Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Подвисает Pfsense 2.2.1 в составе Proxmox 3.1.2

    Scheduled Pinned Locked Moved Russian
    21 Posts 4 Posters 3.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • I
      ilya.rockitin
      last edited by

      Всем, привет!

      Конфигурация системы:

      
      Pfsense 2.2.1-RELEASE (i386) 
      built on Fri Mar 13 08:16:53 CDT 2015 
      FreeBSD 10.1-RELEASE-p6
      Proxmox 3.2-1 1933730b
      
      

      2 Сетевых интерфейса: WAN и LAN, dhcp-сервер ISP раздаёт IP с привязкой к MAC-адресу WAN.

      Конфигурация сет интерфейсов в Proxmox (/etc/network/interfaces):

      
      # network interface settings
      auto lo
      iface lo inet loopback
      
      iface eth0 inet manual
      
      iface eth1 inet manual
      
      auto vmbr0
      iface vmbr0 inet manual
          bridge_ports eth0
          bridge_stp off
          bridge_fd 0
      
      auto vmbr1
      iface vmbr1 inet static
          address  192.168.0.7
          netmask  255.255.255.0
          # gateway  192.168.0.1
          bridge_ports eth1
          bridge_stp off
          bridge_fd 0
      
      

      Конфигурация сет интерфейсов в Pfsense (ifconfig -a):

      
      em0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
          options=209b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic>ether 9e:32:a0:9c:7c:91
          inet6 fe80::9c32:a0ff:fe9c:7c91%em0 prefixlen 64 scopeid 0x1 
          inet 188.113.156.235 netmask 0xffffff00 broadcast 188.113.156.255 
          nd6 options=21 <performnud,auto_linklocal>media: Ethernet autoselect (1000baseT <full-duplex>)
          status: active
      em1: flags=88843 <up,broadcast,running,simplex,multicast,staticarp>metric 0 mtu 1500
          options=209b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic>ether 0e:0e:5f:44:9c:a1
          inet6 fe80::c0e:5fff:fe44:9ca1%em1 prefixlen 64 scopeid 0x2 
          inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255 
          nd6 options=21 <performnud,auto_linklocal>media: Ethernet autoselect (1000baseT <full-duplex>)
          status: active
      pflog0: flags=100 <promisc>metric 0 mtu 33172
      pfsync0: flags=0<> metric 0 mtu 1500
          syncpeer: 224.0.0.240 maxupd: 128 defer: on
          syncok: 1
      lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
          options=600003 <rxcsum,txcsum,rxcsum_ipv6,txcsum_ipv6>inet 127.0.0.1 netmask 0xff000000 
          inet6 ::1 prefixlen 128 
          inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5 
          nd6 options=21 <performnud,auto_linklocal>enc0: flags=0<> metric 0 mtu 1536
          nd6 options=21 <performnud,auto_linklocal>pptpd0: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
          nd6 options=21 <performnud,auto_linklocal>pptpd1: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
          nd6 options=21 <performnud,auto_linklocal>pptpd2: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
          nd6 options=21 <performnud,auto_linklocal>pptpd3: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
          nd6 options=21 <performnud,auto_linklocal>pptpd4: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
          nd6 options=21 <performnud,auto_linklocal>pptpd5: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
          nd6 options=21 <performnud,auto_linklocal>pptpd6: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
          nd6 options=21 <performnud,auto_linklocal>pptpd7: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
          nd6 options=21 <performnud,auto_linklocal></performnud,auto_linklocal></pointopoint,noarp,simplex,multicast></performnud,auto_linklocal></pointopoint,noarp,simplex,multicast></performnud,auto_linklocal></pointopoint,noarp,simplex,multicast></performnud,auto_linklocal></pointopoint,noarp,simplex,multicast></performnud,auto_linklocal></pointopoint,noarp,simplex,multicast></performnud,auto_linklocal></pointopoint,noarp,simplex,multicast></performnud,auto_linklocal></pointopoint,noarp,simplex,multicast></performnud,auto_linklocal></pointopoint,noarp,simplex,multicast></performnud,auto_linklocal></performnud,auto_linklocal></rxcsum,txcsum,rxcsum_ipv6,txcsum_ipv6></up,loopback,running,multicast></promisc></full-duplex></performnud,auto_linklocal></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic></up,broadcast,running,simplex,multicast,staticarp></full-duplex></performnud,auto_linklocal></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic></up,broadcast,running,simplex,multicast> 
      

      Время от времени внутренний локальный сетевой интерфейс отваливается без явных ошибок в логах, при всём при это внешний сетевой интерфейс функционирует, как должное.
      Предполагаю, проблема в настройке правил файерволла либо в настройке сетевых интерфейсов, последние настраивал по ссылке http://forum.proxmox.com/threads/2020-Proxmox-Pfsense-working-setup-solved-2-NIC.

      Привожу правила файервола (pfctl -sr):

      
      scrub on em0 all fragment reassemble
      scrub on em1 all fragment reassemble
      anchor "relayd/*" all
      anchor "openvpn/*" all
      anchor "ipsec/*" all
      block drop in log quick inet from 169.254.0.0/16 to any label "Block IPv4 link-local"
      block drop in log quick inet from any to 169.254.0.0/16 label "Block IPv4 link-local"
      block drop in log inet all label "Default deny rule IPv4"
      block drop out log inet all label "Default deny rule IPv4"
      block drop in log inet6 all label "Default deny rule IPv6"
      block drop out log inet6 all label "Default deny rule IPv6"
      pass quick inet6 proto ipv6-icmp all icmp6-type unreach keep state
      pass quick inet6 proto ipv6-icmp all icmp6-type toobig keep state
      pass quick inet6 proto ipv6-icmp all icmp6-type neighbrsol keep state
      pass quick inet6 proto ipv6-icmp all icmp6-type neighbradv keep state
      pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type echorep keep state
      pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type routersol keep state
      pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type routeradv keep state
      pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type neighbrsol keep state
      pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type neighbradv keep state
      pass out quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type echorep keep state
      pass out quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type routersol keep state
      pass out quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type routeradv keep state
      pass out quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type neighbrsol keep state
      pass out quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type neighbradv keep state
      pass in quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type echoreq keep state
      pass in quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type routersol keep state
      pass in quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type routeradv keep state
      pass in quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type neighbrsol keep state
      pass in quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type neighbradv keep state
      pass in quick inet6 proto ipv6-icmp from ff02::/16 to fe80::/10 icmp6-type echoreq keep state
      pass in quick inet6 proto ipv6-icmp from ff02::/16 to fe80::/10 icmp6-type routersol keep state
      pass in quick inet6 proto ipv6-icmp from ff02::/16 to fe80::/10 icmp6-type routeradv keep state
      pass in quick inet6 proto ipv6-icmp from ff02::/16 to fe80::/10 icmp6-type neighbrsol keep state
      pass in quick inet6 proto ipv6-icmp from ff02::/16 to fe80::/10 icmp6-type neighbradv keep state
      pass in quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type echoreq keep state
      pass in quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type routersol keep state
      pass in quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type routeradv keep state
      pass in quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type neighbrsol keep state
      pass in quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type neighbradv keep state
      block drop log quick inet proto tcp from any port = 0 to any
      block drop log quick inet proto udp from any port = 0 to any
      block drop log quick inet proto tcp from any to any port = 0
      block drop log quick inet proto udp from any to any port = 0
      block drop log quick inet6 proto tcp from any port = 0 to any
      block drop log quick inet6 proto udp from any port = 0 to any
      block drop log quick inet6 proto tcp from any to any port = 0
      block drop log quick inet6 proto udp from any to any port = 0
      block drop log quick from <snort2c>to any label "Block snort2c hosts"
      block drop log quick from any to <snort2c>label "Block snort2c hosts"
      block drop in log quick proto tcp from <sshlockout>to (self) port = 8122 label "sshlockout"
      block drop in log quick proto tcp from <webconfiguratorlockout>to (self) port = https label "webConfiguratorlockout"
      block drop in log quick from <virusprot>to any label "virusprot overload table"
      block drop in log on ! em0 inet from 188.113.156.0/24 to any
      block drop in log inet from 188.113.156.235 to any
      block drop in log on em0 inet6 from fe80::9c32:a0ff:fe9c:7c91 to any
      pass in on em0 proto udp from any port = bootps to any port = bootpc keep state label "allow dhcp client out WAN"
      pass out on em0 proto udp from any port = bootpc to any port = bootps keep state label "allow dhcp client out WAN"
      block drop in log on ! em1 inet from 192.168.0.0/24 to any
      block drop in log inet from 192.168.0.1 to any
      block drop in log on em1 inet6 from fe80::c0e:5fff:fe44:9ca1 to any
      pass in quick on em1 inet proto udp from any port = bootpc to 255.255.255.255 port = bootps keep state label "allow access to DHCP server"
      pass in quick on em1 inet proto udp from any port = bootpc to 192.168.0.1 port = bootps keep state label "allow access to DHCP server"
      pass out quick on em1 inet proto udp from 192.168.0.1 port = bootps to any port = bootpc keep state label "allow access to DHCP server"
      pass in on lo0 inet all flags S/SA keep state label "pass IPv4 loopback"
      pass out on lo0 inet all flags S/SA keep state label "pass IPv4 loopback"
      pass in on lo0 inet6 all flags S/SA keep state label "pass IPv6 loopback"
      pass out on lo0 inet6 all flags S/SA keep state label "pass IPv6 loopback"
      pass out inet all flags S/SA keep state allow-opts label "let out anything IPv4 from firewall host itself"
      pass out inet6 all flags S/SA keep state allow-opts label "let out anything IPv6 from firewall host itself"
      pass out route-to (em0 188.113.156.1) inet from 188.113.156.235 to ! 188.113.156.0/24 flags S/SA keep state allow-opts label "let out anything from firewall host itself"
      pass in quick on em1 proto tcp from any to (em1) port = https flags S/SA keep state label "anti-lockout rule"
      pass in quick on em1 proto tcp from any to (em1) port = http flags S/SA keep state label "anti-lockout rule"
      pass in quick on em1 proto tcp from any to (em1) port = 8122 flags S/SA keep state label "anti-lockout rule"
      pass in on em0 inet proto tcp from any to 188.113.156.235 port = pptp flags S/SA modulate state label "allow pptpd 188.113.156.235"
      pass in on em0 proto gre all keep state label "allow gre pptpd"
      anchor "userrules/*" all
      pass on em0 inet proto tcp from any to any port = 8006 flags S/SA keep state label "USER_RULE"
      pass on em1 inet proto tcp from any to any port = 8006 flags S/SA keep state label "USER_RULE"
      pass in quick on openvpn all flags S/SA keep state label "USER_RULE: OpenVPN pfsense_openVPN_server wizard"
      pass in quick on pptp inet all flags S/SA keep state label "USER_RULE"
      pass in quick on em0 reply-to (em0 188.113.156.1) inet all flags S/SA keep state label "USER_RULE"
      pass in quick on em0 reply-to (em0 188.113.156.1) inet from 89.188.243.66 to 188.113.156.235 flags S/SA keep state label "USER_RULE: Easy Rule: Passed from Firewall Log View"
      pass in quick on em0 reply-to (em0 188.113.156.1) inet proto udp from any to 188.113.156.235 port = 8123 keep state label "USER_RULE: OpenVPN pfsense_openVPN_server wizard"
      pass in quick on em1 inet proto tcp from <yes>to 188.113.156.0/24 flags S/SA keep state label "USER_RULE: Group3 - speed unlimited"
      pass in quick on em1 inet proto udp from <yes>to 188.113.156.0/24 keep state label "USER_RULE: Group3 - speed unlimited"
      block drop in quick on em1 inet from <no>to 192.168.0.1 label "USER_RULE: Group2 - speed 0mb"
      pass in quick on em1 inet from <no>to any flags S/SA keep state label "USER_RULE" dnpipe(4, 3)
      pass in quick on em1 inet from <1MB> to ! (self) flags S/SA keep state label "USER_RULE: 1 mb" dnpipe(1, 2)
      pass in quick on em1 inet proto tcp from <1MB> to ! (self) flags S/SA keep state label "USER_RULE: 1mb" dnpipe(1, 2)
      pass in quick on em1 inet proto udp from <1MB> to ! (self) keep state label "USER_RULE: 1mb" dnpipe(1, 2)
      pass in quick on em1 inet all flags S/SA keep state label "USER_RULE"
      pass in quick on em1 inet from 192.168.0.0/24 to any flags S/SA keep state label "USER_RULE: Default allow LAN to any rule"
      anchor "tftp-proxy/*" all
      anchor "miniupnpd" all
      pass in quick on em1 proto tcp from any to ! (em1) port = http flags S/SA keep state
      pass in quick on em1 proto tcp from any to ! (em1) port = 3128 flags S/SA keep state
      pass in quick on pptp inet proto tcp from any to ! 127.0.0.1 port = 3128 flags S/SA keep state</no></no></yes></yes></virusprot></webconfiguratorlockout></sshlockout></snort2c></snort2c> 
      

      В чем может быть проблема?
      Срочно нужна помощь, так как уже давно длится проблема, диагностика и танцы с бубном уже не помогают: сервер может некорректно функционировать и после перезагрузки, а может заработать как положено. :)

      В аттаче логи pfsense и proxmox, замечу, что зависал в районе 16:30.
      SyslogCatchAll-2015-07-04.txt
      SyslogCatchAll-ProxmoxFull-2015-07-04.txt

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        1. Выключите все вирт. машины и обновите Proxmox (как вариант - перейти на бету 4-ки). После - перезагрузите гипервизор.
        2. Рекомендую сменить тип сетевого адаптера с паравиртуального на e1000. Проверить работоспособность.

        Есть опыт работы с pf в кач-ве вирт. машины на Proxmox (kvm) с приличными (Intel, broadcom) сетевыми картами. Проблем замечено не было.

        И еще - есть ли свитчи ? Может с ними проблемы? Как вариант - смените порт на свитче. Если есть возможность мониторить свитч (snmp) - отследите.

        P.s. В гугле - proxmox pfsense (с) ваш Кэп.

        P.s2. По ссылке внизу скрипт миграции свежеустановленного Proxmox на софт-рейд уровней 1,5,10.

        http://forum.proxmox.com/threads/14299-German-HowTo-Proxmox-VE-3-0-with-Software-RAID

        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by

          http://joealdeguer.com/how-to-virtualize-pfsense-firewall-including-using-virtio-drivers/

          https://forum.pfsense.org/index.php?topic=88858.0

          Disable tx offloading on the pfSense interfaces on the hypervisor side and you're good to go. If you want to overkill is, disable tx offloading on the whole bridge, or all bridges.

          If your bridge were to be called lan-br, you would run: sudo ethtool -K lan-br tx off

          –----

          I'll have read up on how to make the ethtool changes permanent. On Debian/Ubuntu, in /etc/network/interfaces, simply add:

          iface vmbr0 inet static
                  address  192.168.121.33
                  netmask  255.255.255.0
                  gateway 192.168.121.1
                  post-up /sbin/ethtool -K $IFACE tx off

          Other distro's will have similar mechanisms.

          Also: pfSense has the option to turn "Hardware Checksum Offloading" off.  Check it under System: Advanced: Networking


          Is it not enough to just uncheck the box in the pfsense VM for tx offloading?
          –--------------------

          No it is not. The problem isn't with pfSense, but with packets from the other VM's not having correct checksums and getting dropped inside the netfront driver on BSD.

          Packets for pfSense need to have a correct checksum before they reach any pfSense virtual interface.

          1 Reply Last reply Reply Quote 0
          • I
            ilya.rockitin
            last edited by

            Мы поменяли машинку, на котором стоял Pfsense: поставили напрямую без Proxmox, как итог, gateway проработал около 8 часов, потом LAN вновь отвалился.
            Проблемы с портом на свитче? Мы уже пробовали менять порт.
            Гуглить я тоже умею: checksum offload можно отключить через GUI в Pfsense, - если эта фича не работает, то зачем этот чекбокс нужен? В любом случае не помогло.
            "Рекомендую сменить тип сетевого адаптера с паравиртуального на e1000. Проверить работоспособность" - у нас был не паравиртуальный адаптер, а e1000e, что тоже не спасло.

            При чём отваливается LAN в примерно одинаковое время и поднимается тоже в примерно одинаковое время, как такое может быть?

            Сейчас следующие сетевые интерфейсы:

            RealTek 8168/8111 B/C/CP/D/DP/E/F/G PCIe Gigabit Ethernet - LAN
            RealTek 8139 10/100BaseTX - WAN

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              @ilya.rockitin:

              Сейчас следующие сетевые интерфейсы:

              RealTek 8168/8111 B/C/CP/D/DP/E/F/G PCIe Gigabit Ethernet - LAN
              RealTek 8139 10/100BaseTX - WAN

              Т.е. исп. офисные сетевые адаптеры (а тем более RealTek 8139) на "сервере" Вы хотите не иметь проблем? На пальцах объясню.
              Покупая Ладу требуете от нее того же кач-ва, что пресуще Мерседесу ?

              Душите свое пресмыкающееся (класс Reptilia), приобретайте Intel, broadcom и живите спокойно.

              P.s. Вы же гуглом Вы пользоваться умеете (?)

              1 Reply Last reply Reply Quote 0
              • I
                ilya.rockitin
                last edited by

                У нас небольшой офис, парк из 20 машин, малый трафик: ваши нападки не обоснованы. Шлюз работает строго в определённые часы, а потом виснит, разве это в целом проблема железа? На Ладе можно и мешки картошки возить, не требуя комфорта и скорости.

                Вы не внимательны: до этого у нас был установлен сетевой адаптер Intel, драйвер e1000e, проблема возникла именно на этом железе, - так что же мне осталось установить по Вашему, чтобы получить Мерседес? Так-так, наверно broadcom, точно!

                Если вы не можете дать дельный совет, то зачем хамить? Хамство удел глупцов и людей слабым духом, крепитесь, и хамство исчезнет.

                К примеру, на официальном сайте для малого офиса ("The perfect entry level firewall/router for small networks and remote workers") рекомедуется железка с NIC от Realtek: https://www.pfsense.org/products/product-family.html#vk-t40e, - думаю, они вводят в заблуждение клиентов, напишите им скорей!

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by

                  @ilya.rockitin:

                  Вы не внимательны: до этого у нас был установлен сетевой адаптер Intel, драйвер e1000e, проблема возникла именно на этом железе, - так что же мне осталось установить по Вашему, чтобы получить Мерседес? Так-так, наверно broadcom, точно!

                  Я более чем внимателен. У вас Intel e1000e исп-ся как виртуальный адаптер для pfsense. В кач-ве физ. адаптера на Proxmox - у Вас Realtek.  Разницу чувствуете ?

                  Если вы не можете дать дельный совет, то зачем хамить? Хамство удел глупцов и людей слабым духом, крепитесь, и хамство исчезнет.

                  Дал более чем дельный совет. Повторюсь еще раз - купите\арендуйте\отожмите (нужное подчеркнуть) адаптер от intel\или др. какой и проверьте.

                  "Хамлю" еще. Советую отключить в БИОС всю не исп. периферию - com, lpt, usb, pci и т.д. Обновите БИОС мат. платы до последней версии и после сбросьте его в default. Так же переставьте дискретную сетевую в др. pci-разъем (чтобы сменить прерывание).

                  P.s. За то время, что Вы здесь со мной пререкаетесь - могли бы все эти варианты проверить. Сделайте.

                  P.s2. И да, пытаюсь помочь Вам ,пока что, только я.  Цените это.

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    Гуглить я тоже умею: checksum offload можно отключить через GUI в Pfsense, - если эта фича не работает, то зачем этот чекбокс нужен? В любом случае не помогло.

                    Снова читаете между строк. Это необходимо делать и на физ. интерфейсе (в debian) и на виртуальном (в pfsense). Предварительно выключив все ВМ на proxmox.

                    Но сперва обновить БИОС мат. платы, заменить сетевую карту и вставить ее в др. pci-слот.

                    P.s. И заканчивайте минусить меня втихаря  ;) Проверьте все советы - не сработают, тогда честно влепите минус.

                    1 Reply Last reply Reply Quote 0
                    • I
                      ilya.rockitin
                      last edited by

                      Спасибо за советы :)
                      Я не минусовал, в том смысле, я даже не знаю, как тут минусовать, а если знал бы, то мне это вряд ли помогло в решении проблемы :)

                      Снова читаете между строк. Это необходимо делать и на физ. интерфейсе (в debian) и на виртуальном (в pfsense). Предварительно выключив все ВМ на proxmox.

                      • Самое смешное, что я сделал и так, и эдак :)
                        Я даже поменял порядок запуска сервисов в proxmox: сначала запускается OpenVZ, а затем Networking, так как proxmox зависит от gateway, который сидит в контейнере в качестве Pfesense :)

                      Потом, как я уже упоминал, я сменил железку и накатил pfsense без proxmox: да, NIC от Realtek, да, возможно, они не к чёрту, хотя сами ребята из pfsense выпускают железки с NIC Realtek, но, как итог, это не помогло, сменили порт на свитче, сменили свитч (воткнули в другой порт в соседний свитч), не помогло! Вывод - очень маленькая вероятность, что проблема в железе.

                      И самая феерия заключается в том, что pfsense оживает, как по часам - в 08:16-8:30 утра. Как такое возможно?!

                      Благодарю за помощь, просто я уже все варианты практически попробовал: осталось переставить всё заново, накатить самую последнюю версию pfsense, попробовать взять воткнуть навороченный NIC от Intel, к примеру,  что-нибудь в этом духе http://www.intel.com/content/www/us/en/ethernet-products/gigabit-server-adapters/ethernet-server-adapter-i350.html. Если все эти танцы с бубном не помогут, то я не знаю уже, выкину этот pfsense в окно, терпение имеет свой предел :)

                      Ещё раз, благодарю за советы!

                      Но вот тут есть проблема с использование CARP-функционала, симптомы похожие (https://forum.pfsense.org/index.php?topic=93941.0), и хотя мы не задействуем CARP, то всё же последнее, что остаётся - это заменить на более свежую, последнюю версию pfsense.

                      1 Reply Last reply Reply Quote 0
                      • P
                        pigbrother
                        last edited by

                        Попробуйте также 2.1.5 - последнюю из ветки 2.1.х

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by

                          Свитчи - управляемые? Может где петля ? Кабель от провайдера идет в LAN\WAN напрямую в pf или сперва в др. уст-во ?

                          И самая феерия заключается в том, что pfsense оживает, как по часам - в 08:16-8:30 утра. Как такое возможно?!

                          Он весь день лежит? Или ложиться с периодичностью?

                          1 Reply Last reply Reply Quote 0
                          • I
                            ilya.rockitin
                            last edited by

                            Нет, ложится LAN pfsense вечером, часов в 9-10, а просыпается в районе в 8-8:30 :)
                            В остальное время он работает стабильно, как часы.
                            Дело не в свитчах, так как до этого, вместо pfsense мы вешали на коммутатор провайдера 68 Asus для проверки скорости и качества, и также запускали его в общую сеть. А потом уже нам настроили это "добро", а мне поручили его саппорт.
                            Возможно, выставлен какой-то таймаут на отключение LAN или политика безопасности настроена неверно, хотя какая там политика? Обычный  аналог iptables.
                            Просто мистика: я не перезагружал, не рестартил networking service, а просто следил, когда начнут возвращаться пакеты, и они стали возвращаться в 8:29 утра :) Должен заметить, до этого ICMP пакеты проходили раз в 5 минут с большой задержкой.

                            Просто феерия.  ;D

                            1 Reply Last reply Reply Quote 0
                            • werterW
                              werter
                              last edited by

                              А пакет cron не установлен ли ? Может с нем есть какой-то скрипт ?

                              Все же не мучайтесь. Сливайте бэкап\ делайте скрины правил правил и настроек, разворачивайте с новья, проверяйте рабоспособность и только потом заливайте бэкап.

                              P.s . Покажите скрины правил fw (LAN\WAN). Именно скрины.

                              1 Reply Last reply Reply Quote 0
                              • I
                                ilya.rockitin
                                last edited by

                                Cron, конечно, поставлен: под его указку крутится куча скриптов.
                                Вот список правил и снимок со скриптами cron: https://flic.kr/s/aHskgdKAy6.
                                Возможно, проблема упирается в скрипт подсчёта траффика в связке c lightsquid, SQStat и ipcad.
                                Попробую всё вырубить по завершению раб дня.

                                Ещё раз спасибо за отзывчивость!

                                1 Reply Last reply Reply Quote 0
                                • werterW
                                  werter
                                  last edited by

                                  Не имеет отношение к проблеме, но всё же:

                                  1. 3-е снизу правило на LAN разрешает всё.
                                  2. Первое сверху правило на WAN уже разрешает всё. И что делает 2-е правило сверху ?

                                  1 Reply Last reply Reply Quote 0
                                  • I
                                    ilya.rockitin
                                    last edited by

                                    Есть избыточность с правилами, но это ничего не объясняет, в WAN описано правило для ssh-туннеля, как я понимаю: сервак не я один "кручу".
                                    Поставили последнюю версию 2.2.3-RELEASE (amd64) built on Tue Jun 23 16:37:42 CDT 2015 FreeBSD 10.1-RELEASE-p13 с минимальной конфигурацией, посмотрим, как он доживет до утра :)

                                    Новая версия 2.2.3 Pfsense дожила до утра.

                                    1 Reply Last reply Reply Quote 0
                                    • werterW
                                      werter
                                      last edited by

                                      Вы "на чистую" ставили 2.2.3 или обновлялись ? Если "чистая" падает, то с 90% вер-ти - железо (сетевые). Меняйте.

                                      P.s. Очень надеюсь, что всю лишнюю перефирию в БИОС отключили и сет. карту в другой PCI-слот воткнули.

                                      1 Reply Last reply Reply Quote 0
                                      • I
                                        ilya.rockitin
                                        last edited by

                                        На чистую, всё работает вторые сутки на том же железе. =) Пока не устанавливаем лишних скриптов: максимально простая рабочая версия.
                                        Буду разбираться со старым снимком Pfsense.

                                        Спасибо за советы!

                                        1 Reply Last reply Reply Quote 0
                                        • werterW
                                          werter
                                          last edited by

                                          @ilya.rockitin:

                                          На чистую, всё работает вторые сутки на том же железе. =) Пока не устанавливаем лишних скриптов: максимально простая рабочая версия.
                                          Буду разбираться со старым снимком Pfsense.

                                          Спасибо за советы!

                                          Отключайте по очереди скрипты (особенно - самописные) и проверяйте.

                                          1 Reply Last reply Reply Quote 0
                                          • I
                                            ilya.rockitin
                                            last edited by

                                            В общем, сменили, как я уже писал, на чистую конфигурацию (2.2.3). Как итог, проработал около 4 суток, а с утра 20 числа опять подвис. В логах попрежнему молчок.  >:(

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.