Pfsense deja de funcionar tras reinicio

sgs · Oct 8, 2014, 1:24 PM

Buenas

He apago el servidor en el que corría pfsense para mover los cable de corriente que estaba usando el servidor y tras encenderlo de nuevo ha dejado de funcionar correctamente. Este servidor funciona como load-balancer + firewall y estaba funcionando bien desde que lo instalamos.

Tras iniciarlo, el webConfigurator no cargaba y vía ssh lo he reiniciado. Una vez tenia acceso me aparecían mis gateway con estado unknown y tras esperar un poco a ver si volvían a online en vista de que no funcionaba he probado a reiniciarlo pero persistían los problemas al cargar el webConfigurator aunque ahora las gateways ya aparecían como online.

El problema es que desde el servidor puedo acceder a Internet pero desde mi lan no tengo acceso mas allá de pfsense. No he cambiado ninguna regla del firewall desde hace un par de días y aun probando a revertir los cambios a entonces continua sin funcionar adecuadamente.

Lo mas rapido sera reinstalar desde 0 el servidor y cargar después las reglas del firewall y Alias pero me gustaría saber si alguien me puede ayudar a encontrar la causa.

No se podría ser algún problema de incompatibilidad de hardware dado que esta maquina la monte hace una semana y desde el primer momento parecía funcionar bien. Pfsense esta funcionando en un antiguo sobremesa DELL vostro con un procesador Dual-Core CPU E5200, 2GB de RAM y 3 tarjetas de red (una integrada y dos PCI) que solia correr windows XP.

dmarcosg · Oct 8, 2014, 1:51 PM

Hola, a mi me ocurrio lo mismo y era por incompatibilidad de las tarjetas de red, he tenido que cambiarlas para que funcione correctamente.

Un saludo

sgs · Oct 8, 2014, 2:33 PM

Pero en mi caso ha funcionado bien durante una semana ademas que las tarjetas se supone que son compatibles con linux/UNIX y llevan un chip Realtek RTL81695c bastante comun

dmarcosg · Oct 8, 2014, 2:47 PM

Yo las tenía hace tres semanas y la he quitado por otras y funciona sin problema, pero vamos este es el problema que he tenido que haber visto cuando llevo tanto tiempo dándome problemas. No se cual es tu caso pero si enciende tu equipo y revisas el log podras verlo por consola.

sgs · Oct 9, 2014, 8:41 AM

He optado por formatear el HDD y reinstalar pfsense cargando luego un backup y vuelve a funcionar sin problemas. He mirado los logs y no aparece ningún mensaje de error respecto a las tarjetas de red ni cualquier otra cosa.

EDIT: Ahora he probado a reiniciarlo y vuelve a no funcionar. He cargado el mismo backup, he reiniciado y continua sin funcionar :'( :'( :'(

Tengo estos errores con los alias que no se si se refieren a un error cargando los alian de mi backup

pfsense php: rc.bootup: The command '/usr/bin/fetch -T 5 -q -o '/var/db/aliastables/gmail_es.txt.tmp' 'https://mail.google.es'' returned exit code '1', the output was 'fetch: transfer timed out'

Y estos sobre algo relacionado con la motherboard

Oct  9 11:03:13 pfsense kernel: cryptosoft0: <software crypto=""> on motherboard
Oct  9 11:03:13 pfsense kernel: padlock0: No ACE support.
Oct  9 11:03:13 pfsense kernel: acpi0: <dell fx09 =""> on motherboard
Oct  9 11:03:13 pfsense kernel: acpi0: [ITHREAD]
Oct  9 11:03:13 pfsense kernel: acpi0: Power Button (fixed)
Oct  9 11:03:13 pfsense kernel: acpi0: reservation of 0, a0000 (3) failed
Oct  9 11:03:13 pfsense kernel: acpi0: reservation of 100000, 7dd00000 (3) failed
Oct  9 11:03:13 pfsense kernel: Timecounter "ACPI-fast" frequency 3579545 Hz quality 1000
Oct  9 11:03:13 pfsense kernel: acpi_timer0: <24-bit timer at 3.579545MHz> port 0x808-0x80b on acpi0
Oct  9 11:03:13 pfsense kernel: cpu0: <acpi cpu=""> on acpi0
Oct  9 11:03:13 pfsense kernel: ACPI Warning: Incorrect checksum in table [OEMB] - 0x0E, should be 0x0D (20101013/tbutils-354)
Oct  9 11:03:13 pfsense kernel: cpu1: <acpi cpu=""> on acpi0
Oct  9 11:03:13 pfsense kernel: pcib0: <acpi host-pci="" bridge=""> port 0xcf8-0xcff on acpi0
Oct  9 11:03:13 pfsense kernel: pci0: <acpi pci="" bus=""> on pcib0
Oct  9 11:03:13 pfsense kernel: vgapci0: <vga-compatible display=""> port 0xcc00-0xcc07 mem 0xfe400000-0xfe7fffff,0xd0000000-0xdfffffff irq 16 at device 2.0 on pci0</vga-compatible></acpi></acpi></acpi></acpi></dell></software>

dmarcosg · Oct 9, 2014, 9:54 AM

Hola, ¿puedes iniciar en modo consola (shell en remoto) y aceder al fichero de log?Para poderlo ver que error se registra.
Un saludo

sgs · Oct 11, 2014, 8:26 PM

Claro, ese trozo de error es sacado del log

Tras probar varios recinicios y cargar de backup pasa los mismo. Volvi a cargar un backup con lo basico y añadir todo de nuevo y vuelve a funcionar

periko · Oct 9, 2014, 3:05 PM

Cuando hablas de re-instalacion, sacas el backup, no instalas ningun programa extra en particular desde de?
Sin sacar el backup y que tu configures todo de nuevo pasa lo mismo?
Cuando deja de responder, te responden los pings desde la red interna(LAN)?
Si te llegara a pasar de nuevo la caida, dices que los clientes de tu LAN dejan de recibir el servicio o sea navegar por Internet por que ya no responde Pfsense, te recomiendo sacarlo de la LAN y conectarlo directamente a tu PC para ver si no es un problema de tu LAN nomas para dejar esa opcion descartada.
Saludos.

sgs · Oct 9, 2014, 4:12 PM

La primera que reinstale pfsense, lo inicie desde un USB y realice una nueva instalación completa formateando el HDD primero. El resto de veces he realizado un "Restore to factory defaults" y luego cargar la configuración desde un backup usando el GUI. Del backup solo instala como packete el check_mk_agent que por defecto viene disabled

Cuando dejan de responder me refiero a que desde LAN pueden hacer ping a pfsense pero no a nada detrás ( ni router, ni internet). Por suerte tengo un antiguo debian con el firewall configurado que asigno a los usuarios como gateway cuando tengo que parar/modificar/testear con pfsense por lo que no es fallo en mi LAN.

Es algún problema de incompatibilidad de hardware que no me muestra en los logs, pfsense no funciona muy bien trabajando como load-balancer o hago los cambios que no debo (pero tengo una configuración muy simple solo con load-balancer y el firewall sin ningún paquete extra aparte del check_mk_agent)

Por ahora esta funcionando bien, ya veremos la próxima vez que tenga que reiniciar

dmarcosg · Oct 9, 2014, 4:37 PM

Hola, lamentablemente hoy me ha efectuado otro error quedandose bloqueado, esta vez no abria el sistema y he tenido que resetearlo, pienso que esta versión aun tiene errores para depurar y debia de tener un interfaz de gestión que ocurriera algun tipo de error uno pudiera acceder al equipo, por desgracia es solo via web, pero es open source.

periko · Oct 9, 2014, 4:57 PM

por desgracia es solo via web, pero es open source.

Equivocado amigo, existe:

ssh
serial

Puede ser incompatibilidad de hw, nada es perfecto, a lo mejor ahi corre ubuntu, centos sin problemas, pero es otro codigo muy distinto para no comparar.

1; Estresen sus nics, hay mucho software para esto, pings de la muerte, netperf por ejemplo.
2; Inviertan las tarjetas para ayudar a detectar si alguna es la del problema mas rapido.
3; netstat -s nic lean la info a lo mejor les da un dato a seguir y saber si es la nic la del problema.
4; Espero su cableado este bien ponchado y probado.

Saludos.

dmarcosg · Oct 10, 2014, 12:12 AM

Hola, gracias por responder , pero no, es Open source , es muy bueno pero el ssh tampoco funciona en definitiva nada, se queda completamente en bucle, la estoy efectuando en otro sitio y veo que consume mas de 2 Gb de ram y mas de 3 procesadores, el motivo es la configuración en modo bridges de 3 interfaces , que por lo que veo en esta versión no esta claro debido a que lo efectuó con tres tarjetas (dos wan (uno es DCHP) y una lan) y al efectuar modo brie pongo los tres interfaces pero el equipo empieza a consumir todos los recursos y se queda tostado,
En el otro equipo va sobrado de recursos pero le cuesta y si me preguntas como hago modo brie, es fácil.

Deshabilitar NAT pero no el Firewall:
Go to the Firewall -> NAT page, and click the Outbound tab.
Select the option "Manual Outbound NAT rule generation (Advanced Outbound NAT (AON))" and click Save.
Remove all automatically generated NAT rules at the bottom of the screen.
Apply changes.

'System -> Advanced -> System Tunables' y defino net.link.bridge.pfil_bridge de 'defaul 0t' a '1'.
Creo el puente entre las interfaces WANS y LAN desde 'Interfaces → Assign → Bridges'
Creo la interface OPT y la renombro por BR0 y asigno el puente (bridge) desde 'Interfaces → Assign → Network Port'
Agrego la dirección IP a la Interface del puente (bridge interface); este sera la IP con el que accedere al firewall de forma permanente.
Agregue la regla "allow all" para todas las Interfaces del firewall para evitar quedar bloqueado. Interfacefaces BR0, WAN, WAN2 y LAN
Defino el tipo de interface para WAN y LAN como 'none' y wan-2 por dchp. (bajo 'Interfaces' en GUI)
Deshabilito el DHCP server
El firewall tiene ahora la capacidad acceder desde todas las interfaces por medio del numero IP definido en el paso anterior.
Y ejecuto las politicas del firewall.

¿conoces que paso puedo estar haciendo mal para que le cueste tanto trabajo?
Un saludo y gracias