Подвисает Pfsense 2.2.1 в составе Proxmox 3.1.2

werter · Jul 10, 2015, 7:47 AM

Гуглить я тоже умею: checksum offload можно отключить через GUI в Pfsense, - если эта фича не работает, то зачем этот чекбокс нужен? В любом случае не помогло.

Снова читаете между строк. Это необходимо делать и на физ. интерфейсе (в debian) и на виртуальном (в pfsense). Предварительно выключив все ВМ на proxmox.

Но сперва обновить БИОС мат. платы, заменить сетевую карту и вставить ее в др. pci-слот.

P.s. И заканчивайте минусить меня втихаря ;) Проверьте все советы - не сработают, тогда честно влепите минус.

ilya.rockitin · Jul 12, 2015, 11:39 PM

Спасибо за советы :)
Я не минусовал, в том смысле, я даже не знаю, как тут минусовать, а если знал бы, то мне это вряд ли помогло в решении проблемы :)

Снова читаете между строк. Это необходимо делать и на физ. интерфейсе (в debian) и на виртуальном (в pfsense). Предварительно выключив все ВМ на proxmox.

Самое смешное, что я сделал и так, и эдак :)
Я даже поменял порядок запуска сервисов в proxmox: сначала запускается OpenVZ, а затем Networking, так как proxmox зависит от gateway, который сидит в контейнере в качестве Pfesense :)

Потом, как я уже упоминал, я сменил железку и накатил pfsense без proxmox: да, NIC от Realtek, да, возможно, они не к чёрту, хотя сами ребята из pfsense выпускают железки с NIC Realtek, но, как итог, это не помогло, сменили порт на свитче, сменили свитч (воткнули в другой порт в соседний свитч), не помогло! Вывод - очень маленькая вероятность, что проблема в железе.

И самая феерия заключается в том, что pfsense оживает, как по часам - в 08:16-8:30 утра. Как такое возможно?!

Благодарю за помощь, просто я уже все варианты практически попробовал: осталось переставить всё заново, накатить самую последнюю версию pfsense, попробовать взять воткнуть навороченный NIC от Intel, к примеру, что-нибудь в этом духе http://www.intel.com/content/www/us/en/ethernet-products/gigabit-server-adapters/ethernet-server-adapter-i350.html. Если все эти танцы с бубном не помогут, то я не знаю уже, выкину этот pfsense в окно, терпение имеет свой предел :)

Ещё раз, благодарю за советы!

Но вот тут есть проблема с использование CARP-функционала, симптомы похожие (https://forum.pfsense.org/index.php?topic=93941.0), и хотя мы не задействуем CARP, то всё же последнее, что остаётся - это заменить на более свежую, последнюю версию pfsense.

pigbrother · Jul 13, 2015, 8:48 AM

Попробуйте также 2.1.5 - последнюю из ветки 2.1.х

werter · Jul 13, 2015, 12:56 PM

Свитчи - управляемые? Может где петля ? Кабель от провайдера идет в LAN\WAN напрямую в pf или сперва в др. уст-во ?

И самая феерия заключается в том, что pfsense оживает, как по часам - в 08:16-8:30 утра. Как такое возможно?!

Он весь день лежит? Или ложиться с периодичностью?

ilya.rockitin · Jul 13, 2015, 11:01 PM

Нет, ложится LAN pfsense вечером, часов в 9-10, а просыпается в районе в 8-8:30 :)
В остальное время он работает стабильно, как часы.
Дело не в свитчах, так как до этого, вместо pfsense мы вешали на коммутатор провайдера 68 Asus для проверки скорости и качества, и также запускали его в общую сеть. А потом уже нам настроили это "добро", а мне поручили его саппорт.
Возможно, выставлен какой-то таймаут на отключение LAN или политика безопасности настроена неверно, хотя какая там политика? Обычный аналог iptables.
Просто мистика: я не перезагружал, не рестартил networking service, а просто следил, когда начнут возвращаться пакеты, и они стали возвращаться в 8:29 утра :) Должен заметить, до этого ICMP пакеты проходили раз в 5 минут с большой задержкой.

Просто феерия. ;D

werter · Jul 14, 2015, 6:10 AM

А пакет cron не установлен ли ? Может с нем есть какой-то скрипт ?

Все же не мучайтесь. Сливайте бэкап\ делайте скрины правил правил и настроек, разворачивайте с новья, проверяйте рабоспособность и только потом заливайте бэкап.

P.s . Покажите скрины правил fw (LAN\WAN). Именно скрины.

ilya.rockitin · Jul 15, 2015, 2:52 AM

Cron, конечно, поставлен: под его указку крутится куча скриптов.
Вот список правил и снимок со скриптами cron: https://flic.kr/s/aHskgdKAy6.
Возможно, проблема упирается в скрипт подсчёта траффика в связке c lightsquid, SQStat и ipcad.
Попробую всё вырубить по завершению раб дня.

Ещё раз спасибо за отзывчивость!

werter · Jul 15, 2015, 6:43 AM

Не имеет отношение к проблеме, но всё же:

1. 3-е снизу правило на LAN разрешает всё.
2. Первое сверху правило на WAN уже разрешает всё. И что делает 2-е правило сверху ?

ilya.rockitin · Jul 15, 2015, 6:40 AM

Есть избыточность с правилами, но это ничего не объясняет, в WAN описано правило для ssh-туннеля, как я понимаю: сервак не я один "кручу".
Поставили последнюю версию 2.2.3-RELEASE (amd64) built on Tue Jun 23 16:37:42 CDT 2015 FreeBSD 10.1-RELEASE-p13 с минимальной конфигурацией, посмотрим, как он доживет до утра :)

Новая версия 2.2.3 Pfsense дожила до утра.

werter · Jul 16, 2015, 6:54 AM

Вы "на чистую" ставили 2.2.3 или обновлялись ? Если "чистая" падает, то с 90% вер-ти - железо (сетевые). Меняйте.

P.s. Очень надеюсь, что всю лишнюю перефирию в БИОС отключили и сет. карту в другой PCI-слот воткнули.

ilya.rockitin · Jul 17, 2015, 5:25 AM

На чистую, всё работает вторые сутки на том же железе. =) Пока не устанавливаем лишних скриптов: максимально простая рабочая версия.
Буду разбираться со старым снимком Pfsense.

Спасибо за советы!

werter · Jul 17, 2015, 6:07 AM

@ilya.rockitin:

На чистую, всё работает вторые сутки на том же железе. =) Пока не устанавливаем лишних скриптов: максимально простая рабочая версия.
Буду разбираться со старым снимком Pfsense.

Спасибо за советы!

Отключайте по очереди скрипты (особенно - самописные) и проверяйте.

ilya.rockitin · Jul 19, 2015, 10:59 PM

В общем, сменили, как я уже писал, на чистую конфигурацию (2.2.3). Как итог, проработал около 4 суток, а с утра 20 числа опять подвис. В логах попрежнему молчок. >:(

ultra · Jul 27, 2015, 12:12 PM

Подскажите что за процесс pgrep? Грузит систему на 100% в составе proxmox. Помогает перезагрузка.