[GELÖST] Restart bei Aufruf Webinterface?

[Emma2]

Ich habe gerade remote die opnSense von 23.1 auf 23.7 aktualisiert, sie startet dort einwandfrei, und ich kann den IPSEC-Tunnel aufbauen. Sobald ich jedoch versuche, das Webinterface aufzurufen, startet die opnSense neu! (Ich kann das sehen, weil ich parallel per xfreerdp /v:meinHost /port:meinPort auf die entfernte Konsole komme.)
Ist dieses Verhalten bekannt? Oder mache ich etwas falsch? Hat jemand vielleicht eine Idee?

[Emma2]

Ohje... dieses Verhalten ist reproduzierbar. Ich habe die opnSense gerade zurückgesetzt, nach dem ersten Update (ich meine, das war 23.1.1 auf 23.1.11) klappt noch alles, aber nach dem Update auf 23.7.1_3 bringt der Aufruf (!) der WebGUO das System zum Neustart. Das kann doch wohl kaum richtig sein... (Per Konsole, d.h. xfreerdp auf dem Host, aber auch per SSH komme ich gang prima auf das System.)

[franco]

Gibts dazu nen crash dump?


Grüsse
Franco

[Emma2]

Ich weiß gar nicht, ob das ein Crash ist oder der "einfach rebootet".
Ich kenne mich allerdings mit BSD auch nicht so richtig aus: Wo finde ich den Crashdump?

[Patrick M. Hausen]

Was passiert beim Aufruf des Web UI gleichzeitig auf der Konsole?

[Emma2]

Also... :

• Ich habe zwei Standorte, verbunden durch IPSEC-Tunnel, am jeden Ende eine OPNsense.
• Hier fahre ich noch 23.1.1, in der Filiale (dort ist das Problem) ist schon das Update auf 23.1.11 erfolgreich.
• Den Host in der Filiale kann ich (auf sichere Art und Weise) auch direkt remote erreichen.
• Ich öffne eine SSH-Shell auf der entfernten opnSense - dort sehe ich später aber nichts.
• Ich öffne per xfreerdp eine "echte" Konsole auf der entferneten OPNsense.
• Ich baue den VPN-Tunnel auf
• Ich rufe von hier die WebGUI der entfernten OPNsense auf
• In diesem Moment "rattert" die Konsole schneller durch, als das ich das lesen könnte.
• (Da ich direkt auf dem Host bin, ist das unabhängig vom Tunnel, und die Konsole bleibt sichtbar.)
• Aber auf alle Fälle "passiert" da etwas, es ist nicht so, dass der Bildschirm (so wie bei Windows) einfach schwarz wird und die OPNsense neu startet.
• Es könnte also durchaus sein, dass sie rebootet, aber das geht zu schnell für mich zum Lesen.

Gibt es da nicht entsprechende Systemprotokolle?

[Patrick M. Hausen]

In diesem Moment "rattert" die Konsole schneller durch, als das ich das lesen könnte.

1. Wir wäre es mit einem Film mit dem Smartphone?
2. Schau mal in /var/log/system/*

Wenn - was mein Verdacht ist - der Aufruf des UI eine Kernel-Panic auslöst, kann es allerdings sein, dass das System das nirgends mehr weggeloggt bekommt. Daher der Film ;)

[Emma2]

Tatsächlich steht da etwas mit "panic":

Code Select Expand


Fatal trap 12: page fault while in kernel mode
cpuid = 0; apic id = 80
fault virtual address = 0x0
fault code = supervisor read data, page not present
istruction pointer = 0x20:0xffffffff8115282a
(...)
panic: page fault
(...)


p.s.: Grundsätzlich würde ich ein Festplattenproblem des Hosts nicht ausschließen, aber dessen SMART-Info is "passed", und das Verhalten ist reproduzierbar, d.h. bei 23.1.7 und 23.1.11 läuft alles rund, bei 23.7 knallt es - aber nur beim Aufrufen der WebGUI, der Tunnel selbst steht ganz prächtig.

p.p.s.: Ich weiß weder, wie ich hier ein Bild noch den ganzen Film posten könnte...

[Emma2]

Oh, noch ein vermutlich wichtiges Update:
Die "panic" tritt nur ein, wenn ich die WebGUI über den Tunnel öffnen will!
Ich habe mich gerade auf einem anderen remote Guest (Win7) angemeldet, um remote eine GUI zu haben.
Wenn ich von dort aus die WebGUI der entferneten OPNsense aufrufe (also relativ gesehen lokal), läuft alles normal!

Hat sich eventuell von 23.1.11 auf 23.7 etwas geändert, so dass meine Tunnel-Konfiguration "Panikmache" betreibt?

[Emma2]

Noch ein Nachtrag: RDP durch den Tunnel funktioniert auch, es scheint also "alles" zu funktionieren, und die OPNsense "panicked" beim Aufruf der WebGUI durch den Tunnel. Kann es an meiner Firewall-Konfiguration liegen?
(... die allerdings bisher immer und unter 23.1.11 auch noch "ok" war...)

[franco]

Bild der Panic auch gern via franco@opnsense.org

Da wird wohl was mit IPsec und FreeBSD 13.2 im Argen sein.


Danke,
Franco

[bsch]

Moin zusammen,

ich beobachte das Problem auch seit einiger Zeit. Die Weboberfläche "stirbt" sobald man am IPsec aktiv konfiguriert oder z.B. einige Tunnel kurz nacheinander neuaufbaut etc...
Das äußert sich so, dass die Status Page dann leer bleibt, die VPNs gehen nach und nach offline und am Ende ist auch die Oberfläche tot.

Workaround ist aktuell folgender: charon Dienst über CLI killen, WebGUI Restart, IPsec deaktivieren, IPsec aktivieren und IPsec restart. Danach langsam die VPNs nach und nach wieder aufbauen. Dabei empfiehlt es sich Geduld mitzubringen. Ist man zu schnell, muss die ganze Prozedur erneut durchgeführt werden.
Aktuell befinden sich rund 40 aktive Tunnel auf meiner OPNsense Installation.

[Patrick M. Hausen]

@Emma2 setz mal diese Tunable:

Name: kern.ipc.mb_use_ext_pgs
Wert: 0

und boote dann neu.

Wenn das hilft, dann sollte @franco diesen pr und alle verlinkten im Auge behalten:
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=271393

[Emma2]

Workaround ist aktuell folgender (...)

Bin nicht sicher, ob ich das anwenden kann, denn das Problem tritt ja gerade auf der entfernten OPNsense auf. wenn ich IPSEC beende, dann bin ich runter...
Außerdem habe ich ja so lange kein Problem (zumindest noch keines bemerkt), so lange ich nicht die WebGUI über den Tunnel starte.

Mein Workaround sieht deshalb so aus:
Starte eine RDP-Verbindung zu einem GUI-fähigen Rechner im entfernten Netz und rufe von diesem aus die WebGUI auf.

[Emma2]

@Emma2 setz mal diese Tunable:

Name: kern.ipc.mb_use_ext_pgs
Wert: 0

und boote dann neu.

Wenn das hilft, dann sollte @franco diesen pr und alle verlinkten im Auge behalten:
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=271393

Das will ich gern probieren, aber da ich - wenn überhaupt - immer nur über die WebGUI konfiguriere, brauche ich Hilfe, wie und wo ich das einstellen kann.