pfsense блокирует все в lan 2 суток бьюсь
-
@евгений Nat outbound настроен для Lan на WAN интерфейсе ?
то что на первой фотке , это что рубится на wan интерфейсе для 95.174.XXX.XXX -
@konstanti Nat outbound настроен Automatic outbound NAT rule generation.
(IPsec passthrough included) ( я его обычно и не трогал, раньше все работало) там два правила для моей лан подсети по дефолтуAuto created rule for ISAKMP
Auto created rule -
@евгений Покажите пож nat outbound
Или посмотрите в Diagnostics/Command Prompt вывод команды
pfctl -s nat
есть там такая строчка ( применительно к Вашему случаю)
nat on XXX inet from 10.10.0.0/24 to any -> 95.174.XXX.XXX port 1024:65535 -
@konstanti самое интересное что в самом pfsense все ходит все есть даже грузит обновления и т.д а за пределами уже все с локалки пингует например mail.ru но страницы не грузит((...
-
@евгений У Вас нет правила NAT OUtbound для вашей сети 10.10.0.0/24 на wan интерфейсе
-
@konstanti Я просто уже переустановил pfsense и локалку сделал дефолтную) 192.168.1.xxx Я делал локальный ап пи и 10.10.0.120 и 192.168.100.120 ничего не помогает не пойму что за бред.... Кто то ставит и все сразу работает по дефолту у меня какая то засада...
-
@евгений Чудес не бывает
Давайте еще раз
Можете показать вывод команды
pfctl -sr из раздела Diagnostics/Command Prompt ?
и pfctl -s nat (оттуда же) -
- pfctl -s nat
no nat proto carp all
nat-anchor "natearly/" all
nat-anchor "natrules/" all
nat on pppoe0 inet from 127.0.0.0/8 to any port = isakmp -> 95.174.110.204 static-port
nat on pppoe0 inet from 192.168.1.0/24 to any port = isakmp -> 95.174.110.204 static-port
nat on pppoe0 inet6 from ::1 to any port = isakmp -> (pppoe0) round-robin static-port
nat on pppoe0 inet from 127.0.0.0/8 to any -> 95.174.110.204 port 1024:65535
nat on pppoe0 inet from 192.168.1.0/24 to any -> 95.174.110.204 port 1024:65535
nat on pppoe0 inet6 from ::1 to any -> (pppoe0) port 1024:65535 round-robin
no rdr proto carp all
rdr-anchor "relayd/" all
rdr-anchor "tftp-proxy/" all
rdr-anchor "miniupnpd" all -
-
@евгений К сожалению ничего не видно
Но что узрел - это PPPoE
Можно уточняющий вопрос
С локального компа пинги идут в инет ? -
@konstanti да идут, сейчас частями вгружу а то не дает типо спам пишет)
и если подключит простой роутер типо zyxel, tplink все работает -
@евгений Не надо
Попробуйте в настройках wan интерфейса поставить MTU 1400
Что произойдет ?
-
@konstanti
Shell Output - pfctl -sr
scrub on pppoe0 all fragment reassemble
scrub on ue0 all fragment reassemble
anchor "relayd/" all
anchor "openvpn/" all
anchor "ipsec/*" all
block drop in log quick inet from 169.254.0.0/16 to any label "Block IPv4 link-local"
block drop in log quick inet from any to 169.254.0.0/16 label "Block IPv4 link-local"
block drop in log inet all label "Default deny rule IPv4"
block drop out log inet all label "Default deny rule IPv4"
block drop in log inet6 all label "Default deny rule IPv6"
block drop out log inet6 all label "Default deny rule IPv6"
pass quick inet6 proto ipv6-icmp all icmp6-type unreach keep state
pass quick inet6 proto ipv6-icmp all icmp6-type toobig keep state
pass quick inet6 proto ipv6-icmp all icmp6-type neighbrsol keep state
pass quick inet6 proto ipv6-icmp all icmp6-type neighbradv keep state
pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type echorep keep state
pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type routersol keep state
pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type routeradv keep state
pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type neighbrsol keep state
pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type neighbradv keep state -
@евгений Попробуйте МТU поменять на wan интерфейсе , как я указал выше
-
@konstanti
Ничего не поменялось все так же... пинги идут страницы не открываются -
-
@евгений Какая схема подключения к провайдеру?
Можете показать вывод команды ifconfig ? также из diagnostics/.... -
@konstanti Самое интересное что простые роутеры работают типо Zyxel и Tplink
-
@konstanti
вот с pfsense провайдер Мегалинк Таганрог
0_1545861879380_ipconfig.txt -
-
@евгений Попробуйте еще уменьшить MTU , например , 1360
Вот Вам инфа для размышления
https://samuel.kadolph.com/2015/02/mtu-and-tcp-mss-when-using-pppoe-2/
https://forum.netgate.com/topic/42067/%D0%BD%D0%B5%D0%BF%D0%BE%D0%B4%D0%B3%D1%80%D1%83%D0%B6%D0%B0%D1%8E%D1%82%D1%81%D1%8F-%D1%81%D0%B0%D0%B9%D1%82%D1%8B-%D0%B8%D0%BB%D0%B8-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D0%B0-%D1%81-mtu-%D0%BD%D0%B0-pppoe/16 -
@евгений Доброе утро
Удалось устранить проблему ? -
@konstanti
Доброе утро нет( самое печальное что например на другой организации static IP используется не pppoe как у меня дома тот же провайдер мегалинк и так же все один в один не работает, с пф сенса так же все ходит, с Лан ничего кроме пингов не идет. Размер MTU ставил разные не помогло... Не знаю уже что делать за 10 лет работы первый раз такое бред... С простых роутеров все запускаеться все ходит трындец...... -
@евгений Попробуйте использовать tcpdump
Diagnostics /Packet capture
Те запускаете tcpdump на wan интерфейсе (параллельно пытаетесь открыть любой сайт) и смотрите потом трафик - работает ли dns , уходят ли пакеты на 443 порт,возвращаются ли и тд и тп ( mtu верните назад , те поле должно быть пустым)
И еще , ради гипотезы , отключена поддержка ipv6 на wan и lan ? Если включена , отключите -
@konstanti
Хорошо спасибо сейчас попробую -
@konstanti said in pfsense блокирует все в lan 2 суток бьюсь:
tcpdump
вообще не выполняеться выкидывает на страницу 501 типо нет коннекта) -
@евгений не совсем понял Ваше сообщение. Вы запускаете packet capture на Wan интерфейсе и? Что происходит? Есть пакеты? Ipv6 отключили на lan и Wan интерфейсах?
-
@konstanti
Извиняюсь не туда полез)
вот прилагаю файл с tcpdump
0_1545905863196_tcpdmp.txt -
@евгений а 172.16.10.47 это Ваш текущий ip адрес?
-
@konstanti
я сделал через DHCP через второй роутер это подсеть второго роутера думал может затык этот пропадет все то же самое...
Ну то есть к wan провайдера присоедениk zyxel на нем поднял ppoe его подсеть 172.16.10.xxx и лан роутера воткнул в wan pfsense (dhcp)
на zyxel все ходит все работает. -
@евгений Если Вы обратите внимание , пакеты обратно на PF возвращаются , т е wan интерфейс их видит. А можно теперь тоже самое сделать на Lan интерфейсе ?
Packet capture . IPV6 отключили ? -
@konstanti said in pfsense блокирует все в lan 2 суток бьюсь:
IPV6 отключили
везде отключил и на wan и на lan и на DHCP сейчас сделаю
-
@konstanti
вот по lan0_1545911373175_lantcpdump.txt -
@евгений Пакеты от и для 100 хоста уходят , возможно , проблема в хосте 100.
-
@евгений Попробуйте не google chrome использовать . А другой браузер
Антивирус какой-нить стоит ? Dr web , к примеру -
@konstanti
да в том то и дело что на текущем компе все работает с простого роутера когда я его лан втыкаю себе в сетевую карту а pfsense нет все блокируется кроме пингов но это походу icmp и их не блочит фаервол просто по идее только он может так отрабатывать в пфсенс я его отключал не помогло... браузер пробовал другой не помогает -
@konstanti
вот дамп lan0_1545914092938_lan.txt открывал сайты через internet explorer -
@konstanti
получаеться он в лане блочит все tcp заголовки в конце везде 0 -
@евгений Немножко не так . Сначала хосты должны "пообщаться" - "тройное рукопожатие". Поэтому пакеты 0 , в них никаких данных нет . А можете подключить телефон к сети ? Он будет работать ?
-
@konstanti said in pfsense блокирует все в lan 2 суток бьюсь:
тройное рукопожатие
телефона к сожалению нет только аналоговые буду искать ай пи телефон)