Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    РЕШЕНО! Port Forward перестает работать каждый день

    Scheduled Pinned Locked Moved Russian
    5 Posts 4 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H Offline
      hikmat
      last edited by

      Добрый день народ,

      :'(Очень нужна помощь!!!

      Имеется сервер dell PE1800 с установленным PfSense 64 бит (сперва обновленный с версии 2.2.4) 2.3.1-RELEASE-p5.
      На встроенной сетевой карточке intel em настроены  vlan для внешних сетей (3 ISP - Uznet 27, Uznet213, SITA 151). Кроме того, имеются еще 3 сетевухи - VPN ведомственный, локальная сеть и DMZ зона, где имеются серваки, в т.ч. веб-сервак на базе Win 2008 + IIS.

      На основном внешнем канале (UzNET 27) настроен Port Forward в DMZ зону (публичный адрес:порт 80 - в нужный адрес DMZ:порт 80).
      Внешние IP адреса настроены как IP alias для интерфейса UzNET 27.
      На версии PfSense  2.2.4 Port Forward работал без проблем.

      После обновления клиенты начали жаловаться, что не могут достучаться до веб-серверов. Отмечено, что с момента обновления до 2.3.1-RELEASE, где-то через каждые 3-4 часа после перезагрузки пропадает доступ к внутренним серверам. Также время от времени (примерно через 2-3 дня) сильно тормозит выход из локальной сети в Интернет через PfSense.
      Для тестирования открыл доступ ICMP и стал пинговать.

      Да, кстати, сделал Packet Capture UZNET27. Так вот, когда пропадает доступ к веб-серваку, на интерфейсе UZNET27 нет информации о пингах или доступе к порту 80 из внешней сети за пределами моего периметра.
      В тоже время, доступ к веб и пинги спокойно проходят из моей внешней подсети, т.е. другого публичного IP адреса сети UZNET27. Все это прекрасно видно также на Packet Capture.

      Такое ощущение, что маршрутизатор провайдера (шлюз для UZNET27) не пересылает пакеты на мой PfSense или по крайней мере они не доходят.
      Но, почему-то после перезагрузки PfSense (больше ничего - свитчи, маршрутизаторы и серверы не трогаю) все начинает работать, к сожалению, не долго.

      В логах замечено следующее:

      Jul 17 14:37:05 birinchi nginx: 2016/07/17 14:37:05 [error] 35362#0: send() failed (54: Connection reset by peer) периодически
      Jul 17 12:07:00 xinetd 23251 Reconfigured: new=0 old=1 dropped=0 (services) периодически
      Jul 17 12:07:00 xinetd 23251 readjusting service 6969-udp периодически
      Jul 17 12:07:00 xinetd 23251 Swapping defaults периодически
      Jul 17 12:07:00 xinetd 23251 Starting reconfiguration периодически
      Jul 17 11:53:36 php-fpm /rc.openvpn: OpenVPN: One or more OpenVPN tunnel endpoints may have changed its IP. Reloading endpoints that may use UZNET27GW.  периодически

      Jul 17 11:52:36 dpinger VPN 10.0.20.245: sendto error: 65 каждую секунду, после каждой перезагрузки меняется интерфейс, т.е. UZNET 213, UZNET 27, SITA 151, но только те, где есть шлюз

      Jul 17 15:17:48 filterdns: failed to resolve host 46.8.3.5.0 will retry later again. очень часто появляется эта ошибка, интересно что почему IP из 5 октетов 46.8.3.5.0?

      Jul 16 10:11:40 openvpn 19734 ioctl(TUNSIFMODE): Device busy: Device busy (errno=16)  (постоянно вылезает эта ошибка)

      Также странно, что во вкладке Firewall ничего не отображается.

      Мужики, очень срочно нужна помощь, сильно по шапке получаю.

      Если нужна дополнительная информация, скажите.

      1 Reply Last reply Reply Quote 0
      • werterW Offline
        werter
        last edited by

        Доброе
        Смените порт веб-фейса пф с 80-го на что-то отвлеченное. И https тоже.

        1 Reply Last reply Reply Quote 0
        • H Offline
          hikauz
          last edited by

          Дружище, спасибо за отклик.
          Я уже отключил веб морду по 80 порту, а 443 перевел на другой порт с самого начала через меню advanced. Или нужно как-то по другому?

          Дополнительное инфо. Вчера настроил порт маппинг на другом интерфейсе SITA151, та же самая история.
          Сегодня целый день тестировал

          А почему веб-морда может влиять гна порт маппинг, ведь я настраиваю для IP alias, а не основного IP интерфейса.

          Еще вопрос, если можно. 512мб оперативки на 25мб линк и 500 пользователей может мало, хотя судя по дашборду все ок, не более 60-70%

          1 Reply Last reply Reply Quote 0
          • P Offline
            PbIXTOP
            last edited by

            @hikmat:

            Jul 17 15:17:48 filterdns: failed to resolve host 46.8.3.5.0 will retry later again. очень часто появляется эта ошибка, интересно что почему IP из 5 октетов 46.8.3.5.0?

            Проверяйте ваши Firewall: Aliases

            По поводу проблем с провайдером вполне возможно — у нас была проблема , когда коммутатор провайдера просто переполнял MAC таблицу адресов, симтомы становились похожими — проподание связи, пока оператор не перезагружал коммутатор.

            1 Reply Last reply Reply Quote 0
            • H Offline
              hikmat
              last edited by

              @PbIXTOP:

              Проверяйте ваши Firewall: Aliases

              Спасибо большое за подсказку. Действительно, сам оказывается вбил в алиасы 5-значный IP.
              Это исправил.

              Проблему с Port Forward решил: т.е. полностью снес NAT таблицы и виртуальные IP - ВСЕ.
              Потом заново вбил все то же самое и вуаля ЧУДО заработало. Пока тестирую, через 2-3 дня отпишусь.

              Странно, на 2,2,4 версии все работало, после обновления до 2,3,1 перестало.
              Установка шлюза с чистого листа и накат файла конфигурации не помогли, наоборот, вообще пропала связь с настроенными Port Forward веб-серваками.

              Вдруг у кого-то окажется такая же фигня.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.