PfSense + D-Link DWL2600AP



  • День добрый всем!

    Есть проблема с сабжем - клиентам, сидящим через точку DWL2600AP "режется" входящий трафик интернет, ну даже не режется, а точнее сказать часть пакетов просто теряется (если глянуть ваершарком на клиенте) и скорость сильно падает, а в целом колеблется от 200К до 2М или пропадает совсем, при этом на upload у клиентов все прекрасно и внутри локалки все бегает исправно - шары, 1С, почта и проч…

    Сенс стоит последний, все живет в пределах одной локалки без вланов, никаких лимитеров\шейперов не настроено, точка получает айпишник автоматом от сенса, так же от сенса раздаются динамически постоянные адреса клиентам, адреса клиентов в фаерволе имею permit any, схема подключения такая:

    Клиент -> DWL2600AP -> pfSense

    Дальше больше, брал три других вида точек от д-линка, при подключении по такой же схеме все летает.

    Заменял в схеме подключения сенс на другой шлюз (расшаривали тырнет с мобилки), тоже все летает.

    Получается, что проблемы только с такой разновидностью точек. Прошивки на точках меняли, толку ноль.

    Как лечить не пойму...

    UPD: Если смотреть Diagnostics->Packet Capture конкретного клиента на самом сенсе, то полно записей типа bad cksum 0:

    14:28:37.229499 00:19:b9:f7:83:19 > 08:ed:b9:5a:5c:5c, ethertype IPv4 (0x0800), length 1514: (tos 0x20, ttl 59, id 45733, offset 0, flags [DF], proto TCP (6), length 1500, bad cksum 0 (->5cfc)!)



  • //DWL2600AP "режется" входящий трафик//
    В работоспособности этой шайтан коробки уверен?



  • Шайтан-коробок десять штук из разных партий…

    Я же писал, что если тупо пускать клиентов (зарегистрированных на точке) через другой шлюз, то все ОК...

    Ну и естественно сама "коробка" ничего не режет, косяк происходит где-то на стыке с сенсом.

    Ситуация сильно похожа вот на эту - https://doc.pfsense.org/index.php/Lost_Traffic_/_Packets_Disappear

    только вот заветная галочка не принесла пользы пока :-(



  • Доброе.
    Галку на System: Advanced: Firewall and NAT: Clear invalid DF bits instead of dropping the packets и перезагрузиться.
    Попробуйте сменить режим работы fw на conservative и перезагрузиться.

    И что у Вас за сетевая на pf ? Она ему "не нравится". Попробуйте сменить
    https://forum.pfsense.org/index.php?topic=21380.15
    https://forum.pfsense.org/index.php?topic=128561.0



  • Спасибо, сделаю и отпишусь, но уже не раньше понедельника.

    Железка для сенса это делловский 1U сервак, сетевухи определились как bge, т.е. это броадком, на сколько я понимаю. Сменить их возможности нет, про это я подумал первым делом, т.к. было у меня что-то похожее с фревым серваком на amd64 ядре…тогда пришлось ставить 32-х разрядную версию чтобы все работало.

    Кстати, как вариант, если ничего не поможет, то может сохранить конфиг, накатить 32-х разрядную версию и залить конфиги обратно....

    На самый плохой вариант есть еще другой сервак 1U с интеловскими сетевухами, вопрос только в том, как на него переносить конфиги, ведь сетевые интерфейсы будут другие или есть какие-то хитрости как перенести pfSense на совсем другую железку?



  • ведь сетевые интерфейсы будут другие или есть какие-то хитрости как перенести pfSense на совсем другую железку?
    Устанавливаете pfSense с минимальными настройками, достаточно обеспечить доступ к WebGui.
    Зпгружаете сохраненный конфиг. После импорта конфига pfSense увидит interface mismatch и предложит прямо в  WebGui перассоциировать сетевые карты. Внимательно делаете это. Затем перезагрузка. После нее возможно  потребуется проверить привязки PPPOE\VPN\прочего.

    Одно но - нельзя импортировать конфиг от более свежей версии в более старую. Наоборот - можно. Можно даже импортировать конфиг от х86 в х64.

    Железка для сенса это делловский 1U сервак
    часть пакетов просто теряется

    Several users have noted issues with certain Broadcom network cards, especially those built into Dell hardware. If the bce cards in the firewall are behaving erratically, dropping packets, or causing system crashes, then the following tweaks may help, especially on amd64.

    In /boot/loader.conf.local - Add the following (or create the file if it does not exist):

    kern.ipc.nmbclusters="131072"
    hw.bce.tso_enable=0
    hw.pci.enable_msix=0

    That will increase the amount of network memory buffers, disable TSO directly, and disable msix.

    Так как у вас bge, то
    see above, but change "bce" to "bge" in the setting names.
    https://doc.pfsense.org/index.php/Tuning_and_Troubleshooting_Network_Cards#Broadcom_bge.284.29_Cards

    Вместо правки\создания
    /boot/loader.conf.local
    правки можно попробовать добавить в GII тут
    System-Advanced-System Tunables



  • А можно скрин вкладки Interfaces / LAN ?

    (У меня в сетке есть похожая проблема только с одной точкой CISCO но там на уровне TCP пропадает синхронизация пакетов и связь просто блокируется)



  • to pigbrother:

    Все прописал, в понедельник будет видно…

    to Miles27:

    Там ничего нет, все по дефолту, кроме ip адреса и маски подсети, ipv6 задизеблен, гейт не прописан, как в инструкции сказано.



  • Вот так?




  • Да, все так.



  • but change "bce" to "bge" in the setting names
    Про это не забыли?



  • Ну конечно ж не забыл, мы люди тверезые, а не какие шалопутные, чтобы перепутать интерфейс - никогда ;)



  • Ну, в общем - не помогло ничего :'(

    Параметры прописал (кстати, их нужно все таки в /boot/loader.conf.local прописывать), sysctl их исправно показывает, мол загружено, все ОК.

    Поторопился я - hw.bge.tso_enable=0 unknown oid - не знает он про эту переменную ничего….судя по всему, как оно не работало - https://redmine.pfsense.org/issues/1425, та и не работает до сих пор...

    В фаерволах-натах все галки ставил, режим менял, перезагружался вестимо, картина все та же - ровным счетом ничего не поменялось....

    Буду накатывать сенс на другой сервак с другими сетевухами и перетягивать конфиги....т.к. судя по сообщениям в инете DELL PowerEdge 860 + FreeBSD - не айс, видимо врожденный дефект...



  • Доброе.

    ..т.к. судя по сообщениям в инете DELL PowerEdge 860 + FreeBSD - не айс, видимо врожденный дефект…

    Мил человек, попробуйте на нем Proxmox на ZFS развернуть (развалив аппаратный raid в bios сперва), предварительно обновив firmware до самой последней версии (http://www.dell.com/support/home/ua/ru/uabsdt1/product-support/product/poweredge-860/drivers#subdriverswdownload  http://www.dell.com/support/home/ua/ru/uabsdt1/drivers/driversdetails?driverId=FM2RX) и обязательно вкл. в БИОС виртуализацию vt-x, vt-d (если есть). А pfsense - уже как вирт. маш. в нем. Вдруг спасет.



  • Да, обновления я искал уже первым делом, только для 9-го поколения серверов там нет моей 860-й модели, ну в смысле, что у меня уже все последнее установлено, что можно :)

    Мне проще будет параллельно поднять на другом серваке тестовый сенс, все конфиги на него накорячить и быстренько (на пробу) заменить актуальный (после работы, как все свалят) на тестовый. Если все пройдет хорошо, то просто оставлю второй сервак в работе.

    Благо одноюнитовых серваков свободных под рукой куча, остались после перевода серверного хозяйства в виртуальную среду :)



  • А почему и пф тогда в ту же среду не перенесли ?



  • Предпочитаю шлюз в железе, отдельно от виртуальной среды, скажем так, это личные предпочтения :)



  • Итак, что имеем после всех экспериментов…начнем по порядку.

    1. Чтоб не бегать с серваками, собрал тестовый шлюз Core2Duo, 2Gb, 2 х intel lan 100.

    2. Сетевушки определились как fxp0 и fxp1, wan и lan соответственно, сразу конфиги переносить на него не стал, а воткнул шлюзом на втором канале, там ADSL 4 мегабита под всякую ипи телефонию, пока в офисе никого нет можно пошалить...воткнул короче.

    3. В лан интерфейс сразу воткнул точку, к точке присосался ноутом - тырнет пашет, все хорошо, ограничений скорости нет...обрадовался.

    4. Выдернул соски из старого сервака, воткнул в новый (как положено), залил конфиги, переназначив интерфейсы (как положено). Сервак перезагрузился, все прочухал, все работает....как раньше, скорость клиентам точек 2600 режется, т.е. ничего не изменилось....загрустил.

    5. Вернул все линки в старый шлюз.

    Сейчас мысль только одна, что-то в провайдерской коробке, из которой приходит сосок в гейт, больше вариантов я не вижу...



  • Сейчас мысль только одна, что-то в провайдерской коробке, из которой приходит сосок в гейт

    Неясно, как провайдер может видеть и резать трафик именно клиентов DWL2600AP, не трогая трафик клиентов LAN?

    А что, если тестовый\новый сервер настроить с нуля, не заливая конфиги со старого? Ведь в нем все до заливки конфигов

    тырнет пашет, все хорошо, ограничений скорости нет.

    Т.е провайдерская коробка как бы не при чем



  • Все хорошо  на втором канале с ADSL, на оптике все плохо…

    На всякий случай - у меня два канала, оптика и ADSL, за каждым своя локалка, на своем оборудовании, они никак не связаны между собой т.е.:

    WAN1 - ADSL router - LAN1

    WAN2-pfSense(old)-LAN2

    Загружен старый конфиг или пустой сенс - без разницы, ситуация одинаковая.

    Блин, надо вместо сенса циску поставить, посмотреть что будет...

    Делал даже так - ставил новый роутер "внутри" локалок, т.е. на WAN интерфейсе нового сенса (без конфигов) серый адрес, если ставлю в LAN1 - пашет, в LAN2 - нет...это к вопросу как провайдер видит трафик wi-fi клиентов :o



  • В общем, втыкал другие роутеры (cisco 2811 и dir-615) в оптический канал, скорость режется со всеми ними, т.е. дело не сенсе…ложная тревога, тему можно прибить.



  • А другие AP, не  DWL2600AP пробовали?



  • Доброе.
    А может пров-р отслеживает TTL ? И "видит", что у вас есть роутер ?



  • to pigbrother:

    Да, писал в самом начале, DWL-2100AP и DAP-2360, плюс пробовал какие-то еще старые ADSL роутеры с Wi-Fi (д-линковский и зюхелевский) в качестве AP работают нормально.

    Но это все старое оборудование, а на новых сабжевых точках наблюдается то, что наблюдается.

    to werter:

    Я уж не знаю что там пров отслеживает, но про то, что у нас тут стоит они все знают :-)



  • Но это все старое оборудование, а на новых сабжевых точках наблюдается то, что наблюдается.

    Кажется маловероятным, что провайдер борется именно с  DWL2600AP.
    Не задать ли вопрос в поддержку D-Link?



  • Ребята техподдержки из местного офиса д-линка у меня уже были, все проверили при мне, у меня к ним вопросов нет, тем более, что все везде работает, пока не подключено в определенный канал провайдера, т.е. не важно, что в роли роутера - pfSense, cisco2811, dir-615 - со всеми этими роутерами есть проблема на данной канале и проблема пропадает при переключении wan  ( на всех роутерах) на другой канал.

    Т.е. проблема точно не в маршрутизаторах и не д-линковских ТД, хотя последние (те, на которых глючат клиенты) явно шлют пакеты, которые не нравятся провайдеру.

    Но тут шутка еще в чем, таких глюков нет у других организаций, которым наш подрядчик завешивал такие же точки…да еще и техподдержка прова уже второй день мне говорит, что они работают над проблемой, не наезжают, мол "это у вас там что-то криво", даже сокральное "перезагрузите роутер" от них не слышал в этот раз, что просто удивительно :o

    Это все меня наводит на мысли, что что-то у них там "залипло" :)

    И еще, сегодня притащили новую DWL-6700 двухдиапазонную с последней прошивкой - та-дам! та же фигня %-)



  • Провайдер будет менять свое оборудование….ждемс ::)



  • Если замена поможет - расскажите, в чем же суть проблемы.



  • Естественно, мне и самому интересно, тем паче, что у провайдера конечное оборудование тоже д-линк…



  • В общем, в конце концов "вышла каменная чаша" :)

    Трафик от клиентов, которые сидят через сабжевые точки, резался в зависимости от того какой был порт (tag или untag) на свитче провайдера (тоже д-линк, причем пробовали разные модели). Пока сошлись на том, что это косяк д-линка и им был отправлен трабл-тикет….будем подождать от них ответа.

    Тему в принципе можно прибить или дождаться ответа официалов д-линковских, если интересно....



  • если интересно….
    Да. Интересно.

    Из примеров "особенностей" ISP.
    На pfSense поднят экземпляр сервера Open VPN. Один из клиентов обратил внимание на подозрительно низкую скорость работы Open VPN (конкретно - SMB), скорость на линках в десятки мегабит была прибл. 150-200 кБит максимум.
    Долгое общение с поддержкой разных уровней его ISP не привело ни к каким результатам.
    Перевел этот экземпляр сервера Open VPN на TCP и вопрос решился, скорости Open VPN стали практически равны канальным.



  • Долгое общение с поддержкой разных уровней его ISP не привело ни к каким результатам.

    К сожалению нынешнее наличие этих "многих уровней" меня просто убивает, если раньше можно было напрямую пообщаться с толковым человеком на том конце трубки и решить вопрос за 5 минут, то теперь приходится общаться со стройными рядами дебилов, которые мне месяц втирали, что их зона ответственности только "до свитча", "ваши точки плохие - вот смотрите, наши работают хорошо", "а что вы от нас хотите, интернет же работает"….в общем, последнего такого визитера я сильно хотел пнуть ногой, о чем рассказал в офисе провайдера для юрлиц - помогло, наконец-то прислали человека с интеллектом не как у морковки...



  • Мой ISP придумал штуку покруче. Они типа берут администрирование сети (!) офиса на аутсорс. За деньги бОльшие, чем собственно тарифный план. Этим аутсорсом можно не пользоваться, зато появляется возможность сразу звонить на 2-ю линию поддержки. И, что характерно, ребята там толковые, вопросы, связанные с доступом реально решают.


Log in to reply