Perdida de paquetes hasta que reinicio los estados
-
Hola gente del foro, hace poco cambie de monowall a pfsense, y soy muy novato en el tema redes, mi problema es que a veces la conexion se comporte extraña, (hay q clikear varias veces el mismo link) cuando reviso las graficas de calidad de servicio en la wan detecto perdidas de paquetes, lo cual se hace cada vez mas grave, hasta que reseteo los stats, esto me sucede aproximadamente cada 24 hs, luego de resetear los stats el problema parece solucionarse, ya tengo el trafico NTP filtrado. Tengo solo WAN y LAN con un enlace dedicado de 2 megas y unos 140 puestos LAN. EL enlace nunca llega a mas del 60%(no es saturacion de este) ya que controlo el ancho de banda por usuario en los AP, en el pfsense solo lo uso para priorizar paquetes en el tema trafico. Espero puedan ayudarme, desde ya muchas gracias.
-
¡Hola!
¿Podrías postear los gráficos con las pérdidas?
Gracias,
Josep Pujadas
-
Hola Josep!!! antes q nada quiero felicitarte por por la labor que realizas y el exelente tutorial el cual se ha convertido en "la biblia" de pfsense en español, te comento que me da la impresion que tiene que ver cuando los stats estan llegando al limite de 10000, por eso queria experimentar limitando el numero de conexiones por IP pero no logro saber bien que hace cada parametro, tambien note que cuando tenia el proxy funcionando esto no era tan evidente, te comento que son todas percepciones no tengo comprobaciones (no se hacerlas) En los graficos que posteo hay un corte significativo por problemas en el proveedor (no es el objeto de este post). Saludos y muchas gracias.
-
¡Hola!
¡De nada!
No había pensado en el máximo de estados …
[System] [Advanced] [Firewall Maximum States] y pon un valor más alto.
Saludos,
Josep Pujadas
-
Yo tube un caso parecido, lo puse en 20000 y solucionado.
Saludos…
-
muchas gracias a ambos, voy a probar elevando los estados, de todas formas me gustaria investigar como se limitan las cantidad de conexiones por IP (que valores poner para no entorpecer un uso normal) por que cuando reviso los stat me encuentro que algunas ip llegan a tener 200 o mas conexiones identicas solo varia el puerto de destino (o fuente).
La LAN tiene unas 200 IP asignadas por dhcp por MAC de las cuales no mas de 100 son simultaneasSaludos y nuevamente gracias.
-
¡Hola de nuevo!
De nada …
¿Has mirado qué están haciendo esas máquinas para tener 200 estados simultáneos a una misma IP con distintos puertos de destino? Parece algo raro ... Es para colapsarlo todo ...
Saludos,
Josep Pujadas
-
Mi impresion es que son los p2p, leyendo en foros encontre quienes enseñan como aumentar el numero de conexiones que puede tener XP mas precisamente el SP2, te cuento que los p2p los tengo limitados por caudal a 128/64 sobre un total de 2 megas, y que trato todo el trafico no conocido como p2p. Entonces si bien les reduje la velocidad les aumente "el tiempo" que estan conectados, me gustaria ver la forma de limitar el numero de conexiones, algo parecido a tu recomendacion con el ruido NTP, a un valor razonable pero ese un nuevo problema…...cual es un valor razonable?... y no logro entender bien que hace cada parametro Simultaneous client
connection limit: ???
Maximum state entries per host: ????
Maximum new connections: ???? per 1 second
State Timeout in seconds: ??? -
¡Hola!
El original de la explicación de estos parámetros de Packet Filter está en:
http://www.openbsd.org/faq/pf/filter.html#stateopts
En http://forum.pfsense.org/index.php/topic,81.msg3442.html#msg3442 se discute el tema acotándolo a pfSense.
Lo primero que hay que tener presente es que estos parámetros afectan sólo a la regla en que estén. Y su significado es:
Simultaneous client connection limit -> Cantidad de conexiones de clientes que dejará pasar la regla. Si ponemos 10 tanto pueden ser 10 conexiones de un cliente como 1 de 10 clientes. Afecta pues a todos los clientes.
Maximum state entries per host -> Cantidad de estados que se permiten para cada cliente.
Maximum new connections -> Cantidad de conexiones nuevas por segundo que admite la regla. Afecta pues a todos los clientes.
State Timeout in seconds -> Para hacer más o menos agresivo el cortafuegos al no emplearse ya un estado. Por defecto en Packet Filter, 10 segundos. Afecta a todos los estados de la regla.Saludos,
Josep Pujadas
-
hola todos les pido disculpas por no haber posteado antes, subi el numero de estados a 20000 y aparentemente el problema se ha solucionado, pero mi proveedor esta teniendo inconvenientes asi que no logro sacar un grafico donde realmente se note el cambio para postear algo mas concreto, pero ya les digo pareceria haberse solucionado, muchisimas gracias por su ayuda.