PfSense se cae la conexion de Internet constantemente
-
Buen dia foreros,
Es la 1era vez que posteo y realmente cuando posteo es porque ya no se que mas hacer, narro mi problema, espero ser breve y claro…
Tengo un servidor Citrix XenServer 6.2 con Windows Server 2008 R2, pfSense 2.0.3-RELEASE (amd64) y Windows 7 Professional todos virtualizados, el problema de manera concreta es que por alguna razon de un momento a otro todos los usuarios (aprox. 60) quedan sin Internet y despues vuelve y asi es todo el dia principalmente cuando todos estan trabajando, en las horas que hay menos gente el Internet funciona perfecto.
Al principio se penso que era problema de switches y conexiones pero se realizaron varios cambios y el problema sigue, de hecho Windows 7 que esta virtualizado no usa ningun switch para conectarse hacia el pfSense y tambien se cae el Internet, por lo que me da por pensar que existe un problema en la red que bloquea a pfSense y deja de funcionar, no se si sea tema de ataque informatico o algo asi.
La IP de pfSense es 192.168.1.15 y cuando se cae el Internet esta IP haciendole ping no responde, se cambio el cable de red, se cambio la tarjeta de red y nada!!
Alguien me puede dar una luz sobre lo que puede estar pasando en este caso. No se si sea tema de escanear la red en busca de ataque hacia pfSense de algun usuario o no se. Que puede estar pasando?
Agradezco mucho la atencion y ayuda que me puedan brindar
Saludos
-
Que dicen tus logs?
algun norte?
durante ese tiempo, si tienes acceso a la consola, que le pasa a el, pierde conexion con tu lan?
que servicios tienes con el?
tu provedor es pppoe, dhcp, etc?
saludos. -
Hola,
Gracias por tu tiempo…
-
Tengo acceso solo desde Windows Server 2008 R2 a la consola http://192.168.1.15
-
Los servicios que tengo son Proxy Server (squid), Proxy Filter (squid-guard), NTP System Clock (ntpd) y DNS Forwarder (dnsmasq)
-
Mi proveedor es una conexion por fibra y me dan una direccion IP el cual debo establecer estaticamente, mientras se cae el Internet local el del proveedor permanece Online
Basicamente no se interpretar bien los logs que me arroja, me llama la atencion este cuadro:
–
Source IPs data
190.158.208.86 1169
186.86.240.253 282
181.135.226.57 198
186.84.62.67 116
181.134.134.125 66
Other 187Pero no se si es normal o no?
Necesitas algun dato adicional
Estare muy pendiente
Saludos
-
-
Este es un pantallazo de los logs del firewall por si sirve de ayuda o guia….
-
Tienes varios servicios corriendo, divide y venceras.
Tu maquina sacala del proxy, a lo mejor uno de tus servicios es el del problema.
Por el momento dejala asi, a lo mejor el proxy llega a su limite y tumba el servicio, pero tu maquina fuera podras saber si son alguno de tus servicios u otra cosa.
Ahora comentas que tienes pfsense virtualizado, cuando es sucede como esta el host y las otras VM, no estas saturadas?
Por ello es importante leer los logs de squid, squidguard, access.log, cache.log si tienes cache esto es para squid.
dmesg para ver mensajes en tu consola, /var/log/system.log, pero para ello tienes que estar pegado a tu consola cuando se te va el servicio y empezar a tocar todos los pulsos de tu pfsense, estos son solo algunos de los que yo revisaria, por espacio no creo verdad? top idle cuando pasa como esta?
Al mismo tiempo como tienes vm's ver como esta el host, a lo mejor alguna otra que en algun momento se pone pesada que bloquea a las demas, pero esto tu lo vas a ver rapido cuando empieces a tocar sus pulsos.
No hay un log general ya que no todos los servicios usan el general, cada uno tiene el suyo..
Tambien cuando suceda, desde la consola, prueba dig para ver si hay desde el pfsense conexion con el mundo exterior, dig google.com ejemplo.
Saludos.
-
Hola, gracias por tu tiempo…
-
Basicamente los servicios que instale fueron squid y squidGuard el resto venian por default, creo que esta instalacion es basica
-
Te adjunto imagenes sobre el rendimiento de las VMs los cuales estan dentro de lo normal, estas imagenes fueron tomadas justo en el momento que se cayo el Internet (imagen1 y 2)
-
Revisando los logs del firewall vi que habian muchas peticiones externas con IPS publicas, entonces me dedique a la tarea de bloquear cada una de ellas y el servicio empezo a funcionar de nuevo para todos, pasaron 10 minutos y el servicio se volvio a caer…
-
El problema es que se generan demasiadas direcciones IPS publicas diferentes y bloquear una por una es muy dificil, creo que estoy en un caso de ataque informatico o porque podria estar pasando esto? no tenemos ningun servidor web ni nada, porque tanta peticion externa?
-
En este momento cree una regla que bloquea todo el trafico WAN de entrada y hasta el momento no se ha generado ningun log de accesos externos y el servicio esta funcionando normal
-
Llevo 20 mins y no se ha caido el servicio, lo unico es que a esta hora el trafico de la empresa a disminuido mucho ya que a esta hora empiezan a salir todos
En este momento solo hay peticiones locales (LAN) ya no hay mas peticiones externas, ya estare informando mañana si lo doy por solucionado o tengo un nuevo reporte
Gracias por la valiosa ayuda
Saludos
-
-
Hola,
Debo decir que hoy el problema persiste, lo raro es que se cae la conexion al proxy para unos usuarios pero para otros funciona normal
Alguna idea al respecto? Como hago para saber si algun PC de mi red local esta bloqueando el firewall? o lo esta atacando?
Gracias
-
Tus usuarios estan bajo el mismo switch o tienes varios switches?
A lo que voy si es algo interno a lo mejor, seria bueno que cuando se caiga veas si es siempre la misma zona?
A lo mejor en esa zona algun equipo tiene algo raro…
Por que eso de que se caiga para uno y no para otros no siento que sea el proxy...
Algun cable de algun equipo malo, nic, etc... analiza el caso... -
-
No, hay 4 switches conectados en cascada
-
Aveces la caida es por zonas y aveces se cae general, muy rara vez es una caida general, siempre es por zonas
-
No, yo se que no es el proxy, porque desde un servidor WS2008 siempre me puedo conectar y pfSense tiene todos sus servicios funcionando
-
Yo estoy pensando que algun PC o PCS estan enviando demasiado trafico o algun ataque de virus a la puerta de enlace (pfSense)
Hay alguna manera, de saber que PC esta consumiendo el mayor trafico y bloquea pfSense?
Tambien tengo la idea de bloquear todos los puertos de la red LAN y solo habilitar los necesarios que son: POP3, SMTP, DNS, etc. Si es una buena idea? o no me lo recomiendas?
Muchas gracias por tu tiempo
-
-
Cuando pasa algunos clientes no caen y sigue un cruzando por el proxy?
Ahora ya sacastes los reportes de squid y analizastes lo que hace cada equipo?
En tu fw LAN solo permite el trafico requerido para empezar y analizar lo logs del firewall.
Y revisas tus logs ahi tienen que venir los logs de los equipos de lan y logeado los puertos que desean contactar podria darte un norte.
Solo que tienes que tenerlos identificados fisicamente, cuando pase empezar a kitar y poner cables de esos clientes y ver si das con bola.
Ahora, comentas que atraves del host el pfsense ahi esta, pero cuando pasa desde tu maquina el puerto 3128 responde? si tienes prendido el dnsforward para tu lan, durante ese tiempo desde tu maquina el dns funciona?
En tu logs subele que te muestre unos 2000 entradas para que puedas ir viendo mas info y asi poder ver si das.
Saludos.
-
Bueno no habia respondido ya que he andado super ocupado con este problema… he hecho lo siguiente, pero no hay nada exacto que haya solucionado el problema
-
Restringi todo el acceso desde la LAN a la WAN, dejando solo los puertos completamente necesarios p.ej: POP3, SMTP, SSH, SSL, FTP. De resto cerre todo!!!, revisando logs del firewall si bloquea muchas conexiones a puertos 40008, 21391 y muchos mas, puertos que al parecer son virus
-
Instale el NMAP y SNORT. NMAP para escaneo de puertos y red y SNORT para detectar intrusos y movimientos sospechosos, pero lamentablemente no lo habia hecho antes y no lo se configurar muy bien. Tienes algun manual sobre esto?
-
Sabiendo como se maneja bien SNORT (IDS) puedo activar alertar que bloquean moviemientos sospechosos
-
El el log del registro aparecen miles de registros ARP desde una o varias IPS (adjunto imagen) esto me hace pensar que estoy siendo victima de un ataque ARP Spoof que es cuando una IP cambia la MAC Address y queda loco el envio y recepcion de paquetes
Contestando un poco tus preguntas:
-
El proxy siempre funciona, solo que algunos usuarios pierden la conexion a el, como si se perdieran las peticiones que le hacen
-
Como hago para sacar los reportes? con squidlight?
-
Ya lo hice, restringi solo para trafico requerido
-
Si, el puerto 3128 siempre responde y siempre funciona, en ningun momento se cae el servicio, solo se cae el acceso de algunos usuarios a el
Pienso que es un problema de ataque ARP Spoof que vuelve loco las peticiones entre los switches hacia el servidor y nunca llegan, se cambian las MAC Address y la tabla ARP queda mal
Cualquier ayuda quedo pendiente, ahorita estoy enfocado en hacer uso de SNORT (IDS) para manejar las alertas y que el firewall bloquee esa IP, pero no he podido
Saludos
-
-
Ese ip lo tienes identificado?
a lo mejor su tarjeta, cable anda valiendo klabaza o anda haciendo cosas turbias…
No uses lightsquid usa sarg es mejor, saludos. -
No lo raro es que no se sabe quien tiene esa IP, no aparece ningun nombre, se ha bloqueado por DHCP pero al hacer un escaneo con IP Tools siempre aparece y con diferente MAC, he bloqueado las MACs pero sigue apareciendo, al parecer esta configurada manualmente. Ya bloquee varios celulares que estaban conectados a la red, pero nada…
Aunque mi punto en cuestion es como es posible que de 70 usuarios, 1 o 2 esten con problemas y bloqueen la red??? eso la verdad ofende, la idea mia es tener una barrera como el IDS para bloquear este tipo de anomalias, pero no he podido configurar bien esto
Saludos y gracias por tu tiempo
-
Tus switches tienen manera de administrarse?
si es asi yo me conectaria a ellos y como son 4 no es mucho tiempo y buscar esos MAC en que puerto apuntan. -
Muchas gracias en serio, ya te envio el ID y contraseña de TeamViewer y te digo que IPS son la de los 3 switches, ya que el 4to no es administrable
Saludos
-
Una disculpa me desconecte y hasta hoy vi que me enviastes los datos para el teamviewer, ojala y este lunes podramos ponernos de acuerdo, yo ando en Tijuana para que tomes en cuenta el horario, salu2.
-
Listo perfecto, mañana te envió los datos de conexión
Saludos!
-
Patron, cuando guste, saludos!!!
-
Hola,
Mira es el mismo ID y la contraseña es 3888
Gracias!
-
Dale, estoy dentro!!!
