Router überlaufen? PFsense 1.2.3

lugaru

Hallo,

wir setzen die PFSense 1.2.3 auf einem alix board ein. Wir stellen damit 35 Mietern einen Internetzugang zur Verfügung. Aufbau:
–> DSL Anschluss -> Telekom Modem(wählt sich selber ein) -> Pfsense Router (Inet per DHCP) -> 3x Linksys 16er Switch

Per Captive Portal ist die Geschwindigkeit gedrosselt. Es funktioniert eigentlich einwandfrei. Jedoch von 19-22 Uhr geht fast gar nichts mehr. Der Traffic ist nicht das Problem, der beibt relativ gerin (10% Auslastung). Jedoch ist es nicht mehr möglich irgendwelche Seiten aufzurufen, das ganz internet ist lahm gelegt.

Ping auf Modem von außennüber feste ip: geht , etwa 40ms reaktionszeit.
Aufruf der PFSene von außen über feste ip: fast nicht mehr möglich, Zeitüberschreitung, vielleicht 1 versuch von 30 klappt.
AUfruf der PFSene von innerhalb des netzes: Aufruf geht ohne Probleme und Verzögerung.

Jemnd eine Idee was das sein kann? Ich verzweifel hier langsam...

Danke schon für eure Bemühungen!

Grüße

GruensFroeschli

Bei so vielen Personen kann ich mir vorstellen, dass die Statetable voll ist.
(Und die beschriebenen Symptome treffen auf state exhaustion zu)
Um sie grösser zu machen kannst du unter
System –> Advanced --> Firewall Maximum States
einen neuen Wert eintragen.
Beachte: pro State wird ca 1kb RAM benötigt.
Da das ALIX nur 256 MB RAM hat, und noch eine gewisse Menge für den Rest des Systems gebraucht wird, sollte da kein Wert grösser ~150'000 sein.

Ich denke wenn du den Wert mal probeweise auf 100'000 stellst solltest du auf der sicheren Seite sein.
Wenn dann immer noch Probleme auftreten, kannst du immer noch auf 150'000 gehen.

lugaru

Also die State Table war bisher nie über 4000. Das Symtom tritt schon auf, wenn auch nur 5 Benutzer eingeloggt sind (Die hälfte der Leute benutzt das Internet gar nicht)… aber danke für den Tipp, ich habs gerade mal umgestellt, mal schaun was heute Abend passiert ;)

Grüße

lugaru

Hallo,

wirkt leider nicht mit der vergrößerung der State Table. Gleiches Problem wie vorher =(
aktuelle state table size: 583/100.000 also genügend platz….

Bin über jede Idee dankbar!

Anmerkung: Habe eben mal die Firewall ausgeschaltet, und jetzt scheint es flüssig zu laufen! Allerdings sind in er Firewall keine regeln angelegt, nur dass alles erlaubt ist an sich. Kann das ganze vlt an der Traffic Shaper Config liegen oder so?

kleine Frage ist es mit "disabled firewall", was ja auch NAT disabled, eigentlich möglich weiterhin ins Internet zu kommen mit obiger Konstellation?

Grüße

JeGr

Ehm.. wenn du die Firewall disabled hast - was defacto auch die NAT abklemmt - wie konntest du dann überhaupt noch testen dass das Internet schnell ist? Direkt geroutet?

Aufruf von außen? Die WebGUI ist public available? Ansonsten könnte das bei der ALIX vielleicht auch etwas Streß mit der kleinen CPU sein, ich weiß nicht wie das Portal da von der Leistung reingrätscht. Wie sind denn die sonstigen Leistungsdaten wenn "nix mehr geht"? CPU, Mem, etc. geprüft mit den RRD Graphen?

Grüße Grey