IP Random id generation и NAT
-
Здравствуйте, прежде чем писать поискал что-то по этой проблеме, но ничего не нашел.
А проблема в следующем:имеется:
PFSense 2.3.3, запущенный на ESXI 6.0, два интерфейса (WMXNet 3), WAN-LAN + PPTP туннель через WAN . Также включен NAT Loopback (Pure Nat режим). Задейстованы шейперы (в обе стороны), включен Snort, и работает OpenVPN server.
проблема:
при включенной опции "IP Random id generation" после загрузки не стартует NAT, требуется перезапуск Firewall, после чего все начинает работать.
(достаточно залезть в настройки связанные с Firewall и чего-нибудь перезаписать)Конечно, проблема не сказать что прям критическая, можно рестартовать NAT через скрипт, или просто отказаться от "IP Random id generation".
Но может быть существует какое-то решение? Сервер у меня стоит в продакшене, так что надолго не могу его отключать и эксперементировать. -
Доброе
Галка на Do-Not-Fragment compatibility стоит ? Как вариант еще - System -> Advanced -> Firewall and NAT -> Firewall Optimization Options выставить "Conservative.".. включен Snort
Рекомендую Suricata.
запущенный на ESXI 6.0
До 6.5 попробуйте обновиться.
-
Галка на Do-Not-Fragment compatibility стоит ?
Стоит.
Как вариант еще - System -> Advanced -> Firewall and NAT -> Firewall Optimization Options выставить "Conservative."
У меня так все и установлено c cамого запуска. (долгое удержание tcp сессий нужно в связи со спецификой серверов)
PF Scrub включен.Рекомендую Suricata.
Впринципе думал про него уже давно, все руки не доходят. Да и немного смущает так сказать происхождение и связи Suricata.
В любом случае железо на сервере более чем избыточно, и потребление ресурсов не в приоритете.До 6.5 попробуйте обновиться.
Даж не знал что уже 6.5 появился, что-то перестал следить. Гипервизор как-то стремно обновлять :) На нем кроме PFSense работает еще с десяток машин и серверов, большинству из них требуется доступность 24/7.
Разве что ночью можно затеять все это… пока народу немного :) А так-то вроде все отлично работает. -
2 Rexeros
Он же у вас с флешки грузится ? -
Даж не знал что уже 6.5 появился, что-то перестал следить. Гипервизор как-то стремно обновлять :) На нем кроме PFSense работает еще с десяток машин и серверов, большинству из них требуется доступность 24/7.
Разве что ночью можно затеять все это… пока народу немного :) А так-то вроде все отлично работает.А чего стремного то. Обязательно ставите в известность начальство о возможных проблемах, выбираете день чтобы был запасной на след. хотя бы для некоторых машин.
Запасаетесь кофемашиной. Если железно сервер один - делаете его образ акронисом. Он даже посекторный умеет. И вперед.
Все равно рано или поздно обновиться придется. -
1. Устанавливаем esxi на флешку с пом. vmware player free на своей машине.
2. Перед апгрейдом выкл. сервер, делаем посекторный бэкап флешки с пом. https://sourceforge.net/projects/win32diskimager/.
3. Обновляем esxi с пом. vmware player free. -
2 Rexeros
Он же у вас с флешки грузится ?Нет, с HDD отдельного. Да впринципе не такая уж проблема обновится. Можно найти железку куда временно перенести машины, пусть там мощность не такая большая, поработают немного.
PS: провел небольшие исследования, оказалось что если выключить NatLoopBack то проблема исчезает.
Итак делаю вывод: Natloopback нельзя включать одновременно с ID Рандомизацией. Почему-то не дружат они.
Loopback включил чисто для себя, потому что на планшете стоят програмки, я иногда захожу с инета иногда с локальной сети через WIFI, и чтоб настройки каждый раз не менять сделал LoopBack :)
Короче выключил его, включил рандомизацию, и все вроде запускается нормально, без проблем.
Ну а пару раз в неделю IP и порты в настройки забить - переживу как нибудь :) -
2. Перед апгрейдом выкл. сервер, делаем посекторный бэкап флешки с пом. https://sourceforge.net/projects/win32diskimager/.
Бэкап esxi прямо на хосте:
http://www.virten.net/2014/12/clone-esxi-installations-on-sd-cards-or-usb-flash-drives/Для уверенности восстанавливал на другую SD. Работает.
3. Обновляем esxi с пом. vmware player free.
Если можно - чуть подробнее об этой процедуре?
-
Пока они покрутятся на другой машине, люди там что то наработают и потом придется прогресс переносить. Мне кажется, что проще тормознуть, если конечно нет скриптов для переноса прогресса или автоматизированной системы переноса.
-
2 pigbrother
Спасибо за ссылку. Утащил в нору.Если можно - чуть подробнее об этой процедуре?
Вмваре плеер (вместо виртбокс) выбран из-за его возможности пробрасывать в вирт. маш. флешки.
1. Подкл. флешку.
2. Создаем вирт. маш. с проброшенной в кач-ве хдд флешкой.
3. В кач-ве СД-привода исп. iso-образ esxi.
4. Стартим вирт. маш с iso.
5. Обновляем\уст. на чистую esxi на флешку. В процессе может ругаться - пропускаем.
6. Выкл. вирт. маш.
7. Суем флешку в железн. сервер. Грузимся с нее. Радуемся. -
5. Обновляем\уст. на чистую esxi на флешку. В процессе может ругаться - пропускаем.
Под обновлением подразумеваем флэшку изъятую с хоста, с установленной esxi, которую хотим обновить?
-
5. Обновляем\уст. на чистую esxi на флешку. В процессе может ругаться - пропускаем.
Под обновлением подразумеваем флэшку изъятую с хоста, с установленной esxi, которую хотим обновить?
Да.
