Не роутятся пакеты на некоторые сети. Начи

vicpryl

Стоял pfSense 2.0.1 - все работало нормально.
Обновился до 2.0.2 - пропал доступ к imap.gmail.com.
Вернулся обратно на 2.0.1 - все работает.

Переход на 2.0.3. - тоже не работает.

В итоге удалось методом научного тыка обнаружить, что, как минимум на IP-адреса из сети 74.125.143.* не проходят пакеты через pfSense версии выше 2.0.1

В файрволе никаких упоминаний об этой сети НЕТ.

Пинг через вебGUI с интерфейса WAN - идет.
Пинг через вебGUI с интерфейса LAN - НЕ идет.

Где искать проблему?

P.S. На всякий случай сохранил конфиг с версии 2.0.1 (работающей) и загрузил в вервию 2.0.3 (полученую апгрейдом из 2.0.1) - не помогло. В самом конфиге тоже нет упоминаний о проблемной сети.

pigbrother

Проверил у себя.

2.0.2-RELEASE (i386)  c патчем ppp_dns_fix

Ping из WebGUI, интрфейс LAN

Ping output:

PING gmail-imap.l.google.com (173.194.70.109) from 10.0.2.111: 56 data bytes
64 bytes from 173.194.70.109: icmp_seq=0 ttl=49 time=49.881 ms
64 bytes from 173.194.70.109: icmp_seq=1 ttl=49 time=50.412 ms
64 bytes from 173.194.70.109: icmp_seq=2 ttl=49 time=50.414 ms

–- gmail-imap.l.google.com ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 49.881/50.236/50.414/0.251 ms

vicpryl

У меня на других pfsense тоже все работает.

Проблема именно в одном КОНКРЕТНОМ сервере.

Вопрос ГДЕ искать и исправить?

vicpryl

Поставил 2.0.3 с нуля. Поднял только WAN и LAN интерфейсы - пакеты на проблемные сети ходят.

Похоже, что собака могла порыться в конфигурациях OpenVPN.
Каким образом - не понятно.
Почему с одинм и тем же конфигом 2.0.1 нормально работает, а 2.0.3 - блокирует пакеты и шлет их в неизвестном направлении.

vicpryl

Идея была правильная.
Отключение одного из 6 OpenVPN серверов - лечит проблему.

Но самое главное этот сервер не имеет никакого отношения к указанным сетям!!!

UPD: все несколько сложнее - отключение сервера не дает МГНОВЕННОГО эффекта. Похоже что строится какая-то динамическая маршрутизация и не сразу.

pigbrother

Закончите (желаю успеха) расследование - отпишитесь, в чем же дело.

vicpryl

@pigbrother:

Закончите (желаю успеха) расследование - отпишитесь, в чем же дело.

Я бы с удовольствием.
Но кончились идеи ГДЕ искать.
В таблице роутинга - все нормально.
В правилах pf - тоже кринминала не вижу или плохо смотрю.

Лезть в исходники - квалификация не та…

netormoz

Может быть, надо на проблемном  pfsense прописать в качестве первого DNS 8.8.8.8 и на openvpn клиентах тоже?

vicpryl

@netormoz:

Может быть, надо на проблемном  pfsense прописать в качестве первого DNS 8.8.8.8 и на openvpn клиентах тоже?

Хм…
А каким боком тут может быть DNS-сервер?

Хотя на самом деле именно гугловские DNS давно прописаны.

netormoz

Потому что проблема с маршрутизацией перекрыла бы весь белый интернет, а не отдельные IP.
Все клиенты ходят в Инет через openvpn на pfsense?
Я повторяю вопрос: какой DNS прописан у клиентов?
Показывай вывод tracert от клиента до проблемного IP.

vicpryl

@netormoz:

Потому что проблема с маршрутизацией перекрыла бы весь белый интернет, а не отдельные IP.
Все клиенты ходят в Инет через openvpn на pfsense?
Я повторяю вопрос: какой DNS прописан у клиентов?

У клиентов приписан в качестве DNS - адрес pfsense - 192.168.0.1
@netormoz:

Показывай вывод tracert от клиента до проблемного IP.

при включенных 6-ти OpenVPN:

H:>tracert imap.gmail.com

Трассировка маршрута к gmail-imap.l.google.com [74.125.143.108]
с максимальным числом прыжков 30:

1    <1 мс    <1 мс    <1 мс  192.168.0.1
  2    *        *        *    Превышен интервал ожидания для запроса.
  3    *        *    192.168.0.1  сообщает: Заданный узел недоступен.

Трассировка завершена.

Задизейблил три OpenVPN сервера:

C:>tracert imap.gmail.com

Трассировка маршрута к gmail-imap.l.google.com [74.125.143.108]
с максимальным числом прыжков 30:

1    <1 мс    <1 мс    <1 мс  192.168.0.1
  2    3 ms    4 ms    7 ms  stat.promenergo.ru [77.108.89.1]
  3    <1 мс    <1 мс    <1 мс  10.255.255.33
  4    1 ms    <1 мс    1 ms  c1.promenergo.ru [62.117.87.42]
  5    5 ms    3 ms    3 ms  iki-crs.comcor.ru [62.117.100.73]
  6    26 ms    26 ms    27 ms  74.125.51.81
  7    17 ms    17 ms    17 ms  209.85.250.222
  8    17 ms    17 ms    17 ms  209.85.249.79
  9    23 ms    23 ms    23 ms  72.14.233.170
10    *        *        *    Превышен интервал ожидания для запроса.
11    17 ms    17 ms    17 ms  la-in-f108.1e100.net [74.125.143.108]

Трассировка завершена.

netormoz

Включите 6 openvpn
Дайте ДНС клиенту  принудительно  в настройках сетевой карты 8.8.8.8
Снова сделайте tracert

werter

Таблицу маршрутизацию покажите при всех включенных OpenVPN и при отключенном проблемном.