Große Probleme nach Upgrade auf 19.7.1

[netfreak]

Hallo zusammen,

zunächst grosses Lob an die Macher - ein wirklich tolles Produkt.

Schon seit vielen Jahren setze ich auf freie Firewalls, habe viele ausprobiert und bin letztlich bei OPNsense hängengeblieben.

Seit dem Upgrade auf die 19.7.1, welche ich vielfach im Einsatz habe, habe ich riesige Probleme:

- extrem langsame WebGUI-Oberfläche (teilweise bis zum Connection-TimeOut)
- IPsec-Tunnel werden nicht mehr oder nur noch teilweise aufgebaut (Konfig hat bei der 19.1 einwandfrei funktioniert)
- stellenweise sehr hohe CPU-Lasten
- die Hardware geht quer durch den Gemüsegarten aber vorwiegend Hardware von Sophos (UTM und ASG-Geräte)

Achso, die Upgrades wurden inplace durchgeführt.

Aber auch nach einer kompletten Neuinstallation und Einspielen das Backups waren die gleichen Performance- und VPN-Probleme wieder da.

Hat jemand einen Rat für mich, was ich tun kann?

Beste Grüße


:Nachtrag
Die oben beschriebenen Probleme existieren sowohl bei der i386 als auch bei der x64 Variante

[mimugmail]

IPSEC und CPU Last bei Netflow/Insight gab es mit 19.7 und wurde un 19.7.1 gefixt.
Eventuell musst du einmal neu starten bzgl. VPN, oder die Connection editieren und wieder apply.

[netfreak]

Danke für die schnelle Antwort - war ein Schreibfehler meinerseits - im Titel hatte ich es schon geändert.

Aktuell nutze ich überall die 19.7.1 und habe auf allen Geräten verschiedenster Hardware die gleichen Pobleme.

Wie schon gesagt, auch Neustarts und die Grundinstallation der 19.7.1 mit Backuprücksicherung brachten keine Besserung.

Ich überlege schon, ob ich bei allen wieder auf die 19.1 zurückgehe, da hatte ja alles anstandslos funktioniert...

[mimugmail]

Fangen mir mal mit VPN an, was genau geht da nicht? Alle VPNs betroffen? Baut sich Phase1 auf oder nicht?
Es gab mit 19.7 einen Bug dass VPN nicht geht wenn in Phase2 AES auf "auto" steht.
Ansonsten ist nix bekannt in Sachen IPSEC.

[netfreak]

Phase 1 wird aufgebaut und bei Phase 2 bleibt es stehen

Der Bug mit dem AES Auto war mir schon bekannt, traf aber insofern nicht zu, da ich immer bei AES 128 bzw. 256 fest voreingestellt habe.

Das kuriose ist, das bei einigen der VPN aufgebaut wird (Routing usw. funktioniert) und bei anderen VPN kommt einfach keine Verbindung zustande.

:Edit

Jul 29 10:28:16    charon: 11[IKE] <con1|325> establishing IKE_SA failed, peer not responding
Jul 29 10:28:16    charon: 11[IKE] <con1|325> giving up after 5 retransmits


Komisch ist hier nur, dass vor dem Upgrade wirklich alle Tunnel established waren und auch aktiv genutzt worden sind.
Am schlimmsten aber ist die Quasi-Nicht-mehr-Bedienbarkeit aller(!) Systeme, welche ich mit der 19.7.1 geupgraded habe :(

[mimugmail]

- Also peer not responding heisst ja eigentlich dass die Gegenseite nicht erreicht wird. Machst du MultiWAN?
- Bzgl. unbenutzbar, siehst du auch eine hohe CPU? Verwendest du Firefox für die Administration (bitte mal Browser wechseln)?

[netfreak]

- Also peer not responding heisst ja eigentlich dass die Gegenseite nicht erreicht wird. Machst du MultiWAN?

Nein, es läuft nirgends Multi-WAN und Gatewaygruppen sind auch keine vorhanden.

- Bzgl. unbenutzbar, siehst du auch eine hohe CPU? Verwendest du Firefox für die Administration (bitte mal Browser wechseln)?

Jetzt habe ich den IE genommen und die Seiten gehen mit dem IE tatsächlich wieder "flüssig" - sehr eigenartig... aber egal, jetzt muss ich nur noch die IPsec wieder zum laufen kriegen ;)

[mimugmail]

Such mal nach crypt8.db und Firefox und OPNsense. Das Zertifikat ändert sich und dann kann FF nicht richtig laden.

Stell mal DPD ein und mach Connection Method "Start immediate".

[netfreak]

Such mal nach crypt8.db und Firefox und OPNsense. Das Zertifikat ändert sich und dann kann FF nicht richtig laden.

Vielen Dank - das werde ich mir mal bei Gelegenheit ansehen.

Stell mal DPD ein und mach Connection Method "Start immediate".

DPD und "Sofort starten" sind bereits aktiviert. Eine Änderung der Einstellungen auf "Standard", "Nur antworten" usw. brachten keine Änderung... :(

[netfreak]

Jetzt komme ich gar nicht mehr weiter.

Habe auf zwei Firewalls alle Tunnel gelöscht und grundhaft neu eingerichtet.
Egal was ich einstelle, Phase 2 kommt nicht (immer) zustande.

Die Fehler, welche dabei einschlagen

NO_PROPOSAL_CHOSEN
received NO_PROPOSAL_CHOSEN notify error
peer not responding, trying again (2/3)

u.s.w.


Irgendwann geht es dann auch einmal - zumindest für kurze Zeit...

So langsam bin ich echt am verzweifeln...

Bin ich echt der einzige, der nach dem Versionswechsel auf die 19.7.1 diese Probleme hat? :confused:

[mimugmail]

Ich hab die nicht und ich hab viele Kunden mit 19.7.1.

Ist vielleicht ne Fritzbox davor oder NAT?

[netfreak]

Problem gelöst :facepalm:

Meine Fritzbox hat ein Update gemacht und dabei, wie seinerzeit mit der VoIP-Geschichte die IPsec-Funktion für sich beansprucht. Exposed Host hat auch nicht geholfen.

In der FritzBox:

1. Freigabe des Host löschen
2. Host mit Option Exposed Host neu hinzufügen
3. Trotz Exposed Host noch die Einrichtung folgender PortForwards
      UDP 500 -> Exposed Host
      UDP 4500 -> Exposed Host
      GRE -> Exposed Host
      ESP -> Exposed Host
4. Neustart der Fritzbox wegen der Portforwards vom internen IPsec


Siehe da, alle Tunnel sind schlagartig wieder up.

Vielen Dank für die Tips und Hinweise. Manchmal sieht man tatsächlich den Wald vor lauter Bäumen nicht...

[mimugmail]

Ist vielleicht ne Fritzbox davor oder NAT?

Mittlerweile sollte das in die Signatur :D Fritzbox macht so viel Ärger ...  :o