Firewall Anpassung kappt Verbindungen? Außerdem langsam

[c-mu]

Hallo in Runde,
ist das Verhalten normal, dass wenn ich eine Firewall Anpassung mache, er sämtliche Verbindungen kurzzeitig kappt? Habe ich vielleicht ein Häkchen in den Settings zuviel oder zuwenig gesetzt?

Das äußert sich nämlich so in meinem Setup und ist äußert lästig, da auch z.B. VoIP Telefonate und offene OpenVPN Sessions wegfallen.

Von anderen Firewalls wie CISCO ASA bin ich das Verhalten nicht gewohnt.

Es handelt sich um OpenSense 18.7.10_4 in einem HA Setup.

Das Zweite was mich stört:
wenn ich z.B. eine Regeländerung im OpenVPN durchführe und auf Apply drücke, dauert es 30-60 Sekunden, bis das WebUI wieder antwortet. Ich vermute, dass dies zusammenhängt mit dem Verbindungskappen. Denn wenn ich kurz nach "Apply" auf z.B. Dashboard klicke, reagiert der Server auch sofort. Wenn ich einfach abwarte dauerts eben ewig, oder endet teilweise in "Seite nicht verfügbar".

Also die beiden Themen scheinen miteinander zusammenzuhängen.

In der Firewall habe ich zur Zeit etwa 30 Rules und dutzende Aliases konfiguriert.

Zum Server selbst:
Virtuelle KVM instanz, 4 core xeon, 4GB RAM (20% verwendet), SSD Storage, 6x 10GBit LAN interfaces. Also an der Performance kann es nicht mangeln. Zusätzlich lasse ich /tmp und /var als RAM Disk laufen.

Bin für jeden Tipp Dankbar! Denn Perspektivisch würde ich gerne sämtliches routing via OpnSense erledigen. Update auf 19.1.2 funktioniert leider nicht (https://forum.opnsense.org/index.php?topic=11634.0)

[JeGr]

> ist das Verhalten normal, dass wenn ich eine Firewall Anpassung mache, er sämtliche Verbindungen kurzzeitig kappt?

Welche Art Anpassung, welche Art Verbindungen und wie/wann? Sind leider zu wenig Informationen.

> Das äußert sich nämlich so in meinem Setup und ist äußert lästig, da auch z.B. VoIP Telefonate und offene OpenVPN Sessions wegfallen.

VPN _kann_ je nach Art der Änderung sein, bei den Telefonaten ist es eher selten bzw. ungewöhnlich.

> wenn ich z.B. eine Regeländerung im OpenVPN durchführe

Was ist damit gemeint? Regel setzen/ändern auf dem OpenVPN Interface oder OpenVPN Konfiguration selbst ändern?

Aber ansonsten ist es eigentlich nicht normal, so lange/große Aussetzer zu haben oder dass Verbindungen komplett abreißen. Das wäre ich auch nicht gewohnt.

[c-mu]

Typischerweise gehe ich wie folgt vor:
Ich erzeuge ein neues Zertifitikat für einen neuen Account, da ich SSL/TLS+ User Auth für OpenVPN Clients ververwende. Der User selbst wird via LDAP abgefragt. Soweit passiert nichts.

Gehe ich dann aber in die Firewall -> Rules -> OpenVPN und füge eine Regel für diesen User hinzu, oder bearbeite, oder passe einen Alias an und drücke Apply kommt es zu dem von mir beschriebenen Phänomen.

Ich sehe dann im VPN -> OpenVPN -> Connection Status, dass alle Sessions sich zu dem Zeitpunkt neu verbunden haben, als ich das Regelwerk angepasst habe.

Ein solches Verhalten würde ich eigentlich nur dann erwarten, wenn ich an der entsprechenden OpenVPN Instanzkonfig etwas ändere, sodass er logischerweise den Server Dienst neu starten muss.

Zu VoIP: als ich gestern mehrfach das Regelwerk bearbeitet habe, hat mir ein Kollege geschildert, dass er in diesem Zeitraum auch mehrfach sein Telefonat verloren hat. Das passt ja auch dazu, dass ich z.B. die WebUI Session verliere.


Edit:
Dieses Setting ist unchecked bei mir:
Firewall -> Settings -> Advanced:
 Kill states   [] Disable State Killing on Gateway Failure
The monitoring process will flush states for a gateway that goes down if this box is not checked. Check this box to disable this behavior.

meine Niederlassungs Opnsense Maschinen haben alle die checkbox gesetzt, das scheint default zu sein.

Aus dem Gefühl herraus würde ich sagen: könnte die Ursache sein, muss es aber nicht.

[c-mu]

Feedback: ich habe das Häkchen jetzt gesetzt und konnte erfolgreich Regeländerungen durchführen, ohne dass ein Tunnel die Verbindung verloren hat. Auch kommt das WebUI in angemessener Zeit wieder. Ich werde es beobachten!