Блокируется WAN через 20 минут
-
pfSense стоит между DMZ и локальной сетью (DMZ-Inet другие файрволы BSD)
схему такая:
LANnet–----LAN[pfSense]WAN–---DMZ-----LAN[FW-bsd]WAN–-Inrenet
WAN -> 192.168.10.10
LAN -> 172.23.1.1 (no DHCP)
На WAN сняты галки:
Block private networks
Block bogon networksПроблема:
через 20 мин отваливаются исходящие с WAN.
Т.е. интерфейс WAN(192.168.10.10) пингуется с другой машины,
а с него ничего не уходит (отваливается GW и весь трафик).Что делал:
1. менял местами WAN и LAN - эффект тотже
2. менял сетевые (было 1000 и 100), поставил обе 100 - эффект тотже
3. Даже ставил галку:
Disable all packet filtering. (превращает в обычный роутер без функций NAT и файрвола) - эффект тотже
4. Востанавливал к заводским настройкамКак лечиться: (на время 20 мин)
1. Изменить настройки WAN (убрать/поставить GW)
2. Переткнуть пачкордЧто я делаю не так?
(может где то есть главная галочка - чтобывсеработалокакнадо :) )P.S. 2.0.2-RELEASE (i386)
built on Fri Dec 7 16:30:14 EST 2012
FreeBSD fw4-overnet 8.1-RELEASE-p13 FreeBSD 8.1-RELEASE-p13 #0: Fri Dec 7 16:51:57 EST 2012 root@snapshots-8_1-i386.builders.pfsense.org:/usr/obj./usr/pfSensesrc/src/sys/pfSense_SMP.8 i386 -
Зачем создавать еще одну тему? Настройки pfSense у вас вроде правильные, железо вы уже меняли. Смотрите в сторону вашего "FW-bsd". Если он перестает отвечать на пинги от pfSense, то pfSense счиатет gateway упавшим (посмотреть можно в Status -> Gateways) и естественно ничего в него не шлет.
-
Дело в том что pfSense перестает пинговать ВСЕ IP в DMZ, но его самого пинговать можно. Такое впечатление, он сам блокирует исходящий от себя трафик.
Вывел его в Inet
дал белый IP на WAN
Результат: все чудно работает, ничего не отваливается.
Вывод:
Есть какое-то правило (стоит где-то галка) которое блокирует исходящие на WAN если на нем видны не правильные для нэта пакеты (бродкаст, DHCP и т.д.). Это правильно для Inet (WAN) но в моем варианте WANа нет - там DMZ (серая сеть)
Как выход: держать 3 сетевые
1. WAN - no
2. LAN - 172.23.1.1
3. LAN2 - 192.168.10.10
Но тоже кастыль какой-то. :( -
А под серым IP wan на какое оборудование подключен? Может проблема на L2?
-
А под серым IP wan на какое оборудование подключен? Может проблема на L2?
Хм, а это идея. Спасибо.
Было подключено на D-link DGS-3024
Сейчас в CISCO.
Надо попробовать сменить прослойку (свитч), или покапаться в его настройках. -
Иногда гигабитные карты на Free c СISCO капризно работают. В Линуксе такого нет. На CISCO должно быть duplex full, speed 1000, никаких auto. На стороне PFS в настройке карты Speed and duplex никаких default и autoselect
-
Иногда гигабитные карты на Free c СISCO капризно работают. В Линуксе такого нет. На CISCO должно быть duplex full, speed 1000, никаких auto. На стороне PFS в настройке карты Speed and duplex никаких default и autoselect
Так в том и дело, что на D-link этот глюк наблюдался.
а на CISCO все работает (кроме того что через CISCO настроен WAN - белый IP) -
Похоже netormoz прав, и проблема у вас на L2. Не знаю стоит ли смотреть в сторону RSTP, если отваливается все только через 20 минут, но все же..
-
Со сменой оборудования L2 проблема решилась и работает как ожидалось :).
Спасибо netormoz за наводку :) -
Обожаю BSD, но именно окружающий зоопарк железа заставил перейти на Debian, чтобы подобные "мелочи" не отвлекали. Проблемы Free - это драйверы на новое железо и небольшая степень свободы в виртуализации. Поэтому нашел для себя золотую середину - CARP из Pfsensov прячу в Proxmox, а сам Proxmox, у которого нет штатного файерволла, кроме штатного netfiltra, прячу - за CARP. Вот такая получается "наизнанка": использую гостевой CARP для обслуживания реальных (пользователей) и виртуальных (других гостевых ОС Proxmox) сеток и защищаю снаружи сам PROXMOX.