Проблемы с Wan

Lioha

@derwin:

У вас задублированы настройки, например 2 раза правило с RDP

Они не задублированы , разные правила , просто 1 с Lan сети за сервером , т.е. из общей локалки , другое из Интернета.
Хотя , могу обойтись и без второго, Вы правы.

Первоочередной симптом петли - не подргужаются скрипты из веб интерфейса. У вас на скриншотах вместо символов font awasome - кубики.
И проверьте трасертом обязательно, увидите петлю.

квадраты это из-за того что я принтскрин сделал с отдельно сохраненной страницы. Скрипты подгружаются ровно и трасеровка идет как нужно.физически походил потыкал шнурки , все правильно…Если только какое то активное оборудование , типа ip телефона бесится..
Как еще можно петлю проверить?

derwin

если петля внешняя - будет видно снифером.
Если петля маршрутизации = будет видно в трасерте.
Я так и не понял - маршрутер внутри гиперв?

Lioha

@derwin:

Я так и не понял - маршрутер внутри гиперв?

Схема, надо мне было с нее начать.
https://yadi.sk/i/Ur0SHMD23Vib4x

Если петля маршрутизации = будет видно в трасерте.

Трасировка PF c WAN addresses НА LAn net внутри Hyper-v уходит за шлюза провайдера .

werter

System ->Advanced ->Networking
Галку на Disable checksum offload поставьте. И перезагрузитесь после. Это важно.

Основной шлюз -Zyxel Usg

Cтрадалец №1 -  https://forum.pfsense.org/index.php?topic=147380.0

Страдалец №2. Ёклмн. Как же залюбили с этими зюхелями  :'( Да уберите вы его из схемы. На кой ляд вам двойной nat, проблемы с пробросом портов-протоколов? Оставьте только пф. Всё.

Hyper-V версия 6.3.9600.16384

Вот щас прям полезу искать, шо ж этА за версия такая. У вас 2008, 2012\R2, 2016, 2019 гипер-в? Версия вирт. маш - 1-ая или 2-ая ?

Просьба. Цепляйте скрины здесь. Не надо их во вне совать.

derwin

а не может быть такой пинг изза простой перегрузки HDD на хосте?

werter

Галку на Disable checksum offload поставьте. И перезагрузитесь после. Это важно.

Эту рекомендация из оф. вики. Как у ТС вообще сеть работает в ВМ без нее - вообще чудо.

Lioha

@werter:

System ->Advanced ->Networking
Галку на Disable checksum offload поставьте. И перезагрузитесь после. Это важно.

Галку поставил , перегрузился , эффекта нет.
Параллельно все проверил на петли.

Основной шлюз -Zyxel Usg
Cтрадалец №1 -  https://forum.pfsense.org/index.php?topic=147380.0

Пока не могу от него отказаться , как и Страдалец №1

Hyper-V версия 6.3.9600.16384
Вот щас прям полезу искать, шо ж этА за версия такая. У вас 2008, 2012\R2, 2016, 2019 гипер-в? Версия вирт. маш - 1-ая или 2-ая ?

Hyperv 2012R2

Просьба. Цепляйте скрины здесь. Не надо их во вне совать.

Я их не вижу на предпросмотре , по этому решил на внешку кидать.
@derwin:

а не может быть такой пинг изза простой перегрузки HDD на хосте?

По HDD тоже без перегрузок.

@werter:

Галку на Disable checksum offload поставьте. И перезагрузитесь после. Это важно.

Эту рекомендация из оф. вики. Как у ТС вообще сеть работает в ВМ без нее - вообще чудо.

Ну тут магии нет , брандмауэры отключены первым делом были.

Как я понял , все дело в WAN интерфейсе pf, его настройках или правилах.Возможно , после переустановки Server 2012R2 c ролью HyperV изменились версии драйверов на интерфейсы,сейчас везде последние версии.

Lioha

Логи

Status\System Logs\System\Gateways

По файрволу диаграмма.

derwin

это диаграмма чего?
меня смущает, что на диаграмме указаны бродкасты и мультикасты

Lioha

Status\System Logs\Firewall\Summary View\Destination IPs

werter

Добрый.

Как я понял , все дело в WAN интерфейсе pf, его настройках или правилах.

Вы отдельные vswitch-и для LAN и для WAN на hyper-v создали перед тем, как создавать вирт. маш. с pf ?

Lioha

@werter:

Вы отдельные vswitch-и для LAN и для WAN на hyper-v создали перед тем, как создавать вирт. маш. с pf ?

Да , на основе физических , пробовал на основе виртуального Lan построить, нет разницы.
Но если в диспетчере виртуальных сетей разрешить предоставлять доступ к WAN , то сервер получает Ip и пинги на него идут нормальные. т.е. один и тот же интерфейс , на PF гигантские пинги , на сервер хорошие. Если отключить PF и назначить его адрес серверу , то пинги тоже в норме. вся проблема в WAN pf.

werter

Добрых.

Да , на основе физических

Надеюсь, что не на основе физических свитчей  ;D

Создание отдельных vswitch-ей для LAN и WAN перед созданием вирт. машины с pfsense в данном случае обязательное условие. Без всяких если.

Lioha

если есть "Доступ к телу" , всегда шлюзы настраиваю в последнюю очередь , после развертывания всей инфраструктуры ,домен контроллеров и т.п. Так что , виртуальные адаптеры уже были созданы и подключены остальным VM перед установкой PF.