Проблемы со связью и множественные TCP:FPA PA RA

werter

2 ComProf

скорее всего проблемы начались когда Вы настроили шейпер

Про шейпер ТС не писал, вроде.

2 arukashi

Попробуйте совет ComProf-а по поводу ассиметричных маршрутов (галку на Bypass fw rules … и перезагрузить пф).
Похоже это оно.

Сеть 192.168.0.0\16 в правилах fw у вас - уж очень лихо. Создайте алиас из лок. сетей ipsec-клиентов и рулите им.

P.s. Спасибо ComProf за советы. Всегда рады видеть у нас на форуме специалистов  8)

arukashi

Обратился в инглиш ветку со своей проблемой. Там меня уверили, что у меня явная проблема с асимметричными маршрутами. Я вынес интернет-щлюз в отдельную сеть, но что-то не помогло
https://forum.pfsense.org/index.php?topic=147433.0

@werter:

Сеть 192.168.0.0\16 в правилах fw у вас - уж очень лихо. Создайте алиас из лок. сетей ipsec-клиентов и рулите им.

Задолбаюсь я туда 40 сетей рисовать, а их будет еще больше. Так проще.

werter

Добрый.
2 arukashi

Уберите центральный зюхель. Пф будет рулить всем.
Верните правила NAT на автомат.
Profit.

Зы. А чего Proxmox-то 4-ый ? Он уж год как не развивается разрабами. 5-ка стабильно хороша.

arukashi

@werter:

Добрый.
2 arukashi

Уберите центральный зюхель. Пф будет рулить всем.
Верните правила NAT на автомат.
Profit.

Часть NAT правил убрал, но в провайдерскую сеть NAT необходим. Там нужные сервисы крутятся
А зухель нужен, его пока из схемы не выкинуть
@werter:

Зы. А чего Proxmox-то 4-ый ? Он уж год как не развивается разрабами. 5-ка стабильно хороша.

Да как-то времени обновить не могу найти. Все-таки центральный шлюз, просто так не выключишь.
Новый релиз 5ки жду, полгода уже прошло, никак не выйдет

werter

Новый релиз 5ки жду, полгода уже прошло, никак не выйдет

Вы оф. сайт посещали давно? Там 5.1 висит. Куда уж новее. Или вы 6-ку ждете на 10-м Debian ;D ?

Часть NAT правил убрал, но в провайдерскую сеть NAT необходим. Там нужные сервисы крутятся
А зухель нужен, его пока из схемы не выкинуть

Тогда увы. Тратьте свое время дальше.

P.s. Ваш "друг" по несчастью https://forum.pfsense.org/index.php?topic=147725.0 Может вы его уговорите убрать зюхель из схемы.

arukashi

@werter:

Вы оф. сайт посещали давно? Там 5.1 висит. Куда уж новее. Или вы 6-ку ждете на 10-м Debian ;D ?

Обычно обновления чаще выходят

@werter:

Тогда увы. Тратьте свое время дальше.

Почитайте топик в инглиш ветке, я проделал некоторые изменения. Сейчас зиксель вышестоящий маршрутизатор дающий выход в интернет, и с локальной сетью ныне не пересекается. Ассиметричный маршрутов не может быть. Какие еще предположения?

werter

Добрый.

Ассиметричный маршрутов не может быть. Какие еще предположения?

Кривые правила nat, fw.

Во floating rules правила есть ?

Обычно обновления чаще выходят

Обновления компонентов выходят каждый день. А то и несколько раз на дню. Если добавить стандартные репы в sources.list (что и сделано у меня).

Уберите центральный зюхель. Пф будет рулить всем.
Верните правила NAT на автомат.
Profit.

Все равно к этому прийдете.

arukashi

@werter:

Кривые правила nat, fw.

Во floating rules правила есть ?

https://forum.pfsense.org/index.php?topic=147433.msg801708#msg801708
Правила NAT на  ipsec убрал, там дальше есть скриншот. Во floating одно правило, которое спасает положение - ipv4* * * * * * statetype none

@werter:

Все равно к этому прийдете.

Может быть, но не сейчас. Как только решу первоначальную проблему, тогда смогу убрать зиксель

werter

Добрый.

Может быть, но не сейчас. Как только решу первоначальную проблему, тогда смогу убрать зиксель

Не решите. Проблема в ассиметрии маршрутов. И в неправильной настройке NAT. Замкнутый круг.

Правила NAT на  ipsec убрал, там дальше есть скриншот.

Automatic. Полностью. Или, как вариант, Hybrid.

Забыл, галка на Disable firewall on same interface стоит ? Поставьте.

Зы. Уберите пф из схемы. Оставьте только зюхель. Или он не тянет столько ипсек-туннелей, да? Печаль  :'(

arukashi

@werter:

Не решите. Проблема в ассиметрии маршрутов. И в неправильной настройке NAT. Замкнутый круг.

В упор не вижу. Где именно ассиметрия? Вы смотрели схему из инглиш топика?

Automatic. Полностью. Или, как вариант, Hybrid.

Забыл, галка на Disable firewall on same interface стоит ? Поставьте.

Ставил, не помогло.

Зы. Уберите пф из схемы. Оставьте только зюхель. Или он не тянет столько ипсек-туннелей, да? Печаль  :'(

Возможно и потянет, но со скрипом. такого не можем себе позволить…

derwin

у меня такой траффик генерируют  телефоны на андроиде. Природа данного явления мне непонятна, но это никак не отражается на конечных пользователях или сервисах.