24
PfSense sporadischer Zugriff
Hallo zusammen,
ich habe ein Problem, welches ich aktuell leider nicht genauer eingrenzen kann, deshalb möchte ich mal euch um Rat fragen.
Bei mir zuhause habe ich ein kleines Netzwerk mit einer pfSense, einer Synology und einem PC (für RDP) aufgebaut.
Wenn ich mich über L2TP auf die pfSense verbinde, kann ich auf alle drei Geräte zugreifen.
Aktuell für mich noch nach einer x Zeit, kann ich über VPN nicht mehr auf die Synology zugreifen. Die beiden anderen Geräte sind über VPN noch erreichbar, im LAN sind alle drei Geräte erreichbar.
Während man über VPN keinen Zugriff mehr auf die Synology hat, kann diese auch nicht direkt über die pfSense angepingt werden. Die Synology hat eine feste IP-Adresse und als Gateway ist die pfSense eingetragen.
Mein Problem ist aktuell, dass dieses Problem nur manchmal Auftritt und diese Konfiguration aber im nächsten Moment auch wieder funktioniert.
Habt Ihr Vorschläge für mich, wie ich das Problem lokalisieren kann? Hat jemand dieses Problem auch schonmal gehabt?
Vielen Dank im Voraus und euch noch einen schönen Abend.
ich habe ein Problem, welches ich aktuell leider nicht genauer eingrenzen kann, deshalb möchte ich mal euch um Rat fragen.
Bei mir zuhause habe ich ein kleines Netzwerk mit einer pfSense, einer Synology und einem PC (für RDP) aufgebaut.
Wenn ich mich über L2TP auf die pfSense verbinde, kann ich auf alle drei Geräte zugreifen.
Aktuell für mich noch nach einer x Zeit, kann ich über VPN nicht mehr auf die Synology zugreifen. Die beiden anderen Geräte sind über VPN noch erreichbar, im LAN sind alle drei Geräte erreichbar.
Während man über VPN keinen Zugriff mehr auf die Synology hat, kann diese auch nicht direkt über die pfSense angepingt werden. Die Synology hat eine feste IP-Adresse und als Gateway ist die pfSense eingetragen.
Mein Problem ist aktuell, dass dieses Problem nur manchmal Auftritt und diese Konfiguration aber im nächsten Moment auch wieder funktioniert.
Habt Ihr Vorschläge für mich, wie ich das Problem lokalisieren kann? Hat jemand dieses Problem auch schonmal gehabt?
Vielen Dank im Voraus und euch noch einen schönen Abend.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1496415956
Url: https://administrator.de/contentid/1496415956
Ausgedruckt am: 04.11.2024 um 22:11 Uhr
24 Kommentare
Neuester Kommentar
Moin,
was sind denn die Energieeinstellungen bei der Synology? Geht die nach Zeit X evtl. in den Ruhezustand?
Gruß
Looser
was sind denn die Energieeinstellungen bei der Synology? Geht die nach Zeit X evtl. in den Ruhezustand?
Gruß
Looser
Guten Morgen Looser,
vielen Dank für deine schnelle Rückmeldung.
Das habe ich bereits geprüft. Die Synology geht nach zwei Stunde Inaktivität in den Ruhezustand. Allerdings kann ich über die RDP Session auf die Synology zugreifen und direkt über VPN oder die pfSense nicht.
Demnach würde ich die Energieeinstellungen ausschließen, weil ich intern auf die Synology Zugriff habe, richtig?
Ich freue mich von dir zu lesen.
Dir noch einen angenehmen Arbeitstag.
vielen Dank für deine schnelle Rückmeldung.
Das habe ich bereits geprüft. Die Synology geht nach zwei Stunde Inaktivität in den Ruhezustand. Allerdings kann ich über die RDP Session auf die Synology zugreifen und direkt über VPN oder die pfSense nicht.
Demnach würde ich die Energieeinstellungen ausschließen, weil ich intern auf die Synology Zugriff habe, richtig?
Ich freue mich von dir zu lesen.
Dir noch einen angenehmen Arbeitstag.
Dann passen die Regeln in der pfSense evtl. nicht.
Du mußt den Zugriff über den VPN Tunnel hier explizit erlauben inkl. des Ping.
Du mußt den Zugriff über den VPN Tunnel hier explizit erlauben inkl. des Ping.
Und beim Ping über die Diagnostics sollte man zudem immer die Absender IP richtig setzen das das eine IP auf dem L2TP Client Pool ist !
Wenn aber alles andere außer dem NAS problemlos ping- und erreichbar ist kann das VPN ja de facto ausgeschlossen werden.
Wenn aber alles andere außer dem NAS problemlos ping- und erreichbar ist kann das VPN ja de facto ausgeschlossen werden.
Zitat von @Looser27:
Dann passen die Regeln in der pfSense evtl. nicht.
Du mußt den Zugriff über den VPN Tunnel hier explizit erlauben inkl. des Ping.
Dann passen die Regeln in der pfSense evtl. nicht.
Du mußt den Zugriff über den VPN Tunnel hier explizit erlauben inkl. des Ping.
Guten Abend Looser27,
vielen Dank für deine Rückmeldung.
Dies habe ich explizit freigegeben was ebenfalls auch funktioniert. Es ist leider kein dauerhafter Fehler, sondern nur ein sporadischer Fehler. Aus diesem Grund würde ich die Regeln der Firewall ausschließen oder?
Ich freue mich von dir zu lesen
Dir noch einen schönen Abend und ein schönes Wochenende.Zitat von @aqui:
Und beim Ping über die Diagnostics sollte man zudem immer die Absender IP richtig setzen das das eine IP auf dem L2TP Client Pool ist !
Wenn aber alles andere außer dem NAS problemlos ping- und erreichbar ist kann das VPN ja de facto ausgeschlossen werden.
Und beim Ping über die Diagnostics sollte man zudem immer die Absender IP richtig setzen das das eine IP auf dem L2TP Client Pool ist !
Wenn aber alles andere außer dem NAS problemlos ping- und erreichbar ist kann das VPN ja de facto ausgeschlossen werden.
Guten Abend @aqui,
da hast du auf jeden Fall Recht. Darauf habe ich geachtet und jede andere IP-Adresse von Rechner, VoIP Endgeräte lassen sich ohne Probleme die ganze Zeit direkt von der pfSense und von meinem VPN Client anpingen. Nur die Synology nicht, gerade das wichtigste 😉
Hast du noch weitere Ideen, den Fehler zu beheben oder einzuschränken?
Dir noch einen schönen Abend und ich freue mich von dir zu lesen.
Nur die Synology nicht,
Also liegt damit dann die Ursache am Synology selber und nicht am Netz bzw. den anderen Komponenten.Typischer Fehler ist oft ein Autonegotiation Problem das die NIC des NAS den Speed und Duplex Mode mit dem Switch nicht richtig aushandeln kann.
Da hilft dann oftmals ein Crossover Kabel oder Crossover Adapter oder indem du am Switch den Port statisch fest auf einen Spped und Duplex Wert setzt.
Solltest du einen ungemanagten Dummswitch haben, dann machst du das statische Speed- und Duplex Setting an der NAS NIC.
Ansonsten muss man auch einen HW Defekt am NAS ins Auge fassen...
Neueste Firmware hast du aufs NAS geflasht ??
Zitat von @aqui:
Typischer Fehler ist oft ein Autonegotiation Problem das die NIC des NAS den Speed und Duplex Mode mit dem Switch nicht richtig aushandeln kann.
Da hilft dann oftmals ein Crossover Kabel oder Crossover Adapter oder indem du am Switch den Port statisch fest auf einen Spped und Duplex Wert setzt.
Solltest du einen ungemanagten Dummswitch haben, dann machst du das statische Speed- und Duplex Setting an der NAS NIC.
Ansonsten muss man auch einen HW Defekt am NAS ins Auge fassen...
Neueste Firmware hast du aufs NAS geflasht ??
Nur die Synology nicht,
Also liegt damit dann die Ursache am Synology selber und nicht am Netz bzw. den anderen Komponenten.Typischer Fehler ist oft ein Autonegotiation Problem das die NIC des NAS den Speed und Duplex Mode mit dem Switch nicht richtig aushandeln kann.
Da hilft dann oftmals ein Crossover Kabel oder Crossover Adapter oder indem du am Switch den Port statisch fest auf einen Spped und Duplex Wert setzt.
Solltest du einen ungemanagten Dummswitch haben, dann machst du das statische Speed- und Duplex Setting an der NAS NIC.
Ansonsten muss man auch einen HW Defekt am NAS ins Auge fassen...
Neueste Firmware hast du aufs NAS geflasht ??
Guten Abend @aqui,
vielen Dank für deine Antwort.
Die Thematik mit Autonegotiation schaue ich mir noch mal an. Ich habe für die Synology ein LAG gebaut, könnte also gut sein. Ich danke Dir schonmal 😀
Ich habe heute festgestellt, dass die Synology in diesen Zeiträumen auch kein Internet mehr hat. Das Gateway ist allerdings von der Synology aus erreichbar (Ping). Gateway habe ich bereits geprüft, dass muss passen. Wenn die Synology über VPN verfügbar ist, erhält diese auch Internet Zugang. Komischer Fehler?
Ich melde mich wieder bei dir, sobald ich mir die Autonegotiation Thematik angeschaut habe.
Dir noch einen schönen Abend und schonmal vielen Dank
Ich habe für die Synology ein LAG gebaut,
LACP LAG nach 802.3ad Standard ??dass die Synology in diesen Zeiträumen auch kein Internet mehr hat.
Ist ja auch logisch und erwartbar. Wenn die Synology die Switch Connection verliert verliert sie doch logischerweise auch die Internet Connection.Wenn die Synology über VPN verfügbar ist
Wie ist das zu verstehen ?? Betreibst du sie als lokalen VPN Server ? Oder als VPN Client ?Wenn ja welches VPN Protokoll und welche Config ?
Ich habe für die Synology ein LAG gebaut,
Davon war bisher aber keine Rede. Möglich, dass der Fehler hier liegt. Löse das zum Test mal auf und binde nur einfach an.
Davon war bisher aber keine Rede.
Solche Dinge sind wir Leidgeprüften hier ja leider täglich gewohnt das solche essentiellen Topologie Informationen dann innerhalb des Threads mit einmal wie Phönix aus der Asche auftauchen und alle Tips davor dann ad absurdum führen... Ohne Worte... 
Nein, nur ein statische LAG (IEEE 802.3ad Entwurf 1), LACP ist bei diesem Standort nicht möglich.
Wenn er die Verbindung zum Switch verlieren würde, wäre der lokale Zugriff aus dem LAN-Netz aber auch nicht mehr möglich, oder?
Wenn ja welches VPN Protokoll und welche Config ?
Entschuldigung, hier war ich ein bisschen undeutlich. Die Synology NAS steht in einem LAN-Netzwerk, welches als Firewall eine pfSense verwendet. Auf diese pfSense kann man über L2TP mittels IPSec eine Virtual Private Network Verbindung ins LAN-Netzwerk herstellen. Auf die Rechner (RDP, VNC) habe ich durchgängig Zugriff. Ebenfalls können diese Geräte über Diagnostics -> Ping mit der pfSense angepingt werden.
Die Synology kann nicht durchgängig mittels Ping von der pfSense angepingt werden. Nach einem Neustart der Synology ist ein Ping erfolgreich und der Zugriff über den VPN Tunnel klappt. Nach einiger Zeit kann die Synology nicht mehr über die pfSense angepingt werden und ein Zugriff über den VPN Tunnel ist nicht mehr möglich.
Hat dies ein bisschen Licht ins dunkle gebracht? Ich freue mich von dir zu lesen.
dass die Synology in diesen Zeiträumen auch kein Internet mehr hat.
Ist ja auch logisch und erwartbar. Wenn die Synology die Switch Connection verliert verliert sie doch logischerweise auch die Internet Connection.Wenn die Synology über VPN verfügbar ist
Wie ist das zu verstehen ?? Betreibst du sie als lokalen VPN Server ? Oder als VPN Client ?Wenn ja welches VPN Protokoll und welche Config ?
Die Synology kann nicht durchgängig mittels Ping von der pfSense angepingt werden. Nach einem Neustart der Synology ist ein Ping erfolgreich und der Zugriff über den VPN Tunnel klappt. Nach einiger Zeit kann die Synology nicht mehr über die pfSense angepingt werden und ein Zugriff über den VPN Tunnel ist nicht mehr möglich.
Hat dies ein bisschen Licht ins dunkle gebracht? Ich freue mich von dir zu lesen.
Zitat von @Looser27:
Davon war bisher aber keine Rede. Möglich, dass der Fehler hier liegt. Löse das zum Test mal auf und binde nur einfach an.
Ich habe für die Synology ein LAG gebaut,
Davon war bisher aber keine Rede. Möglich, dass der Fehler hier liegt. Löse das zum Test mal auf und binde nur einfach an.
Die könnte ich frühestens am Wochenende machen. Wenn beim LAG ein Fehler wäre, dürfte der Zugriff aus dem lokalen LAN-Netzwerk auch nicht mehr stattfinden, richtig? Oder liege ich hier falsch?
Zitat von @aqui:
Davon war bisher aber keine Rede.
Solche Dinge sind wir Leidgeprüften hier ja leider täglich gewohnt das solche essentiellen Topologie Informationen dann innerhalb des Threads mit einmal wie Phönix aus der Asche auftauchen und alle Tips davor dann ad absurdum führen... Ohne Worte... Naja, eine essentiellen Information der Netzwerk Topologie ist es auf jeden Fall, kann ich dir nur recht geben. Entschuldigung.
Aber kann auch durch den dauerhaften lokalen Zugriff ausgeschlossen werden. Wenn die Synology die Verbindung zum Switch verliert, kann auch keine lokale Verbindung mehr hergestellt werden. Habe ich hier einen Denkfehler?
LACP ist bei diesem Standort nicht möglich.
Das wird dann das Problerm sein denn z.B. Synology und pfSense supporten nur LACP LAGs und keine statischen. Durch das fehlende LACP erkennen die keinen LAG und es kann zu solchen Ausfällen kommen.Da gilt dann genau das was der Kollege @Looser27 oben schon gesagt hat.
Den LAG auflösen und es mit einem normalen Einzellink probieren und beobachten.
Zitat von @aqui:
Da gilt dann genau das was der Kollege @Looser27 oben schon gesagt hat.
Den LAG auflösen und es mit einem normalen Einzellink probieren und beobachten.
LACP ist bei diesem Standort nicht möglich.
Das wird dann das Problerm sein denn z.B. Synology und pfSense supporten nur LACP LAGs und keine statischen. Durch das fehlende LACP erkennen die keinen LAG und es kann zu solchen Ausfällen kommen.Da gilt dann genau das was der Kollege @Looser27 oben schon gesagt hat.
Den LAG auflösen und es mit einem normalen Einzellink probieren und beobachten.
Guten Morgen @aqui,
ihr beide (@aqui und @Looser27) habt mit Sicherheit mehr Berufserfahrung und ich stelle vermutlich in euren Augen unnötige Fragen. Ich würde allerdings zusätzlich über diesen Beitrag dazu lernen.
Wie bereits geschrieben, werde ich am Wochenende das LAG auflösen oder den Switch austauschen, um somit ein LACP gemäß IEEE 802.1AX-2008 aufzubauen.
Mich würde es technisch interessieren, wie diese LAG Thematik solche Connections Problematiken auslösen können. Mir geht es um die Weiterbildung von mir und die Weiterbildung von anderen interessieren Lesern/innen in diesem Forum. Als Beispiel: in der Entwicklung Branche bringt es dir nichts, wenn dir dein SrDev bei jedem Problem direkt einen Lösungscode vorgibt, damit hat man nur das Problem gelöst, aber nicht verstanden. Beim nächsten Mal hängt man dann am selben Punkt. Dies würde ich gerne umgehen.
Bei der Synology sollte doch der Bond-Modus ("Balance XOR") ein statisches Link Aggregation sein, oder?
Ich freue mich von euch zu lesen
Mit freundlichen Grüßen
L. Kleemann
Bei der Synology sollte doch der Bond-Modus ("Balance XOR") ein statisches Link Aggregation sein, oder?
Zitat aus dem Webinterface der Synology:
Balance XOR: ...Link Aggregation (IEEE 802.3ad Entwurf 1)
Vermutlich ist als die Konfiguration am Switch nicht entsprechend. Bei uns rennt das fehlerfrei an nem Netgear-Core mit statischem LAG.
Ich würde allerdings zusätzlich über diesen Beitrag dazu lernen.
Der tiefere Sinn eines Forums ! 
wie diese LAG Thematik solche Connections Problematiken auslösen können.
Das ist schwer zu sagen OHNE das du weitergehende Untersuchungen dort machst bzw. tiefere Infos lieferst.Du müsstest mit dem Wireshark einmal diese Member Links untersuchen was die Protokolle dort machen. Das ist so wie mit dem SrDev dem du nur sehr oberflächlich schilderst was die Symptome sind.
Es fängt schon damit an das bei den Billig- Massenherstellern die Protokolle 802.3ad und/oder LACP oft schlampig implementiert wurden und ein LAG z.B. komplett auf Down oder ins Toggeling geht obwohl nur ein Member Link betroffen ist. Bei einer fehlerhaften Konfig (siehe Kollege @Looser27 oben) wissen dann auch beide Seiten nichts über den Memberlink Status und kappen dann den LAG oder es kommt innerhalb des LAGs zu unkontrollierten Loops und damit zu Überlastungen und Collisions was ähnliche Auswirkungen hat wie deine oben geschilderten. Du hast vermitlich auf deinem Switch keinerlei Sicherheiten wie Broad- und Multicast Strom Mitigations konfiguriert um sowas zu verhindern. Usw. usw.
Bei dir besteht zudem die Problematik das du eine inhomogene und damit falsche Konfig gemacht hat. Eine Seite erwartet einen LACP LAG und die andere Seite ist statisch. Das ist so wie "ships in the night" keiner "sieht" den anderen was aber bei LAGs zwingend ist und macht sein eigenes Ding mit unvorhersehbarem Verhalten. Hier könnte man jetzt lustig weiter aufzählen...
Ohne das man sich jetzt das Protokollhandling und Logg einmal sehr genau ansieht um nachvollziehen zu können was da genau schiefgeht kann man hier auch nur im freien Fall raten oder die Kristallkugel bemühen.
Etwas was der SrDev sicher nicht gutheissen würde und ganz sicher als unprofessionell und laienhaft tituliert !
Hallo @aqui, Hallo @Looser27, Hallo zusammen,
wie von euch vorgeschlagen habe ich die Verbindung zwischen Synology und Switch auf LACP umgestellt und leider wurde damit das Problem nicht behoben.
Habt Ihr nochmal weitere Ideen, bei welche Thematiken ich genauer schauen sollte? Woran das Problem besteht?
Vielen Dank im Voraus und euch noch einen schönen Abend.
wie von euch vorgeschlagen habe ich die Verbindung zwischen Synology und Switch auf LACP umgestellt und leider wurde damit das Problem nicht behoben.
Habt Ihr nochmal weitere Ideen, bei welche Thematiken ich genauer schauen sollte? Woran das Problem besteht?
Vielen Dank im Voraus und euch noch einen schönen Abend.
Woran das Problem besteht?
Da bleiben dann nur noch 2 Dinge übrig:- Autonegotiation Problem zw. NAS NIC und Switch so das der nicht in der Lage ist den richtigen Speed und Duplex Mode auszuhandeln. Dadurch kommt es zu exzessiven Collisions auf den Links und zu temporärem Ausfall
- Ein Hardware Defekt entweder der NAS NIC Ports und/oder der Switchports
Leider hast du den dir hier dringenst vorgeschlagenen Test gar kein Link Aggregation zu verwenden und das NAS nur einfach anzuschliessen nicht umgesetzt.
Bevor du also drastischere Maßnahmen ergreifst solltest du erstmal das machen.
Guten Abend @aqui, guten Abend @Looser27, guten Abend zusammen,
anbei kommen noch mal ein paar Informationen, eventuell habt Ihr dadurch wieder Vorschläge?
Wir haben an diesem kleinen Standort folgenden Netzwerkaufbau:
- LAN ( 1 x 24 Subnetz) mit mehreren iMacs, Druckers und einer Synology ( 2 x RJ45 mit LACP 802.3ad)
- pfSense als Firewall und VPN Server - L2TP (IPsec)
- 1 Subnetz für die VPN Clients
Ein VPN-Tunnel wird erfolgreich zur pfSense aufgebaut und der Zugriff auf die iMacs und die Synology ist ohne Probleme möglich.
Sporadisch und temporär wird die Verbindung über den VPN-Tunnel zur Synology unterbrochen. Kein Anpingen, nichts. Eine Verbindung zu den iMacs im gleichen LAN ist weiterhin möglich.
Die lokalen iMacs können währenddessen normal auf der Synology weiterarbeiten, ohne Probleme. Durch ein Neustart der Synology lässt sich das Problem für kurze Zeit beheben.
Folgendes habe ich bereits auf Anraten von euch beiden umgesetzt:
- LACP von der Synology aufgelöst, leider ohne Erfolg
- Ohne LACP die Autonegotiation Einstellungen geprüft, welche alle übereingestimmt haben
- Switch ausgetauscht, ohne LACP, Problem ist wieder aufgetaucht.
Könnt Ihr mir bitte helfen, das Problem genauer zu lokalisieren?
Vielen Dank im Voraus und euch einen schönen Abend.
PS: Ich habe das Gefühl, dass die Verbindung zur Synology schneller abbricht, wenn man aktiv Dateien von der Synology auf den eigenen Laptop kopiert (somit Traffic auf der Synology ist)
anbei kommen noch mal ein paar Informationen, eventuell habt Ihr dadurch wieder Vorschläge?
Wir haben an diesem kleinen Standort folgenden Netzwerkaufbau:
- LAN ( 1 x 24 Subnetz) mit mehreren iMacs, Druckers und einer Synology ( 2 x RJ45 mit LACP 802.3ad)
- pfSense als Firewall und VPN Server - L2TP (IPsec)
- 1 Subnetz für die VPN Clients
Ein VPN-Tunnel wird erfolgreich zur pfSense aufgebaut und der Zugriff auf die iMacs und die Synology ist ohne Probleme möglich.
Sporadisch und temporär wird die Verbindung über den VPN-Tunnel zur Synology unterbrochen. Kein Anpingen, nichts. Eine Verbindung zu den iMacs im gleichen LAN ist weiterhin möglich.
Die lokalen iMacs können währenddessen normal auf der Synology weiterarbeiten, ohne Probleme. Durch ein Neustart der Synology lässt sich das Problem für kurze Zeit beheben.
Folgendes habe ich bereits auf Anraten von euch beiden umgesetzt:
- LACP von der Synology aufgelöst, leider ohne Erfolg
- Ohne LACP die Autonegotiation Einstellungen geprüft, welche alle übereingestimmt haben
- Switch ausgetauscht, ohne LACP, Problem ist wieder aufgetaucht.
Könnt Ihr mir bitte helfen, das Problem genauer zu lokalisieren?
Vielen Dank im Voraus und euch einen schönen Abend.
PS: Ich habe das Gefühl, dass die Verbindung zur Synology schneller abbricht, wenn man aktiv Dateien von der Synology auf den eigenen Laptop kopiert (somit Traffic auf der Synology ist)
Nur mal grundlegend und OT gefragt: Warum realisierst du ein VPN auf der Synology wenn du eine pfSense hast ??
Hallo @aqui,
leider bin ich überfragt, wo in meinem Text steht, dass der VPN Server auf der Synology läuft?
Wie in meinem Text geschrieben, wird dieser auf der pfSense ausgeführt und die Synology ist nur als Fileserver im Netzwerk erreichbar.
Ich freue mich von dir zu lesen.
leider bin ich überfragt, wo in meinem Text steht, dass der VPN Server auf der Synology läuft?
Wie in meinem Text geschrieben, wird dieser auf der pfSense ausgeführt und die Synology ist nur als Fileserver im Netzwerk erreichbar.
Ich freue mich von dir zu lesen.
Ooops...sorry das hatte ich misinterpretiert aus dem o.a. Thread. Shame on me...
