Решено! Ошибка PF frag entries limit reached
-
Народ, день добрый.
Имеется сервер dell PE1800 с установленным PfSense 64 бит (обновленный с версии 2.2.4) 2.3.1-RELEASE-p5. После обновления начали возникать следующие явления:
1. На экране высыпают сообщения PF frag entries limit reached.
Пробовал увеличить Firewall Maximum Fragment Entries сначала до 10000, затем до 20000. Все равно через определенное время начинает высыпать эти сообщения. В то же время начинаются проблемы со связью, резко снижается производительность каналов до 10-20%2. Одна из сетевых карт - древняя 3Com 955TX (xl0), которая подключена к провайдерской VPN (IPsec вроде) все время уходит в оффлайн. На PfSense настроен OpenVPN как раз на этой сетевухе поверх провайдерской VPN для туннелей с определенными точками. Так вот, время от времени шлюз уходит в даун, хотя интерфейс поднят. Пинги с PfSense также не проходят. Но физически связь провайдера работает, поскольку вытащив кабель из PfSense и воткнув его в ноутбук (с тем же самым IP как в PfSense) спокойно пингую все точки.
Пробовал очищать Reset в Diagnostics/States и деактивировать/активировать интерфейс. Не помогает.
Работает только после перезагрузки3. Сейчас в System/Advanced/Firewall & NAT стоит галочки в Clear invalid DF bits instead of dropping the packets + Insert a stronger ID into IP header of packets passing through the filter. Все равно возникает проблема
4. Убрал все галочки в System/Advanced/Networking в подпункте Network Interfaces. Все равно возникает проблема
Помогите решить.
Возможно ли, что мое решение описано в https://redmine.pfsense.org/issues/6499 и мне необходимо обновиться на 2.3.2?
Здесь некоторые выводы команд после перезагрузки, когда все работает
pfctl -sm
states hard limit 201000
src-nodes hard limit 201000
frags hard limit 20000
table-entries hard limit 200000pfctl -si
_Status: Enabled for 0 days 00:38:54 Debug: Urgent
Interface Stats for bge0 IPv4 IPv6
Bytes In 222720655 0
Bytes Out 1626646091 172
Packets In
Passed 1008112 0
Blocked 57632 0
Packets Out
Passed 1436044 0
Blocked 78 2State Table Total Rate
current entries 15161
searches 7824046 3352.2/s
inserts 124324 53.3/s
removals 109161 46.8/s
Counters
match 628081 269.1/s
bad-offset 0 0.0/s
fragment 0 0.0/s
short 0 0.0/s
normalize 0 0.0/s
memory 0 0.0/s
bad-timestamp 0 0.0/s
congestion 0 0.0/s
ip-option 0 0.0/s
proto-cksum 0 0.0/s
state-mismatch 113 0.0/s
state-insert 0 0.0/s
state-limit 0 0.0/s
src-limit 0 0.0/s
synproxy 0 0.0/s
divert 0 0.0/s_netstat -m
4553/3037/7590 mbufs in use (current/cache/total)
2980/1580/4560/125452 mbuf clusters in use (current/cache/total/max)
2980/1574 mbuf+clusters out of packet secondary zone in use (current/cache)
1/40/41/62726 4k (page size) jumbo clusters in use (current/cache/total/max)
0/0/0/18585 9k jumbo clusters in use (current/cache/total/max)
0/0/0/10454 16k jumbo clusters in use (current/cache/total/max)
7102K/4079K/11181K bytes allocated to network (current/cache/total)
0/0/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters)
0/0/0 requests for mbufs delayed (mbufs/clusters/mbuf+clusters)
0/0/0 requests for jumbo clusters delayed (4k/9k/16k)
0/0/0 requests for jumbo clusters denied (4k/9k/16k)
0 requests for sfbufs denied
0 requests for sfbufs delayed
0 requests for I/O initiated by sendfilesysctl -a | grep kern.ipc.nmbclusters
kern.ipc.nmbclusters: 125452
-
Не знаю поможет ли совет.
Посомтрите на MTU пакетов и MSS, поскольку по описанию pfSense'y приходится много собирать-разбирать пакетов. -
2 hikmat
Если есть возможность, то установите 2.3.х с нуля. И смените сет. карту на что-то посовременнее. -
Спасибо PbIXTOP и werter!
Вопрос, вы имеете ввиду интерфейс ВПН? а какие именно пакеты смотреть, все?
Вчера обновился до 2.3.2, вроде работает пока.
2.3.2 New Features and Changes
Fixed pf fragment states not being purged, triggering "PF frag entries limit reached". #6499