noizede
Goto Top

Pfsense - PPTP Modem Problem (kein Internet)

Liebes Forum!

Nachdem ich nun umgezogen, habe ich nun das ganze Setup in real Betrieb. Alles läuft perfekt (Einfamilienhaus Planung (Teil2): Skizze-Aufbau) nur ein neues Problem ist dazugekommen.

Aufbau mit 2 Wan und Pfsense:
Wan 1 = LTE Modem -> klappt perfekt
Wan 2 = Telekom Modem mit ADSL (A1 Telekom Austria) -> kein "Internet"
Aufbau mit Failover und Load Balancing mit Wan 1 & 2 -> das Setup ist auf jeden Fall richtig, da es im Testbetrieb (anderer Provider/Modem auf Wan2 ohne Probleme geklappt hat

Problem:
- Wenn ich Wan2 teste, komme ich nicht ins "Internet
- aber ich kann von der Pfsense "pingen" ohne Probleme
- auch der Punkt "Gateway" zeigt mir bei beiden Wans ein "online" Status

Was habe ich gemacht:
- ich habe ein TG588v Modem von der A1 -> dieses wurde auf Single User = Modem Only gestellt mit dem Tutorial (https://www.a1community.net/t5/Festnetz-Internet/A1-WLAN-Box-technicolor ..)
- Dann habe ich eine PPT Verbindung zwischen diesem Modem und der Pfsense gemacht mit der Anleitung (https://www.a1community.net/t5/Festnetz-Hardware/pfsense-Firewall-und-Pi ..) -> "Die pfsense dann auf 10.0.0.140 - PPTP Server 10.0.0.138, User, PWD - sollt reichen."
- Dann noch die MTU angepasst auf 1460 (https://forum.pfsense.org/index.php?topic=54009.0)
- DNS Entry eingetragen vom Provider

Und es klappt einfach nicht...

Vielleicht kann mich wer auf die richtige Spur bringen an was es liegt, an den Vlans? Firewall Regeln? Gesamt-Setup? usw.

Ach ja, Wireshark habe ich auch angeworfen, da kommt meist der Fehler:

26 4.404711000 10.226.20.101 10.226.20.255 NBNS 92 Name query NB W2K8R2PC<20>
27 6.013862000 10.226.20.101 216.58.211.10 TCP 62 [TCP Retransmission] 49846→443 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 SACK_PERM=1
28 6.014377000 10.226.20.1 10.226.20.101 ICMP 90 Destination unreachable (Host unreachable)

und das Wiederholt sich immer wieder. Was könnte ich nun probieren?

Vielen Dank Noizede

Content-ID: 282709

Url: https://administrator.de/forum/pfsense-pptp-modem-problem-kein-internet-282709.html

Ausgedruckt am: 25.12.2024 um 19:12 Uhr

aqui
aqui 12.09.2015 aktualisiert um 21:33:23 Uhr
Goto Top
Der Schlüsselsatz in deiner o.a. Beschreibung:
Die pfsense dann auf 10.0.0.140
lässt stark vermuten das dein fälschlich bezeichnetes "Modem" in Wahrheit ein Router ist !! Kann das sein ??
Vermutlich hast du hier also mal wieder laienhaft den Begriff Modem und Router vertauscht, da die 10er IP Adresse eine private RFC 1918 IP Adresse ist !!
Bei einem reinen Modem Betrieb müsste dort am WAN Port der pfSense aber eine öffentliche Provider IP auftauchen, was bei dir aber nicht der Fall ist. Ein Modem ist nur passiv und reicht Frames nur transparent durch OHNE IP Adressen irgendwie zu verändern !
Das WAN Setup mit PPTP direkt an der FW müsste dann so aussehen:

db7fbf522c69c80aca318e2fcd961200

Die TG588V Gurke ist also mit größter Wahrscheinlichkeit ein Router mit NAT (Adress Translation) !
Nicht gut aus Performancesicht denn doppelts NAT ist immer kontraproduktiv. Besser wäre du würdest das direkt am WAN Port der pfSense machen aber tragisch ist es auch nicht, denn so funktioniert es auch.

Knackpunkt ist hier aber die Firewall, denn die pfSense filtert per Default RFC 1918 IP Adressen am WAN Port und tötet dir damit dein Internet logischerweise. Genau das also was bei dir passiert....
Die Lösung ist aber kinderleicht:
Entferne einfach die Standard Filterregel für RFC 1918 IP Adressen am WAN Port der pfSense. Das sollte dein "Problem" im Handumdrehen lösen.

a15ac2c481d990f15d22f391af3a7290

Weitere Details dazu, auch speziell zur "Modem" Thematik kannst du im hiesigen Tutorial nachlesen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
noizede
noizede 12.09.2015 aktualisiert um 23:16:22 Uhr
Goto Top
Danke aqui face-smile

Wäre zu einfach gewesen und habe ich als braver Tutorial-Leser natürlich NICHT gesetzt den Hacken face-smile

Ja laienhaft vertauscht (aber ja, bin ja Laie) - aber wird es durch das "Single User" nicht zu "Modem Only" (http://www.dieschmids.at/forum/19-technicolor-thomson/50886-tg588-a1) -> oder bringe ich da komplett was durcheinander? Denn genau das war mein Ziel nach dem Tutorial Lesen.

Edit: nur weil ich gerade wieder alle Logs durschaue, das fällt auf:
Firewall Log:

vr2 10.0.0.138 224.0.0.1 IGMP -> der Logo kommt genau jede 5 Sekunden, Wobei vr2 mein Wan2 ist, das nicht klappt
the-buccaneer
the-buccaneer 13.09.2015 um 00:53:00 Uhr
Goto Top
moin!

kannst du das genauer spezifizieren?

"Problem:
- Wenn ich Wan2 teste, komme ich nicht ins "Internet
- aber ich kann von der Pfsense "pingen" ohne Probleme
- auch der Punkt "Gateway" zeigt mir bei beiden Wans ein "online" Status"

Das "Internet" ist eine domain wie "www.google.com"?

Wohin kannst du von der PfSense von welchem Interface pingen? Auf eine IP oder eine Domainadresse?

Geht ein Ping vom LAN Interface auf 173.194.112.243 ?

Welches Gateway ist da eingetragen?

Welche PfSense ist im Einsatz?

Auf der PfSense kann man ein Traceroute durchführen.
Versuche www.google.com auf der LAN IP und der WAN IP.
Was kommt da raus?

Dein Provider setzt dich offenbar in ein privates Netz und routet dich dann weiter. Das ist in D bei ADSL nicht der Fall, aber auch egal...

DNS-Server A1

DNS-Server:

195.3.96.67
195.3.96.68
213.33.98.136

Ist so in der PfSense gesetzt?

Esstmal so ins Blaue...

Gruß
Buco
aqui
aqui 13.09.2015 um 12:32:25 Uhr
Goto Top
aber wird es durch das "Single User" nicht zu "Modem Only" ...oder bringe ich da komplett was durcheinander?
Ja leider bringst du hier etwas vollkommen durcheinander wie es leider sehr ogt hier im Forum passiert wenn ein Router laienhaft als "Modem" bezeichnet wird.
Leider wird das auch in Werbe- und Masrketing aussagen technisch falsch verwendet was dann hier bei technischen detailfargen immer wieder Verwirrungen und Missverständnisse verursacht.
Ganz einfach gesagt:
Ein Modem ist ein passiver Medienwandler. In der regel ist es deshalb auch NICHT konfigurierbar. Wenn etwas konfiguriernar ist, ist es meinstens ein Router. Viele Router lassen sich aber im Setup als einfache Modems konfigurieren (sog. "Passthrough Funktion") was das Verständnis der Materie nicht gerade infacher macht.
Fazit: Da ein Modem oder ein Router im reinen Modem Modus immer passiv ist verändert er auch nicht die IP Netze sondern ist ein transparenter Medienwandler, der z.B. DSL Framing in Ethernet Pakete wandelt sie aber vom Header belässt wie sie sind.

Ein sicheres Indiz für ein reines Modem ist das dann das Endgerät dadran das gesamte Paket Handling macht. Bei DSL ist das dann PPPoE oder PPTP wie bei dir. D.h. das Interface MUSS also auch in diesem Mode arbeiten (PPTP oder PPPoE ausgewählt) und hat in der Regel dann eine öffentliche Provider IP.
Stellt man hier nur "Static" oder "DHCP" ein und ist die dann dort automatisch bezogene IP Adresse eine private RFC 1918 IP ist das "Modem" zu 99% ein Router !
Auch dein ominöser "Singel User" ist ein Router, der eben nur einen einzigen User am LAN Port per Mac Adress Filter oder Cache zulässt es ist und bleibt aber ein Router.

vr2 10.0.0.138 224.0.0.1 IGMP
Das ist IGMP ein Multicast Protokoll, was die Firewall blockt. Vermutlich macht dein Anschluss IP-TV oder sowas per Multicast. Wenn du das betreiben willst musst du logischerweise auch noch IGMP zulassen. Sonst funltioniert kein Multicast.
https://de.wikipedia.org/wiki/Multicast
108012
108012 13.09.2015 um 14:01:43 Uhr
Goto Top
Hallo,

PPTP Modem Problem
Also wie schon weiter oben angesprochen wurde, entweder ist es ein Modem
und kann kein PPTP oder es ist ein Router und der kann zwar PPTP aber das
sollte man eh nicht mehr benutzen, oder aber Du hast Dich verschrieben und
meinst PPOE und nicht PPTP!

Modem = DHCP am WAN Port
Router = statische IP Adresse aus dem IP Adressbereich des Routers (ohne DHCP)

Entweder man konfiguriert ein Fail over oder ein Laod balancing.
Sollte bei einem Laod balancing eine Leitung ausfallen, geht der Rest
des Netzwerkverkehrs so oder so nur über den verbleibenden WAN Anschluss.
und somit hat man dann auch gleich eine Ausfalllösung integriert.

Gruß
Dobby
noizede
noizede 13.09.2015 um 14:20:28 Uhr
Goto Top
Danke für die Nachhilfe face-smile - ich verstehe es jetzt ....

So dann zu den Fragen von oben noch:

Danke für die Mühe!

ad Problem: sorry mit "Internet" meinte ich, ich kann mein Lan nicht verlassen mit egal welchem Device -> es geht aber eben das pingen von der Pfsense
- Browser Meldung: ERR_CONNECTION_TIMED_OUT

Und die Pfsense selbst dürfte auch keine Verbindung nach aussen bekommen, da ich keine Updates sehe bzw. er nicht prüfen kann

ad Pfsense: aktuelle Version auf einem Alix Board

ad DNS: ja war so gesetzt wie von dir beschrieben

ad Ping:
- ich kann auf der Pfsense über Wan2 pingen (zB die Google IP)
- ich kann aber von keinem angeschlossenen Device pingen

ad Gateway: was genau meinst du damit?

ad Traceroute zu Google vom wan2 über die Pfsense:

1 194-166-239-254.adsl.highway.telekom.at (194.166.239.254) 7.911 ms 8.118 ms 8.607 ms
2 195.3.68.133 (195.3.68.133) 7.362 ms 8.694 ms 7.656 ms
3 lg49-AUX11.as8447.a1.net (195.3.64.25) 8.133 ms 7.348 ms 7.574 ms
4 195.3.118.53 (195.3.118.53) 7.904 ms
195.3.118.65 (195.3.118.65) 7.771 ms
195.3.118.61 (195.3.118.61) 8.354 ms
5 195.3.114.54 (195.3.114.54) 8.619 ms 7.985 ms 8.629 ms
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *

Danke für eure wertvolle Zeit!
aqui
aqui 13.09.2015 aktualisiert um 17:24:09 Uhr
Goto Top
ich kann aber von keinem angeschlossenen Device pingen
Wie meinst du das ?? Von keinem am LAN Segment der pfSense angeschlossenem Device ??
Wenn ja hier strategisch vorgehen:
  • Über Diagnostics und dem Ping Utility schreibst du kannst du z.B. Google (8.8.8.8) anpingen ? Richtig ? Welches pfSense Source Interface nutzt du ? Teste das mit allen 3 (LAN, WAN 1 und 2)
  • Jetzt vom Device die IP Adressierung checken ! Stimmen Gateway und DNS ?? (Sollte beides Mal die lokale pfSense IP sein !
  • Hast du der pfSense im DNS Setup eine entsprechende Provider DNS IP eingestellt am WAN Port ?
  • Kannst du vom Device die pfSense IP pingen ?
  • kannst du vom Decice die 8.8.8.8 pingen ?
  • Wenn nein, hast du das Firewall Log draufhin geprüft ? Steht da was ? Ggf. VORHER immer löschen zur Übersichtlichkeit !
Der Traceroute zu Google 8.8.8.8 zeigt ja klar das du fehlerlos ins Internet kommst und dein Setup soweit OK ist !
Es bricht nur irgendwo mittendrin ab
Die 195.3.114.54 gehört der Telekom Austria und an dem Routing Knoten ist Schluss, sprich die Telekom hat hier ein Problem NICHT du !
noizede
noizede 13.09.2015 um 17:58:35 Uhr
Goto Top
Danke - schön langsam glaube ich auch, die Telekom hat was und nicht ich face-smile

Aber alles von dir probiert:

- Ping -> geht über alle 3 ohne Probleme (Wan1, Wan2, Lan) von der Pfsense aus

- Ja Device hat die Settings von der lokalen pfSense

- Ja DNS eingestellt

- nein kann ich nicht über wan 2 (das das Problem macht)

Was ich jetzt mal mache ich den Router resetten und schauen ob ich überhaupt "normal" (ohne pfsense) eine Verbindung zusammen bekomme.. melde ich dann wieder! Danke

PS: eine andere Möglichkeit noch zum Testen die mir gerade eingefallen ist -> am Wan1 hängt ja ein Dovado Pro für das LTE Modem -> dort kann ich auch mal die Telekom anhängen -> der Dovado könnte auch Load Balancing, dann bräuchte ich die pfsense dafür nicht, oder? (also Dovado hat LTE und Telekom -> geht an Wan1 von der Pfsense) -> oder ist das ein nachteil?
noizede
noizede 13.09.2015 um 22:39:19 Uhr
Goto Top
So ich gebe es auf für heute - morgen ist auch noch ein Tag..

Also wenn ich den Telekom Router zurücksetze und einfach mich direkt anschließe klappt alles. Somit kann es nicht an der Telekom liegen, sondern leider an meinem pfSense Setup.

Das mit dem Dovado Pro kann ich auch vergessen (klappt nicht mir PPTP).

Somit entweder morgen nochmal alles probieren mit dem bestehenden Setup oder wie im Tutorial ein Modem dazwischen hängen.

Denn mehr fällt mir nicht mehr ein ... lg noizede
aqui
Lösung aqui 14.09.2015, aktualisiert am 15.09.2015 um 12:43:14 Uhr
Goto Top
- Ping -> geht über alle 3 ohne Probleme (Wan1, Wan2, Lan) von der Pfsense aus
OK, dann ist das eindeutig ! Wenn du Internet Zugang von allen 3 Segmenten hast liegt der Fehler logischerweise niemals an dir, ist ja klar.
Wichtig ist allerdings das du wenn du von der pfSense pingst auch die richtige Absender IP benutzt...
Sprich wenn du die 8.8.8.8 als Ziel pingst solltest du:
  • Einmal von WAN 1 als Source IP pingen.
  • Einmal von WAN 2 als Source IP pingen.
  • Einmal von LAN als Source IP pingen und dabei WAN 2 abgezogen haben damit der ping zwangsweise über WAN 1 geht.
  • Einmal von LAN als Source IP pingen und dabei WAN 1 abgezogen haben damit der ping zwangsweise über WAN 2 geht.
Dann ist das wasserdicht.
Wenn dann alle Pings erforlgreich sind liegt es de facto nicht an dir.
Du kannst auch von einem Client im LAN pingen mit einmal WAN 1 abgezogen und einmal WAN 2 abgezogen um die Wegewahl ins Internet zu erzwingen. Das hat den gleichen Effekt und MUSS klappen.
Sollte es das nicht hast du wie so oft vermutlich am 2ten WAN Port vergessen das NAT (Adress Translation) zu aktivieren.
Besser also nochmal die Doku lesen face-wink :
https://doc.pfsense.org/index.php/Multi-WAN
http://bfy.tw/1mQE
bzw. als Filmchen:
https://www.youtube.com/watch?v=omuklZrzopM
https://www.youtube.com/watch?v=Uiiy8YuWHcY

Das mit dem Dovado Pro kann ich auch vergessen (klappt nicht mir PPTP).
Was meinst du genau damit ?? Die pfSense als PPTP Endpoint einsetzen ohne einen kaskadierten Router davor ?
michi1983
Lösung michi1983 14.09.2015, aktualisiert am 15.09.2015 um 12:43:09 Uhr
Goto Top
Was ich nicht ganz verstehe ist, wie du mit den IP Adressen rum hantierst von der Telekom.

Ich habe exakt (bis auf die PfSense, bei mir ists ein ASUS Router) die selbe Konstellation bei mir zu Hause im Einsatz.
Der Telekom Router ist mittels single user mode zum "Modem" umfunktioniert worden und der Asus Router macht die PPPoE Einwahl mit lediglich dem Usernamen und einem Passwort. Am WAN Port meines ASUS habe ich dann die öffentliche IP Adresse.

Gruß
aqui
aqui 14.09.2015 aktualisiert um 11:22:02 Uhr
Goto Top
Der Telekom Router ist mittels single user mode zum "Modem" umfunktioniert worden
Wenn dem so ist kannst du denn die öffentliche IP Adresse des Providers auf deinem ASUS Router am WAN Port sehen ??
(Status Menü im Setup)
und der Asus Router macht die PPPoE Einwahl mit lediglich dem Usernamen und einem Passwort
Das würde bestätigen das der single user mode dann vermutlich doch ein Passthrough ist und das Gerät dann wirklich im Modem ONLY Modus arbeitet und PPTP oder PPPoE dann nur durchreicht.
Am WAN Port meines ASUS habe ich dann die öffentliche IP Adresse.
OK, sorry...zu spät gelesen. Dann ist das eindeutig.

Dann sollte der TO aber mit dem single user mode das ebenso problemlos zum Laufen bekommen. Dabei ist es egal ob PPPoE oder PPTP.
Wichtig ist nur das dieser Mode (was immer der Provider da verlangt) logischerweise auch am WAN Port aktiviert bzw. konfiguriert ist.
Vermutlich hat der TO das vergessen. Was die ASUS Gurke kann kann die pfSense allemal !
michi1983
michi1983 14.09.2015 um 11:27:04 Uhr
Goto Top
Zitat von @aqui:
Vermutlich hat der TO das vergessen. Was die ASUS Gurke kann kann die pfSense allemal !

Das auf jeden Fall face-wink
Ich wollte nur meinen Senf dazu geben um dem TO eben zu bestätigen, dass es sogar meine ASUS Gurke zu Hause hinbekommt mit dem von der Telekom genannten "single user mode" des Provider Routers/Modem.

Gruß
aqui
aqui 14.09.2015 um 11:30:03 Uhr
Goto Top
Good point !! Keine Frage...
noizede
noizede 14.09.2015 um 16:14:29 Uhr
Goto Top
Danke, dann werde ich es nochmal probieren - die Hochschwangere-Freundin meint nur gerade, ich sollte lieber Kisten auspacken vom Umzug als ständig "irgendwas" im Technikraum machen ...

Danke und melde mich dann umgehend mit meinen Ergebnissen/Erfahrungen face-smile (ich meine das Setup und nicht die Kisten ...)
aqui
aqui 14.09.2015 um 18:18:28 Uhr
Goto Top
die Hochschwangere-Freundin meint nur gerade,....
Wo sie Recht hat hat sie Recht ! face-big-smile
the-buccaneer
the-buccaneer 14.09.2015 um 23:51:13 Uhr
Goto Top
moin!

bitte teste auf jeden fall das wan2 interface mit deaktiviertem wan1.

"Was ich nicht ganz verstehe ist, wie du mit den IP Adressen rum hantierst von der Telekom."

Das ist exakt, was in den vom TO verlinkten Forenbeiträgen für die Telekom Austria für analoge Setups empfohlen wird und offenbar bei vielen läuft. (?)

Bitte nimm mal diese feste IP raus, noizede. Und bitte lass es nicht daran gelegen haben. face-wink

Ansonsten hat dich ein "traceroute - freundin.nebenan" hoffentlich noch ins "1st-Life" geführt! face-wink

Ich hatte aber auch schon Fälle, in denen eine Neuinstallation der PfSense alle Probleme gelöst hat, soweit sind wir aber m.E. noch nicht...
michi1983
michi1983 15.09.2015 aktualisiert um 08:02:45 Uhr
Goto Top
Zitat von @the-buccaneer:
Das ist exakt, was in den vom TO verlinkten Forenbeiträgen für die Telekom Austria für analoge Setups empfohlen wird und offenbar bei vielen läuft. (?)

Hast du einen Link zu diesen anlogen Setups und deren Forenbeiträge?
Du meinst wahrscheinlich Beiträge in denen sie erklären wie man das Telekom Modem als sogenannten DMZ Host konfiguriert, denn dann müssen diese IPs gesetzt werden, das ist korrekt.
Aber wenn ich den Router im single-user Betrieb betreibe, muss ich ja eine öffentliche IP am WAN Port meines Routers haben und ich muss die Zugangsdaten des Providers am Router eingeben.

Wie man hier sehen kann habe ich am WAN Port des ASUS eine öffentliche IP:

24cee15168649095f90aad1032f30f52

Gruß
aqui
aqui 15.09.2015 um 09:45:59 Uhr
Goto Top
michi1983
michi1983 15.09.2015 um 09:50:31 Uhr
Goto Top
Zitat von @aqui:

Telekom Austria in Wien face-smile
http://www.utrace.de/?query=194.166.194.104

Fast, zum Glück sind diese Traces nicht wirklich genau face-big-smile
Und statisch ist die IP leider auch nicht face-smile
noizede
noizede 15.09.2015 aktualisiert um 17:07:54 Uhr
Goto Top
Ich traue es mir ja fast nicht schreiben ... ich habe den Fehler gefunden nachdem ich eure Tipps alle nochmal befolgt habe face-sad

Habe es jetzt mal ohne PPTP gelöst (mit DHCP) und der Fehler war in meinen Vlan Firewall Rules. Ich habe bei allen Interfaces die Regeln gesetzt, aber beim Kopieren für das Vlan "Wlan" die Source nicht geändert und somit natürlich die Regel nicht gewirkt. Ich könnte mir ein Brett vor dem Kopf schlagen.

Des Weiteren habe ich die A1 Telekom kontaktiert, denn ich hatte beim Pingen oft aussetzer und dadurch auch immer Probleme. Das scheint jetzt stabiler zu laufen, nur der Upload macht mir mit 0,42 Mbps sorgen. Aber gut soll so sein, das Load Balancing und Fail Over scheint zu klappen.

Jetzt werde ich das wieder mit Single User und PPTP probieren - denke ich, ist die bessere Lösung als mit dem DHCP bzw. kaskadierende Router (so ich es verstanden habe).

Was nur spannend ist, der Prozessor des Alix Boards läuft jetzt mit 92% Auslastung und pfSense ist enorm träge.

Sorry für eure Zeit... aber Danke, ohne den Tipps zum Probieren und Nachdenken hätte ich den Fehler nicht "so schnell" gefunden...

Bringe gerne einen Kasten Bier oder Wein vorbei face-smile

Nachtrag/Edit: obwohl ich es nicht verstehe, dachte mit der Regel spielt die Firewall keine Rolle und lässt "alles durch":

Proto Source Port Destination Port Gateway Queue Schedule
IPv4 * * * * * * none
aqui
aqui 16.09.2015 aktualisiert um 20:59:53 Uhr
Goto Top
Jetzt werde ich das wieder mit Single User und PPTP probieren - denke ich, ist die bessere Lösung als mit dem DHCP bzw.
Ja, in jedem Fall ! Es ist immer besser die Provider IP direkt auf der Firewall zu terminieren als mit einer Router Kaskade und doppeltem NAT zu arbeiten.
Was nur spannend ist, der Prozessor des Alix Boards läuft jetzt mit 92% Auslastung
Uuuhhh böse !
Da ist irgendwas faul in deinem Setup ! Hast du hier Routing Loops oder sowas ?? Das darf nicht sein ! Die dümpelt immer nur mit ein paar Prozent rum !
Vergiss nicht in den Miscellaneous Settings den gfx Support für den internen Krypto Chip zu aktivieren !
obwohl ich es nicht verstehe, dachte mit der Regel spielt die Firewall keine Rolle und lässt "alles durch":
WAS meinst du damit ??? IPv4 * * * * * * none ??
Wenn das die ist, ja. Das ist die absolute Scheunentorregel. Die lässt dann aus diesem Segment alles durch zur Firewall !!
Sollte man immer nur zum Testen benutzen.
Lesenswert ist auch dieser Forums Thread dazu zum Thema richtige FW Regeln:
Mit PFSense Drucker in einem per VLAN getrennten WLAN Netz verfügbar machen
the-buccaneer
the-buccaneer 17.09.2015 um 00:04:11 Uhr
Goto Top
schau doch mal unter diagnostics --> system activity was da werkelt. hatte auf schwächeren boxen schon die webgui als übeltäter, was dann egal war, da sichs beim ausloggen beruhigte...
noizede
noizede 17.09.2015 aktualisiert um 11:56:01 Uhr
Goto Top
Danke euch Zwei! Der Linkt zum Thread hilft perfekt.

Ja das mit den Regeln steht fürs Wochenende am Programm und die Aktivitäten werde ich auch gleich angehen. (wenn es mein hauseigener Feldwebel zulässt bzw. der Nachwuchs mir noch ein paar Tage gönnt - laut Projektplan hat er noch mind. 6 Tage Zeit - schauen wir mal) face-smile

PS: das erklärt meine Verbindungsabrüche leider: Antwort von der Telekom:
... deine Leitungslänge beträgt 5335m, was sehr lang ist. Hier kann es immer zu Verbindungsschwächen kommen. Deine reale Bandbreite liegt immer wieder knapp unter den eingestellten Werten. Ich habe dir die Bandbreite etwas runter gestellt, ich hoffe damit hast du eine stabilere Verbindung bekommst ...
aqui
aqui 17.09.2015 um 13:19:01 Uhr
Goto Top
Deine "Telekom" duzt ihre Kunden...ist ja schon etwas gewöhnungsbedürftig face-wink
Dann sind wir mal auf die Forschungsergebnisse gespannt von dir...
noizede
noizede 21.09.2015 um 09:38:33 Uhr
Goto Top
Hallo und guten Start in die Woche.

Ich habe mich ein wenig mit der Performance beschäftigt und auch den gfx Support aktiviert. Die Werte passen nun, Schuld war das Monitoring bei einem Gateway. Da klappte der DNS Server nicht immer (auch aufgrund meiner schlechten Telekom Leitung) und hat dann ein wenig verrückt gespielt.
Nun sind alle Werte im grünen Bereich, aber die pfSense ist immer noch "extrem langsam".

d.h. Die GUI ist super schnell, auch das Aufrufen eines Menüs. Aber beim speichern von Settings, zB einer Firewall Regel dauert es locker zwischen 2 und 4 Minuten. Apply klappt dann wieder in wenigen Sekunden. Das ist nicht normal, oder?

Auch egal wie ich auf die pfSense zugreife (Wlan, Lan,) - daher komme ich auch gerade mit den Regeln nicht weiter. 10 Regeln erstellen und eine Stunde ist locker dahin. Würde aber nicht wissen, an was es liegt, denn bis vor einigen Wochen war es eindeutig schneller.

Wenn es nicht besser wird, überlege ich leider die Anschaffung eines neuen Alix Boards mit SSD. Oder eine Idee was ich probieren kann? Wie gesagt, die Werte sind alle im grünen Bereich und würde den Übeltäter nicht finden.

Danke Noizede
aqui
aqui 21.09.2015 aktualisiert um 10:04:53 Uhr
Goto Top
Stimmt, die Pingerei beim Gateway Monitoring sollte man in den Route bzw. Gateway Settings immer abschalten.
Du kannst noch eine weitere Steigerung erreichen wenn du die RRD Grafiken abschaltest. In der Regel braucht man die nicht und holt so noch mehr aus dem System raus.
Aber beim speichern von Settings, zB einer Firewall Regel dauert es locker zwischen 2 und 4 Minuten
Das ist de facto nicht normal und deutet auf ein System oder HW Problem hin.
Nichtmal auf einem alten ALIX 2D13 mit 6 VLAN Interfaces und recht heftigen FW Regeln dauert das so lange. Da sind es maximal 4 bis 5 Sekunden !! Niemals Minuten !
Da ist irgendwas faul in deiner HW !
Was zeigt die "CPU Usage" im Dashboard an ? Die darf nicht länger über 10% steigen. Peaks dadrüber sind erlaubt.
Was nutzt du denn aktuell für eine HW ?
Wenn du schon eine CF oder SD Karte nutzt bringt eine SSD rein gar nichts. Wartezeiten in Minutenlänge deuten auf einen HW Fehler hin !
noizede
noizede 21.09.2015 um 16:13:13 Uhr
Goto Top
Danke, dann werde ich am abend mal das Gehäuse aufschrauben und nachschauen wegen der HW. Denke sollte ein 2D13 sein, aber muss ich eben checken. Und es laufen bei mir aktuell 5 vlans und das Multi Wan Setting. Sonst keine Addons oder dergleichen.

Die RRD Grafiken werde ich abschalten und dann genau die Logs/Werte nochmal kontrollieren.

ad CPU Usage: dümpelt irgendwo zwischen 3 und 6% herum, so gut wie keine peaks. Das wundert mich eben, da es aktuell noch nicht nachvollziehbar ist und der Delay eben nur beim "Save" eintritt. Alles andere klappt ja super schnell.

Und ja, eine 4 GB Transcend CF 133X Compact Flash Card TS4GCF133 ist drinnen, dürfte im Bundle dabei gewesen sein (kann es nicht mehr nachvollziehen, da gebraucht geschenkt bekommen).

Würde mir fast weh tun, das gute Teil nicht zu verwenden, da es ja im Betrieb sehr fein läuft.
aqui
aqui 21.09.2015 um 16:41:24 Uhr
Goto Top
ad CPU Usage: dümpelt irgendwo zwischen 3 und 6% herum, so gut wie keine peaks.
Das sieht dann aber wieder recht normal asu...

Kann das sein das du ggf. ein DNS Problem oder sowas hast ??.... 3-5 Minuten ist wirklich nicht nachvollziehbar. An der Box selber liegt es ja nicht.
Kannst du ja mal querchecken.
  • Konfig sichern
  • Board auf Factory Defaults setzen
  • Gateway Ping und RRD abschalten
  • Irgendwas konfigurieren z.B. Crypto Support für Geode oder richtige Zeitzone Berlin und als NTP Server ntps1-0.cs.tu-berlin.de oder ntp0.fau.de
Das darf nicht mehr als 5 Sekunden dauern zum saven...
noizede
noizede 10.10.2015 aktualisiert um 17:12:59 Uhr
Goto Top
Hi!

Sorry für die lange Antwort - durch die Geburt des Nachwuchses ist die Zeit leider komplett verflogen. Nun kann ich mich wieder kurz um die pfSense kümmern.

Ich habe mein Problem mit dem extrem langsamen Reaktionen mehrfach im Netz gefunden, speziell hier: https://forum.pfsense.org/index.php?topic=96383.0

Anscheinen haben einige das Problem nach dem Update auf 2.4 (so wie bei mir), und eine vorgeschlagene Lösung ist:
Keep the disk permanently RW -- There is little risk here from the base system. Switching to RO is mostly a formality/safety belt. Packages may not be so kind.

Doofe Frage (googlen half mir leider nicht) -> wie stelle ich das um? Nur über die CLI?

Vielen Dank, würde mich sehr helfen da ich bei den Regeln nicht weiterkomme durch die langen Ladezeiten...

Danke

Edit: eine andere Variante wäre ein downgrade auf 2.2 - was meint ihr ist besser?
the-buccaneer
Lösung the-buccaneer 10.10.2015 aktualisiert um 23:12:09 Uhr
Goto Top
Nun ja, das Problem scheint aufzutreten, seitdem mit dem Upgrade auf 2.2.3 ein "gefährlicher Shortcut" bzgl. des Schreibens auf CF entfernt wurde.

jimp (entwickler) empfiehlt bestimmte CF-Karten, deren Cache offenbar groß genug ist, um ohne Verzögerung zu schreiben.

Ob du nun damit lebst, bis die das mal fixen (Welchen Sinn macht ein embedded Install, wenn ich dauerhaft ein RW Dateisystem brauche) oder auf den ach so gefährlichen Patch in der 2.2.2 downgradest (besteht wahrscheinlich die Gefahr, daß in seltenen Fällen das Dateisystem korrumpiert) oder du den unerhörten Versuch wagst, auf einer CF Karte einen Full Install laufen zu lassen (was bei mir seit Jahren ohne Fehler läuft, da die CF-Karte offenbar genug freie intakte Sektoren hat um Fehlerkorrektur zu betreiben - nimm im Zweifel eine Industrial-Karte)

Du kannst ja auch vorerst (Anpassungszeit) auf RW gehen und dann, wenn alles rennt wieder auf Read Only umstellen...

"Diagnostics->NanoBSD, Current Read/Write Status, Switch to Read/Write"

Ich hatte die embedded mal aufgegeben, da ich immer wieder mit Packages Probleme hatte, obwohl es mit dem Umstellen des Modus "theoretisch" gehen sollte.

Gruß
Buc
noizede
noizede 10.10.2015 um 23:11:24 Uhr
Goto Top
Juhu!

Weltklasse und genau das war es - nach dem Switch auf RW rennt es wieder verdammt schnell. Dann passe ich mal die Regeln an und switche dann retour!

Danke, Wochenende gerettet face-smile
the-buccaneer
the-buccaneer 11.10.2015 um 01:13:00 Uhr
Goto Top
Gerne! Ich habe ja nur zusammengefasst... face-wink
noizede
noizede 05.01.2016 um 14:30:42 Uhr
Goto Top
Liebes Forum!

Zu meinem Ursprungspost habe ich nun die Lösung (PPTP Verbindungsproblem). Ich dachte ja es liegt an meinen Regeln, aber das Problem war ein nicht gesetzter Haken bei der Pfsense: System - Advanced - Misc -> "Enable default gateway switching"

Nun klappt es einwandfrei - obwohl ich dachte die Funktion ist nicht zwingend notwendig wenn ich unter Routing Fail Over Gruppen erstelle ...
aqui
aqui 05.01.2016 um 18:25:29 Uhr
Goto Top
Kleine Ursache große Wirkung wie so oft... face-wink
Gut wenn nun alles klappt wie es soll.
Das PPTP Forumstutorial beschreibt es aber auch wasserdicht...wenn man es denn mal liest face-smile
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
noizede
noizede 05.01.2016 um 20:36:10 Uhr
Goto Top
Schönes neues Jahr @aqui

Danke für den Link, denn kommende Woche steht genau das Thema am Speiseplan (aber in meinem oberen Zusammenhang wäre ich auf das Gateway Multi Wan Problem nicht gekommen - da ja eigentlich mit PPTP alles klappte, aber das eigentliche Problem das Mulit Wan Routing war).

liebe grüße noizede