Криво ходит HTTP и FTP трафик через шлюз PFSense 2.2.2

vasyandr · Oct 1, 2015, 9:02 AM

Коллеги, здравствуйте! Вторую неделю бьюсь над проблемой настройки PFsense-а 2.2.2 как корпоративного шлюза с отказоустойчивым интернетом… :-
Имеются два WAN (два провайдера - МЕГАФОН и ВЭБПЛАС) и LAN. Балансировка шлюзов включена, все необходимые галочки вроде поставлены. Маршрут по умолчанию прописан.
Глюк проявляется в следующем: делаю nslookup yandex.ru - отрабатывается команда на ура. Захожу на сайт яндекса тоже без проблем.
Делаю nslookup adobe.ru - отрабатывается команда на ура. Захожу на сайт adobe.com/ru/ - в браузере только белый экран. И так происходит с разными сайтами. Одни сайты нормально загружаются, а другие нет. При этои nslookup отрабатывается без ошибок и трасеровка тоже для любого сайта. При этом невозможно ничего загрузить с любого сайта. :'(
Поможите пожалуйста разобраться с проблемой. ;) "Мозги закипают..."
Конфигурационный файлик прикрепил к топику. Премного благодарен Вам за ответ!
config-pfSense.local.rond.net-20151001113829.zip

k0st1k · Oct 1, 2015, 12:36 PM

а трасировка что кажет во время проблем?
по какому мануалу настраивал балансировку?

vasyandr · Oct 1, 2015, 12:54 PM

В том-то и дело, что не трасировка ни nslookup никаких проблем не выявляет. А настраивал систему со спецом, который не один год ее у себя в конторе использует.
Т.е. по диагностике nslookup, tracert, ping всё ОК, а сайты какие-то грузяться, а какие-то нет. Скачка данных не работает с любого сайта…

vasyandr · Oct 1, 2015, 12:56 PM

Тут даже дело может быть не в балансировке… Потому как её отключал и тестил систему только с 1-м WAN-ом в разных комбинациях... Подозрение, что через pfsens трафик HTTP и FTP не ходит или ходит, но не так как нужно.

werter · Oct 1, 2015, 1:04 PM

Доброе время суток.
Вкл. ли stickly connection в настройках pf? Какие пакеты установлены в системе?

k0st1k · Oct 1, 2015, 1:05 PM

очень странно выходит, а прокси служба случаем не поднята? ради интереса запустите mtr натравив его на яндекс к примеру

vasyandr · Oct 1, 2015, 1:16 PM

stickly connection включена…. Что значит какие пакеты? Скачал образ NanoUSB 4 Gb , залил на флеху и все. В сети прокси никакой нет.

k0st1k · Oct 1, 2015, 1:18 PM

System: Packages - Installed Packages

есть что нибудь?

vasyandr · Oct 1, 2015, 1:22 PM

НЕт

werter · Oct 1, 2015, 1:40 PM

Есть ли в логах пф что-то со словами error ?

Балансировка шлюзов включена, все необходимые галочки вроде поставлены.

Покажите скрины правил fw \ gateway group

vasyandr · Oct 1, 2015, 2:35 PM

Error-ы не заметил
Скрины выложил…

werter · Oct 1, 2015, 3:18 PM

У меня еще так в general :

P.s. 2 vasyandr Просьба скрины меньшего размера выкладывать. Greenshot в помощь.

Shraik · Oct 1, 2015, 4:22 PM

MTU проверяли ?
"непроходимость некоторых сайтов" характерный для MTU глюк

vasyandr · Oct 1, 2015, 7:33 PM

Так а что его проверять… (MTU)? Да и как его проверить?
Я воткнул значение 1500, сохранил конфигурацию, проверил работу - ... без изменений :-(

Shraik · Oct 2, 2015, 3:41 AM

изнутри сети сделайте до глючных серверов

из винды вроде так
ping -f -l 1500 ххх.ххх.ххх.ххх

будет стабильно идти, проблема не в этом.

vasyandr · Oct 2, 2015, 8:06 AM

Попробовал как Вы сказали… Система на ПК пользователя написала:

C:\Users\panov>ping -f -l 1500 216.146.46.11

Обмен пакетами с 216.146.46.11 по с 1500 байтами данных:
Требуется фрагментация пакета, но установлен запрещающий флаг.
Требуется фрагментация пакета, но установлен запрещающий флаг.
Требуется фрагментация пакета, но установлен запрещающий флаг.
Требуется фрагментация пакета, но установлен запрещающий флаг.

Статистика Ping для 216.146.46.11:
Пакетов: отправлено = 4, получено = 0, потеряно = 4
(100% потерь)

pigbrother · Oct 2, 2015, 8:33 AM

Проверил - с локального компьютера за pfSense пакет 1500 без фрагментации тоже не пролазит. Максимум - 1460.
Тем не менее проблем ни с HTTP ни c FTP, ни с чем-либо еще локальная сеть не испытывает.
PPPOE, MTU не задан.
Однако попробовать уменьшить MTU можно.

werter · Oct 2, 2015, 10:29 AM

@vasyandr:

Попробовал как Вы сказали… Система на ПК пользователя написала:

C:\Users\panov>ping -f -l 1500 216.146.46.11

Обмен пакетами с 216.146.46.11 по с 1500 байтами данных:
Требуется фрагментация пакета, но установлен запрещающий флаг.
Требуется фрагментация пакета, но установлен запрещающий флаг.
Требуется фрагментация пакета, но установлен запрещающий флаг.
Требуется фрагментация пакета, но установлен запрещающий флаг.

Статистика Ping для 216.146.46.11:
Пакетов: отправлено = 4, получено = 0, потеряно = 4
(100% потерь)

Какой тип подключения исп-ся? MTU при pppoe=1500-28=1472 байта

И да, вопросы по размеру mtu - к провайдеру.

vasyandr · Oct 2, 2015, 4:08 PM

Я так понимаю вариантов решения проблемы больше нет? ;-)

pigbrother · Oct 3, 2015, 9:22 AM

@vasyandr:

Я так понимаю вариантов решения проблемы больше нет? ;-)

Отказаться на время от балансировки, оставив только одного провайдера.
Установить для теста вместо pfSense любой железный роутер. Убедиться что проблемы остались\исчезли.
Исчезли - установить pfSense на другое железо, попробовать pfSense другой версии\редакции.