Странное поведение правил после таймаутов на интерфейсе

killater

Всем привет! помогите понять куда копать с вот такой проблемой:
Схема сети Wan->re0_Pfsense_re1->Lan.
Так-же поднят VPN до другой страны для просмотра недоступных по wan сайтов(правило через Alias отправляет пакеты к сайтам на гейтвей VPN).
Все работает ровно до момента пока не происходят такие события на WAN:

Mar 18 09:28:03 dpinger send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr “ISP_serverd_address_here” bind_addr “ISP_dhcp_address_here” identifier "WAN_DHCP "

Следом естественно плохо становится VPN:
Mar 18 09:34:32 dpinger send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr “VPN_address_here” bind_addr “VPN_address_here” identifier "OPT1_DHCP "

Потом оба интерфейса работают без таких сообщений, но пакеты по правилу ходить перестают пока полностью не перезагрузишь систему.
Пробовал рестартовать отдельно демона OpneVPN, пробовал переинициализировать соединение, пробовал моргать интерфейсом в ifconfig. Просто через WAN пакеты ходят.
В другой ветке посоветовали поставить галочку на опции Skip rules when gateway is down, но не помогает, видимо потому-что Gateway-то поднят.

в какую сторону копать?

Konstanti

@killater
Здр
а в журналах что пишут по поводу перезапуска туннеля ??
Я вообще отключил этот dpinger .

killater

@Konstanti
OpenVPN лог пишет, что тоннель поднимается как обычно. позже могу прислать, но выглядит вроде ровно так-же.
dpinger тут как индикатор того, что что-то случилось с интерфейсом, но вцелом как по мне - если что-то произошло(может VPN сервер каждый час будет сбрасывать соединение), но потом всё поднялось обратно, то правила должны работать штатно. не перезагружать-же каждый час машину?
вот и пытаюсь понять где-что подвисает, чтобы это починить, или хотя-юы накостылить скрипт какой.

Konstanti

@killater
В системном логе что пишется ???
Как происходит перезапуск wan интерфейса и туннеля ???
Дальше , как только возникла проблема , надо мониторить трафик , куда он идет .
tcpdump, таблица состояний , какие правила в памяти файрвола.
Если соединение уже установлено через wan , когда VPN туннель лежал , то тогда весь трафик этого соединения будет идти через wan интерфейс. Пока соединение не будет сброшено.

werter

@killater
Какой адрес мониторится dpinger-ом? Скрины покажите.

Если соединение уже установлено через wan , когда VPN туннель лежал , то тогда весь трафик этого соединения будет идти через wan интерфейс. Пока соединение не будет сброшено.

Можно жОстко задать ходить к выделенным ресурсам ТОЛЬКО через ВПН.

killater

@Konstanti вот системный лог за примерно то-же время
примерно такие события возникают при каждом инциденте.
особенно меня смущает строка "pfSense package system has detected an IP change or dynamic WAN reconnection - 10.7.3.5 -> 10.7.2.3 - Restarting packages."

Mar 18 09:47:36 php-fpm 15429 /rc.start_packages: Restarting/Starting all packages.
Mar 18 09:47:35 check_reload_status Starting packages
Mar 18 09:47:35 php-fpm 369 /rc.newwanip: pfSense package system has detected an IP change or dynamic WAN reconnection - 10.7.3.5 -> 10.7.2.3 - Restarting packages.
Mar 18 09:47:33 php-fpm 369 /rc.newwanip: Creating rrd update script
Mar 18 09:47:31 dhcpleases kqueue error: unknown
Mar 18 09:47:31 dhcpleases Could not deliver signal HUP to process because its pidfile (/var/run/unbound.pid) does not exist, No such process.
Mar 18 09:47:31 dhcpleases /etc/hosts changed size from original!
Mar 18 09:47:26 php-fpm 369 /rc.newwanip: IP Address has changed, killing all states (ip_change_kill_states is set).
Mar 18 09:47:26 dhcpleases /etc/hosts changed size from original!
Mar 18 09:47:26 php-fpm 369 /rc.newwanip: rc.newwanip: on (IP address: 10.7.2.3) (interface: OPT1[opt1]) (real interface: ovpnc1).
Mar 18 09:47:26 php-fpm 369 /rc.newwanip: rc.newwanip: Info: starting on ovpnc1.
Mar 18 09:47:25 check_reload_status rc.newwanip starting ovpnc1
Mar 18 09:47:25 kernel ovpnc1: link state changed to UP
Mar 18 09:47:24 check_reload_status Reloading filter
Mar 18 09:47:24 kernel ovpnc1: link state changed to DOWN

killater

@werter сейчас к выделенным ресурсам можно ходить только через VPN. мониторится гейтвей провайдера и гейтвей сервера VPN

Konstanti

@killater said in Странное поведение правил после таймаутов на интерфейсе:

an IP change or dynamic

Здр
Вас не должно это смущать ( такой текст всегда пишется в лог при перезапуске пакетов независимо от интерфейса)
Те что у Вас произошло
Поднялся интерфейс OPT1 ( ovpnc1)
VPN провайдер выдал другой ip
Удаляются все соединения из таблицы состояний
и перезапускаются пакеты

Интересно ,что происходит в системе потом .

werter

мониторится гейтвей провайдера и гейтвей сервера VPN

Не надо так делать. Мониторьте на ВАНе гугл\яндекс ДНС. Потому как шлюз провайдера может быть доступен, а инета может и не быть.

И еще. Зачем вам шлюз на ЛАН?

killater

@Konstanti тогда ждем очередного происшествия, я попробую снять tcdump.
как посмотреть какие правила загружены в память? если честно я до этого момента думал,ч то все, что указано в списке правил - загружается и применяется. это не так?