pfSense + kea-dhcp anomáliák

Hálózatok általános

Adott egy céges hálózat, amin fél évente frissítem a pfSense GW szervert (jelenleg v2.7.2). Minden nagyon jól működik/működött, azonban szembesültem vele, hogy a DHCP kiszolgáló hamarosan átvált az eddigi stabil ISC által feljesztett változatról a KEA félére. Én bolond meg is tettem az átállást, és bizony belefutottam ugyanazokba a hibákba (pl. ez és ez) mint sokan mások, és én is -- mint sokan mások, látva a hibákat -- váltottam gyorsan vissza ISC-re.

Azonban problémák maradtak így is: a "DHCP leases" lista hiányos, a címet kapott gépek/laptopok zöme nem látszik. Továbbá van amit a dhcpd process kezel le, van amit a kea-dhcp. Ami fura, mert elvileg nem ez van használatban.

Ha mást nem, akkor egy korábbi (frissítés előtti) config mentésből újra telepítem és visszaállítom a rendszert, talán nem lesz beragadva a KEA rettenet.

Ha netán valaki már sikeresen megküzdött ezzel a problémával és megosztja javaslatát, annak csak örülni fogok. Ami inkább a kérdésem, hogy mire lehet majd számítani a kea-dhcp háza táján? Mert jelenleg nagyon instabilnak mutatkozik, és olvasva a vele kapcsolatos panaszokat, nem is nagyon iparkodnak a hibák javításán.

  • 158 megtekintés

( zrubi v | 2024. 01. 18., cs – 21:27 )

Én ilyen téren nagyon konzervatív vagyok - kivárok amíg lehet azon a verzión, amelyiken még van a jól megszokott - és működő - DHCP (vagy akármilyen általam használt) szolgáltatás.

 

Semmilyen disztróban nem szeretem az ilyen erőltetett váltásokat, és a gyakorlat is azt mutatja, hogy ezzekkel csak a szívás van :(

pl:

iptables - nftables (mondjuk ez Linux, de BSD-is van/volt csomagszűrő para/vita)

squid -> simán csak dobják

ISC bind -> dnsmaq?!

ISC dhcpd -> kitudja mire?

 

sokszor jobb az ismert hibákkal/sérülékenységekkel együtt élni, mint kipróbálatlan kényszerátállásokat csinálni.

 

szerintem.

zrubi.hu

( ggallo | 2024. 01. 19., p – 18:34 )

Szerkesztve: 2024. 01. 19., p – 18:34

Lazán kapcsolódik a témához, hogy én 2015-ben ezen hozzáállás miatt váltottam pfSense-ről OPNsense-re... Mert a Netgate hirtelen ötlettől vezérelve durva változásokat csinál (nem csak főverzióban, hanem patchlevel váltáskor akár), irtózat rossz minőségben. Na persze a community verzióban, mert majd a nép kiteszteli. A fizetős plus verzió "évekkel" lemaradva követi a community-t pont azért, hogy abban csak a stabillá vált dolgok kerüljenek be.
Az sem a jövő záloga, hogy a FreeBSD 13-at átugorva kapásból a TBA megjelnő FreeBSD 14-re építik az új verziót (ami előrevetíti, hogy rengeteg szívás lesz vele, mert egy ki nem adott, fejlesztés alatt álló kódbázisra épül).
A forkolt projekt ellen elkövetett aljasságokról ne is beszéljünk, mert azok nem műszaki, hanem emberi problémák.

AZ OPNsense távolról sem hibátlan persze, de stabilitásban és kód minőségben köröket ver a pfSense-re. Ott is volt egy beszűkülés, hogy a HardenedBSD-re építették évekig, ami egy one-man-show volt és kezdett bedőlni, de szerencsére gyorsan meghozák a döntést, hogy nem azt húzzák ki a csávából, hanem "vanilla" FreeBSD-re váltanak.

DHCP szerver terén nekik is köti a kezüket az ISC-DHCP EOL-ja, és náluk is a KEA-DHCP lesz az alternatíva (mert a DNSMasq nem tud HA-t), de párhuzamosan, és (az én várakozásom szerint az eddigiek alapján) aránylag jól letesztelve. Az issue tracker-ben azt írják, újraírják ezt a részt a bevezetéshez, nem az ISC-hez készült kódbázisra építenek, hogy ne kelljen keresgélniük az esetleg rég benn lévő hibákat. Ez a felvetés már jöbb, mint ahogy a Netgate szokta intézni az ilyesmit.

Persze olyan megoldás nincs (tudtommal), hogy a pfSense konfigot át lehetne tolni OPNsense alá, sajna kézzel kell megcsinálni az újat váltás esetén.

Köszönöm a megerősítést! Egy ideje fontolgatom a váltást pont ezen okok miatt. De mivel pro-kontra mindegyikről olvasni jót és rosszat egyarát, majd ezeket mérlegre téve döntetlenre jön ki a dolog, még nem vágtam bele.

Elsőnek VBoxban fogom tesztelni a migrálást. Találtam néhány scriptet ami állítólag ezt megoldja, Legalább a nagyját csinálja meg, a többi apróbb dolgot manuálisan belövöm. Aztán néhány tesztelés natív gépen, és ha sikeres, egy hétvégén majd megrörténik a váltás.