pfSense - frissítés után blokkol mindent

Fórumok

Abba a hibába ütköztem, hogy a 2.5.0 - 2.5.1 rendszerfrissítés után minden bemenő port elérhetetlen. A rendszer újraindítása után 30-40mp-ig élnek a kapcsolatok, aztán teljes blokkolás történik.

Van valakinek ezen a téren eseti tapasztalata? Mit tegyek, hogy minden úgy működjön ahogy frissítés előtt?

Hozzászólások

Reboot előtt pfctl -d, aztán ha be-boot-olt (és minden o.k.) pfctl -e

Szerkesztve: 2021. 04. 16., p – 08:29

Köszönöm a javaslatot, azonban sajnos nem vált be. Viszont most reggelre némileg pihentebb vagyok és jobban körül tudom írni a problémát. ("Reset States", valamint "Reload Filter" végre lett hajtva, a probléma maradt.)

Van 2db internet csatlakozás (mindegyik fix ip). A WAN1 van használva benti internetes adatforgalomra, a WAN2 (tartalék vonal) pedig az openVPN becsatlakozásokra. (Továbbá van még nyitva egy-két port NAT céljára.)

A gond az, hogy a vpn portok kivételével minden elérhetetlen (kivéve azt a 30-40mp röpke időt, miután rebootot követően frissen lefutott a rendszer). VPN csatlakozás is csak addig él amíg a júzer el nem kezd valamit dolgozni rajta: tök mindegy, hogy win terminal server RDP, fáljmegosztás vagy lokális webszerver (NextCloud), 30mp után ledobja a kapcsolatot és vége.

Most egyelőre a fő vonalra helyezem át ezeket a csatlakozásokat, azonban a probléma megfejtésre vár. Örülök minden javaslatnak, hogy miként lehet életre kelteni az eddigi csatlakozásokat.

Előre is köszönöm!

Szerkesztve: 2021. 04. 17., szo – 08:56

Amikor be akarok csatlakozni az egyik kis szerverre ssh-val, rendre az alábbi üzenetek vannak a "States" által:

WAN2     tcp     11.22.33.44:43092 -> 10.0.254.254:22 (192.168.0.250:62200)     CLOSED:SYN_SENT     1 / 0     60 B / 0 B   
WAN2     tcp     11.22.33.44:43092 -> 10.0.254.254:22     SYN_SENT:CLOSED     1 / 0     60 B / 0 B    

(11.22.33.44 értelemszerűen csak behelyettesítése a saját otthoni ip címemnek.)

Szerkesztve: 2021. 04. 19., h – 10:33

Kicsit közelebb vagyok a probléma gyökerét illetően.

Két WAN csatlakozás van (*WAN1, WAN2), dualnet (multiple net) beállítva, internet vonalak közvetlenül mennek a gépre (nincs köztes router), fix IP eléréssel mindegyik, sticky connection bekapcsolva.

Amint átkapcsolom az alapértelmezett átjárót a másik a WAN2 gw címére, onnantól kezdve elérhetőek az erre a másodlagos (WAN2) vonalra kiosztott forwardok.

Van egy tartalék félrerakott gép, azon még v2.5.0 pfSense: kipróbáltam ezzel is és itt nincs gond, megy minden szépen. Csak a 2.5.1 verziónál jött elő ez a nyűg. Azonban a megoldást szeretném megtalálni, mert a későbbiekben is beleütközhetek ebbe a problémába, így jó lenne mindig tudnom, hogy mit tegyek.

Leginkább várni 2-3 hetet minden pfsense update kijövése után, és szorgosan olvasni a kurvaanyázasokat a netgate.com fórumán.

Opnsense-nél hamar megtanulja az ember h. inkább az ujjamat törjék el, de 2-3 hétig rá nem nyomok a kibaszott update gombra production rúteren! Mert ilyen szintű szoftverfejlesztés megy ezeknél a 'sense-eknél.

Köszönöm a tanácsot, most már én is megtapasztaltam a könnyelmű bizalom velejáróját. Az én esetemben pfSense rendszerről van szó, Te OPNsense-t említettél. Nem tudom, hogy félre írtad-e, ezért kérdezem, hogy melyikre gondoltál az elővigyázatosság tekintetében? Mindenesetre elképesztő, hogy egy ilyen tűzfal rendszernél ennyire "kótyavetye" a hozzáállás. Úgy is mondhatnám, ez a BSD meggyalázása.

Most már azt csinálom, hogy van egy tartalék masina, arra is felhúzva és beállítva a rendszer mint az aktuálison. Valamint a működő képben is két HDD van: frissítés esetén a másik vinyóra felhúzom az új rendszert, aztán ha nem működik, vissza az előző.

Kinek mi a tapasztalata a pfSense és OPNsense bugjait tekintve? Melyik mellett tegyem le a nagy esküt hosszú távra?

pfsense-t nem használom, csak opnsense-t, de érzésre mindkettő hasonlóan kapkodós előrerohanós fejlesztési módban működik. Versenyeznek ki tud több teszteletlen átgondolatlan fícsört behányni a kódba. Aztán ha szóvá teszed h. nem kéne ennyire meggondolatlanul lapatolni befele a teszteletlen kódot, te vagy a köcsög negatív kritizáló és hálátlan dög, hiszen ingyen kapod a cuccot. Triviális hibákat ill. benézéseket opnsense-nél relatíve gyorsan javítják, erre nem lehet panasz. De hogy nem szabad aznap updatelni mikor kijön az új verzió, azt kőbe vésném!

Nem véletlen h. opnsense-nél épp most kihozták az un. business edition-t  ami állításuk szerint pár hónap késéssel fogja követni a community edition-t (azaz az ingyenest), amikor utóbbinak a hibáit már kijavították. Nem vallja be a 1-man-show francofitchner ahhoz elég arrogáns alak, de nem véletlenül indították el ezt a változatot is.

Csak mellékesen jegyzem meg, hogy ez a "csodálatos" hozzáállás és fejlesztés a többi gyártónál is jellemző. Bőven van sár a Cisco, F5, Fortinet, Juniper, 0Palo Alto Networks stb. oldalán is. És ott még fizetsz is érte kemény pénzeket.

Én inkább OPNsense párti vagyok, mióta a Netgate belenyúlt a pfSensebe. Én régi pfSensekkel is dolgoztam sokat (2.0, 2.2). Már akkor is voltak elcseszések bőven - pl: a mailgatewayként is használt gépet újra kellett konfigurálni a megváltozott postfix, mailscanner beállítások miatt.

Mellékesen két jótanács jövőre nézve:
1. Először mindig a teszt rendszert frissítsd. Ha nincs teszt rendszer, akkor legalább csinálj egyet. Akár egy virtuális gépben szimulálva a rendszert.
2. Ilyen frissítés előtt érdemes 1-2 hónapot várni, aztán megtenni a nagy lépést. Igaz, hogy ez egy minor verzió, így nem szabadott volna ekkora galibát okoznia. Elviekben.

most már a fő vonalon sem enged át semmit.

Szerkesztve: 2021. 04. 19., h – 13:09

Visszaállítottam a rendszert 2.5.0 verzióra. Így most minden működik. Ebből -- és a fentebbi link tartalmát olvasva -- arra következtetek, hogy a frissítés a hibás.

Ideje megalakítani a BSD Update Imakört?

Szerkesztve: 2021. 04. 21., sze – 08:44

Köszönöm a tanácsokat, és Julionak is a linket.

Tudom, eléggé offtopic amit írok, és biztos sokszor és hosszan ki lett elemezve a dolog (így aztán már lerágott csont), de úgy veszem észre, hogy nagyon-nagyon megy le a szoftverek színvonala.

Anno 20 évvel ezelőtt sokkal használhatóbb szoftverek voltak, több szabadságot és paraméterezhetőséget biztosítottak. Mára oda jutottunk, hogy júzer elindítja az appot vagy a a szoftvert, "Beállítások" nulla (max esetleg a skin és színek váltogathatóak), lesz egy gomb amit csak azért nyomjon meg a júzer, hogy hát mégis csak érrezze azt, hogy ő irányít (pedig frászt), aztán  majd a szoftver eldönti, hogy mit akarsz.

Egyre több szoftvernél fedezem fel, hogy okosításra (smart) hivatkozva teljesen lebutítják a felületet. Kb. olyan mint a kisgyereknek adott játék: az első gomb megnyomásával röfög, a másodiknál ugat, a harmadiknál tehénbőgés... aztán ennyi. És nagyjából itt ki is merül a kínálati skála. Talán még egy cserép petúniával is több eredményt érnék el mint ezekkel.