Проблемы с Wan
-
Мало сведений. Что за железо исп-ся (сетевые, напр.)? Версия пф? Версия гипер-в? Торренты разрешены?
Основной шлюз -Zyxel Usg, Свич- 3Com Baseline Switch 2250
На серваке :
Hyper-V версия 6.3.9600.16384
Адаптеры Broadcom NetXtreme Gigabit Ethernet
PF Версия 2.4.3
Торренты -запрещеныСкрины правил fw на интерйесах покажите. А также скрин System ->Advanced ->Networking
https://yadi.sk/i/ojm3pZGJ3ViEjR
https://yadi.sk/i/ZLa1BSMj3ViEnj
https://yadi.sk/i/n1iZsqAO3ViEqj
https://yadi.sk/i/cM89_64z3ViEtW -
У вас задублированы настройки, например 2 раза правило с RDP
А проблема ваша - скорее всего у вас где то петля гуляет на маршрутере. Мне например не нравится в настройках указание сетей 127.0.0.1/
Первоочередной симптом петли - не подргужаются скрипты из веб интерфейса. У вас на скриншотах вместо символов font awasome - кубики.
И проверьте трасертом обязательно, увидите петлю. -
У вас задублированы настройки, например 2 раза правило с RDP
Они не задублированы , разные правила , просто 1 с Lan сети за сервером , т.е. из общей локалки , другое из Интернета.
Хотя , могу обойтись и без второго, Вы правы.Первоочередной симптом петли - не подргужаются скрипты из веб интерфейса. У вас на скриншотах вместо символов font awasome - кубики.
И проверьте трасертом обязательно, увидите петлю.квадраты это из-за того что я принтскрин сделал с отдельно сохраненной страницы. Скрипты подгружаются ровно и трасеровка идет как нужно.физически походил потыкал шнурки , все правильно…Если только какое то активное оборудование , типа ip телефона бесится..
Как еще можно петлю проверить? -
если петля внешняя - будет видно снифером.
Если петля маршрутизации = будет видно в трасерте.
Я так и не понял - маршрутер внутри гиперв? -
Я так и не понял - маршрутер внутри гиперв?
Схема, надо мне было с нее начать.
https://yadi.sk/i/Ur0SHMD23Vib4xЕсли петля маршрутизации = будет видно в трасерте.
Трасировка PF c WAN addresses НА LAn net внутри Hyper-v уходит за шлюза провайдера .
-
System ->Advanced ->Networking
Галку на Disable checksum offload поставьте. И перезагрузитесь после. Это важно.Основной шлюз -Zyxel Usg
Cтрадалец №1 - https://forum.pfsense.org/index.php?topic=147380.0
Страдалец №2. Ёклмн. Как же залюбили с этими зюхелями :'( Да уберите вы его из схемы. На кой ляд вам двойной nat, проблемы с пробросом портов-протоколов? Оставьте только пф. Всё.
Hyper-V версия 6.3.9600.16384
Вот щас прям полезу искать, шо ж этА за версия такая. У вас 2008, 2012\R2, 2016, 2019 гипер-в? Версия вирт. маш - 1-ая или 2-ая ?
Просьба. Цепляйте скрины здесь. Не надо их во вне совать.
-
а не может быть такой пинг изза простой перегрузки HDD на хосте?
-
Галку на Disable checksum offload поставьте. И перезагрузитесь после. Это важно.
Эту рекомендация из оф. вики. Как у ТС вообще сеть работает в ВМ без нее - вообще чудо.
-
System ->Advanced ->Networking
Галку на Disable checksum offload поставьте. И перезагрузитесь после. Это важно.Галку поставил , перегрузился , эффекта нет.
Параллельно все проверил на петли.Основной шлюз -Zyxel Usg
Cтрадалец №1 - https://forum.pfsense.org/index.php?topic=147380.0Пока не могу от него отказаться , как и Страдалец №1
Hyper-V версия 6.3.9600.16384
Вот щас прям полезу искать, шо ж этА за версия такая. У вас 2008, 2012\R2, 2016, 2019 гипер-в? Версия вирт. маш - 1-ая или 2-ая ?Hyperv 2012R2
Просьба. Цепляйте скрины здесь. Не надо их во вне совать.
Я их не вижу на предпросмотре , по этому решил на внешку кидать.
@derwin:а не может быть такой пинг изза простой перегрузки HDD на хосте?
По HDD тоже без перегрузок.
Галку на Disable checksum offload поставьте. И перезагрузитесь после. Это важно.
Эту рекомендация из оф. вики. Как у ТС вообще сеть работает в ВМ без нее - вообще чудо.
Ну тут магии нет , брандмауэры отключены первым делом были.
Как я понял , все дело в WAN интерфейсе pf, его настройках или правилах.Возможно , после переустановки Server 2012R2 c ролью HyperV изменились версии драйверов на интерфейсы,сейчас везде последние версии.
-
Логи
Status\System Logs\System\Gateways
По файрволу диаграмма.
-
это диаграмма чего?
меня смущает, что на диаграмме указаны бродкасты и мультикасты -
Status\System Logs\Firewall\Summary View\Destination IPs
-
Добрый.
Как я понял , все дело в WAN интерфейсе pf, его настройках или правилах.
Вы отдельные vswitch-и для LAN и для WAN на hyper-v создали перед тем, как создавать вирт. маш. с pf ?
-
Вы отдельные vswitch-и для LAN и для WAN на hyper-v создали перед тем, как создавать вирт. маш. с pf ?
Да , на основе физических , пробовал на основе виртуального Lan построить, нет разницы.
Но если в диспетчере виртуальных сетей разрешить предоставлять доступ к WAN , то сервер получает Ip и пинги на него идут нормальные. т.е. один и тот же интерфейс , на PF гигантские пинги , на сервер хорошие. Если отключить PF и назначить его адрес серверу , то пинги тоже в норме. вся проблема в WAN pf. -
Добрых.
Да , на основе физических
Надеюсь, что не на основе физических свитчей ;D
Создание отдельных vswitch-ей для LAN и WAN перед созданием вирт. машины с pfsense в данном случае обязательное условие. Без всяких если.
-
если есть "Доступ к телу" , всегда шлюзы настраиваю в последнюю очередь , после развертывания всей инфраструктуры ,домен контроллеров и т.п. Так что , виртуальные адаптеры уже были созданы и подключены остальным VM перед установкой PF.
