Gateway offline

werter

Добрый
@Serge_V

В настройках пф откл hw offload как рекомендовано в оф доке. Это важно.

Зы. Пользуйте опенсурс - гипер-в в топку. Переведите контроллер сервера в it \ hba mode и разверните proxmox ve на zfs raid-е. Это отвяжет Вас от оборудования и в случае выхода из строя сервера можно без проблем все перенести https://forum.netgate.com/topic/120102/proxmox-ceph-zfs-pfsense-и-все-все-все/

Everhood

@werter С этим параметром тоже игрался. НЕ помогало, но сейчас еще раз его выставил. Я сейчас не на hyper-v настраиваю, на компе, без всякой виртуализации, дабы исключить всякое "потусторонее" влияние.

Konstanti

@Everhood
Здр
А в журналах что написано в момент падения интерфейса ( кроме потери 20% пакетов ) ?
И что будет , если отключить dpinger ?

Everhood

@Konstanti

2020-10-15T18:00:57	dpinger[57157]	send_interval 1000ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 8.8.8.8 bind_addr y.y.y.y identifier "GW_WAN "
2020-10-15T18:00:57	dpinger[55141]	send_interval 1000ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr x.x.x.x bind_addr z.z.z.z identifier "LAN_GWv4 "
2020-10-15T15:54:39	dpinger[3650]	send_interval 1000ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr x.x.x.x bind_addr z.z.z.z identifier "LAN_GWv4 "
2020-10-15T15:54:39	dpinger[54999]	send_interval 1000ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 8.8.8.8 bind_addr y.y.y.y identifier "GW_WAN "
2020-10-15T14:57:12	dpinger[8464]	GATEWAY ALARM: GW_WAN (Addr: 8.8.8.8 Alarm: 1 RTT: 28994ms RTTd: 6092ms Loss: 22%)
2020-10-15T14:57:12	dpinger[63320]	GW_WAN 8.8.8.8: Alarm latency 28994us stddev 6092us loss 22%
2020-10-15T10:15:44	dpinger[16680]	send_interval 1000ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr x.x.x.x bind_addr z.z.z.z identifier "LAN_GWv4 "
2020-10-15T10:15:44	dpinger[63320]	send_interval 1000ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 8.8.8.8 bind_addr y.y.y.y identifier "GW_WAN "
2020-10-15T06:26:44	dpinger[80550]	GATEWAY ALARM: GW_WAN (Addr: 184.211.218.193 Alarm: 1 RTT: 1222ms RTTd: 102ms Loss: 22%)
2020-10-15T06:26:44	dpinger[78332]	GW_WAN 184.211.218.193: Alarm latency 1222us stddev 102us loss 22%
2020-10-14T11:33:42	dpinger[60424]	GATEWAY ALARM: GW_WAN (Addr: 184.211.218.193 Alarm: 0 RTT: 1316ms RTTd: 216ms Loss: 7%)
2020-10-14T11:33:42	dpinger[78332]	GW_WAN 184.211.218.193: Clear latency 1316us stddev 216us loss 7%
2020-10-14T11:33:31	dpinger[80674]	GATEWAY ALARM: GW_WAN (Addr: 184.211.218.193 Alarm: 1 RTT: 1225ms RTTd: 0ms Loss: 50%)
2020-10-14T11:33:31	dpinger[78332]	GW_WAN 184.211.218.193: Alarm latency 1225us stddev 0us loss 50%
2020-10-14T11:33:28	dpinger[72838]	send_interval 1000ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr x.x.x.x bind_addr z.z.z.z identifier "LAN_GWv4 "

dpinger отключу позже, понаблюдаю как сейчас будет

Konstanti

@Everhood
А дальше что происходит ? Что в логах пишет ? И что такое LAN_GWv4 ?

Everhood

@Konstanti
LAN_GWv4 - это имя внутреннго гейтвея. И это конец лога, потом просто WAN становится в офф. Но он снаружи пингуется, но не работает ни VPN через него, IPSec ... т.е он как отключен.

Everhood

С опцией hw offload утром gateway отсох.

2020-10-16T06:42:43	dpinger[62879]	GATEWAY ALARM: GW_WAN (Addr: 8.8.8.8 Alarm: 1 RTT: 27387ms RTTd: 194ms Loss: 22%)
2020-10-16T06:42:43	dpinger[57157]	GW_WAN 8.8.8.8: Alarm latency 27387us stddev 194us loss 22%

Что еще заметил, что если без нагрузки сенсе работает, то отсыхат в районе 6 часов утра.
Сейчас отключу dpinger и буду наблюдать

Everhood

При этом

xxx:~ # ifconfig
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2008<VLAN_MTU,WOL_MAGIC>
        ether ec:ad:e0:f4:45:3a
        inet **ip_address** netmask 0xfffffff8 broadcast **ip_address**
        inet6 fe80::eead:xxx%re0 prefixlen 64 scopeid 0x1
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>

Konstanti

@Everhood Давайте еще раз
Те интерфейс живет , а вот ipsec туннель заново не поднимается ? или как ?

судя по ifconfig - интерфейс жив ( re0 - я бы отключил расчет контрольных сумм для Realtek )

Everhood

@Konstanti По ifcofig - он живет, но снаружи не пингуется.
С контрольными суммами я игрался раньше, могу ещё раз попробовать.
В дашбоарде показывает что этот гейт мертв, и поднимается если WAN перегрузить. И не работает ни IPsec, ни vpn, т.е. не получается по vpn зайти в сеть.

werter

@Everhood

https://pfsense-docs.readthedocs.io/en/latest/hardware/tuning-and-troubleshooting-network-cards.html
Со слов 'Intel igb(4) and em(4) Cards' пробуйте. Не выйдет - меняйте сетевую.

Everhood

@werter Пока держится, следующим шагом попробую.
Сетевуху менять нет смысла это уже на 3-й комбинации железа проявляется .... Даже на USB -> Ethernet сетевухе.

pigbrother

@werter said in Gateway offline:

тестером новой версии

В 2.5 появилась, кстати, долго ожидаемая (мною, по крайней мере) функция продления\переиздания сертификатов.

Everhood

@werter
Пока ни один рецепт не помог. Буду пробовать с этого линка. Но уже чисто спортивный интерес.