Задержки при подключении к серверам

KILLZONE

Проблема такая что при подключении к серверам из под NAT - PFSensa идет задержки около 7-9 секунд
К примеру при подключении через MySQL клиент (PC IP-192.168.12.5) к серверу база данных (MySQL-Server IP-172.16.10.35) задержка 7 секунд

time echo | mysql -h172.16.10.35 -uroot -p123
ERROR 1045 (28000): Access denied for user 'root'@'172.16.10.35' (using password: YES)

real	0m7.409s
user	0m0.000s
sys	0m0.008s

Я все проверил и выяснилась что проблема именно в PFSense так как задержи только у тех кто за NATом PFSensa
если брать подключения между двумя PFSense-1 и PFSense-2 то задержки при подключении на сервера находящиеся за их NATом
если брать подключения между PC PFSense-1 и пытаться подключится к MySQL-Server-1 то задержки
если брать подключения с MySQL-Server-1 на MySQL-Server-2 или на оборот то нет задержек
если брать подключения с MySQL-Server-1 или MySQL-Server-2 и подключатся к серверам что за NATом PFSense-1 и PFSense-2 то нет задержки

На рисунках должно быть понятней что да как.

Как же понят из-за чего такие задержки ?
![????? ???????.jpg](/public/imported_attachments/1/????? ???????.jpg)
![????? ???????.jpg_thumb](/public/imported_attachments/1/????? ???????.jpg_thumb)
![????? ??????? (1).jpg](/public/imported_attachments/1/????? ??????? (1).jpg)
![????? ??????? (1).jpg_thumb](/public/imported_attachments/1/????? ??????? (1).jpg_thumb)

KILLZONE

Это все на примере MySQL но не в этом суть, проблеме на важно, подключаюсь я через MySQL клиент или по SSH или RDP или просто пытаюсь открыть сайт
внутри этой так сказать экосистемы PFSense стала проблемой и тольrо в нем одном.

И что интересно что это все происходит внутри сети 172.16.10.0/24, что при подключении к другим ресурсам то проблем нет

zedraider

Не на виртуалке ли случаем pfsense? не Hyper-v?

KILLZONE

нет на физических серверах оба

werter

Попробуйте это
https://servernetworktech.com/2013/05/pfsense-vlans-and-ssh-disconnects/

KILLZONE

Нет не помогло, у меня пропаданий нет, есть задержки при запросах
Запрос - Ответ = 7 секунд ~

zedraider

А если в Firewall/ NAT/ Outbound поставить Hybrid Outbound NAT rule generation и в маппингах прописать что то вроде

 Внутренний Иинтерфейс1 192.168.12.0/24 * * * Внутренний Иинтерфейс1address *    
 Внутренний интерфейс2 172.16.10.0/24 * * * Внутренний интерфейс2 *    

ну и в Firewall/ Rules/ Внутренний Иинтерфейс1

IPv4 * * * Внутренний интерфейс2 * * none    

в Firewall/ Rules/Внутренний интерфейс2 
 
IPv4 * * * Внутренний Иинтерфейс1 * * none

KILLZONE

Вопрос решился спасибо за подсказку zedraider !

В Firewall / NAT/ Outbound нечего делать не нужно
просто было правило у меня по умалчиванию такое в Firewall / Rules / LAN

Protocol Source Port Destination Port Gateway
IPv4 * LAN net * * * WAN

убрал Gateway и все задержек нету, почему нельзя указывать Gateway я не понял
просто раньше было два WAN порта и я переключался между ними
щас так как есть своя сеть и BGP в этом уже нет необходимости

почему сам не догадался тоже не знаю, ведь можно было же )