Падает интерфейс LAN
-
Доброго времени суток, уважаемые форумчане!
Работаю в фирме имеющей порядка 80 компьютеров.
имеется 2 интернет канала с выделенными IP, которые заходят на балансер, выполненный на "железе" TP-Link. С этой железяки выходит один сбалансированный канал на сервер pfSense v. 1.2.3. Intel Pentium DualCore, 2Gb DDRII, LAN - 3Com. На этом сервере имеется 2 интерфейса WAN (подключенный к "железяке") и LAN имеющей IP 192.168.1.1. Настроен фаервол, прозрачный прокси, PPTP-сервер.
Проблема заключается в том, что при подключении данного сервера в локальную сеть, через 20-30 минут сервер перестает пинговаться из сети, с него так же не пингуются хосты локальной сети. В интернет пинг идет. Ситуация разрешается если сервер перезагрузить, либо выдернуть и вставить кабель.
Проовал менять сетевые платы местами, ставил другие сетевые карты, ничего не помогло, внутренний интерфейс LAN как переставал пинговаться из локальной сети так перестает. Если у когото была подобная проблема, подскажите пож. как решить данную ситуацию.
Заранее спасибо большое! -
Нужно больше информации по настройке (бридж ?) и какие пакеты стоят?
Нет ли в правилах ограничений на одновременное подключение
Можно ли в момент отказа зайти на вебморду PFSENSE// -
подозреваю банальный конфликт IP-адресов.
Сделать на клиентской машине (подозреваю Windows)arp -aкогда проблемы нет, и когда проблема есть. Сравнить MAC-адреса, соответствующие LAN IP pfSense'a
-
логи /var/log/messages с момента когда перестает быть недоступным покажи
-
Нужно больше информации по настройке (бридж ?) и какие пакеты стоят?
Нет ли в правилах ограничений на одновременное подключение
Можно ли в момент отказа зайти на вебморду PFSENSE//Бриджа нету, пакеты стоят squid, и пакеты для мониторинга сетки, ничего лишнего не ставил, дабы соблюсти целостность сис темы.
Фаервол настроен на ограничение некоторых портов для пользователей, и полный доступ для администрации и сисадминов. Явно в фаерволе ограничения на подключения не прописывал. Может быть гдето по умолчанию нужно снять галку, вот этого не вкурсе.
В момент отказа Ip полностью не пингуется, следовательно вебморда тоже не доступна. Приходиться перезагружать рутер.
Есть еще одна деталь, отказ происходит не мгновенно, а постепенно т.е. в течении несколько секенд, обычно 15-20 секунд тайминги пингов увеличиваются с 64мс до 2к+ мс. А потом происходит отказ сетевого интерфейса и так до перезагрузки. -
В логах что есть?
Попробуй также временно отключить PPTP сервер. -
подозреваю банальный конфликт IP-адресов.
Сделать на клиентской машине (подозреваю Windows)arp -aкогда проблемы нет, и когда проблема есть. Сравнить MAC-адреса, соответствующие LAN IP pfSense'a
Одинаковых адрессов быть не может. В сети настроен и работает DHCP с резервированным отрезком IP-адрессов. Так же пока настраивается рутер на pfSense роль рутеров выполняют 2 сервера: Шлюз-балансер 2х каналов интернета(192.168.1.253) на Debian и прокси+фаервол так же на Debian (192.168.1.1.). Когда для проверки в сеть включается рутер на pfSense, прокси-сервер с IP 192.168.1.1 естественно, выключается))))
Но на всякий случай проверил по описанному способу заарпил, результат - все нормально! Следовательно исключаются ошибки распределения IP-адрессов, а также физическая нисправность кабелей и сетевых интерфейсов. настройка так же нормальная, потому что при тестах с 3-4 компами в интернет пускает, прокси работает, фаервол исправно выполняет свои функции. При подключении большего чила компьютеров в сеть интерфейс LAN просто затыкается и ложиться. -
Eсли arp таблицы одинаковые как при наличии проблемы, так и при её отсутствии, то можно глянуть на количество состояний на pfSense (когда появляется проблема)```
pf -ss | wc -lА также глянуть на нагрузку``` top -SЕщё здорово поможет```
tcpdump -ni <имя Lan-интерфейса> -
А в правилах случаем не стоит ограничения количества подключений и прочая?
-
А в правилах случаем не стоит ограничения количества подключений и прочая?
данного правила не стоит. Дело в том что всю свою жизнь я админил шлюзы, сервера на FreeBSD, Linux и с принципами грамотного постороения правил фаерволов знаком не понаслышке. данного правила точно нету. Волей судьбы я решил использовать pfSense и вот такие проблемы. Сейчас вытащу логи и предоставлю на обозрение общественности.