IP Random id generation и NAT



  • Здравствуйте, прежде чем писать поискал что-то по этой проблеме, но ничего не нашел.
    А проблема в следующем:

    имеется:

    PFSense 2.3.3, запущенный на ESXI 6.0, два интерфейса (WMXNet 3), WAN-LAN + PPTP туннель через WAN . Также включен NAT Loopback (Pure Nat режим). Задейстованы шейперы (в обе стороны), включен Snort, и работает OpenVPN server.

    проблема:

    при включенной опции "IP Random id generation" после загрузки не стартует NAT, требуется перезапуск Firewall, после чего все начинает работать.
    (достаточно залезть в настройки связанные с Firewall и чего-нибудь перезаписать)

    Конечно, проблема не сказать что прям критическая, можно рестартовать NAT через скрипт, или просто отказаться от "IP Random id generation".
    Но может быть существует какое-то решение? Сервер у меня стоит в продакшене, так что надолго не могу его отключать и эксперементировать.



  • Доброе
    Галка на Do-Not-Fragment compatibility стоит ? Как вариант еще - System -> Advanced -> Firewall and NAT -> Firewall Optimization Options выставить "Conservative."

    .. включен Snort

    Рекомендую Suricata.

    запущенный на ESXI 6.0

    До 6.5 попробуйте обновиться.



  • @werter:

    Галка на Do-Not-Fragment compatibility стоит ?

    Стоит.

    @werter:

    Как вариант еще - System -> Advanced -> Firewall and NAT -> Firewall Optimization Options выставить "Conservative."

    У меня так все и установлено c cамого запуска. (долгое удержание tcp сессий нужно в связи со спецификой серверов)
    PF Scrub включен.

    @werter:

    Рекомендую Suricata.

    Впринципе думал про него уже давно, все руки не доходят. Да и немного смущает так сказать происхождение и связи Suricata.
    В любом случае железо на сервере более чем избыточно, и потребление ресурсов не в приоритете.

    @werter:

    До 6.5 попробуйте обновиться.

    Даж не знал что уже 6.5 появился, что-то перестал следить. Гипервизор как-то стремно обновлять :) На нем кроме PFSense работает еще с десяток машин и серверов, большинству из них требуется доступность 24/7.
    Разве что ночью можно затеять все это… пока народу немного :) А так-то вроде все отлично работает.



  • 2 Rexeros
    Он же у вас с флешки грузится ?



  • @Rexeros:

    Даж не знал что уже 6.5 появился, что-то перестал следить. Гипервизор как-то стремно обновлять :) На нем кроме PFSense работает еще с десяток машин и серверов, большинству из них требуется доступность 24/7.
    Разве что ночью можно затеять все это… пока народу немного :) А так-то вроде все отлично работает.

    А чего стремного то. Обязательно ставите в известность начальство о возможных проблемах, выбираете день чтобы был запасной на след. хотя бы для некоторых машин.
    Запасаетесь кофемашиной. Если железно сервер один - делаете его образ акронисом. Он даже посекторный умеет. И вперед.
    Все равно рано или поздно обновиться придется.



  • 1. Устанавливаем esxi на флешку с пом. vmware player free на своей машине.
    2. Перед апгрейдом выкл. сервер,  делаем посекторный бэкап флешки с пом. https://sourceforge.net/projects/win32diskimager/.
    3. Обновляем esxi с пом. vmware player free.



  • @werter:

    2 Rexeros
    Он же у вас с флешки грузится ?

    Нет, с HDD отдельного. Да впринципе не такая уж проблема обновится. Можно найти железку куда временно перенести машины, пусть там мощность не такая большая, поработают немного.

    PS: провел небольшие исследования, оказалось что если выключить NatLoopBack то проблема исчезает.

    Итак делаю вывод:  Natloopback нельзя включать одновременно с ID Рандомизацией. Почему-то не дружат они.

    Loopback включил чисто для себя, потому что на планшете стоят програмки, я иногда захожу с инета иногда с локальной сети через WIFI, и чтоб настройки каждый раз не менять сделал LoopBack :)
    Короче выключил его, включил рандомизацию, и все вроде запускается нормально, без проблем.
    Ну а пару раз в неделю IP и порты в настройки забить - переживу как нибудь :)



  • 2. Перед апгрейдом выкл. сервер,  делаем посекторный бэкап флешки с пом. https://sourceforge.net/projects/win32diskimager/.

    Бэкап esxi прямо на хосте:
    http://www.virten.net/2014/12/clone-esxi-installations-on-sd-cards-or-usb-flash-drives/

    Для уверенности восстанавливал на другую SD. Работает.

    3. Обновляем esxi с пом. vmware player free.

    Если можно - чуть подробнее об этой процедуре?



  • Пока они покрутятся на другой машине, люди там что то наработают и потом придется прогресс переносить. Мне кажется, что проще тормознуть, если конечно нет скриптов для переноса прогресса или автоматизированной системы переноса.



  • 2 pigbrother
    Спасибо за ссылку. Утащил в нору.

    Если можно - чуть подробнее об этой процедуре?

    Вмваре плеер (вместо виртбокс) выбран из-за его возможности пробрасывать в вирт. маш. флешки.
    1. Подкл. флешку.
    2. Создаем вирт. маш. с проброшенной в кач-ве хдд флешкой.
    3. В кач-ве СД-привода исп. iso-образ esxi.
    4. Стартим вирт. маш с iso.
    5. Обновляем\уст. на чистую esxi на флешку. В процессе может ругаться - пропускаем.
    6. Выкл. вирт. маш.
    7. Суем флешку в железн. сервер. Грузимся с нее. Радуемся.



  • 5. Обновляем\уст. на чистую esxi на флешку. В процессе может ругаться - пропускаем.

    Под обновлением подразумеваем флэшку  изъятую с хоста, с установленной esxi, которую хотим  обновить?



  • @pigbrother:

    5. Обновляем\уст. на чистую esxi на флешку. В процессе может ругаться - пропускаем.

    Под обновлением подразумеваем флэшку  изъятую с хоста, с установленной esxi, которую хотим  обновить?

    Да.