Problema trafico de salida en PfSense 2.2.6
-
Si entendí esta frase:
"Tenemos dos interfaces WAN (DHCP connectado a router Fibra Optica dentro del rango 192.168.2.0/24) y la LAN (IP FIJA 192.168.1.101)"
¿Significa que consideras tu interfaz LAN como una de tus dos WAN?.
De ser así sólo corrige la topología de tu red y el problema de velocidad se resolverá solo.
En tu anfitrión deberás configurar dos interfaces físicas (WAN y WAN2) y una interfaz LAN puenteada a tus máquinas virtuales huéspedes.
Saludos.
-
Hola.
Sí, para 2 interfaces wan en el pfsense la topología:
red local - siwtch A – interfaz lan pfsense -PFsense --- interfaz wan1 pfsense --cable directo- Gateway1
|---- interfaz wan2 pfsense - cable directo-- Gateway2Para una sola interfaz wan en el pfsense la topología:
red local - siwtch A -- interfaz lan pfsense -PFsense --- interfaz wan pfsense --siwtch B- Gateway1
--switch B-- Gateway2
Y pondría direccionamiento estático en la wan de pfsense:wan ipv4: 192.168.4.2/23
máscara 255.255.254.0ip red 192.168.4.0
ip broadcast 192.168.5.255
1º ip utilizable 192.168.4.1
última ip utilizable 192.168.5.254definiria los 2 gateways en el pfSense
( GW1 con ip 192.168.4.1/24, GW2 con ip 192.168.5.1/24)
gw1 192.168.4.1
gw2 192.168.5.1Crearia un grupo de gateways en system > routing > groups, llamado balanceo1 (com mismo tier tier1 y disparador de evento perdidas de paquetes y alta latencia)
(En System: Advanced: Miscellaneous > marcaria: Load Balancing Enable default gateway switching)
Definiria como gateway balanceo1 en las reglas que lo precisen del firewall en lan
Y en la LAN
interfaz lan del pfsense : 192.168.1.101/24
para clientes lan:
ip (o por dhcp del pfsense o fijas en la red 192.168.1.0/24)
gateway 192.168.1.101
dns 192.168.1.101Salu2
-
Si entendí esta frase:
"Tenemos dos interfaces WAN (DHCP connectado a router Fibra Optica dentro del rango 192.168.2.0/24) y la LAN (IP FIJA 192.168.1.101)"
¿Significa que consideras tu interfaz LAN como una de tus dos WAN?.
De ser así sólo corrige la topología de tu red y el problema de velocidad se resolverá solo.
En tu anfitrión deberás configurar dos interfaces físicas (WAN y WAN2) y una interfaz LAN puenteada a tus máquinas virtuales huéspedes.
Saludos.
Culpa mia, está mal escrita esa frase y es cierto que condu8ce a error.
La escribo de nuevo, pues creo que lo que estais diciendo no es lo que yo necesito, porque NO TENEMOS DOS WAN
Frase escrita de nuevo:
**"Tenemos dos interfaces .
Una WAN configurada con DHCP connectado a router MIKROTIK (este se encarga de asignar una IP dentro del rango 192.168.2.0/24)
y la otra a la que llamamos LAN configurada con IP FIJA 192.168.1.101)"Nuestro DC (192.168.1.210) es el que hace de DHCP server y asigna a todos los equipos del dominio el gateway 192.168.1.101 para que todos los equipos salgan a traves del PFSsense que está marcada la opcion de proxy transparente.
Lo que le pedimos al PFSense es que actua de proxy cache, y filtro de contenidos.
No queremos balanceo de carga, pues solo tenemos un router fibra optica (100Mb/10Mb)EL problema como explicaba antes es que si quito el GW de la interface LAN dep PFSense la velocidad disminuye a 30Mbs/10Mbs, mientras que si creo un GW nuevo en PFsense (192.168.1.1 IP del ROuter MIKROTIK) la velocidad se convierte en 100Mb/0Mbs …..es decir, bakamos a la velocidad real de nuestra fibra optica, pero perdemos la capacidad de subida, y en consecuencia dejan de funcionar sercivios como el envio de correos o la conexion Teamviewer de equipos externos.
A ver si ahora me he explicado mejor !!
P.D.:
-192.168.1.1, 192.168.2.1 , 192.168.10.2 (Router MIKROTIK)
-192.168.10.1 Router FIbra Optica
-192.168.1.210 Windows 2008 Server DC
-192.168.1.101 (LAN PFSense IP FIJA)
-192.168.2.XX (WAN PFSense DHCP asignada por router MIKROTIK)Si me decis como habeis hecho ese diagrama lo hago para que podais seguir ayundadome, porque yo realmente voy totsalmente pez y me cuesta seguir algunas cosas que decis**
-
Para una sola interfaz wan en el pfsense la topología:
red local - siwtch A – interfaz lan pfsense -PFsense --- interfaz wan pfsense --siwtch B- Gateway1
--switch B-- Gateway2
Y pondría direccionamiento estático en la wan de pfsense:wan ipv4: 192.168.4.2/23
máscara 255.255.254.0ip red 192.168.4.0
ip broadcast 192.168.5.255
1º ip utilizable 192.168.4.1
última ip utilizable 192.168.5.254definiria los 2 gateways en el pfSense
( GW1 con ip 192.168.4.1/24, GW2 con ip 192.168.5.1/24)
gw1 192.168.4.1
gw2 192.168.5.1Crearia un grupo de gateways en system > routing > groups, llamado balanceo1 (com mismo tier tier1 y disparador de evento perdidas de paquetes y alta latencia)
(En System: Advanced: Miscellaneous > marcaria: Load Balancing Enable default gateway switching)
Definiria como gateway balanceo1 en las reglas que lo precisen del firewall en lan
Y en la LAN
interfaz lan del pfsense : 192.168.1.101/24
para clientes lan:
ip (o por dhcp del pfsense o fijas en la red 192.168.1.0/24)
gateway 192.168.1.101
dns 192.168.1.101Hola
Eso es lo que yo haria para una sola interfaz WAN en el pfSense y dos routers con salida a Inet.
Fijate que hay 2 dominios de Broadcast (2 switches (capa 2), segmentados por un dispositivo de capa 3 el router/firewall pfSense)
Intenta ubicar tus direccionamientos de red en ese esquema.
Salu2
-
Para una sola interfaz wan en el pfsense la topología:
red local - siwtch A – interfaz lan pfsense -PFsense --- interfaz wan pfsense --siwtch B- Gateway1
--switch B-- Gateway2
Y pondría direccionamiento estático en la wan de pfsense:wan ipv4: 192.168.4.2/23
máscara 255.255.254.0ip red 192.168.4.0
ip broadcast 192.168.5.255
1º ip utilizable 192.168.4.1
última ip utilizable 192.168.5.254definiria los 2 gateways en el pfSense
( GW1 con ip 192.168.4.1/24, GW2 con ip 192.168.5.1/24)
gw1 192.168.4.1
gw2 192.168.5.1Crearia un grupo de gateways en system > routing > groups, llamado balanceo1 (com mismo tier tier1 y disparador de evento perdidas de paquetes y alta latencia)
(En System: Advanced: Miscellaneous > marcaria: Load Balancing Enable default gateway switching)
Definiria como gateway balanceo1 en las reglas que lo precisen del firewall en lan
Y en la LAN
interfaz lan del pfsense : 192.168.1.101/24
para clientes lan:
ip (o por dhcp del pfsense o fijas en la red 192.168.1.0/24)
gateway 192.168.1.101
dns 192.168.1.101Hola
Eso es lo que yo haria para una sola interfaz WAN en el pfSense y dos routers con salida a Inet.
Fijate que hay 2 dominios de Broadcast (2 switches (capa 2), segmentados por un dispositivo de capa 3 el router/firewall pfSense)
Intenta ubicar tus direccionamientos de red en ese esquema.
Salu2
Vale, creo que esto se parece mas a lo que yo tengo, aunque los rangos IP son diferentes y la WAN le asigna IP el router MIKROTIK (aunque siempre es la misma porque esta puesta como reservada)
Lo que no entiendo lo de los routers y las GW.
Sería mucho pedir que lo expliques paso a paso como si hablaras con un niño de 5 años ??…. :-[ :-[ :-[
-
Hola.
Si tienes acceso a administrar tus routers, puedes ponerle el direccionamiento IP en sus interfaces lan que te convenga.
Lo que te describo es una posible solución para un pfSense con uns sola interfaz wan y dos gateways de salida a Inet (multiwan).
Al tener uns sola interfaz wan, su ip debe estar en una subred que incluya a las 2 IPs lan de los gateways (routers con salida a Inet)
GW1 192.168.4.1/24
pfsense: interfaz wan (192.168.4.2/23) –-> GW2 192.168.5.1/24Te recomiendo estos links:
http://informaticacoslada.com/subnetting-subredes-mascaras-de-red/
http://www.javcasta.com/blog/calculo-manual-de-subredes/Salu2
-
Hola.
Si tienes acceso a administrar tus routers, puedes ponerle el direccionamiento IP en sus interfaces lan que te convenga.
Lo que te describo es una posible solución para un pfSense con uns sola interfaz wan y dos gateways de salida a Inet (multiwan).
Al tener uns sola interfaz wan, su ip debe estar en una subred que incluya a las 2 IPs lan de los gateways (routers con salida a Inet)
GW1 192.168.4.1/24
pfsense: interfaz wan (192.168.4.2/23) –-> GW2 192.168.5.1/24Te recomiendo estos links:
http://informaticacoslada.com/subnetting-subredes-mascaras-de-red/
http://www.javcasta.com/blog/calculo-manual-de-subredes/Salu2
Creo que no me he explicado bien (otra vez…...)
Routers que den acceso a Internet solo hay uno, el de Fibra Optica que es el 192.168.10.1
El otro, el MIKROTIK, tiene varias IP's (desconozco porque lo hicieron así), creo que era para separar el trafico del dominio del externo.....pero ese no es que que de ningun acceso a Internet
He hecho un esquema esquema de mi red, a ver si podeis echarme una mano, porque hasta ahora intento seguirte pero no lo consigo (no cabe duda de que es mi culpa, no es que tu te expliques mal, ni nada de eso)
-
Hola.
jeje, no hay nada como un mapa para no perderse. :)
Ya lo miro y te digo más adelante (ahora estoy liado)
Salu2
-
Hola.
Confirmame si he entendido bien tu topología (ver img):
Y repasa en el menú: Interfaces: LAN y WAN, si está desmarcado: Block private networks y Block bogon networks (si estan marcadas, desmarcalas y salva, tanto en la lan como en la wan). Ya que estás trabajando con IPs privadas, tanto en el interfaz WAN como en LAN del pfSense.
Salu2
-
Hola.
Confirmame si he entendido bien tu topología (ver img):
Y repasa en el menú: Interfaces: LAN y WAN, si está desmarcado: Block private networks y Block bogon networks (si estan marcadas, desmarcalas y salva, tanto en la lan como en la wan). Ya que estás trabajando con IPs privadas, tanto en el interfaz WAN como en LAN del pfSense.
Salu2
Es casi correcto, salvo que , en tu dibujo , la 192.168.2.93 (IP WAN del PFSense) en lugar de al switch, entiendo que deberia ir directa al mikrotik (Es Este quien le asigna la IP )
El switch de 24puertos es el que interconecta el ESXi con los equipos, pero no hace nada mas (como si fuera un ladron de corriente)otro error que veo es la IP que le has puesto al PFSense, que es 192.168.1.101 en lugar de 192.168.1.10.
Por lo demas juraria que todo es correcto.
En cuanto a las opciones que dices (Block private networks y Block bogon networks) te comento que ya estan desmarcadas en ambas , y siguen así
-
Hola
Efectivamente, un switch es eso, solo un conmutador (capa 2), he seguido tu esquema, y no veo la interfaz directa desde el mkrotick al pfSense, pero no nos afecta esto.
Lo que no entiendo es si tienes desmarcadas block private networks, etc y tienes una regla permisiva en la LAN de pasar todo IPv4 desde la lan a la wan, ¿qué es lo que te bloquea?¿Estan asignadas correctamente las interfaces? (a veces pasa que ponemos la lan como wan y viceversa)
Desde menú Diagnostics: Traceroute: haz un Traceroute a 192.168.10.1, con
Source Address: WANY mira si da el salto (pasa por) en 192.168.2.1
Haz otro traceroute a 192.168.10.1, con
Source Addres: LANY mira si da el salto en 192.168.1.1
Salu2
-
Hola
Efectivamente, un switch es eso, solo un conmutador (capa 2), he seguido tu esquema, y no veo la interfaz directa desde el mkrotick al pfSense, pero no nos afecta esto.
Lo que no entiendo es si tienes desmarcadas block private networks, etc y tienes una regla permisiva en la LAN de pasar todo IPv4 desde la lan a la wan, ¿qué es lo que te bloquea?¿Estan asignadas correctamente las interfaces? (a veces pasa que ponemos la lan como wan y viceversa)
Desde menú Diagnostics: Traceroute: haz un Traceroute a 192.168.10.1, con
Source Address: WANY mira si da el salto (pasa por) en 192.168.2.1
Haz otro traceroute a 192.168.10.1, con
Source Addres: LANY mira si da el salto en 192.168.1.1
Salu2
Si marco la opcion de usar ICMP :
Quieres conectarte por Teamviewer y lo ves mejor ??
-
Hola.
Vamos a probar una última cosa.
Como veo que tienes virtualizado pfSense, puede que un mismo interfaz físico sean 2 virtuales …
Por lo que en el Menú System: Advanced: Firewall and NAT> Static route filtering
(Marcar) Bypass firewall rules for traffic on the same interface, y salvar.
This may be desirable in some situations where multiple subnets are connected to the same interface.
Y reinicia pfSense.
Salu2
(ahora no podria conectarme, en breve tengo que cocinar ;)
Pero si persiste el problema, esta tarde, a las 18:30 canarias - 17:30 peninsula, podria
) -
Hola.
Vamos a probar una última cosa.
Como veo que tienes virtualizado pfSense, puede que un mismo interfaz físico sean 2 virtuales …
Por lo que en el Menú System: Advanced: Firewall and NAT> Static route filtering
(Marcar) Bypass firewall rules for traffic on the same interface, y salvar.
This may be desirable in some situations where multiple subnets are connected to the same interface.
Y reinicia pfSense.
Salu2
(ahora no podria conectarme, en breve tengo que cocinar ;)
Pero si persiste el problema, esta tarde, a las 18:30 canarias - 17:30 peninsula, podria
)He hecho ese cambio , y el problema persiste:
Respecto a las interfacxes, si bien es cierto que PFSense esta virtualizado, el ESXI donde esta alojado tiene dos NIC's fisicas, y le pasa las dos NIC's al PFsense, tal y como puedes ver aquí :
-
Hola.
¿El problema no era que te bloqueaba el tráfico de la red local (192.168.1.0/24) a Internet?
Si ya no te bloquea, perfecto.Otra cosa es que no te está pillando el ancho de banda esperado.
Veo que tus interfaces estan a 1000 y full, perfecto también. (aunque deberias asegurarte en el anfitrión que fisicamente se correspondan a full-duplex 1000)
¿Pero y el resto de la cadena?:
¿El Switch es gigabitethernet?
¿las interfaces de el router mikrotik están configuradas a 1000 full-duplex?
¿Has probado con un portatil a conectarte directamente al router de fibra y hacer un test de ancho de banda y te mejora?Salu2
-
Hola.
¿El problema no era que te bloqueaba el tráfico de la red local (192.168.1.0/24) a Internet?
Si ya no te bloquea, perfecto.
Otra cosa es que no te está pillando el ancho de banda esperado.Si, el problema es que cuando tengo puesta una GW en la interface LAN (ahora solo esta puesta en la WAN) , mejoramos la velocidad de bajada de nuestra fibra y consigue llegar a 100Mb, pero parece que bloquea prácticamente el 99% de nuestra salida.
Es decir, podemos enviar mails si son dos frases, pero si el mail es por ejemplo de 50Kb , o lleva algun adjunto , aunque sea muy pequeño, el mail ya no sale, dando errores.
Así como los tests de velocidad, que la bajada es perfecta, pero la subida no puede ni tan siquiera mkedirla, y lanza un error de timeout en la prueba.
Lo mismo Teamviewer, que pueden conectarse con nosotros, pero las conexiones se cortan.Si le quito esa GW a la interface LAN, todo funciona normalmente , nuestro trafico de salida es correcto, pero la velocidad de download no pasa de 30Mbs
Veo que tus interfaces estan a 1000 y full, perfecto también. (aunque deberias asegurarte en el anfitrión que fisicamente se correspondan a full-duplex 1000)
¿Pero y el resto de la cadena?:
¿El Switch es gigabitethernet?
¿las interfaces de el router mikrotik están configuradas a 1000 full-duplex?
¿Has probado con un portatil a conectarte directamente al router de fibra y hacer un test de ancho de banda y te mejora?Salu2
Si a todo.
El resumen es :
En PFSense, interface LAN con GW:
- bajada perfecta de 100Mbs
- subida hacia internet practicamente nulo, con imposibilidad ni tan siquiera de enviar mail
- conexiones entrantes de teamviewer se cortan (Establecen conexion, pero no ven nuestros monitores y acaban por cortarse )
- todo el trafico de subida (de nosotros hacia el extewrior) queda practicamente inutilizado
En PFSense, interface LAN sin GW:
Todo funciona correctamente, excepto la velocidad de bajada de fibra optica, que en lugar de 100Mbs entrega solamente 30Mbs
-
Hola.
En esto estamos ya de acuerdo: se habló que NUNCA se pone Gateway en una interfaz LAN del pfSense …
Por lo que debes detectar donde está el cuello de botella del ancho de banda.
Lo que yo haria:
Con un portatil (o pc) con ip 192.168.2.x/24 y gw 192.168.2.1 (dns al gusto), conectarme al interfaz del microtik con ip 192.168.2.1 y hacer test BW
Con un portatil (o pc) con ip 192.168.1.x/24 y gw 192.168.1.1 (dns al gusto), conectarme al interfaz lan del microtik (192.168.1.1) y hacer test BW
Me huelo que el problema puede estar en el mikrotik, más especificamente en su interfaz con ip 192.168.2.1
Otra cosa, es que configures los interfaces en el pfSense y en mikrotik, sin negociación (forzar el 1000 full duplex) , es decir:
en el pfsense: Menú interfaz WAN > speed and duplex > advanced > 1000 base T full dupplex, salvar y probar BW
en el mikrotik, interfaz con ip 192.168.2.1, ni idea como se haria ... pero si no sabeis,enteraros como, y hacerlo, que me huele que es el cuello de botella (comprobad que el cable de red que llega a ese interfaz y al del pfSense es cat6 (mínimo cat 5 pero se recomienda 6)
Salu2
(poco a poco, no te agobies, si ya permite el pfSense el tráfico, lo que te queda es un mal menor y con paciencia y pruebas ensayo error localizarás la falla).
-
he probado y en todas las pruebas tengo 100Mbs de bajada y 10Mb de subida, tan solo cuando interviene el PFSense la cosa cambia, y pasamos a 30Mbs de bajada y 9Mbs de subdia.
Pongo captura del menu interfaces de Mikrotik.
Las dos primeras son tarjetas de red fisicas del ESXi (las que te he mostrado antes), y va conectadas directamente al Mikrotik.
La tercera (Wlan) es el propio Mikrotic haciendo de punto de acceso
Y la ultima es un cable diurecto del mikrotik al router fibra opticaTodos y cada uno de ellos esta configurado a 1gbs
-
Hola.
Podrias probar a "tocar" opciones del HW en System: Advanced: Networking > Network Interfaces
-Disable hardware checksum offload
-Disable hardware TCP segmentation offload
-Disable hardware large receive offloadPero debes reiniciar pfSense cada vez que cambien (marques o desmarques una de esas opciones).
También existe la opción Insert a stronger id into IP header of packets passing through the filter. (como medida extra de protección, tb afecta algo a la velocidad, creo)
Y en System: Advanced: System Tunables hay muchos parámetros que podrian afinar lo del ancho de banda (hay corta fuegos como ipfw que introducen perdida aleatoria de paquetes intencionados para evitar ciertas técnicas de hacking (en detrimento de la velocidad): ipfw -q add prob 0.05 drop ip from any to any in, p.e descarta un 5% de paquetes, lo que no sé si pfSense por defecto activa esto)
Y como no se me ocurre nada más, te remito a la fuente:
pfSense dispone de una virtual appliance CERTIFICADA POR VmWare para ESXi, VMware Ready Appliance, está disponible para los suscriptores "gold" (y seguramente comprandola) https://blog.pfsense.org/?p=1716
Imagino que está optimizada para entornos virtuales y que irá "fina" …
La doc sobre pfSense en ESXi 5: https://doc.pfsense.org/index.php/PfSense_2_on_VMware_ESXi_5
Siento no serte de más utilidad (para tu caso, no creo que conectandome en remoto resolviera nada)
Salu2
-
Hola.
Podrias probar a "tocar" opciones del HW en System: Advanced: Networking > Network Interfaces
-Disable hardware checksum offload
-Disable hardware TCP segmentation offload
-Disable hardware large receive offloadPero debes reiniciar pfSense cada vez que cambien (marques o desmarques una de esas opciones).
También existe la opción Insert a stronger id into IP header of packets passing through the filter. (como medida extra de protección, tb afecta algo a la velocidad, creo)
Y en System: Advanced: System Tunables hay muchos parámetros que podrian afinar lo del ancho de banda (hay corta fuegos como ipfw que introducen perdida aleatoria de paquetes intencionados para evitar ciertas técnicas de hacking (en detrimento de la velocidad): ipfw -q add prob 0.05 drop ip from any to any in, p.e descarta un 5% de paquetes, lo que no sé si pfSense por defecto activa esto)
Y como no se me ocurre nada más, te remito a la fuente:
pfSense dispone de una virtual appliance CERTIFICADA POR VmWare para ESXi, VMware Ready Appliance, está disponible para los suscriptores "gold" (y seguramente comprandola) https://blog.pfsense.org/?p=1716
Imagino que está optimizada para entornos virtuales y que irá "fina" …
La doc sobre pfSense en ESXi 5: https://doc.pfsense.org/index.php/PfSense_2_on_VMware_ESXi_5
Siento no serte de más utilidad (para tu caso, no creo que conectandome en remoto resolviera nada)
Salu2
Ya estoy de vuelta …..
Lo que no entiendo es porque si pongo una GW a la interface LANJ recupero el ancho de banda de bajada, pero a cambio pierdo el Upload