• Пропадает OSPF Net Link State

    1
    0 Votes
    1 Posts
    312 Views
    No one has replied
  • FRR/OSPF не выбирает оптимальный маршрут

    11
    0 Votes
    11 Posts
    2k Views
    S

    В целом проблема сохранилась и оформилась в такую картину.
    Сеть не "моргает", в т.ч. BFD не регистрирует потерь, соседи в сстоянии Full. Нагрузка на CPU не превышает 5%, памяти достаточно. При этом сразу после запуска/перезапуска FRR все выглядит предсказуемо, OSPF DB соответствует конфигурации.
    Но... ровно через час (буквально до секунды) и без единой записи в логи происходит следующее:

    из Net Link States пропадает линк на соседа из OSPF network routing table выпиливается маршрут в транзитную сеть из OSPF external routing table пропадает маршрут в целевую сеть

    При этом OSPF Neighbors без изменений, сосед в Full, в BFD интерфейс Up.
    Из замеченного: в Thread statistics for ospfd появляется ospf_maxage_lsa_remover.
    Лечится (ну если можно так назвать) через FRR/Global Settings - Force Service Restart (ну тут в логах все красиво), после чего все работает... ровно час.
    Конфиг:

    frr defaults traditional ... log syslog service integrated-vtysh-config ! interface tun_wg0 ... ip ospf network non-broadcast ... ip ospf dead-interval 12 ip ospf hello-interval 3 ip ospf bfd router ospf ospf router-id Х.Х.Х.Х log-adjacency-changes detail redistribute kernel route-map ХХХ timers throttle spf 200 1000 10000 passive-interface vmx1 area 0.0.0.0 shortcut default neighbor 10.Х.Х.2 poll-interval 10 ! ... bfd profile profile1 detect-multiplier 3 receive-interval 300 transmit-interval 300 echo-interval 50 no shutdown echo-mode ! peer 10.Х.Х.2 local-address 10.Х.Х.1 interface tun_wg0 profile profile1

    Немного помогает добавление альтернативных маршрутов, тогда при отвале одного включается другие, правда иногда ассиметрично, при том, что косты расставлены корректно и для каждого конечного маршрута однозначно. Т.е. ручной рассчет дейкстры не совпадает с выбранным маршрутизатором. Да собственно и в OSPF external routing table виден результирующий кост, который больше, чем живые альтернативы.

    Уже обновлял PFSense и FRR, играл с FW и MTU/MSS, медитировал на BFD и OSPF пакеты на интерфейсах...

    Идеи закончились. Угнетает тишина в логах при потере маршрутов. Готов возвращаться на статику (BGP не предлагать).

    Буду благодарен за любые конструктивные идеи.

  • SquidGuard+ADusers+NTLM. Подсобите с настройкой.

    8
    0 Votes
    8 Posts
    6k Views
    werterW

    @mefisto74
    И что вы в этом пункте прописываете?
    Предположу, что синтаксис неверный.

  • pfsense 2.6.0 режет скорость.

    5
    0 Votes
    5 Posts
    2k Views
    V

    You need to go in pfsense along this path System -> Advanced -> Networking (tab) and check the "Disable hardware checksum offload" checkbox.

  • 0 Votes
    3 Posts
    1k Views
    werterW

    Добрый
    @ik_bazilio
    Если есть возможность и желаение, то на али по фразе 'pfsense pc router' много вкусного)

  • Прокинуть виртуальную сеть по ipsec

    Moved
    11
    0 Votes
    11 Posts
    1k Views
    K

    @vasilev
    посмотрите
    /var/etc/ipsec/ipsec.conf - это для старых версий PF

    для новых , думаю
    файл swanctl.conf
    эти файлы генерируются автоматически системой . Все ли в них нормально ( согласно Ваших настроек) ?
    очень желательно все-таки посмотреть лог файл соединения .
    ip адреса инициатора и ответчика можно скрыть

  • Обмен настройками между двумя pfSense

    7
    0 Votes
    7 Posts
    3k Views
    K

    @werter
    ядра сети каждого объекта объединены по L3VPN, по этим же каналам планирую синхронить пфсенсы, 1-к-1 работает, а нужно сделать 1-к-многим, т.к. набор правил и алиасов +/- одинаковый.

  • Регулярные выражения

    4
    0 Votes
    4 Posts
    1k Views
    werterW

    @las15
    .*radio.* попробовать
    указать Order - попробуйте выше всех поставить
    Загуглите как по mime type блокировать.
    И да, если у пол-ля в браузере будет установлено дополнение с VPN , то сквид тут не поможет.

  • Tailscale (правила перенаправления трафика)

    2
    0 Votes
    2 Posts
    710 Views
    werterW

    Добрый
    @druidblack
    Последнее разрешающее правило откл и гляньте как оно себя поведет.
    pic.png

    И команда traceroute с клиента в помощь.

  • 0 Votes
    1 Posts
    732 Views
    No one has replied
  • 0 Votes
    3 Posts
    818 Views
    T

    @golos ну да, так делал. Не шли пинги.
    Сегодня сервера перетащил, аналогично прописал хождения между виланами - всё прекрасно работает! И сервисы доступны и пингуется всё... :)
    Похоже реально винда что то блочит, что отключения сетевого экрана ей не достаточно.
    Вопрос закрыт, ложная тревога)

  • фильтрация лога IPsec

    2
    0 Votes
    2 Posts
    908 Views
    K

    @jeleg
    Здр

    Я бы лично , на Вашем месте , изучал логи с другой стороны туннеля . Вероятность того , что проблема с другой стороны туннеля может быть весьма высокой . Да, и найти нужную Вам информацию там проще ( ее просто меньше )

    P.S. посмотрел Вашу предыдущую тему . Если эта тема является ее продолжением , то я все больше убеждаюсь , что проблема в другой стороне туннеля . Там надо разбираться с проблемой ( мое субъективное мнение )

  • 0 Votes
    1 Posts
    461 Views
    No one has replied
  • carp+openvpn

    1
    0 Votes
    1 Posts
    500 Views
    No one has replied
  • 0 Votes
    3 Posts
    620 Views
    I

    проблема была из за модуля acme. Удалил контейнер и очистил Account keys. После чистки куков все заработало.

  • 0 Votes
    1 Posts
    410 Views
    No one has replied
  • auto renew wan dhcp

    3
    0 Votes
    3 Posts
    947 Views
    S

    @werter Спасибо!

  • 0 Votes
    3 Posts
    1k Views
    T

    @werter вспомнил, что господ в семнадцатом победили, думал никто не ответит, а тут товарищи на помощь пришли, приятно! :)))
    На самом деле тут возможно в самой логике ошибка, у меня нет каких то сервисов наружу (только UDP порт OpenVPN с TLS pre-auth, что в принципе то надежно). Так нужен ли мне Snort на границе WAN-Firewall??
    Что я хочу от IPS в первую очередь, так это блокировка бэкконнектов до C2/C2C, реверс-шеллов и т. д. Прислали бухам малварь, открыла она его и ...ничего не произошло! (как в той рекламе протекта от Я).
    Возможно мне нужно разместить систему после Firewall, на границе не с глобальной, а с локальной сетью? Тогда IPS "будет знать" о локальных адресах и тогда я смогу в Supress прописать исключение подсети с камерами (намекаю на "track by_src")?

    PS. про Suricata в курсе, Снорт поставил чисто интуитивно, "пальцем в небо". Впредь буду выбирать Suricata.

  • Блокировка стриминга видео pfsense

    1
    0 Votes
    1 Posts
    576 Views
    No one has replied
  • pfsense+squid+Ad+Captive Portal?

    1
    0 Votes
    1 Posts
    464 Views
    No one has replied
Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.