lkleemann
Goto Top

PfSense sporadischer Zugriff

Hallo zusammen,

ich habe ein Problem, welches ich aktuell leider nicht genauer eingrenzen kann, deshalb möchte ich mal euch um Rat fragen.

Bei mir zuhause habe ich ein kleines Netzwerk mit einer pfSense, einer Synology und einem PC (für RDP) aufgebaut.
Wenn ich mich über L2TP auf die pfSense verbinde, kann ich auf alle drei Geräte zugreifen.
Aktuell für mich noch nach einer x Zeit, kann ich über VPN nicht mehr auf die Synology zugreifen. Die beiden anderen Geräte sind über VPN noch erreichbar, im LAN sind alle drei Geräte erreichbar.
Während man über VPN keinen Zugriff mehr auf die Synology hat, kann diese auch nicht direkt über die pfSense angepingt werden. Die Synology hat eine feste IP-Adresse und als Gateway ist die pfSense eingetragen.

Mein Problem ist aktuell, dass dieses Problem nur manchmal Auftritt und diese Konfiguration aber im nächsten Moment auch wieder funktioniert.

Habt Ihr Vorschläge für mich, wie ich das Problem lokalisieren kann? Hat jemand dieses Problem auch schonmal gehabt?

Vielen Dank im Voraus und euch noch einen schönen Abend.

Content-ID: 1496415956

Url: https://administrator.de/contentid/1496415956

Ausgedruckt am: 03.12.2024 um 19:12 Uhr

Looser27
Looser27 12.11.2021 um 08:41:36 Uhr
Goto Top
Moin,

was sind denn die Energieeinstellungen bei der Synology? Geht die nach Zeit X evtl. in den Ruhezustand?

Gruß

Looser
LKleemann
LKleemann 12.11.2021 um 09:15:36 Uhr
Goto Top
Guten Morgen Looser,

vielen Dank für deine schnelle Rückmeldung.

Das habe ich bereits geprüft. Die Synology geht nach zwei Stunde Inaktivität in den Ruhezustand. Allerdings kann ich über die RDP Session auf die Synology zugreifen und direkt über VPN oder die pfSense nicht.

Demnach würde ich die Energieeinstellungen ausschließen, weil ich intern auf die Synology Zugriff habe, richtig?

Ich freue mich von dir zu lesen.

Dir noch einen angenehmen Arbeitstag.
Looser27
Looser27 12.11.2021 um 09:47:22 Uhr
Goto Top
Dann passen die Regeln in der pfSense evtl. nicht.
Du mußt den Zugriff über den VPN Tunnel hier explizit erlauben inkl. des Ping.
aqui
aqui 12.11.2021 um 10:55:52 Uhr
Goto Top
Und beim Ping über die Diagnostics sollte man zudem immer die Absender IP richtig setzen das das eine IP auf dem L2TP Client Pool ist !
Wenn aber alles andere außer dem NAS problemlos ping- und erreichbar ist kann das VPN ja de facto ausgeschlossen werden.
LKleemann
LKleemann 13.11.2021 um 19:27:36 Uhr
Goto Top
Zitat von @Looser27:

Dann passen die Regeln in der pfSense evtl. nicht.
Du mußt den Zugriff über den VPN Tunnel hier explizit erlauben inkl. des Ping.

Guten Abend Looser27,

vielen Dank für deine Rückmeldung.

Dies habe ich explizit freigegeben was ebenfalls auch funktioniert. Es ist leider kein dauerhafter Fehler, sondern nur ein sporadischer Fehler. Aus diesem Grund würde ich die Regeln der Firewall ausschließen oder?

Ich freue mich von dir zu lesen face-smile Dir noch einen schönen Abend und ein schönes Wochenende.
LKleemann
LKleemann 13.11.2021 um 19:29:50 Uhr
Goto Top
Zitat von @aqui:

Und beim Ping über die Diagnostics sollte man zudem immer die Absender IP richtig setzen das das eine IP auf dem L2TP Client Pool ist !
Wenn aber alles andere außer dem NAS problemlos ping- und erreichbar ist kann das VPN ja de facto ausgeschlossen werden.

Guten Abend @aqui,

da hast du auf jeden Fall Recht. Darauf habe ich geachtet und jede andere IP-Adresse von Rechner, VoIP Endgeräte lassen sich ohne Probleme die ganze Zeit direkt von der pfSense und von meinem VPN Client anpingen. Nur die Synology nicht, gerade das wichtigste 😉

Hast du noch weitere Ideen, den Fehler zu beheben oder einzuschränken?

Dir noch einen schönen Abend und ich freue mich von dir zu lesen.
aqui
aqui 14.11.2021 um 20:30:07 Uhr
Goto Top
Nur die Synology nicht,
Also liegt damit dann die Ursache am Synology selber und nicht am Netz bzw. den anderen Komponenten.
Typischer Fehler ist oft ein Autonegotiation Problem das die NIC des NAS den Speed und Duplex Mode mit dem Switch nicht richtig aushandeln kann.
Da hilft dann oftmals ein Crossover Kabel oder Crossover Adapter oder indem du am Switch den Port statisch fest auf einen Spped und Duplex Wert setzt.
Solltest du einen ungemanagten Dummswitch haben, dann machst du das statische Speed- und Duplex Setting an der NAS NIC.
Ansonsten muss man auch einen HW Defekt am NAS ins Auge fassen...
Neueste Firmware hast du aufs NAS geflasht ??
LKleemann
LKleemann 14.11.2021 um 20:41:15 Uhr
Goto Top
Zitat von @aqui:

Nur die Synology nicht,
Also liegt damit dann die Ursache am Synology selber und nicht am Netz bzw. den anderen Komponenten.
Typischer Fehler ist oft ein Autonegotiation Problem das die NIC des NAS den Speed und Duplex Mode mit dem Switch nicht richtig aushandeln kann.
Da hilft dann oftmals ein Crossover Kabel oder Crossover Adapter oder indem du am Switch den Port statisch fest auf einen Spped und Duplex Wert setzt.
Solltest du einen ungemanagten Dummswitch haben, dann machst du das statische Speed- und Duplex Setting an der NAS NIC.
Ansonsten muss man auch einen HW Defekt am NAS ins Auge fassen...
Neueste Firmware hast du aufs NAS geflasht ??

Guten Abend @aqui,

vielen Dank für deine Antwort.

Die Thematik mit Autonegotiation schaue ich mir noch mal an. Ich habe für die Synology ein LAG gebaut, könnte also gut sein. Ich danke Dir schonmal 😀

Ich habe heute festgestellt, dass die Synology in diesen Zeiträumen auch kein Internet mehr hat. Das Gateway ist allerdings von der Synology aus erreichbar (Ping). Gateway habe ich bereits geprüft, dass muss passen. Wenn die Synology über VPN verfügbar ist, erhält diese auch Internet Zugang. Komischer Fehler?

Ich melde mich wieder bei dir, sobald ich mir die Autonegotiation Thematik angeschaut habe.

Dir noch einen schönen Abend und schonmal vielen Dank face-smile
aqui
aqui 14.11.2021 um 20:48:09 Uhr
Goto Top
Ich habe für die Synology ein LAG gebaut,
LACP LAG nach 802.3ad Standard ??
dass die Synology in diesen Zeiträumen auch kein Internet mehr hat.
Ist ja auch logisch und erwartbar. Wenn die Synology die Switch Connection verliert verliert sie doch logischerweise auch die Internet Connection.
Wenn die Synology über VPN verfügbar ist
Wie ist das zu verstehen ?? Betreibst du sie als lokalen VPN Server ? Oder als VPN Client ?
Wenn ja welches VPN Protokoll und welche Config ?
Looser27
Looser27 14.11.2021 um 22:03:04 Uhr
Goto Top
Ich habe für die Synology ein LAG gebaut,

Davon war bisher aber keine Rede. Möglich, dass der Fehler hier liegt. Löse das zum Test mal auf und binde nur einfach an.
aqui
aqui 15.11.2021 aktualisiert um 17:32:01 Uhr
Goto Top
Davon war bisher aber keine Rede.
Solche Dinge sind wir Leidgeprüften hier ja leider täglich gewohnt das solche essentiellen Topologie Informationen dann innerhalb des Threads mit einmal wie Phönix aus der Asche auftauchen und alle Tips davor dann ad absurdum führen... Ohne Worte... face-sad
LKleemann
LKleemann 15.11.2021 um 19:15:03 Uhr
Goto Top
Zitat von @aqui:

Ich habe für die Synology ein LAG gebaut,
LACP LAG nach 802.3ad Standard ??
Nein, nur ein statische LAG (IEEE 802.3ad Entwurf 1), LACP ist bei diesem Standort nicht möglich.

dass die Synology in diesen Zeiträumen auch kein Internet mehr hat.
Ist ja auch logisch und erwartbar. Wenn die Synology die Switch Connection verliert verliert sie doch logischerweise auch die Internet Connection.
Wenn er die Verbindung zum Switch verlieren würde, wäre der lokale Zugriff aus dem LAN-Netz aber auch nicht mehr möglich, oder?

Wenn die Synology über VPN verfügbar ist
Wie ist das zu verstehen ?? Betreibst du sie als lokalen VPN Server ? Oder als VPN Client ?
Wenn ja welches VPN Protokoll und welche Config ?
Entschuldigung, hier war ich ein bisschen undeutlich. Die Synology NAS steht in einem LAN-Netzwerk, welches als Firewall eine pfSense verwendet. Auf diese pfSense kann man über L2TP mittels IPSec eine Virtual Private Network Verbindung ins LAN-Netzwerk herstellen. Auf die Rechner (RDP, VNC) habe ich durchgängig Zugriff. Ebenfalls können diese Geräte über Diagnostics -> Ping mit der pfSense angepingt werden.
Die Synology kann nicht durchgängig mittels Ping von der pfSense angepingt werden. Nach einem Neustart der Synology ist ein Ping erfolgreich und der Zugriff über den VPN Tunnel klappt. Nach einiger Zeit kann die Synology nicht mehr über die pfSense angepingt werden und ein Zugriff über den VPN Tunnel ist nicht mehr möglich.

Hat dies ein bisschen Licht ins dunkle gebracht? Ich freue mich von dir zu lesen.
LKleemann
LKleemann 15.11.2021 um 19:15:57 Uhr
Goto Top
Zitat von @Looser27:

Ich habe für die Synology ein LAG gebaut,

Davon war bisher aber keine Rede. Möglich, dass der Fehler hier liegt. Löse das zum Test mal auf und binde nur einfach an.

Die könnte ich frühestens am Wochenende machen. Wenn beim LAG ein Fehler wäre, dürfte der Zugriff aus dem lokalen LAN-Netzwerk auch nicht mehr stattfinden, richtig? Oder liege ich hier falsch?
LKleemann
LKleemann 15.11.2021 um 19:18:15 Uhr
Goto Top
Zitat von @aqui:

Davon war bisher aber keine Rede.
Solche Dinge sind wir Leidgeprüften hier ja leider täglich gewohnt das solche essentiellen Topologie Informationen dann innerhalb des Threads mit einmal wie Phönix aus der Asche auftauchen und alle Tips davor dann ad absurdum führen... Ohne Worte... face-sad

Naja, eine essentiellen Information der Netzwerk Topologie ist es auf jeden Fall, kann ich dir nur recht geben. Entschuldigung.
Aber kann auch durch den dauerhaften lokalen Zugriff ausgeschlossen werden. Wenn die Synology die Verbindung zum Switch verliert, kann auch keine lokale Verbindung mehr hergestellt werden. Habe ich hier einen Denkfehler?
aqui
aqui 16.11.2021 um 18:33:36 Uhr
Goto Top
LACP ist bei diesem Standort nicht möglich.
Das wird dann das Problerm sein denn z.B. Synology und pfSense supporten nur LACP LAGs und keine statischen. Durch das fehlende LACP erkennen die keinen LAG und es kann zu solchen Ausfällen kommen.
Da gilt dann genau das was der Kollege @Looser27 oben schon gesagt hat.
Den LAG auflösen und es mit einem normalen Einzellink probieren und beobachten.
LKleemann
LKleemann 17.11.2021 um 10:31:02 Uhr
Goto Top
Zitat von @aqui:

LACP ist bei diesem Standort nicht möglich.
Das wird dann das Problerm sein denn z.B. Synology und pfSense supporten nur LACP LAGs und keine statischen. Durch das fehlende LACP erkennen die keinen LAG und es kann zu solchen Ausfällen kommen.
Da gilt dann genau das was der Kollege @Looser27 oben schon gesagt hat.
Den LAG auflösen und es mit einem normalen Einzellink probieren und beobachten.

Guten Morgen @aqui,

ihr beide (@aqui und @Looser27) habt mit Sicherheit mehr Berufserfahrung und ich stelle vermutlich in euren Augen unnötige Fragen. Ich würde allerdings zusätzlich über diesen Beitrag dazu lernen.

Wie bereits geschrieben, werde ich am Wochenende das LAG auflösen oder den Switch austauschen, um somit ein LACP gemäß IEEE 802.1AX-2008 aufzubauen.

Mich würde es technisch interessieren, wie diese LAG Thematik solche Connections Problematiken auslösen können. Mir geht es um die Weiterbildung von mir und die Weiterbildung von anderen interessieren Lesern/innen in diesem Forum. Als Beispiel: in der Entwicklung Branche bringt es dir nichts, wenn dir dein SrDev bei jedem Problem direkt einen Lösungscode vorgibt, damit hat man nur das Problem gelöst, aber nicht verstanden. Beim nächsten Mal hängt man dann am selben Punkt. Dies würde ich gerne umgehen.

Bei der Synology sollte doch der Bond-Modus ("Balance XOR") ein statisches Link Aggregation sein, oder?

Ich freue mich von euch zu lesen

Mit freundlichen Grüßen
L. Kleemann
Looser27
Looser27 17.11.2021 um 10:39:11 Uhr
Goto Top
Bei der Synology sollte doch der Bond-Modus ("Balance XOR") ein statisches Link Aggregation sein, oder?

Zitat aus dem Webinterface der Synology:
Balance XOR: ...Link Aggregation (IEEE 802.3ad Entwurf 1)

Vermutlich ist als die Konfiguration am Switch nicht entsprechend. Bei uns rennt das fehlerfrei an nem Netgear-Core mit statischem LAG.
aqui
aqui 17.11.2021 aktualisiert um 10:50:54 Uhr
Goto Top
Ich würde allerdings zusätzlich über diesen Beitrag dazu lernen.
Der tiefere Sinn eines Forums ! face-wink
wie diese LAG Thematik solche Connections Problematiken auslösen können.
Das ist schwer zu sagen OHNE das du weitergehende Untersuchungen dort machst bzw. tiefere Infos lieferst.
Du müsstest mit dem Wireshark einmal diese Member Links untersuchen was die Protokolle dort machen. Das ist so wie mit dem SrDev dem du nur sehr oberflächlich schilderst was die Symptome sind.
Es fängt schon damit an das bei den Billig- Massenherstellern die Protokolle 802.3ad und/oder LACP oft schlampig implementiert wurden und ein LAG z.B. komplett auf Down oder ins Toggeling geht obwohl nur ein Member Link betroffen ist. Bei einer fehlerhaften Konfig (siehe Kollege @Looser27 oben) wissen dann auch beide Seiten nichts über den Memberlink Status und kappen dann den LAG oder es kommt innerhalb des LAGs zu unkontrollierten Loops und damit zu Überlastungen und Collisions was ähnliche Auswirkungen hat wie deine oben geschilderten. Du hast vermitlich auf deinem Switch keinerlei Sicherheiten wie Broad- und Multicast Strom Mitigations konfiguriert um sowas zu verhindern. Usw. usw.
Bei dir besteht zudem die Problematik das du eine inhomogene und damit falsche Konfig gemacht hat. Eine Seite erwartet einen LACP LAG und die andere Seite ist statisch. Das ist so wie "ships in the night" keiner "sieht" den anderen was aber bei LAGs zwingend ist und macht sein eigenes Ding mit unvorhersehbarem Verhalten. Hier könnte man jetzt lustig weiter aufzählen...
Ohne das man sich jetzt das Protokollhandling und Logg einmal sehr genau ansieht um nachvollziehen zu können was da genau schiefgeht kann man hier auch nur im freien Fall raten oder die Kristallkugel bemühen.
Etwas was der SrDev sicher nicht gutheissen würde und ganz sicher als unprofessionell und laienhaft tituliert ! face-wink
LKleemann
LKleemann 21.11.2021 um 21:45:00 Uhr
Goto Top
Hallo @aqui, Hallo @Looser27, Hallo zusammen,

wie von euch vorgeschlagen habe ich die Verbindung zwischen Synology und Switch auf LACP umgestellt und leider wurde damit das Problem nicht behoben.

Habt Ihr nochmal weitere Ideen, bei welche Thematiken ich genauer schauen sollte? Woran das Problem besteht?

Vielen Dank im Voraus und euch noch einen schönen Abend.
aqui
aqui 22.11.2021 um 10:43:30 Uhr
Goto Top
Woran das Problem besteht?
Da bleiben dann nur noch 2 Dinge übrig:
  • Autonegotiation Problem zw. NAS NIC und Switch so das der nicht in der Lage ist den richtigen Speed und Duplex Mode auszuhandeln. Dadurch kommt es zu exzessiven Collisions auf den Links und zu temporärem Ausfall
  • Ein Hardware Defekt entweder der NAS NIC Ports und/oder der Switchports

Leider hast du den dir hier dringenst vorgeschlagenen Test gar kein Link Aggregation zu verwenden und das NAS nur einfach anzuschliessen nicht umgesetzt. face-sad
Bevor du also drastischere Maßnahmen ergreifst solltest du erstmal das machen.
LKleemann
LKleemann 06.12.2021 um 20:44:33 Uhr
Goto Top
Guten Abend @aqui, guten Abend @Looser27, guten Abend zusammen,

anbei kommen noch mal ein paar Informationen, eventuell habt Ihr dadurch wieder Vorschläge?

Wir haben an diesem kleinen Standort folgenden Netzwerkaufbau:

- LAN ( 1 x 24 Subnetz) mit mehreren iMacs, Druckers und einer Synology ( 2 x RJ45 mit LACP 802.3ad)
- pfSense als Firewall und VPN Server - L2TP (IPsec)
- 1 Subnetz für die VPN Clients

Ein VPN-Tunnel wird erfolgreich zur pfSense aufgebaut und der Zugriff auf die iMacs und die Synology ist ohne Probleme möglich.

Sporadisch und temporär wird die Verbindung über den VPN-Tunnel zur Synology unterbrochen. Kein Anpingen, nichts. Eine Verbindung zu den iMacs im gleichen LAN ist weiterhin möglich.
Die lokalen iMacs können währenddessen normal auf der Synology weiterarbeiten, ohne Probleme. Durch ein Neustart der Synology lässt sich das Problem für kurze Zeit beheben.

Folgendes habe ich bereits auf Anraten von euch beiden umgesetzt:
- LACP von der Synology aufgelöst, leider ohne Erfolg
- Ohne LACP die Autonegotiation Einstellungen geprüft, welche alle übereingestimmt haben
- Switch ausgetauscht, ohne LACP, Problem ist wieder aufgetaucht.

Könnt Ihr mir bitte helfen, das Problem genauer zu lokalisieren?

Vielen Dank im Voraus und euch einen schönen Abend.

PS: Ich habe das Gefühl, dass die Verbindung zur Synology schneller abbricht, wenn man aktiv Dateien von der Synology auf den eigenen Laptop kopiert (somit Traffic auf der Synology ist)
aqui
aqui 07.12.2021 aktualisiert um 12:01:52 Uhr
Goto Top
Nur mal grundlegend und OT gefragt: Warum realisierst du ein VPN auf der Synology wenn du eine pfSense hast ??
LKleemann
LKleemann 07.12.2021 um 11:47:18 Uhr
Goto Top
Hallo @aqui,

leider bin ich überfragt, wo in meinem Text steht, dass der VPN Server auf der Synology läuft?

Wie in meinem Text geschrieben, wird dieser auf der pfSense ausgeführt und die Synology ist nur als Fileserver im Netzwerk erreichbar.

Ich freue mich von dir zu lesen.
aqui
aqui 07.12.2021 um 12:02:26 Uhr
Goto Top
Ooops...sorry das hatte ich misinterpretiert aus dem o.a. Thread. Shame on me... face-sad