Pfsense 2.4.4_1


#1

@felix: Es gibt ein Update für pfsense: https://www.netgate.com/docs/pfsense/releases/2-4-4-p1-new-features-and-changes.html

Siehst du da interessante Bugfixes? Ich mach’ dieses Jahr aber nix mehr, das letzte Update hat mir gereicht…


#2

Ich glaube die Traffic-Shaping issues (https://www.netgate.com/docs/pfsense/releases/2-4-4-p1-new-features-and-changes.html#traffic-shaping-altq-limiters) sind für uns relevant. Habe da Anpassungen machen müssen und alle drei issues werden bei mir im Browser als schonmal gelesener Link angezeigt … Habe jetzt aber nicht im Detail nachgeschaut.

Wenn wir uns auf einen frühen Termin im Januar einigen können ists auch super!


#3

Jetzt ist auch 2.4.4 p2 erschienen.
Wegen zahlreicher Intensivzeiten bin ich gerade unsicher, wann ich das angehen werde - ein entspanntes Datum wäre der 16.2.
Vom 4.-12.2. bin ich übrigens bei euch und werkle an eurotopia mit. Freue mich, wenn wir uns sehen.

Und: ich habe kurz vor Jahresende erfahren, dass das ZEGG 2019 per Glasfaser angebunden werden soll. Da werden ganz neue Zeiten anbrechen :star_struck:


#4

@felix Es ist ein Elend.
Wie besprochen habe ich mich erst mal an unser Reservegerät gemacht: auf dem Hauptgerät die Konfig gesichert und auf der Reservekiste zurückgespielt. Anschließend heißt es:

Packages are currently being reinstalled in the background.
Do not make changes in the GUI until this is complete.
If the above message is still displayed after a couple of hours, use the ‘Clear Package Lock’ button on the [Diagnostics > Backup & Restore] page and reinstall packages manually.

Da tut sich aber nichts. Also habe ich doch zunächst das Update durchgeführt und anschließend noch mal versucht, die Konfig zurückzuspielen - mit dem selben Ergebnis. Ich gebe zu, dass ich nicht “a couple of hours” gewartet habe, aber bitte…

Die manuelle Neuinstallation der Pakete bleibt ebenfalls hängen. Ich nehme an, es ist der (mir) bekannte Bug, dass die pfsense an der Stelle ewig auf eine Internetverbindung wartet (aktiviert habe ich nur die Default-WAN-Leitung, nicht alle vier) und erst nach einer gefühlten Stunde in einen Timeout läuft. Dann kann man weitersehen. So viel Zeit habe ich aber im Ernstfall nicht…

Ich lasse sie jetzt erst mal da stehen und widme mich anderen Dingen.


#5

Die Neuinstallation der Pakete war dann überraschend doch nach wenigen Minuten durch. War ich wohl zu ungeduldig :confused:
Update auf dem Hauptgerät ist anschließend ohne Zicken durchgelaufen.


#6

Danke für deinen Bericht!
Ich werde versuchen bei uns nächste Woche das Update einzuspielen. Beim letzten Update hatte ich das Gefühl, dass es am Ende das Update über die Konsole gebraucht hat, auch wenn ich meine mich zu errinern, im Quellcode nachgesehen zu haben und herausgefunden zu haben, dass das Web-Frontend den gleichen Prozess startet wie über die Konsole.


#7

Mir ist die Tage noch ein kleines Problem aufgefallen, das euch eventuell aber gar nicht betrifft.
Wir haben eine DNS-Delegierung eingerichtet, so dass Adressen aus unserem Verwaltungsnetz vom dortigen DNS-Server aufgelöst werden. Das funktioniert seit dem Update nicht mehr reibungslos. Oft kommt stattdessen “non-existent domain” als Antwort.
Ich wollte gerade ins Netgate-Forum schreiben, aber im Moment klappt es wieder :face_with_raised_eyebrow: Mal beobachten…


#8

Was sagt der system log? Ist das vielleicht der Bug hier: https://redmine.pfsense.org/issues/8979 ?


#9

Ich bin nicht sicher. Der “DNS Forwarder” ist nicht aktiv, genau genommen ist es ein Domain Override im DNS Resolver. Und der verlinkte Bug ist laut https://redmine.pfsense.org/issues/8967 bereits behoben.

Ich habe mir jetzt erst mal mit ein paar Host Overrides beholfen.


#10

Benutzt ihr das als Load Balancer? Ich hab mir gerade die c’t mit dem entsprechenden Artikel besorgt.
Wir haben bei uns seit ein paar Jahren dieses Gerät hier im Einsatz: https://www.tp-link.com/de/products/details/cat-4910_TL-R480T+.html - ist aber proprietär & entsprechend eingeschränkt konfigurierbar. Updates hat’s auch ewig keine mehr gegeben.


#11

Ich bin nicht ganz firm in der Terminologie. Load Balancing im Sinne von mehreren WANs: Nein (im Zegg wohl schon). Load Balancing im Sinne von Limiting/Queueing (halbwegs faire Lastverteilung auf mehrere Nutzer im LAN): Ja.

Wir nutzen eine pcengine apu2, hatten auch den Vorgänger in Betrieb. Über Jahre 24/7-Betrieb ohne irgendein erkennbares (Hardware-)Problem. Leise, kalt, klein, günstig. Bin völlig überzeugt. Auch die Webseite rockt, man erkennt genau worauf die Jungs und Mädels spezialisert sind (Marketing und Grafikdesign gehört nicht dazu, Fokus auf Funktionalität schon). :smiley:


#12

Loadbalancing: Ja - im dem Sinne, dass wir Clients fest bestimmten WAN-Leitungen zuordnen. Entweder über die MAC-Adresse oder über das VLAN, aus dem sie kommen.
Automatische Lastverteilung hat für uns nie richtig funktioniert (und sogar im pfsense-Handbuch steht, dass das eine sehr haarige Angelegenheit ist).


#13

Ah, OK, gut zu wissen. Das genannte TP-Link-Gerät macht nämlich bei uns automatische Lastverteilung recht zuverlässig.
Ich muss ohnehin den c’t-Artikel noch lesen, da bin ich bisher nicht zu gekommen. Wir hatten letzte Woche Gemeinschafts-Intensivtage. :slight_smile:


#14

Hab den c’t-Artikel jetzt gelesen. Bei heise haben die das offenbar seit Jahren erfolgreich im Einsatz (mit automatischer Lastverteilung).
In dem Artikel bin ich an dem Satz hängengeblieben “Anders als Linux reicht FreeBSD - das pfSense zugrunde liegende Betriebssystem - nur Pakete weiter, die das Firewall-Regelwerk durchlässt.” Das wäre ja ein guter Grund, FreeBSD statt Linux für eine Firewall zu benutzen. Allerdings ist der Artikel von 2016.
Auch im Netz liest man noch an vielen Stellen, dass der Netzwerk-Stack von FreeBSD schneller als der von Linux sei, das gilt offenbar heute nicht mehr: https://medium.com/@matteocroce/linux-and-freebsd-networking-cbadcdb15ddd

Ich habe nun allerdings entdeckt, dass es unseren Load Balancing Router, der damals deutlich über 200 € gekostet hat, inzwischen für 56,90 € bei Cyberport zu kaufen gibt. Da schaffe ich nächste Woche mal einen auf Halde an, falls der andere kaputtgeht. Die Freie Software-Lösung stelle ich daher aus Kostengründen erst mal hinten an…

Edit: Geschwindigkeit ist nicht alles -

pfSense has more features, and has nicer user interface. IPFire is FAST, but it’s somewhat lacking in UI and isn’t as intuitive. If you don’t have 1 Gbit internet, you should probably stick to pfSense or OPNSense.


#15

Ich komme jetzt erst dazu, das Problem mit dem Host override zu melden. Mal schauen, was dabei herauskommt.