[РЕШЕНО] Проблема с одним из WAN. Помогите разо

ToXaNSK · Nov 1, 2017, 4:17 PM

Всем всего доброго!!!

Зашел в тупик, не знаю куда копать.

pfSense 2.3.2, чистая установка из доп. пакетов только nut.

В роутере 4 интерфейса.

3 смотрят в инет и 1 в локалку.

failover, load balancing и подобного резервирования нет. В нем нет необходимости, пока.

Внешние интерфейсы (скорость доступа в интернет) wan -> GW_C (100Мбит/с), opt1 -> GW_N (10Мбит/с), opt2 -> GW_M (Мбит/с)
Внутренние LAN с VLAN_A (opt4), VLAN_W (opt5), VLAN_L (opt6), VLAN_S (opt7), VLAN_G (opt9) это opt интерфейсы, плюсом PPPoE на VLAN_L

Внешнка 3 разных провайдера, два отдают dhcp и один static, в принципе можно задать и настройки статически.

Маршрутом по умолчанию является GW_C, для LAN и всех VLAN , кроме VLAN_A и VLAN_S, для них GW_N и GW_M соответственно.

Проблема в том, что не работает в 95% канал по умолчанию, т.е. WAN. Пинг и трассировка ходят, а сайты не грузятся, вообще, либо открываются быстро и работает все это не продолжительное время. Затем опять затык на не опреденное время. Еще заметил странное поведении, после перезагрузки роутера, сброса маршрутов, установки какой ни будь неведомой галочки, сайты через основной канал открываются и работаю, но через некоторое, каждый раз по разному, опять затык.

Если воткнуть в DIR-300 основной канал, сайты открываются хорошо и постоянно без сбоев и проблем.

Получается проблема где то в pfSense или железе.

Перекинуть WAN на один из opt интерфейсов не вариант, после этого с pfSense происходят какие то метаморфозы и он на отрез отказывается работать корректно, не помогает откат на заводские настройки, только чистая установка.

Грешу на сетевую карту которая смотрит в WAN, он же основной канал.

Как можно проверить сетевую не вынимая из роутера и что можно посмотреть в pfSense.
Дайте СОВЕТ!!!

П.С. Эксперементировать жестко во время работы не могу, "убъють", да и выслушивать: "Ну, что крокодил не ловится…", тоже надоело.

werter · Oct 6, 2017, 8:19 AM

Доброе.
Какое железо исп-ся ? Посмотрите в фейсе , есть ли ошибки на сет. интерфейсах. Попробуйте сменить сет. карту на что-то приличное (intel, broadcom). Попробуйте обновить пф.

И выкладывайте скрины того, что настроено.

ToXaNSK · Oct 6, 2017, 9:10 AM

Железо P4 3000GHz 775, 2Gb RAM, HDD 40.
На фейсах ошибок нет.

Была ошибка на WAN, показывал offline шлюз, дефолтный шлюз, но сменил IP адрес мониторинга и все стало нормально. Перед pfSense стоит криптографический "кирпич" он не отвечает на пинги, т.е. получается шлюз WAN интерфейса.

Настройки файервола сейчас выложу.

werter · Oct 6, 2017, 11:56 AM

Настройки файервола сейчас выложу.

И где ?

Scodezan · Oct 7, 2017, 5:28 PM

@ToXaNSK:

Была ошибка на WAN, показывал offline шлюз, дефолтный шлюз, но сменил IP адрес мониторинга и все стало нормально. Перед pfSense стоит криптографический "кирпич" он не отвечает на пинги, т.е. получается шлюз WAN интерфейса.

Если фейловер/балансир не используется то и мониторинг можно выключить.

А вот описание того куда подключен wan оставляет вопросы.

ToXaNSK · Oct 14, 2017, 9:11 AM

Простите честной люд, в тот день не смог выложить потом болел.
Выкладываю

Правила между VLAN идентичные. Блокируются запросы в соседние VLAN а остальное разрешается.

![rules L.jpg](/public/imported_attachments/1/rules L.jpg)
![rules L.jpg_thumb](/public/imported_attachments/1/rules L.jpg_thumb)
![rules A.jpg](/public/imported_attachments/1/rules A.jpg)
![rules A.jpg_thumb](/public/imported_attachments/1/rules A.jpg_thumb)

ToXaNSK · Oct 14, 2017, 9:33 AM

@Scodezan:

Если фейловер/балансир не используется то и мониторинг можно выключить.

Хорошо приму к сведению.

Попутно обновил до 2.3.4

Что еще узнал:

Канал WAN это прокси с фильтрацией контента. С недавнего времени, май, июнь, стали через прокси гонять https. В результате, для того что бы работал https в браузере, необходимо на каждый комп ставить сертификат или использовать другие DNS сервера, например GOOGLE. Пробывал подставлять IP cервера YANDEX, запросы блокируется. В действие хваленое ипортозамещение. ;D

Еще в пятницу открыл для себя следующее, ftp протокол работает, саты DLINK и внутренний FTP открываются, при не работающем http и https, проверить возможноо работающее почтовые протоколы смогу только понедельник.

Может быть такое, что pfSense делает какие то запросы в сеть на 80 или 443, а "кирпич" блокирует наглухо канал!?

П.С. придется ставить три роутера, как и было раньше, до меня. Один для VLAN_A, и два других для VLAN_L, для тех кому фильтровать трафик и кому нет. :'( Или втыкать Микротик временно. На нем вроде работает.

werter · Oct 14, 2017, 11:15 AM

Доброе.

1. При настройке балансинга\фейлвоера не используйте в кач-ве мониторинга ip шлюзов. Используйте ip общедоступных ДНС - гугла, яндекса.

2.

Канал WAN это прокси с фильтрацией контента. С недавнего времени, май, июнь, стали через прокси гонять https. В результате, для того что бы работал https в браузере, необходимо на каждый комп ставить сертификат или использовать другие DNS сервера, например GOOGLE. Пробывал подставлять IP cервера YANDEX, запросы блокируется. В действие хваленое ипортозамещение.

а. Возможно, что сертификаты самоподпиcанные и они браузеру, конечно, не нравятся. Плюс браузер "видит" mitm в случае, если сертификат пров-ра все же валидный, но зарегистрирован-то он на имя провайдера.

б. Вы можете подставлять хоть 100500 имен днс-серверов. Если у провайдера настроена блокировка ресурсов по именам, то все днс-запросы заворачиваются на его днс-сервера. И дальше на страницу о запрете доступа к ресурсу. Импортозамещение тут не причем. Теплое и мягкое путаете.

3.

П.С. придется ставить три роутера, как и было раньше, до меня. Один для VLAN_A, и два других для VLAN_L, для тех кому фильтровать трафик и кому нет. Или втыкать Микротик временно. На нем вроде работает.

Уверен, что все это может ( и даже больше) и пф. Внимательно разберитесь с архитектурой сети, правилами fw, nat etc.

Подробную схему вашей сети с адресацией мы так и не увидели.

ToXaNSK · Oct 14, 2017, 2:52 PM

1. Я писал что нет balancing и failover.

2. ДНС Яндекса Блочатся, Гугла нет, вот и насмешка по поводу импортозамещения.

Сетевая роутера (GW_C) получает следующие настройки:

IP 10.7.17.x/26
Gate 10.7.17.1
DNS 10.7.17.1

В такой конфигурации требуется сертификат, если DNS заменить на 8.8.8.8 то сертификат не надо.

FTP открывается.

3. В НАТе!? Стоит Automatic outbound NAT rule generation.
Portforward пуст.

4. Схему рисую.

ToXaNSK · Oct 16, 2017, 9:07 AM

ftp, smtp, imap роботают. Думаю что и остальные кроме http и https.

ToXaNSK · Oct 17, 2017, 8:59 AM

Провожу дальше исследование.

Поменял настройки местами GW_C и GW_N, толку ноль.
Временно работало потом болт.

Меняю mac адрес карты GW_С работает менее минуты и опять затык.

Отключил провайдера с "кирпичем" воткнул микротик с 3G модемом, работает.

Отсюда делаю вывод что проблема с провайдером на GW_C. Что то у них настроено, что блочит сеть.
Отсюда вопрос, может кто знает.

pfSense может какие то запросы делать которые не по нраву провайдеру?

werter · Oct 19, 2017, 10:13 AM

Доброе.

Отсюда делаю вывод что проблема с провайдером на GW_C. Что то у них настроено, что блочит сеть.

Проблему с провайдером решал, надампив пакетов в DiagnosticsPacket: Capture, выбрав Level of detail повыше.

ToXaNSK · Nov 1, 2017, 7:56 AM

Проблема на стороне провайдера с контентной фильтрацией. У них там "карусель" из проксей. И в зависимости от нагрузки происходит переключение. Вот какой то из проксей режет 80 и 443. Но проблема касается не всех клиентов, а выборочно и к сажелению в это выборочно попал и я. Пока каникулы все работает.