• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

[РЕШЕНО] Проблема с одним из WAN. Помогите разо

Scheduled Pinned Locked Moved Russian
13 Posts 3 Posters 1.4k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • T
    ToXaNSK
    last edited by Nov 1, 2017, 4:17 PM Oct 6, 2017, 5:36 AM

    Всем всего доброго!!!

    Зашел в тупик, не знаю куда копать.

    pfSense 2.3.2, чистая установка из доп. пакетов только nut.

    В роутере 4 интерфейса.

    3 смотрят в инет и 1 в локалку.

    failover, load balancing и подобного резервирования нет. В нем нет необходимости, пока.

    Внешние интерфейсы (скорость доступа в интернет) wan -> GW_C  (100Мбит/с), opt1 -> GW_N (10Мбит/с), opt2 -> GW_M (Мбит/с)
    Внутренние LAN с VLAN_A (opt4), VLAN_W (opt5), VLAN_L (opt6), VLAN_S (opt7), VLAN_G (opt9) это opt интерфейсы, плюсом PPPoE на VLAN_L

    Внешнка 3 разных провайдера, два отдают dhcp и один static, в принципе можно задать и настройки статически.

    Маршрутом по умолчанию является GW_C, для LAN и всех VLAN , кроме VLAN_A и VLAN_S, для них GW_N и GW_M соответственно.

    Проблема в том, что не работает в 95% канал по умолчанию, т.е. WAN. Пинг и трассировка ходят, а сайты не грузятся, вообще, либо открываются быстро и работает все это не продолжительное время. Затем опять затык на не опреденное время. Еще заметил странное поведении, после перезагрузки роутера, сброса маршрутов, установки какой ни будь неведомой галочки, сайты через основной канал открываются и работаю, но через некоторое, каждый раз по разному, опять затык.

    Если воткнуть в DIR-300 основной канал, сайты открываются хорошо и постоянно без сбоев и проблем.

    Получается проблема где то в pfSense или железе.

    Перекинуть WAN на один из opt интерфейсов не вариант, после этого с pfSense происходят какие то метаморфозы и он на отрез отказывается работать корректно, не помогает откат на заводские настройки, только чистая установка.

    Грешу на сетевую карту которая смотрит в WAN, он же основной канал.

    Как можно проверить сетевую не вынимая из роутера и что можно посмотреть в pfSense.
    Дайте СОВЕТ!!!

    П.С. Эксперементировать жестко во время работы не могу, "убъють", да и выслушивать: "Ну, что крокодил не ловится…", тоже надоело.

    Say what you mean, mean what you say. (Interstate 60)

    1 Reply Last reply Reply Quote 0
    • W
      werter
      last edited by Oct 6, 2017, 8:19 AM

      Доброе.
      Какое железо исп-ся ? Посмотрите в фейсе , есть ли ошибки на сет. интерфейсах. Попробуйте сменить сет. карту на что-то приличное (intel, broadcom). Попробуйте обновить пф.

      И выкладывайте скрины того, что настроено.

      1 Reply Last reply Reply Quote 0
      • T
        ToXaNSK
        last edited by Oct 6, 2017, 9:10 AM Oct 6, 2017, 8:59 AM

        Железо P4 3000GHz 775, 2Gb RAM, HDD 40.
        На фейсах ошибок нет.

        Была ошибка на WAN, показывал offline шлюз, дефолтный шлюз, но сменил IP адрес мониторинга и все стало нормально. Перед pfSense стоит криптографический "кирпич" он  не отвечает на пинги, т.е. получается шлюз WAN интерфейса.

        Настройки файервола сейчас выложу.

        1.jpg
        1.jpg_thumb

        Say what you mean, mean what you say. (Interstate 60)

        1 Reply Last reply Reply Quote 0
        • W
          werter
          last edited by Oct 6, 2017, 11:56 AM

          Настройки файервола сейчас выложу.

          И где ?

          1 Reply Last reply Reply Quote 0
          • S
            Scodezan
            last edited by Oct 7, 2017, 5:28 PM

            @ToXaNSK:

            Была ошибка на WAN, показывал offline шлюз, дефолтный шлюз, но сменил IP адрес мониторинга и все стало нормально. Перед pfSense стоит криптографический "кирпич" он  не отвечает на пинги, т.е. получается шлюз WAN интерфейса.

            Если фейловер/балансир не используется то и мониторинг можно выключить.

            А вот описание того куда подключен wan оставляет вопросы.

            1 Reply Last reply Reply Quote 0
            • T
              ToXaNSK
              last edited by Oct 14, 2017, 9:11 AM Oct 14, 2017, 8:49 AM

              Простите честной люд, в тот день не смог выложить потом болел.
              Выкладываю

              Правила между VLAN идентичные. Блокируются запросы в соседние VLAN а остальное разрешается.

              gateways.jpg_thumb
              gateways.jpg
              inteface.jpg
              inteface.jpg_thumb
              ![rules L.jpg](/public/imported_attachments/1/rules L.jpg)
              ![rules L.jpg_thumb](/public/imported_attachments/1/rules L.jpg_thumb)
              ![rules A.jpg](/public/imported_attachments/1/rules A.jpg)
              ![rules A.jpg_thumb](/public/imported_attachments/1/rules A.jpg_thumb)

              Say what you mean, mean what you say. (Interstate 60)

              1 Reply Last reply Reply Quote 0
              • T
                ToXaNSK
                last edited by Oct 14, 2017, 9:33 AM Oct 14, 2017, 9:18 AM

                @Scodezan:

                Если фейловер/балансир не используется то и мониторинг можно выключить.

                Хорошо приму к сведению.

                Попутно обновил до 2.3.4

                Что еще узнал:

                Канал WAN это прокси с фильтрацией контента. С недавнего времени, май, июнь, стали через прокси гонять https. В результате, для того что бы работал https в браузере, необходимо на каждый комп ставить сертификат или использовать другие DNS сервера, например GOOGLE. Пробывал подставлять IP cервера YANDEX, запросы блокируется. В действие хваленое ипортозамещение.  ;D

                Еще в пятницу открыл для себя следующее, ftp протокол работает, саты DLINK и внутренний FTP открываются, при не работающем http и https, проверить возможноо работающее почтовые протоколы смогу только понедельник.

                Может быть такое, что pfSense делает какие то запросы в сеть на 80 или 443, а "кирпич" блокирует наглухо канал!?

                П.С. придется ставить три роутера, как и было раньше, до меня. Один для VLAN_A, и два других для VLAN_L, для тех кому фильтровать трафик и кому нет. :'( Или втыкать Микротик временно. На нем вроде работает.

                Say what you mean, mean what you say. (Interstate 60)

                1 Reply Last reply Reply Quote 0
                • W
                  werter
                  last edited by Oct 14, 2017, 11:15 AM Oct 14, 2017, 11:07 AM

                  Доброе.

                  1. При настройке балансинга\фейлвоера не используйте в кач-ве мониторинга ip шлюзов. Используйте ip общедоступных ДНС - гугла, яндекса.

                  2.

                  Канал WAN это прокси с фильтрацией контента. С недавнего времени, май, июнь, стали через прокси гонять https. В результате, для того что бы работал https в браузере, необходимо на каждый комп ставить сертификат или использовать другие DNS сервера, например GOOGLE. Пробывал подставлять IP cервера YANDEX, запросы блокируется. В действие хваленое ипортозамещение.

                  а. Возможно, что сертификаты самоподпиcанные и они браузеру, конечно, не нравятся. Плюс браузер "видит" mitm в случае, если сертификат пров-ра все же валидный, но зарегистрирован-то он на имя провайдера.

                  б. Вы можете подставлять хоть 100500 имен днс-серверов. Если у провайдера настроена блокировка ресурсов по именам, то все днс-запросы заворачиваются на его днс-сервера. И дальше на страницу о запрете доступа к ресурсу. Импортозамещение тут не причем. Теплое и мягкое путаете.

                  3.

                  П.С. придется ставить три роутера, как и было раньше, до меня. Один для VLAN_A, и два других для VLAN_L, для тех кому фильтровать трафик и кому нет.  Или втыкать Микротик временно. На нем вроде работает.

                  Уверен, что все это может ( и даже больше) и пф. Внимательно разберитесь с архитектурой сети, правилами fw, nat etc.

                  Подробную схему вашей сети с адресацией мы так и не увидели.

                  1 Reply Last reply Reply Quote 0
                  • T
                    ToXaNSK
                    last edited by Oct 14, 2017, 2:52 PM Oct 14, 2017, 1:09 PM

                    1. Я писал что нет balancing и failover.

                    2. ДНС Яндекса Блочатся, Гугла нет, вот и насмешка по поводу импортозамещения.

                    Сетевая роутера (GW_C) получает следующие настройки:

                    IP 10.7.17.x/26
                    Gate 10.7.17.1
                    DNS 10.7.17.1

                    В такой конфигурации требуется сертификат, если DNS заменить на 8.8.8.8 то сертификат не надо.

                    FTP открывается.

                    3. В НАТе!? Стоит Automatic outbound NAT rule generation.
                    Portforward пуст.

                    4. Схему рисую.

                    nat.jpg
                    nat.jpg_thumb
                    scheme.jpg
                    scheme.jpg_thumb

                    Say what you mean, mean what you say. (Interstate 60)

                    1 Reply Last reply Reply Quote 0
                    • T
                      ToXaNSK
                      last edited by Oct 16, 2017, 9:07 AM

                      ftp, smtp, imap роботают. Думаю что и остальные кроме http и https.

                      Say what you mean, mean what you say. (Interstate 60)

                      1 Reply Last reply Reply Quote 0
                      • T
                        ToXaNSK
                        last edited by Oct 17, 2017, 8:59 AM

                        Провожу дальше исследование.

                        Поменял настройки местами GW_C и GW_N, толку ноль.
                        Временно работало потом болт.

                        Меняю mac адрес карты GW_С работает менее минуты и опять затык.

                        Отключил провайдера с "кирпичем" воткнул микротик с 3G модемом, работает.

                        Отсюда делаю вывод что проблема с провайдером на GW_C. Что то у них настроено, что блочит сеть.
                        Отсюда вопрос, может кто знает.

                        pfSense может какие то запросы делать которые не по нраву провайдеру?

                        Say what you mean, mean what you say. (Interstate 60)

                        1 Reply Last reply Reply Quote 0
                        • W
                          werter
                          last edited by Oct 19, 2017, 10:13 AM

                          Доброе.

                          Отсюда делаю вывод что проблема с провайдером на GW_C. Что то у них настроено, что блочит сеть.

                          Проблему с провайдером решал, надампив пакетов в DiagnosticsPacket: Capture, выбрав Level of detail повыше.

                          1 Reply Last reply Reply Quote 0
                          • T
                            ToXaNSK
                            last edited by Nov 1, 2017, 7:56 AM Nov 1, 2017, 6:28 AM

                            Проблема на стороне провайдера с контентной фильтрацией. У них там "карусель" из проксей. И в зависимости от нагрузки происходит переключение. Вот какой то из проксей режет 80 и 443. Но проблема касается не всех клиентов, а выборочно и к сажелению в это выборочно попал и я. Пока каникулы все работает.

                            Say what you mean, mean what you say. (Interstate 60)

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                              This community forum collects and processes your personal information.
                              consent.not_received