Работа OSPF маршрутов

Konstanti

@Moron
Вы сейчас сами усложняете себе жизнь
Но , это Ваше право
если отключить проверку флагов в правиле LAN интерфейса - есть заблокированные пакеты в логах или нет ?
а если так сделать ? ( tcp flags и state type)

или еще вариант решения - разнести сервер и chr в разные сети ( с помощью vlan )

Moron

@Konstanti said in Работа OSPF маршрутов:

@Moron
Вы сейчас сами усложняете себе жизнь
Но , это Ваше право

Это не усложнение жизни, а распределение шлюзов по серверам) На том же CHR вообще проблем нет и все работает... pfSense никак не могу побороть, а оставлять без фаервола это смерть.

если отключить проверку флагов в правиле LAN интерфейса - есть заблокированные пакеты в логах или нет ?
а если так сделать ? ( tcp flags и state type)

или еще вариант решения - разнести сервер и chr в разные сети ( с помощью vlan )

Вообще самый крайний вариант. Изучаю https://docs.netgate.com/pfsense/en/latest/troubleshooting/asymmetric-routing.html

werter

State type=Sloppy ?

Moron

@werter said in Работа OSPF маршрутов:

State type=Sloppy ?

Все варианты состояния попробовал

Konstanti

@Moron
А почему нельзя разнести CHR и сервер по разным сетям ? Например , с помощью VLAN и PF ? И проблема решена . Заодно
изолируете сервер от второй точки выхода в инет. По-моему , сейчас Вы идете очень извилистым путем

Moron

@Konstanti said in Работа OSPF маршрутов:

@Moron
А почему нельзя разнести CHR и сервер по разным сетям ? Например , с помощью VLAN и PF ? И проблема решена . Заодно
изолируете сервер от второй точки выхода в инет. По-моему , сейчас Вы идете очень извилистым путем

Потому, что мой вариант на 146% рабочий если заменить pfSense на CHR, но мне это никто не даст сделать, как и разнести по vlan.
По этому ищу причину почему трафик не ходит

Konstanti

@Moron
Попробуйте сделать так

1. отключаем эту опцию
   
2. создаем floating правило для Lan интерфейса
   
   

проверяем с разными state type ( и есть ли какие-нибудь записи о блокировке пакетов в журналах файрвола ? )

• так как у Вас PF запускается на виртуальной машине , то можно отключить еще и вот такую опцию
  

• запустите tcpdump на Lan интерефейсе pf ( если можно , то покажите )

Moron

@Konstanti said in Работа OSPF маршрутов:

@Moron
Попробуйте сделать так

1. отключаем эту опцию
   
2. создаем floating правило для Lan интерфейса
   
   

проверяем с разными state type ( и есть ли какие-нибудь записи о блокировке пакетов в журналах файрвола ? )

• так как у Вас PF запускается на виртуальной машине , то можно отключить еще и вот такую опцию
  

Моей радости нет предела! Правило в Floating помогло!

werter

@Moron

Моей радости нет предела! Правило в Floating помогло!

Точно ?

Может помогло это ?

@Konstanti said in Работа OSPF маршрутов:

так как у Вас PF запускается на виртуальной машине , то можно отключить еще и вот такую опцию

Есть ли возможность проверить?

Зы. Ого. Так у ТС пф как ВМ? Я к тому что галка на Disable hw offload - это ПЕРВОЕ, что делают при развертывание пф как ВМ. И это описано в вики пф.

Moron

@werter said in Работа OSPF маршрутов:

@Moron

Моей радости нет предела! Правило в Floating помогло!

Точно ?

Точно, у меня 2 места с такой пробоемой и правило в Floating сработало

Может помогло это ?

@Konstanti said in Работа OSPF маршрутов:

так как у Вас PF запускается на виртуальной машине , то можно отключить еще и вот такую опцию

Есть ли возможность проверить?

Зы. Ого. Так у ТС пф как ВМ? Я к тому что галка на Disable hw offload - это ПЕРВОЕ, что делают при развертывание пф как ВМ. И это описано в вики пф.

Было отключено изначально, везде про это пишут