виснет pfsense

lsd25

правда 3-5 лет минимум всетаки, и зависит от условий эксплуатации, как было сказано другими словами..
часто экономят - это на линию 12 вольт ставить 10 вольтовые, например

давайте не будем разгоняться, оба прекрасно все знаем.
хочу лишь сказать, что бп свежий.
работает в помещении где температура выше 17 градусов не поднимается (кондиционер)
как сказал, я проверю его тоже.

dvserg

@lsd25:

давайте не будем разгоняться, оба прекрасно все знаем.
хочу лишь сказать, что бп свежий.

Ну вот про свежий БП небыло ни слова. Обычно на роутеры старье ставят. Но в любом случае методом исключения проверить нужно все.

deutsche

Свежесть железки не говорит о ее безгрешности. Одна контора заказала несколько десятков компов. Контора не скупилась и комплектующие были самые качественные. Так вот при инсталляции ОС один из них не включался. Разобрали, включили БП без нагрузки и я в первый раз услышал как взрываются конденсаторы.

lsd25

заменили БП несколько дней назад. всеравно повис.
остается подозрение на сетевушки пару штук и на режим моста, который я сделал между tap и lan

deutsche

во внешний syslog что пишет?

lsd25

сегодня опять повис в 7 вечера.. до этого все сетевушки переменял, БП тоже..
завтра приеду, погляжу что во внешнем сислог сервере, если там вообще что-то интересное будет)))) отпишусь в общем.
причем, сейчас уже стоит версия 2.0
после всех исключений, у меня подозрение падает нa бридж между реальным ethernet интерфейсом lan и виртуальным tap у впн сервера.
потому что до того как я его сделал, машина стабильно проработала 2-3 месяца почти. после того как включил опенвпн сервер с tap девайсом в бридже с ланом, начались такие повисания %)
бридж нужен для того чтобы удаленный машины находились в сети на lan интерфейсе

сегодня поднял опенвпн сервер (в том числе создал мост) на контроллере домена, на котором, естественно, стоит днс и дхцп. попробую перекинуть на него, и проверю как pfsense будет жить без него.

UPD от 7.02.11 (10:08):
в общем в сислог сервере ничего интересного вообще 0_о странно как-то
перенес пользователей на отдельный опенвпн сервер. удалил мост на пфсенсе. посмотрим сколько жить будет.

UPD от 7.02.11 (17:30):
один фиг виснет. опять же в сислог сервере ничего.
теперь включил, чтобы валил все логи мне, а не только системные.
кстати, забыл сказать, что помимо сервера опенвпн, завели в тоже время ещё и инет канал другой.
т.е. почти в одно время.. до этого, как я говорил, все работало стабильно.
т.к. опенвпн сервер исключил..
то пало подозрение на инет канал 0_о увы, но вариантов других нет. дома, в точто такой же конфигурации, практически, работает тот же пфсенс 2.0, с тем же опенвпн сервером в бридже с ланом, и работает в течении 4-5 месяцев стабильно 24/7
сейчас смотрю логи фаервола и наблюдаю картину, на проблемном пфсенсе, - оочень много пакетов на разные порты, в основном по udp, приходит на wan (именно с того нового инет канала), которые фаер блочит. в реалтайме на сислог сервере (который киви) в реалтайме наблюда, что фаер постоянно что-то блочит.
у меня дома такая картина не наблюдается. там у меня инет от другого прова правда..
так воооот, вопрос в чем возникает.. возможно ли, что пфсенс просто отрубает от этих бесконечных атак?

deutsche

Вполне возможно, попробуй увеличить таблицу соединений и жалуйся провайдеру.
Расскажи подробнее, что за трафик к тебе идет, лучше логами на pastebin.com

Eugene

@lsd25:

так воооот, вопрос в чем возникает.. возможно ли, что пфсенс просто отрубает от этих бесконечных атак?

Это какой уровень pps примерно? чтобы pfSense отрубало надо потрудиться…

lsd25

@deutsche:

Вполне возможно, попробуй увеличить таблицу соединений и жалуйся провайдеру.
Расскажи подробнее, что за трафик к тебе идет, лучше логами на pastebin.com

да она и так большая довольно..
http://pastebin.com/Zhdiz7pH
вот кусок, например
порт 6901 это порт для одного из торрент клиентов

и вот из самого пфсенса из логов фаервола кусочек
http://pastebin.com/X57cjRwB
тут убрал все что с портом 6901..

xxx.xxx.xxx.xxx - соответсвенно мой ип в инете.

@Evgeny:

@lsd25:

так воооот, вопрос в чем возникает.. возможно ли, что пфсенс просто отрубает от этих бесконечных атак?

Это какой уровень pps примерно? чтобы pfSense отрубало надо потрудиться…

да слабый вообще.. если я правильно понял, что packet per second )

незнаю что у нас у провайдера с сетью, но похоже таки старается хорошо.
у нас от прова приходит радиоканал. стоит железка в которую входит витая пара от антенны на крыше и из этой железки выходит ethernet уже.. ну и питание подается естесн.. далее ethernet входит в wan порт пфсенса и на порту прописывается ip с маской 255.255.255.252 и шлюзом. ip является белым статическим.

думаю попробывать поставить роутер хардварный перед пфсенсом для теста. лежит тут vpn роутер d-link di-804hv без дела %)

UPD: повис - в логе ноль. кроме, все тех же попыток соединений, что в кусках лога кинул..

UPD: нашел свой косяк, вроде.. хотя может не совсем косяк.. сейчас после всех разрешающих правил на wan интерфейсе в конце добавил запрещающее правило на все, хотя pfsense и без явного указания обычно блокирует все (или я чего-то путаю?). и в логах исчезли постоянные попытки достучаться. тишина. но странно, что дома я себе такого правила не ставил, и такого не наблюдаю в логах..
посмотрю как теперь будет себя вести pfsense

UPD от 9.02.11: один фиг повис =\ фантастика какая-то. поставил pfsense 2.0 на вторую машину, тоже самое все настроил как было, поставил вмест первой.. ради интереса посмотреть, будет виснуть или нет..

Eugene

UPD: нашел свой косяк, вроде.. хотя может не совсем косяк.. сейчас после всех разрешающих правил на wan интерфейсе в конце добавил запрещающее правило на все, хотя pfsense и без явного указания обычно блокирует все (или я чего-то путаю?). и в логах исчезли постоянные попытки достучаться. тишина. но странно, что дома я себе такого правила не ставил, и такого не наблюдаю в логах..
посмотрю как теперь будет себя вести pfsense

в настройках лога есть такая галочка - "логировать пакеты заблокированные правилом по умолчанию", сними эту галочку и твоё запрещающее правило можно убирать.

lsd25

@Evgeny:

в настройках лога есть такая галочка - "логировать пакеты заблокированные правилом по умолчанию", сними эту галочку и твоё запрещающее правило можно убирать.

да эт мне не критично. там я видел, что это логи отбракованных входящих. забил уже на это, ибо сам прекрасно понимаю, что это не может быть причиной повисания.

да 100% это опять мамка попалась "кривая" =
если включительно по выходные вторая машина замечательно отработает, вывод станет ясным.
в итоге, почитав весь топик с самого начала, становится весело - легких путей не ищем))))

UPD от 11.02.11: кажется причина всплыла наверх.. что-то мне кажется, что чипсеты на мамках не справляются с работой 3-х сетевух. чипсеты довольно староваты (на одной i850 с ich2, на другой вообще via). сейчас стоит мамка, на сколько помню, с 865-м + ich4 или ich5. уверен, что проблема именно в них и кроется, как только ставишь 3 сетевухи. естественно когда под нагрузкой… хотя бывало, что и вот только перезагрузил шлюз и тут же через минут 10 повис.
на другой машине вот уже 3и сутки без претензий, разве что памяти пака мало в ней, свопится..

UPD от 14.02.11: Проблема была в "совместимости" (или возможностях) железа. Проблема, вроде как, решена. Шлюз не виснет почти неделю.