Проблема с роутингом пакетов после обновl

vicpryl

Был pfsense 2.0.1 и все работало без проблем.

Вчера решил обновиться до 2.0.2.
Обновление прошло.

И вдруг возникла проблема с доступом к pop.gmail.com.
Адрес не пингуется из внутренней сети.
При попытке выполнить tracert получаю сообщение от pfsense "заданный узел недоступен"

C:\002\002>tracert pop.gmail.com

Трассировка маршрута к gmail-pop.l.google.com [74.125.143.109]
с максимальным числом прыжков 30:

  1     1 ms    <1 мс    <1 мс  192.168.0.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3  192.168.0.1  сообщает: Заданный узел недоступен.

Трассировка завершена.

другие IP-адреса доступны и работают.

Пинг с веб-интерфейса pfsense - проходит без проблем.

При просмотре tcpdump-ом видно, что icmp-пакеты приходят на LAN-интефейс pfsense и не появляются на WAN интерфейсе.

Откатился на бэкап до обновления (версия 2.0.1) - все заработало без проблем.

Как найти где "собака порылась"?

dvserg

Нужно было на 2.0.2 посмотреть логи фильтра.

vicpryl

@dvserg:

Нужно было на 2.0.2 посмотреть логи фильтра.

Не было там ВООБЩЕ упоминания этого IP.

Ща еще раз проверю. Благо машинки виртуальные и можно менять местами быстро.

Если речь о Status: System logs: Firewall в веб-интерфейсе, то по фильтру 74.125.143.109 - ничего нет. Хотя из LAN пытаюсь пинговать…

dvserg

Будете пинговать - пропингуйте и по имени домена и по IP.

vicpryl

@dvserg:

Будете пинговать - пропингуйте и по имени домена и по IP.

Делал.
С ресолвингом проблем нет.
Результат - одинаковый.

dvserg

@vicpryl:

@dvserg:

Будете пинговать - пропингуйте и по имени домена и по IP.

Делал.
С ресолвингом проблем нет.
Результат - одинаковый.

Чтобы разобраться - можно дампы правил сравнить с обеих версий из /tmp/rules.debug при одинаковых конфигах.

vicpryl

@dvserg:

Чтобы разобраться - можно дампы правил сравнить с обеих версий из /tmp/rules.debug при одинаковых конфигах.

Сравнил. Не вижу ПРИНЦИПИАЛЬНЫХ различий  ???

Самое главное, что это IP-адрес или сеть его включающая нигде не фигурирует.

dvserg

Хм. Если бы было что-то серьезное - в соседних ветках уже бы написали про это. У меня 2.0.2 работает штатно.

vicpryl

@dvserg:

Хм. Если бы было что-то серьезное - в соседних ветках уже бы написали про это. У меня 2.0.2 работает штатно.

Так и у меня еще на трех серверах работает!

Но звоночек ОЧЕНЬ не приятный.

Понять бы ГДЕ смотреть. Как проверить КУДА деваются пакеты адресованные на указанный IP?

MasterMad

Есть такая проблема, у меня на одном филиале ни в какую не хочет ходить на сайт мегафона, на другом не видит электронного кабинета в сбербанка, хотя до самого ввода пароля доходит. ставил просто железку, ака Dlink DIR 100, работает на ура. Переустанавливать не побывал, жду удобного случая. Решения так же не нашел пока.

werter

У меня 2.0.2 на сайт microsoft.com не пущал. Говорил, не могу имя разрешить и хоть ты лопни. Пришлось к 2.0.1 откатываться.