[GELÖST] Restart bei Aufruf Webinterface?

[Patrick M. Hausen]

System > Settings > Tunables - oben rechts auf das kleine "+" klicken, "Tunable" und "Value" ausfüllen wie beschrieben, speichern und "Apply". Dann Reboot.

[Emma2]

Jau, hat funktioniert! Dicken Dank!

... und ich nehme an, ich sollte auf der hiesigen OPNsense diese "Optimierung" auch einstellen, falls ich nächste Woche aus der Filiale hier zu Hause zugreifen will...?

Dem FreeBSD-Thread nach, den Du verlinkt hast, ist das ein Bug im FreeBSD? Kann man davon ausgehen, dass der repariert wird? Und wenn ja, soll ich dann das Tunable wieder rausnehmen, oder "schadet das nicht"?

[franco]

Bug Tickets mit Patches sind immer gut

https://github.com/opnsense/src/commit/b2137fe25a

# opnsense-update -zkr 23.7.1-ipsec
# opnsense-shell reboot

(dauert vielleicht bis es auf dem anderen Mirrors zu sehen ist)


Grüsse
Franco

[Emma2]

Sorry für mein Unverständnis: Heißt das, es ist schon repariert? Und ich kannin Ruhe auf das nächste Update warten?
Oder kann ich das mit diesen beiden Aufrufen manuell holen und einspielen?

Dann bliebe immer noch die Frage, ob man danach das "Tunable" drin lässt oder es besser wieder löscht?

[franco]

Da du der geeignetste Tester bist wäre es super wenn du es verifizieren könntest. Ich denke aber schon der Workaround und der Patch gehören zusammen. Nur nicht vergessen den Workaround wieder rückgängig zu machen.


Grüsse
Franco

[Emma2]

Will ich gern tun, aber dann bitte step-by-step für einen einfachen Menschen wie mich:

• Der Wokraround mit dem Tunable scheint zu helfen.
• Soll ich nun in einer Shell die beiden Befehle ausführen?
• Und danach das Tunable "probehalber" wieder entfernen?

[franco]

1. Tunable löschen.
2. Kommandos ausführen um den neuen Kernel zu laden und neu zu starten wenn es past (geht leider nicht ohne).
3. Noch einmal versuchen zu verifizieren.


Danke,
Franco

[Emma2]

Ja, das passt schon - ist ja nur die "Filiale" (und die ist unbemannt ;-).

Das scheint funktioniert zu haben, und im Dashboard steht nun

Code: [Select]

OPNsense 23.7.1_3-amd64
FreeBSD 13.2-RELEASE-p2
OpenSSL 1.1.1v 1 Aug 2023

Nachtrag:
Ich habe nach dem entfernten Reboot von hier aus den Tunnel aufgebaut und mich dann direkt mit dem Firefox auf die WebGUI verbunden. Und die entfernte OPNsense läuft immer noch.

[Emma2]

... aber jetzt habe ich ein anderes "Problem" (oder nicht?):

Ich habe in der GUI nach Aktualisierungen gesucht, und dann steht dort "Es sind 1 Aktualisierungen verfügbar, gesamte Download-Größe beträgt 31.3MiB. Diese Aktualisierung erfordert einen Neustart." sowie "Aktuelle Version 23.7.1-ipsec" und "Neue Version    23.7.1". Ich gehe davon aus, dass das eher ein Downgrade auf die Bugversion wäre als ein Update?

Ich muss also in Zukunft aufpassen, was dort steht und darf erst updaten, wenn da eine höhere Nummer steht?

[Patrick M. Hausen]

Oder du baust den Würgaround ein.

[Emma2]

Dein Tunable meinst Du? Sind die gleichwertig?
(Ich gebe zu, dass ich die OPNsense ziemlich ohne tieferes Verständnis "einfach nur anwende"...)

[Patrick M. Hausen]

Es gibt einen Fehler im FreeBSD-Code, der zu dem Crash führt. Der Tunable, den ich dir gegeben habe, schaltet diese Funktion (sog. "unmapped mbufs") einfach kategorisch ab.

Der Patch, der sicher in FreeBSD und auch in OPNsense landen wird, schaltet die Funktion nur für IPsec ab - was natürlich die korrekte Lösung ist. Bzw. die erste korrekte Lösung, denn langfristig wird man dann wohl IPsec beibringen, ebenfalls mit unmapped mbufs umzugehen.

Letztendlich geht es darum, ob Pufferspeicher für Netzwerk-Traffic mehrere Speicherseiten enthalten dürfen oder ob es ein 1:1 "Mapping" gibt. Nötig ist das, also das "unmapped", für Netflix Kernel-TLS und generell für den maximalen Durchsatz in deren Edge-Boxen.

[Emma2]

Ok, danke, das "verstehe ich ein bisschen" ;-)

Um nicht zu viel am (zum Glück wieder) funktionierenden System herumzubasteln, kann ich also folgendes tun:

• Ich lasse die entfernte OPNsense mit dem Kernelpatch
• Ich mahce das Gleiche (Update bis 23.7, dann Kernelpatch) auf der hiesigen OPNsense
• ... ich warte ab ...
• Sobald ein Update mit einer höheren Nummer als 23.7. auftaucht, kann ich das installieren
• Falls der Fehler dann wieder auftritt (weil er noch nicht offiziell gefixt ist), baue ich den Würger wieder ein

Könnte das ein sinnvolles Handling sein?

[Patrick M. Hausen]

Ich würde es mir so einfach wie möglich machen und die Tunable auf beiden Systemen setzen. Mit dem nächsten Update dann die Release-Notes checken und dann ggf. wieder raus.

Aber jeder wie er mag.

[Emma2]

Ohje, das überfordert mich ...
Dann muss ich ja zuerst einmal den Kernelpatch rückgängig machen? Oder soll ich den drin lassen? Oder soll ich ds "Update auf 23.7" machen?