Вотжеблин..

[dil]

Вчера один коллега сделал элементарные изменения в настройках маршрутизатора (pfsense). После чего этот pfsense завис нафиг. Я попробовал его перегрузить, всё равно не отзывается. Пришлось подключиться к консоли и внимательно смотреть, чё там не так. (Машинка виртуальная, поэтому подключиться к её консоли оказалось относительно просто, а вообще-то она в Кении..) Оказалось, что сам маршрутизатор вполне себе грузится, но почему-то IP-адресов на сетевых интерфейсах нету. Посмотрел в конфиг — адреса на месте. Перегрузил ещё раз, а они опять пропали. На консоли обнаружилась очень странная ошибка: “PHP Fatal error: Cannot create references to/from string offsets nor overloaded objects in /etc/inc/xmlparse.inc on line 77“..

Посмотрел в этот xmlparse.inc, а это оказался скрипт на PHP. Сравнил его с таким же файлом на другом pfsense, который успешно работает — файлы совершенно одинаковые. Проверил изменения в config.xml – немножко действительно есть, но формат файла вполне нормальный. Подложил прежнюю версию конфига, перегрузил pfsense – опять та же ошибка. Попробовал более старую версию конфига подложить, где ещё не было вчерашних изменений, а фиг — всё то же самое..

После этого начальник предложил запустить на этом pfsense reset, а потом приделать IP-адреса заново. Попробовал — вышло. Но всё остальное заново руками конфигурировать не хотелось, поэтому попробовал опять подложить старый конфиг, и внезапно он успешно прочитался, и всё заработало.

А сегодня решил сам попробовать поменять то, что вчера менял коллега. Через веб-интерфейс. В натуре, мелочи в настройках одного VPN: IKEv1 на Auto, hash с sha512 на sha1, DH group с 16 на 2. Аблин, опять те же грабли!

pfsense опять перестал отвечать, и после перезагрузки опять показывал на консоли ту же ошибку, и не мог прицепить IP-адреса к сетевым интерфейсам. Пришлось, подсунуть вчерашний полупустой config – он заработал. Потом подложил старый конфиг с полными настройками – тоже заработал.

Ну какого хрена эти PHPшные быдлокодеры пишут такой дурацкий софт?! Изменения, сделанные через ихний же веб-интерфейс, оказываются настолько кривыми, что потом весь конфиг не может прочитаться. Короче, нафиг этот pfsense. Пожалуй, надо переезжать на более приличные системы. Может, на какой-нибудь VyOS. Хотя у него web-интерфейса нет, но и таких граблей тоже нет.

Оригинал этой записи в личном блоге.

Comments

[ufm]

Неоднократно.
РоутерОС, тащемто, до того как стала работать на "родных железках" - работала как раз на писюковых роутерах. А работа в виртуалке - это уже побочный эффект.
Лучше - система настройки и управления. Понятно, что можно собрать самому, но мне как-то проще не заморачиваться.
Сейчас у них есть отдельно версии под виртуалки, но там какая-то замороченная система лицензирования. Но, вроде, остались образа и просто под x86. Раньше оно даже умело сутки работать без лицензии, для поиграццо. Так что тебе никто не мешает пощупать.

P.S. Если надо, могу (в ознакомительных целях, конечно) дать образ виртуалки для VMWare/Virtualbox без ограничения на сутки.

[dil]

Да ладно, если чё, я сам попробую, только сначала ж надо с начальством обсудить такой переезд.

А кстати, CARP она поддерживает? Чтоб можно было на всякий случай поставить везде по парочке маршрутизаторов, и с автоматическим переключением.

[ufm]

VRRP тебя устроит?
Вобще ты говорил, что у тебя дома есть микротик? Так вот, RouterOS на всех устройствах одинаковая. Это я к тому, что игратсья можно и на твоей железе (главное проверь, что все нужные пакеты стоят).

[dil]

Ну пофиг, как оно называется, что CARP, что VRRP, лишь бы работало правильно.
Хотя я с VRRP никогда не работал, но вряд ли оно сильно сложно.