[Solved] 15.7.19 ???

[Andreas]

Hi,
ich möcht nicht unverschämt klingen aber was ist los mit der 15.7.19 Firmware?
Statt besser wird es irgendwie eher schlechter

ständig crash reports wenn man was speichern will - und es speichert nichts
CPU last höher
GUI reagiert sehr sehr langsam
VPN Status läuft nicht im dev
VPN (IPSEC) läuft gar nicht sogar

[franco]

Hallo Andreas,

IPsec... Ist das ohne Neustart der Box bzw. Stop/Start von IPsec?

Kann gut möglich sein, dass der fliegende Wechsel des Status Backends von Strongswan die Ursache ist.

Von generellen Problemen mit 15.7.19 haben (bis jetzt) wir nicht gehört.

Eine langsame GUI liegt eigentlich nur am Backend-Daemon, der seine Daten nicht vom System bekommen kann, dann wartet auch die GUI darauf.


Gruss
Franco

[Andreas]

Hi Franco,
also

IPSEC - mit neustart komplett und restart service
der dritte reboot half jetzt

thema gui - glaub hab euch 4 oder 5 crash reports geschickt. ich trau mich kaum noch was einzustellen weil es ewig dauert bzw. im fehler endet.

Gruß
Andreas

[franco]

Das ist ein Fall für Ad, ich habe mal einen Crash Report weitergeleitet.

[franco]

In der Zwischenzeit... ist das ältere Hardware?

[Andreas]

neue hardware von deviso

https://www.applianceshop.eu/security-appliances/19-rack-appliances/opnsense-based/opnsense-a10-quad-core-ssd-rack.html

[franco]

Ich hab's auch grad gesehen, stimmt. 15.7.18_1 hatte diese Probleme soweit ich über den Code blick nicht. Das ist ziemlich merkwürdig dass es selbst damit nicht ging nach den Reports zu urteilen, ist das richtig?

[Andreas]

ja,
es gibt definitv probleme
jetzt läuft vpn und status.. aber hat wieder nen neuen fingerprint erzeugt?!
im übrigen sehr schön geworden der neue status... jetzt fehlt nur noch das "realtime" bzw. die bessere analyse möglichkeit da

aber firewall rules ändern dauert ewig bis er das speichert...

[franco]

Habe die Vermutung das liegt an den vielen IPsec Tunneln, ich seh deine Config nicht, aber es sind mehr als 2-3, richtig?

Hängt vermutlich nicht am IPsec selbst, sondern am geänderten Interface Caching Code im PHP. Kriegen wir aber wieder hin mit Ad's Hilfe.

[Andreas]

aktuell sind es 2 ipsec.

was sind denn für dich viele? ich würde so bei 20 tunneln von viel sprechen?! (wobei ich dahin will mittelfristig)

btw. vorschlag für verbesserung:
wenn ein update ein neustart erfordert baut doch ne routine ein die entweder zeitgesteuert das ganze neustartet oder wenn der traffic über die opnsense ein maß für eine einstellbare zeit unterschreitet

[franco]

Dazu müssen wir zuerst wissen, dass ein Neustart auch wirklich notwendig ist. Das ist besonders schwierig mit den Services, die im alten Codezustand nie neu gestartet werden. Da funktionierte *jedes* Update so: Update -> Neustart. Wöchentliche Updates machen so einen Neustart recht unangenehm, deshalb haben wir diese außer beim großen Betriebssystem-Update ausgeschalten.

Beste Praxis beim Update: Immer Rebooten, auch wenn nicht zwangsläufig möglich. Eine Überarbeitung dieser Philosophie ist erst bis 16.7 vorstellbar. Der korrekte Ansatz wäre hier auch das Basissystem in Plugins zu schnüren, die dann per Update auch genau wissen, dass sie neu gestartet werden müssen. Dazu brauchen wir auch erstmal den letzten Schub für das Plugin-System.

Ich hatte ein OPT9 gesehen, das hatte mich verwundert... Vielleiht habe ich mich auch getäuscht.

Intern hatten wir das noch etwas diskutiert soeben, hast du Tunnel, die im Status als nicht verbunden angezeigt werden? Auf Grund von Fehlkonfigurationen scheint Strongswan einfach zu blockieren wenn es so eine Verbindung sieht und das wirkt sich schlecht auf den Backend-Timeout aus. Wenn du Netzte hast die nicht funktionieren hilft vielleicht schon ein Deaktivieren derer.

[Andreas]

Opt9 hab ich nur als fehlermeldung gesehen. aber sonst nirgends im system. sag ja da ist was quer.
im moment laufen alle tunnel. (2)
in wie fern kann sich denn da was falsch konfigurieren wenn es doch eigentlich über die webui läuft?
evtl die schonmal angefragten falschen netzmasken?

[franco]

Muss nicht sein, opt9 ist der interface key, der bleibt, hieße aber es wurden mindestens 11 Interfaces angelegt. Schwer zu sagen ob da noch alte Interface mit falscher Konfiguration drin hängt.

Die config.xml kann heruntergeladen werden und editiert werden. Alle XML Tags von interfaces die du nicht benutzt sollte raus, genau wie IPsec Konfigurationen. Leider ist es schwierig nach der XML per Mail zu Fragen wegen IPsec Keys usw.

[Andreas]

Hi,
Rückmeldung bzgl. der Dev - hier funktioniert IPSEC Status NICHT!
erst neustart des dienstes... wobei vorher die gesamte firewall neugestartet wurde.

[franco]

Ich komm hier nicht mit ohne Versionsnummern. Wir haben keinen Status Unterschied zwischen Dev und Release sowohl bei 15.7.18 als auch 15.7.19. Die Konfiguration hat sich auch nicht geändert, es ist also bis auf den Status Ausfall, denn du bei 15.7.18 gesehen hast alles konsistent solange nicht Pakete von 15.7.18 und 15.7.19 gemischt werden... Eine neue Installation von 15.7.18 und wechsel auf opnsense-devel ist nämlich nicht gut, weil dann das 15.7.18 System ein 15.7.19 Development Paket hat und das geht definitiv nicht.

Bitte also noch mal geordnet... Wo find es an und wie hast du getestet? Wie kam 15.7.18 ins Spiel zum Gegentesten?


Gruss
Franci