Problema trafico de salida en PfSense 2.2.6
-
Hola.
Vamos a probar una última cosa.
Como veo que tienes virtualizado pfSense, puede que un mismo interfaz físico sean 2 virtuales …
Por lo que en el Menú System: Advanced: Firewall and NAT> Static route filtering
(Marcar) Bypass firewall rules for traffic on the same interface, y salvar.
This may be desirable in some situations where multiple subnets are connected to the same interface.
Y reinicia pfSense.
Salu2
(ahora no podria conectarme, en breve tengo que cocinar ;)
Pero si persiste el problema, esta tarde, a las 18:30 canarias - 17:30 peninsula, podria
) -
Hola.
Vamos a probar una última cosa.
Como veo que tienes virtualizado pfSense, puede que un mismo interfaz físico sean 2 virtuales …
Por lo que en el Menú System: Advanced: Firewall and NAT> Static route filtering
(Marcar) Bypass firewall rules for traffic on the same interface, y salvar.
This may be desirable in some situations where multiple subnets are connected to the same interface.
Y reinicia pfSense.
Salu2
(ahora no podria conectarme, en breve tengo que cocinar ;)
Pero si persiste el problema, esta tarde, a las 18:30 canarias - 17:30 peninsula, podria
)He hecho ese cambio , y el problema persiste:
Respecto a las interfacxes, si bien es cierto que PFSense esta virtualizado, el ESXI donde esta alojado tiene dos NIC's fisicas, y le pasa las dos NIC's al PFsense, tal y como puedes ver aquí :
-
Hola.
¿El problema no era que te bloqueaba el tráfico de la red local (192.168.1.0/24) a Internet?
Si ya no te bloquea, perfecto.Otra cosa es que no te está pillando el ancho de banda esperado.
Veo que tus interfaces estan a 1000 y full, perfecto también. (aunque deberias asegurarte en el anfitrión que fisicamente se correspondan a full-duplex 1000)
¿Pero y el resto de la cadena?:
¿El Switch es gigabitethernet?
¿las interfaces de el router mikrotik están configuradas a 1000 full-duplex?
¿Has probado con un portatil a conectarte directamente al router de fibra y hacer un test de ancho de banda y te mejora?Salu2
-
Hola.
¿El problema no era que te bloqueaba el tráfico de la red local (192.168.1.0/24) a Internet?
Si ya no te bloquea, perfecto.
Otra cosa es que no te está pillando el ancho de banda esperado.Si, el problema es que cuando tengo puesta una GW en la interface LAN (ahora solo esta puesta en la WAN) , mejoramos la velocidad de bajada de nuestra fibra y consigue llegar a 100Mb, pero parece que bloquea prácticamente el 99% de nuestra salida.
Es decir, podemos enviar mails si son dos frases, pero si el mail es por ejemplo de 50Kb , o lleva algun adjunto , aunque sea muy pequeño, el mail ya no sale, dando errores.
Así como los tests de velocidad, que la bajada es perfecta, pero la subida no puede ni tan siquiera mkedirla, y lanza un error de timeout en la prueba.
Lo mismo Teamviewer, que pueden conectarse con nosotros, pero las conexiones se cortan.Si le quito esa GW a la interface LAN, todo funciona normalmente , nuestro trafico de salida es correcto, pero la velocidad de download no pasa de 30Mbs
Veo que tus interfaces estan a 1000 y full, perfecto también. (aunque deberias asegurarte en el anfitrión que fisicamente se correspondan a full-duplex 1000)
¿Pero y el resto de la cadena?:
¿El Switch es gigabitethernet?
¿las interfaces de el router mikrotik están configuradas a 1000 full-duplex?
¿Has probado con un portatil a conectarte directamente al router de fibra y hacer un test de ancho de banda y te mejora?Salu2
Si a todo.
El resumen es :
En PFSense, interface LAN con GW:
- bajada perfecta de 100Mbs
- subida hacia internet practicamente nulo, con imposibilidad ni tan siquiera de enviar mail
- conexiones entrantes de teamviewer se cortan (Establecen conexion, pero no ven nuestros monitores y acaban por cortarse )
- todo el trafico de subida (de nosotros hacia el extewrior) queda practicamente inutilizado
En PFSense, interface LAN sin GW:
Todo funciona correctamente, excepto la velocidad de bajada de fibra optica, que en lugar de 100Mbs entrega solamente 30Mbs
-
Hola.
En esto estamos ya de acuerdo: se habló que NUNCA se pone Gateway en una interfaz LAN del pfSense …
Por lo que debes detectar donde está el cuello de botella del ancho de banda.
Lo que yo haria:
Con un portatil (o pc) con ip 192.168.2.x/24 y gw 192.168.2.1 (dns al gusto), conectarme al interfaz del microtik con ip 192.168.2.1 y hacer test BW
Con un portatil (o pc) con ip 192.168.1.x/24 y gw 192.168.1.1 (dns al gusto), conectarme al interfaz lan del microtik (192.168.1.1) y hacer test BW
Me huelo que el problema puede estar en el mikrotik, más especificamente en su interfaz con ip 192.168.2.1
Otra cosa, es que configures los interfaces en el pfSense y en mikrotik, sin negociación (forzar el 1000 full duplex) , es decir:
en el pfsense: Menú interfaz WAN > speed and duplex > advanced > 1000 base T full dupplex, salvar y probar BW
en el mikrotik, interfaz con ip 192.168.2.1, ni idea como se haria ... pero si no sabeis,enteraros como, y hacerlo, que me huele que es el cuello de botella (comprobad que el cable de red que llega a ese interfaz y al del pfSense es cat6 (mínimo cat 5 pero se recomienda 6)
Salu2
(poco a poco, no te agobies, si ya permite el pfSense el tráfico, lo que te queda es un mal menor y con paciencia y pruebas ensayo error localizarás la falla).
-
he probado y en todas las pruebas tengo 100Mbs de bajada y 10Mb de subida, tan solo cuando interviene el PFSense la cosa cambia, y pasamos a 30Mbs de bajada y 9Mbs de subdia.
Pongo captura del menu interfaces de Mikrotik.
Las dos primeras son tarjetas de red fisicas del ESXi (las que te he mostrado antes), y va conectadas directamente al Mikrotik.
La tercera (Wlan) es el propio Mikrotic haciendo de punto de acceso
Y la ultima es un cable diurecto del mikrotik al router fibra opticaTodos y cada uno de ellos esta configurado a 1gbs
-
Hola.
Podrias probar a "tocar" opciones del HW en System: Advanced: Networking > Network Interfaces
-Disable hardware checksum offload
-Disable hardware TCP segmentation offload
-Disable hardware large receive offloadPero debes reiniciar pfSense cada vez que cambien (marques o desmarques una de esas opciones).
También existe la opción Insert a stronger id into IP header of packets passing through the filter. (como medida extra de protección, tb afecta algo a la velocidad, creo)
Y en System: Advanced: System Tunables hay muchos parámetros que podrian afinar lo del ancho de banda (hay corta fuegos como ipfw que introducen perdida aleatoria de paquetes intencionados para evitar ciertas técnicas de hacking (en detrimento de la velocidad): ipfw -q add prob 0.05 drop ip from any to any in, p.e descarta un 5% de paquetes, lo que no sé si pfSense por defecto activa esto)
Y como no se me ocurre nada más, te remito a la fuente:
pfSense dispone de una virtual appliance CERTIFICADA POR VmWare para ESXi, VMware Ready Appliance, está disponible para los suscriptores "gold" (y seguramente comprandola) https://blog.pfsense.org/?p=1716
Imagino que está optimizada para entornos virtuales y que irá "fina" …
La doc sobre pfSense en ESXi 5: https://doc.pfsense.org/index.php/PfSense_2_on_VMware_ESXi_5
Siento no serte de más utilidad (para tu caso, no creo que conectandome en remoto resolviera nada)
Salu2
-
Hola.
Podrias probar a "tocar" opciones del HW en System: Advanced: Networking > Network Interfaces
-Disable hardware checksum offload
-Disable hardware TCP segmentation offload
-Disable hardware large receive offloadPero debes reiniciar pfSense cada vez que cambien (marques o desmarques una de esas opciones).
También existe la opción Insert a stronger id into IP header of packets passing through the filter. (como medida extra de protección, tb afecta algo a la velocidad, creo)
Y en System: Advanced: System Tunables hay muchos parámetros que podrian afinar lo del ancho de banda (hay corta fuegos como ipfw que introducen perdida aleatoria de paquetes intencionados para evitar ciertas técnicas de hacking (en detrimento de la velocidad): ipfw -q add prob 0.05 drop ip from any to any in, p.e descarta un 5% de paquetes, lo que no sé si pfSense por defecto activa esto)
Y como no se me ocurre nada más, te remito a la fuente:
pfSense dispone de una virtual appliance CERTIFICADA POR VmWare para ESXi, VMware Ready Appliance, está disponible para los suscriptores "gold" (y seguramente comprandola) https://blog.pfsense.org/?p=1716
Imagino que está optimizada para entornos virtuales y que irá "fina" …
La doc sobre pfSense en ESXi 5: https://doc.pfsense.org/index.php/PfSense_2_on_VMware_ESXi_5
Siento no serte de más utilidad (para tu caso, no creo que conectandome en remoto resolviera nada)
Salu2
Ya estoy de vuelta …..
Lo que no entiendo es porque si pongo una GW a la interface LANJ recupero el ancho de banda de bajada, pero a cambio pierdo el Upload
-
Hola
Cuando usas el GW de la interfaz 192.168.1.1 del mickrotik es cuando va bien
Cuando usas el GW de la interfaz 192.168.2.1 del mickrotik es cuando va mal …(Y recuerda: NUNCA PONER UN GW para la Interfaz lan del pfSense)
Hipótesis: puede que el meollo esté en el mikrotik. (ACLS? conf?)
Haz una prueba con tu pfSense virtualizado para que su GW en la wan sea 192.168.1.1 (tienes que poner otro direccionamiento de red en la lan del pfsense temporalmente, p.e 192.168.77.0/24, y configurar un pc o portatil con ip en esa red para hacer la prueba)
Salu2
-
Hola
Cuando usas el GW de la interfaz 192.168.1.1 del mickrotik = Download Speed 100Mbs pero con problemas en envio de mails, conexiones Teamviewer y los test de velocidad tipicos no pueden probar la velocidad de subida
Cuando usas el GW de la interfaz 192.168.2.1 del mickrotik = Download Speed 30Mbs y todo parece funcionar bien, tanto los mails, como conexiones de Teamviwer, y los tests de velocidad de ADSL funcionan, dando 30Mbs/10Mbs
(Y recuerda: NUNCA PONER UN GW para la Interfaz lan del pfSense)
Hipótesis: puede que el meollo esté en el mikrotik. (ACLS? conf?)
Haz una prueba con tu pfSense virtualizado para que su GW en la wan sea 1292.168.1.1 (tienes que poner otro direccionamiento de red en la lan del pfsense temporalmente, p.e 102.168.77.0/24, y configurar un pc o portatil con ip en esa red para hacer la prueba)
Salu2
Te he corregido tus "apreciaciones" sobre el problema.
Ahora voy a probar eso que dices a ver -
Cuando usas el GW de la interfaz 192.168.1.1 del mickrotik es cuando va bien
la velocidad de bajada, (lo demás ya sabemos que no va con un gw en interfaz lan del pfsense ) queria decir :)
salu2
-
Hola.
He instalado pfSense 2.2.6 amd64 en VMware WorkStation 12 player (ver. no comercial). Con las VMware Guest instaladas.
Efectivamente, con fibra de 100Mbps de bajada, consigo como mucho un tercio de esa velocidad (33Mbps) (la subida es de 10Mbps la consigue al 100%)
Con VirtualBox, el rendimiento es aún peor (bajadas entre 5Mbps y 15Mbps y subida entre el 50% y el 100%). Por lo que , a pesar del handicap del ancho de banda virtualiznando, migro a VMware.
Con Cables Cat5 y 6 y NICs del anfitrión y switch: GigabitEthernet, pero …
Imagino que la appliance CERTIFICADA VMware Ready Appliance de pfSense instaladola sobre ESXI, será otro cantar.
Habrá que conseguirla :)
Salu2