PfSense 2.2 release - установка
-
2 aleksvolgin
Кто о чем, а вшивый о бане (с)
Мы уже все поняли как нам не повезло с pfsense :'( И как вам повезло с Mikrotik-ом.
Складывается впечатление, что Вы сюда специально "какнуть" заходите. -
2 werter
Дорогойукраинскийдруг! Добавьте меня в игнор и не читайте моих сообщений. Особенно если они адресованны не вам. -
2 werter
Дорогойукраинскийдруг! Добавьте меня в игнор и не читайте моих сообщений. Особенно если они адресованны не вам.Дорогой телепат.
Для личного мнения , адресованного конкретному посетителю, есть ЛС. Все остальное - публичное.Прежде чем хаить что-то, нужно доказать что можете сделать , как минимум, на уровне Вы же , исходя из стилистики ваших сообщений, можете только языком болтать.
Складывается стойкое впечатление, что у вас кто-то из *bsd-ков подружку увел. Как только возникают вопросы у пол-ей сего продукта - мигом появляется aleksvolgin с обязательным постом о неполноценности pfsense.
Запомните , уважаемый, не ошибается тот, кто ничего не делает.
-
Все основные косяки 2.2 - из-за смены ядра на 10-ю версию. Сама десятая версия тоже далека от идеала по совместимости. Где работала 8.3 хоть как то, на 10-й начинаются чудеса. Есть, например, один замечательный глюк с девайс поллинг - если в 8.3 его включать на интеловских EM драйверах, то включение завешивает PF, но после ребута работает, хоть и через опу, грузя одно ядро на 100% всегда. На 10.0 мне так и не удалось его включить, просто зависает всё насмерть и после резета - неактивно. Про поддержку Wifi не стоит наверное и упоминать, она, в 10-ке, пожалуй, хуже чем всё предыдущее, впрочем, надежд особых и не питал.
P.S. Для меня лично сюрпризом было ещё то, что разрабочики pfsense убрали из ядра поддержку ulpt драйвера для принтеров, что добавило проблем тем, кто пользуется принт сервером в pf. Мотивированно конечно красиво - чем меньше "ненужного" кода в фаерволе, тем лучше с точки зрения безопасности. -
Долго ковырял…
Короче, все глюки даже не знаю из-за чего.
Сначала были проблемы с установкой, вылечилось полным (а не быстрым) стиранием загрузочной CDRW'шки, с которой грузился и более современным DVD-приводом, в качестве загрузочного. Глюк незагрузки... В общем, он вылечился заменой видеоплаты на другую. Предыдущая тоже в отличном состоянии, но вот с ней не захотело работать.Между двумя pfsense'ами поднялся "на ура" OpenVPN-туннель, но вылезла странность: главный роутер виснет, где-то через пару часов после запуска, если активен UPnP. Он получает запрос с одной из машин, выкидывает на консоли, что "no route to host" и глухо виснет. Сейчас вот, убрал к чертям UPnP, уже пару часов - полёт нормальный.
Дальше буду экспериментировать, но первые результаты заставляют задуматься...
Пока-что роутер пересобран, через него включена контора целиком, старое железо ждёт в резерве, на случай глюков под нагрузкой у этого железа.
P.S. Вопрос: насколько для pfsense'а на 10-м ядре freebsd критична многоядерность/многопроцессорность/мультитредовость?
Я читал, что в старой версии роутера, pf был одноядерным. Из-за этого, хоть ядро ОС поддерживало многоядерность, но при сильном потоке пакетным фильтром загружалось только одно ядро, а остальное стояло. Как оно в этой версии? Пакетный фильтр от более новой фряхи, или используется старый надёжный от 8-й версии? -
Между двумя pfsense'ами поднялся "на ура" OpenVPN-туннель, но вылезла странность: главный роутер виснет, где-то через пару часов после запуска, если активен UPnP. Он получает запрос с одной из машин, выкидывает на консоли, что "no route to host" и глухо виснет. Сейчас вот, убрал к чертям UPnP, уже пару часов - полёт нормальный.
У вас upnp включен был на рабочем fw в сети предприятия (?!) или это ваш домашний fw ? Я бы настоятельно не рекомендовал включать данную технологию в рабочей сети. Иначе , если к пол-ей на машинах что-то "заведется" и начнет открывать себе порты вовне - будет "весело"
P.S. Вопрос: насколько для pfsense'а на 10-м ядре freebsd критична многоядерность/многопроцессорность/мультитредовость?
Я читал, что в старой версии роутера, pf был одноядерным. Из-за этого, хоть ядро ОС поддерживало многоядерность, но при сильном потоке пакетным фильтром загружалось только одно ядро, а остальное стояло. Как оно в этой версии? Пакетный фильтр от более новой фряхи, или используется старый надёжный от 8-й версии?Почитайте доки к релизу. Пакетный фильтр поддерживает многопоточность.
-
Включен.
Ну, во-первых, размер фирмы не настолько большой, а во-вторых, я мониторю, кто и что открыл.
Зато меньше проблем с приложениями, типа скайпа. Каждый себе открывает свой порт наружу и куда легче со скоростью, да и если кто-то, как самый умный, поставит себе торрент-клиент, то этот торрент отлавливается в течение 5 минут после запуска, благодаря UPnP. Хотя, если размер фирмы ещё увеличится, то этот сервис буду глушить однозначно. -
Хы, результаты первого дня:
То что я посчитал, что машина виснет, оказалось не так.
Она перестаёт отвечать по сетевому интерфейсу, при этом клавиатура откликается. Даёшь с консоли команду перезагрузиться, оно перезагружается, и инет снова есть на несколько часов. И перестал отвечать удалённый pfsense, пока я ехал из цеха в офис…Если это так будет повторяться, то боюсь, что поставлю обратно 2.1.5, ставить который я насобачился уже вслепую. Благо на нём таких странных отвалов не наблюдается.
-
Пропинговка внешних ресурсов с консоли показала, что отваливается исключительно LAN-интерфейс, а оба WAN'а ванятся стабильно.
WAN'ы это 2 шт. 3c905b на больших Broadcom'овских чипсетах с большой надписью 3COM (есть и другие модификации 3com'овских соток), а LAN это интегрированный в материнку гигабитный Marvell. Поставил третью сетевушку - Intel Pro 100 (i82559). Завтра будет стресс тест. Если заработает стабильно, с ходу сносить не буду… Похоже, что во фре не очень стабильные драйвера на гигабитный марвелл. Ибо в бытность работы под виндой, эта материнка с этой сетевушкой сеть не теряли.Вот тебе и пристойные неинтеловские гигабитники. Стыдно сказать, но те же гигабитные и соточные реалтек-PCI работает в стрессовых условиях стабильней, правда с ними нагрузка на процессор ощутимо выше.
-
Попробуйте сменить прерывания. Можно путем перетыкания в др. разъемы на мат. плате.
-
Попробуйте сменить прерывания. Можно путем перетыкания в др. разъемы на мат. плате.
Забил. С интелом начало тормозить. Поставил третий 3COM, который 3с905С, с малюсеньким чипом и без дополнительных внешних чипов. Завёл LAN через него. Вот уже несколько часов - полёт нормальный.
