legacy Series / Re: [Request for Testing] 15.1.6.1 with LibreSSL
March 03, 2015, 02:19:46 PM
Two problems, don't know if they are LibreSSL-only, though:

I've setup an IKEv2 VPN tunnel, it's shown as down. But it works fine as far as I can see.
Maybe this is related:
Code Select

Mar  3 14:11:41 OPNsense opnsense: /index.php: XML error: Not well-formed (invalid token) at line 1 in /tmp/strongswan_leases.xml

cat /tmp/strongswan_leases.xml
cat: /tmp/strongswan_leases.xml: No such file or directory


Another strange issue is trying to edit a firewall rule with Chrome (using it on Windows 7 oder 8.1). Clicking on the pencil works only once. After that, clicking on any pencil in any rule makes the rule flicker shortly and then it says I should press the update button because my ruleset has changed.
IE and Firefox seem to work fine.
#247
German - Deutsch / Re: Bewertung der pfsense Aktivitäten
March 03, 2015, 10:21:03 AM
Quote from: franco on March 02, 2015, 01:49:05 PM
Ist das eine Option ein Factory-Reset anzubieten, dass nicht nur Config sondern auch das System zurücksetzen kann mit einem einzigen Befehl?

Eine super Option wäre, wenn dabei das System in einen funktionierenden Zustand (vor dem letzten Patch oder vor allen Patches) zurückgesetzt würde und man die Möglichkeit hätte, die aktuell laufende Config weiter einzusetzen.
Sowas deckt halt Fälle ab, wie wenn z.B. der IPSec Tunnel vor dem Update noch prima lief, nach dem Update aber (z.B. wegen eines Strongswan Patches) einfach nicht mehr hochkommen will. So könnte man dann einfach den "Zurück Knopf" drücken lassen, rebooten und danach in Ruhe recherchieren, woran es wohl lag.

Was mir bei pfSense nie so recht gefallen hat (weiss aber nicht, ob das mal gefixt wurde), wenn man ein Backup wieder eingespielt hat, gab es keine Rückmeldung wann man Rebooten soll. Man musste halt mit top nachsehen, ob tar/gzip noch lief. Die NanoBSD Slices hingegen sind natürlich unschlagbar, da hat man das System ja einfach doppelt auf der CF Karte ;)

Die Teuren haben sowas ja auch an Bord, bei ner ASA kann man i.d.R. einfach mit dem vorherigen Image wieder booten, ggf. muss man noch ein paar Befehle wieder anpassen. Checkpoint GAiA bietet LVM Snapshots an, auf die man in der GUI oder im Bootloader wieder zurück kann.

Alles in allem hat eine solche Funktion schon eine gewisse Daseinsberechtigung, finde ich ;)
#248
German - Deutsch / Re: Bewertung der pfsense Aktivitäten
March 02, 2015, 09:34:00 AM
Naja, die Backupfunktion hat den Vorteil, dass man i.d.R. einfach schneller wieder ein laufendes System hat. Dies ist auch in dem Fall interessant, wenn man vor Ort kein Fachpersonal sitzen hat. Da geht es halt bedeutend einfacher, einen einzigen Befehl ausführen zu lassen, statt jemanden durch eine Neuinstallation zu führen.
Klar, das sind alles Sachen, die man auch durch vernünftige Redundanzen und gute Planung lösen kann. Aber falls es keine Redundanzen gibt - kommt leider oft genug vor - dann würde ein eventuelles Problem mit einem defekten Upgrade immer mit einer längeren Downtime einhergehen.
#249
German - Deutsch / Re: Bewertung der pfsense Aktivitäten
February 28, 2015, 12:54:35 PM
Finde ich toll. Die Konkurrenz belebt hier anscheinend den Markt, zumindest habe ich bisher noch nie eine solch detallierte Roadmap zu pfSense gefunden. ;)
Interessant sind die vielen Gemeinsamkeiten. Viele der Dinge auf der neuen Roadmap hatte ich in der Form so schon auf der OPNsense Roadmap bzw. vorher hier im Forum als Ankündigungen für OPNsense gefunden.

Wo wir gerade bei der Roadmap sind, toll wäre, wenn OPNsense vorm Upgrade jeweils ein Backup der bestehenden Installation erlauben würde, das ist ein Feature von pfSense, was einem beim Upgrade immer ein wohliges Gefühl in der Magengegend beschert.
Und ganz hervorragend wäre eine Beta vom OpenVPN Client Exporter, dann könnte ich OPNsense auch mal bei mir in "Produktion" nehmen.

Und vielleicht sollte dies Topic in den passenden Bereich verschoben werden?
#250
15.1 Legacy Series / Re: [Request for Testing] 15.1.6.1 with LibreSSL
February 23, 2015, 02:18:10 PM
Updated my KVM to the LibreSSL version, worked without problems.
I'm getting a lot of those but I think they are there since 15.1.6.1:

Code Select
Feb 23 14:13:16 getty[7118]: getty: unknown gettytab entry 'al.Pc'
Feb 23 14:13:16 getty[7118]: getty: unknown gettytab entry 'al.Pc'
Feb 23 14:13:16 getty[86940]: tcsetattr /dev/ttyv0: Operation not supported
Feb 23 14:13:16 getty[86940]: tcsetattr /dev/ttyv0: Operation not supported

One question though. I remember seeing bind99 being upgraded. AFAIK, we're only using Unbound or Dnsmasq. Why do we have bind on board?
#251
Development and Code Review / Re: is opnsense based on standard FreeBSD
February 18, 2015, 02:45:08 PM
Hi, first time on the forum for me, too.
BTW, nice GUI, I just installed a KVM to take a quick look at OPNsense. Used the snapshot as the Sourceforge page was unavailable for me.

As a long-time OpenBSD and mid-term pfSense user, I second storkus' question.
Why try to harden and patch FreeBSD, when you can have a really pre-hardened system like OpenBSD that will always be on the lastest firewall code version?
OpenBSD always looked like the obvious choice for a firewall base system to me.
Pages 1 ... 15 16 17