Проблемы со связью и множественные TCP:FPA PA RA
-
Вот про это явно лишнее звено и говорю. Зачем он там? Пф гораздо гибче, чем зюхел.
Будете гадать в 2-ух местах, что не так. Вместо одного.К сожалению, пока надо иметь дело с ним. В принципе ничего необычного в такой схеме нет. Если я, к примеру, свяжу патчкордом через отдельный интерфейс pf и zyxel в маленькую сеть с 30 маской, будет ли так лучше? Чтобы не было два гейтвэя в одной сети.
Что помогло мне - описал ранее выше. Попробуйте. И центр. зюхел - точно костыль тут.
То есть, Sloppy state в правилах на интерфейс?
Приложу еще пару скриншотов для ясности. На первом логи фаерволла когда рвутся соединения, без state none правила. На остальных двух конфигурации фаерволла. В свойствах 2ой фазы ipsec туннелей local network указан 0.0.0.0/0
-
Убрал floating rule и перевел все существующие правила на sloppy state - не помогло. :-\
-
Floating Rules can:
Filter traffic from the firewall itself
Filter traffic in the outbound direction (all other tabs are Inbound processing only)
Apply rules to multiple interfaces
Apply filtering in a "last match wins" way rather than "first match wins" (quick)
Apply traffic shaping to match traffic but not affect it's pass/block action
Much more.Floating Rules это правила которые обрабатываются до тех что указаны на интерфейсах. Допустим если указан параметр Quick то никаким другим правилом эти пакеты фильтроватся не будут, даже если есть соответствующее правило на интерфейсе.
скорее всего проблемы начались когда Вы настроили шейпер. не могу утверждать полностью, но советую ознакомится:тыц
а так же добавлю:тыц
все таки я бы сперва попробовал авто фикс, а уж потом руками…. -
2 ComProf
скорее всего проблемы начались когда Вы настроили шейпер
Про шейпер ТС не писал, вроде.
2 arukashi
Попробуйте совет ComProf-а по поводу ассиметричных маршрутов (галку на Bypass fw rules … и перезагрузить пф).
Похоже это оно.Сеть 192.168.0.0\16 в правилах fw у вас - уж очень лихо. Создайте алиас из лок. сетей ipsec-клиентов и рулите им.
P.s. Спасибо ComProf за советы. Всегда рады видеть у нас на форуме специалистов 8)
-
Обратился в инглиш ветку со своей проблемой. Там меня уверили, что у меня явная проблема с асимметричными маршрутами. Я вынес интернет-щлюз в отдельную сеть, но что-то не помогло
https://forum.pfsense.org/index.php?topic=147433.0Сеть 192.168.0.0\16 в правилах fw у вас - уж очень лихо. Создайте алиас из лок. сетей ipsec-клиентов и рулите им.
Задолбаюсь я туда 40 сетей рисовать, а их будет еще больше. Так проще.
-
Добрый.
2 arukashiУберите центральный зюхель. Пф будет рулить всем.
Верните правила NAT на автомат.
Profit.Зы. А чего Proxmox-то 4-ый ? Он уж год как не развивается разрабами. 5-ка стабильно хороша.
-
Добрый.
2 arukashiУберите центральный зюхель. Пф будет рулить всем.
Верните правила NAT на автомат.
Profit.Часть NAT правил убрал, но в провайдерскую сеть NAT необходим. Там нужные сервисы крутятся
А зухель нужен, его пока из схемы не выкинуть
@werter:Зы. А чего Proxmox-то 4-ый ? Он уж год как не развивается разрабами. 5-ка стабильно хороша.
Да как-то времени обновить не могу найти. Все-таки центральный шлюз, просто так не выключишь.
Новый релиз 5ки жду, полгода уже прошло, никак не выйдет -
Новый релиз 5ки жду, полгода уже прошло, никак не выйдет
Вы оф. сайт посещали давно? Там 5.1 висит. Куда уж новее. Или вы 6-ку ждете на 10-м Debian ;D ?
Часть NAT правил убрал, но в провайдерскую сеть NAT необходим. Там нужные сервисы крутятся
А зухель нужен, его пока из схемы не выкинутьТогда увы. Тратьте свое время дальше.
P.s. Ваш "друг" по несчастью https://forum.pfsense.org/index.php?topic=147725.0 Может вы его уговорите убрать зюхель из схемы.
-
Вы оф. сайт посещали давно? Там 5.1 висит. Куда уж новее. Или вы 6-ку ждете на 10-м Debian ;D ?
Обычно обновления чаще выходят
Тогда увы. Тратьте свое время дальше.
Почитайте топик в инглиш ветке, я проделал некоторые изменения. Сейчас зиксель вышестоящий маршрутизатор дающий выход в интернет, и с локальной сетью ныне не пересекается. Ассиметричный маршрутов не может быть. Какие еще предположения?
-
Добрый.
Ассиметричный маршрутов не может быть. Какие еще предположения?
Кривые правила nat, fw.
Во floating rules правила есть ?
Обычно обновления чаще выходят
Обновления компонентов выходят каждый день. А то и несколько раз на дню. Если добавить стандартные репы в sources.list (что и сделано у меня).
Уберите центральный зюхель. Пф будет рулить всем.
Верните правила NAT на автомат.
Profit.Все равно к этому прийдете.
-
Кривые правила nat, fw.
Во floating rules правила есть ?
https://forum.pfsense.org/index.php?topic=147433.msg801708#msg801708
Правила NAT на ipsec убрал, там дальше есть скриншот. Во floating одно правило, которое спасает положение - ipv4* * * * * * statetype noneВсе равно к этому прийдете.
Может быть, но не сейчас. Как только решу первоначальную проблему, тогда смогу убрать зиксель
-
Добрый.
Может быть, но не сейчас. Как только решу первоначальную проблему, тогда смогу убрать зиксель
Не решите. Проблема в ассиметрии маршрутов. И в неправильной настройке NAT. Замкнутый круг.
Правила NAT на ipsec убрал, там дальше есть скриншот.
Automatic. Полностью. Или, как вариант, Hybrid.
Забыл, галка на Disable firewall on same interface стоит ? Поставьте.
Зы. Уберите пф из схемы. Оставьте только зюхель. Или он не тянет столько ипсек-туннелей, да? Печаль :'(
-
Не решите. Проблема в ассиметрии маршрутов. И в неправильной настройке NAT. Замкнутый круг.
В упор не вижу. Где именно ассиметрия? Вы смотрели схему из инглиш топика?
Automatic. Полностью. Или, как вариант, Hybrid.
Забыл, галка на Disable firewall on same interface стоит ? Поставьте.
Ставил, не помогло.
Зы. Уберите пф из схемы. Оставьте только зюхель. Или он не тянет столько ипсек-туннелей, да? Печаль :'(
Возможно и потянет, но со скрипом. такого не можем себе позволить…
-
у меня такой траффик генерируют телефоны на андроиде. Природа данного явления мне непонятна, но это никак не отражается на конечных пользователях или сервисах.
