Pfsense производительность
-
в том то и дело - что тушил все остальное - не помогает :(
-
в том то и дело - что тушил все остальное - не помогает :(
меня два нижних сетевых адаптера смущают, пробовал использовать только два верхних?
-
чем они могут смущать? если общей загрузкой - то на них только пфсенс и висит, это для инета, причем один из них интел - вмварь к адаптерам переборчива….
-
не советник я в вмваре, но всё-таки топ лучше запускать с ключом -S
Что показывают РРД графики pfSense для трафика и пакетов в секунду? -
скрины, top -S
-
wan1 - основной инет канал
wan2 - вторичный инет канал
-
lan 1 -основная локалка
lan 2 -локалка ко второму офису
-
Это не нагрузка, это так - посмеяться, дело в чем-то другом ИМХО
-
Это не нагрузка, это так - посмеяться, дело в чем-то другом ИМХО
Я понимаю что для него это не нагрузка…
Меня интерисует - нет ли ограничения\ затыка в количестве пакетов, так как ICMP лимита в 500 - было мало, возможно что то еще подобное ограничивается... -
когда он проходит проверку на доступность обектов (пингует) - создается впечатление что пинги теряются
Можно по-подробнее - откуда такое странное впечатление? может показалось?
icmp limit увеличил с 500 до 200 - немного помогло
что это за лимит?
-
-
-
пробовал, на интерфейс пофсенса пакеты попадают….
-
пробовал, на интерфейс пофсенса пакеты попадают….
Уходит в IPSec tunnel и приходит назад?
-
во! вот тут и загвоздка - как узнать какой именно тунель, если интерфейсов тунельных я не вижу (или не нашел как посмотреть, но помоему - один общий), а тунелей около 150…
-
И что все тоннели имеют одинаковые Remote Peer's IPs? т.е. все 150 между двумя сайтами?
-
нет.
через вебморду я вижу тонели отдельно.ifconfig - следующая картина:
em0:
em1:
em2:
em3:
plip0: flags=108810 <pointopoint,simplex,multicast,needsgiant>metric 0 mtu 1500
pflog0: flags=100 <promisc>metric 0 mtu 33204
lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
inet 127.0.0.1 netmask 0xff000000
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7
enc0: flags=41 <up,running>metric 0 mtu 1536
pfsync0: flags=141 <up,running,promisc>metric 0 mtu 1460
pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128
ng0: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng1: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1396
inet6 fe80::250:56ff:fe91:250e%ng1 prefixlen 64 scopeid 0xb
inet 172.23.255.1 –> 172.23.255.200 netmask 0xffffffff
ng2: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
inet6 fe80::250:56ff:fe91:250e%ng2 prefixlen 64 scopeid 0xc
ng3: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
inet6 fe80::250:56ff:fe91:250e%ng3 prefixlen 64 scopeid 0xd
ng4: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
inet6 fe80::250:56ff:fe91:250e%ng4 prefixlen 64 scopeid 0xe
ng5: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng6: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng7: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
.......
ng80: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500как увидеть где какой тунельный интерфейс, если это IPsec Mobile clients</pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></up,pointopoint,running,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></up,running,promisc></up,running></up,loopback,running,multicast></promisc></pointopoint,simplex,multicast,needsgiant>
-
Стоп. Какая связь между IPSec и ngХ интерфейсами?
IPSec tunnel не имеет отдельного интерфейса. А определять какому тоннелю относятся ESP-пакеты на WAN можно только зная удалённый PublicIP. -
IPSec tunnel не имеет отдельного интерфейса. А определять какому тоннелю относятся ESP-пакеты на WAN можно только зная удалённый PublicIP.
и я об чем….
как тогда увидеть трафик внутри нужного тонеля? -
Я смею предположить, что тоннели натянуты от одной коробки (концентратора) к разным удалённым офисам, т.е. мы должны видеть разные IP-адреса для разных удалённых офисов. Т.о. можно трассировать только ESP трафик между этой центральной коробкой (пфСэнс) и одним удалённым офисом.