Pfsense 2.4.4_1

Die Neuinstallation der Pakete war dann überraschend doch nach wenigen Minuten durch. War ich wohl zu ungeduldig :confused:
Update auf dem Hauptgerät ist anschließend ohne Zicken durchgelaufen.

1 Like

Danke für deinen Bericht!
Ich werde versuchen bei uns nächste Woche das Update einzuspielen. Beim letzten Update hatte ich das Gefühl, dass es am Ende das Update über die Konsole gebraucht hat, auch wenn ich meine mich zu errinern, im Quellcode nachgesehen zu haben und herausgefunden zu haben, dass das Web-Frontend den gleichen Prozess startet wie über die Konsole.

Mir ist die Tage noch ein kleines Problem aufgefallen, das euch eventuell aber gar nicht betrifft.
Wir haben eine DNS-Delegierung eingerichtet, so dass Adressen aus unserem Verwaltungsnetz vom dortigen DNS-Server aufgelöst werden. Das funktioniert seit dem Update nicht mehr reibungslos. Oft kommt stattdessen “non-existent domain” als Antwort.
Ich wollte gerade ins Netgate-Forum schreiben, aber im Moment klappt es wieder :face_with_raised_eyebrow: Mal beobachten…

1 Like

Was sagt der system log? Ist das vielleicht der Bug hier: https://redmine.pfsense.org/issues/8979 ?

Ich bin nicht sicher. Der “DNS Forwarder” ist nicht aktiv, genau genommen ist es ein Domain Override im DNS Resolver. Und der verlinkte Bug ist laut https://redmine.pfsense.org/issues/8967 bereits behoben.

Ich habe mir jetzt erst mal mit ein paar Host Overrides beholfen.

Benutzt ihr das als Load Balancer? Ich hab mir gerade die c’t mit dem entsprechenden Artikel besorgt.
Wir haben bei uns seit ein paar Jahren dieses Gerät hier im Einsatz: https://www.tp-link.com/de/products/details/cat-4910_TL-R480T+.html - ist aber proprietär & entsprechend eingeschränkt konfigurierbar. Updates hat’s auch ewig keine mehr gegeben.

Ich bin nicht ganz firm in der Terminologie. Load Balancing im Sinne von mehreren WANs: Nein (im Zegg wohl schon). Load Balancing im Sinne von Limiting/Queueing (halbwegs faire Lastverteilung auf mehrere Nutzer im LAN): Ja.

Wir nutzen eine pcengine apu2, hatten auch den Vorgänger in Betrieb. Über Jahre 24/7-Betrieb ohne irgendein erkennbares (Hardware-)Problem. Leise, kalt, klein, günstig. Bin völlig überzeugt. Auch die Webseite rockt, man erkennt genau worauf die Jungs und Mädels spezialisert sind (Marketing und Grafikdesign gehört nicht dazu, Fokus auf Funktionalität schon). :smiley:

Loadbalancing: Ja - im dem Sinne, dass wir Clients fest bestimmten WAN-Leitungen zuordnen. Entweder über die MAC-Adresse oder über das VLAN, aus dem sie kommen.
Automatische Lastverteilung hat für uns nie richtig funktioniert (und sogar im pfsense-Handbuch steht, dass das eine sehr haarige Angelegenheit ist).

Ah, OK, gut zu wissen. Das genannte TP-Link-Gerät macht nämlich bei uns automatische Lastverteilung recht zuverlässig.
Ich muss ohnehin den c’t-Artikel noch lesen, da bin ich bisher nicht zu gekommen. Wir hatten letzte Woche Gemeinschafts-Intensivtage. :slight_smile:

Hab den c’t-Artikel jetzt gelesen. Bei heise haben die das offenbar seit Jahren erfolgreich im Einsatz (mit automatischer Lastverteilung).
In dem Artikel bin ich an dem Satz hängengeblieben “Anders als Linux reicht FreeBSD - das pfSense zugrunde liegende Betriebssystem - nur Pakete weiter, die das Firewall-Regelwerk durchlässt.” Das wäre ja ein guter Grund, FreeBSD statt Linux für eine Firewall zu benutzen. Allerdings ist der Artikel von 2016.
Auch im Netz liest man noch an vielen Stellen, dass der Netzwerk-Stack von FreeBSD schneller als der von Linux sei, das gilt offenbar heute nicht mehr: https://medium.com/@matteocroce/linux-and-freebsd-networking-cbadcdb15ddd

Ich habe nun allerdings entdeckt, dass es unseren Load Balancing Router, der damals deutlich über 200 € gekostet hat, inzwischen für 56,90 € bei Cyberport zu kaufen gibt. Da schaffe ich nächste Woche mal einen auf Halde an, falls der andere kaputtgeht. Die Freie Software-Lösung stelle ich daher aus Kostengründen erst mal hinten an…

Edit: Geschwindigkeit ist nicht alles -

pfSense has more features, and has nicer user interface. IPFire is FAST, but it’s somewhat lacking in UI and isn’t as intuitive. If you don’t have 1 Gbit internet, you should probably stick to pfSense or OPNSense.

Ich komme jetzt erst dazu, das Problem mit dem Host override zu melden. Mal schauen, was dabei herauskommt.

Hast du Kapazitäten, darüber zu sprechen/schreiben? Wird bei uns jetzt relevant und ich sehe mehrere Möglichkeiten, dass “gerechter” (echtes Balancing, ohne VLANs) umzusetzen. Mich würde auch interessieren, ob das failover bei Euch mal geklappt hat. Dann am liebsten in neuem topic.

Im Moment nicht, tut mir leid. Vielleicht in zwei Wochen noch mal fragen…

Angeblich vor meiner Zeit, ja. Allerdings nur für Szenarien, wo keine Session Bestand haben muss (also Onlinebanking etc.)

Der failover-Mechanismus funktioniert bei uns (also wenn ein gateway abschmiert steigt ein anderes ein). Load Balancing hatten wir nur kurz (Minuten) im Einsatz, das sah so aus als würde es funktionieren.

Mit unserer genannten TP-Link-Lösung habe ich schon mal erlebt, dass tagelang die eine Leitung ausgefallen war & ich das nur zufällig gemerkt habe, weil ich mal auf die Fritzbox geguckt habe…

Failover funktioniert bei uns übrigends gut. Und ich werde in den nächsten Tagen ein update fahren. Wie läufts bei Eurem Kistchen?

Ich bin gerade recht zufrieden mit unserer statischen Verteilung. Der corona-bedingte Zuwachs an Datenverbrauch ist bei uns allerdings auch deutlich spürbar, und wir lasten sämtliche Leitungen ordentlich aus.
Die release notes zu 2.4.5 habe ich gelesen, allerdings auf Anhieb nix Interessantes entdeckt. Da es keinen Leidensdruck gibt, stattdessen aber die Bitte, aktuell wenig Kosten zu verursachen, werde ich kurzfristig nix machen.

Haben jetzt auch nur auf das previous stable (2.4.4-3) geupdated. Das lief allerdings innerhalb weniger Minuten und problemlos und tatsächlich scheinen die Limiter jetzt besser zu greifen. Wenn das die Probleme nicht beseitigt, werden wir in den nächsten Tagen doch mit Traffic Shaping experimentieren.

Update: Vor einer Woche habe ich den TP-Link aus dem Netz genommen, jetzt macht die eine Fritz!Box den Uplink ins Internet, die andere dümpelt als Standby daneben her. Das hat unsere Internetverbindung erheblich stabiler gemacht.
Wobei es in der Anfangszeit gut lief, aber irgendwie mit der Zeit immer mehr Macken aufgetaucht sind. Insbesondere seit wir auch noch über TeleCommons IP-Telefonie machen, wurde es zunehmend untragbar. Die Telefonie funktioniert jetzt top.

Ich hatte mich beim letzten Mal auch über das wacklige Internet gewundert, aber wollte nicht meckern :blush: Schön zu hören!