[BUG Identificado]2.3.4 on XenServer7 Perdendo pacote

vsaad

Fala pessoal,

Editei para deixar documentado no forum em portugues.

O Hardware do PFS travou geral, eu fiz uma nova instalacao em uma VM e voltei um backup de 3 dias atras. está funcionando, porém alguns sites não estao indo mto bem.
Servidor Windows provendo DHCP e DNS para os clientes.
A Interface de rede do dominio windows ta configurada estatica e apontando dns para ele mesmo. (Não quis mexer pois estava funcionando antes)

Liberei geral as regras da  LAN, e to testando por fora do squid.

Hypervisor - XenServer7
PFS WAN - 192.168.16.2 (ISP ROUTER 192.168.16.1)
PFS LAN - 192.168.15.2

Liguei um laptop antes do firewall e funcionou normal bem.

O tracert para o site da amazon ta assim

Tracing route to us-east-1.console.aws.amazon.com [54.239.31.83]
over a maximum of 30 hops:

1    <1 ms    <1 ms    <1 ms  192.168.15.2
  2    2 ms    2 ms    1 ms  192.168.16.1
  3    6 ms    6 ms    6 ms  bundle-ether1051-378.ken-edge902.sydney.telstra.
net [144.130.164.121]
  4    7 ms    5 ms    6 ms  bundle-ether14.ken-core10.sydney.telstra.net [20
3.50.11.96]
  5    6 ms    8 ms    5 ms  bundle-ether1.pad-gw11.sydney.telstra.net [203.5
0.6.61]
  6    8 ms    6 ms    6 ms  bundle-ether1.sydp-core04.sydney.reach.com [203.
50.13.90]
  7  155 ms  155 ms  155 ms  i-52.tlot-core02.bx.telstraglobal.net [202.84.13
7.101]
  8  150 ms  150 ms  150 ms  i-0-0-0-6.eqla01.bi.telstraglobal.net [202.40.14
9.226]
  9  153 ms  150 ms  149 ms  los-brdr-01.inet.qwest.net [63.235.40.45]
10    *        *        *    Request timed out.
11  216 ms  216 ms  216 ms  72.165.86.74
12  242 ms  240 ms  308 ms  54.239.109.218
13  234 ms  235 ms  235 ms  54.239.111.107
14  233 ms  234 ms  234 ms  205.251.244.233
15    *        *        *    Request timed out.
16    *        *        *    Request timed out.
17    *        *        *    Request timed out.

Eu tava pensando em DNS, mas o nslookup ta vindo bem e rapido.

EDIT: Subi uma instalação limpa do PFS ligado no mesmo ISP ROUTER(WAN) e com ip diferente na LAN, Setei uma estacao com ele de gateway e o problema persiste, to achando isso muito estranho.

EDIT2: Coloquei o ISP Router(Lancom 1781AW) como gateway da rede, e agora esta esta indo bem… Estou suspeitando de algo com o XenServer com o PFS, pois as duas instalações que testei, foram em hardwares diferentes mas usando o mesmo HyperV.

vsaad

Antes que qq um responda,

Localizei o topico abaixo nas pesquisas.

https://forum.pfsense.org/index.php?topic=88467.30

https://forum.pfsense.org/index.php?topic=109751.0

Aparentemente o problema é entre XenServer com o PFSense, Eu particularmente sempre preferi non-virtualized firewall, Sempre achei muito mais seguro e estavel.

Boa sorte a todos.

denicio

Use Proxmox, ate agora esta 100% estável.  ;D

andrefreire

Como o colega falou, usa o Proxmox. Virtualiza qualquer coisa. O Xen não tem suporte legal aos BSD.

vsaad

Obrigado pela recomendação, Para isso eu teria e mudar meu hyperv todo, vale mesmo a pena?

Eu nunca gostei de virtualizar Firewall, no entando sem confiar no hardware eu testei uma VM do Xen e parecia rodar perfeito, mas na hora da emergencia que foi p produção, alguns issues começaram a aparecer.

Comprei um hardware novo, deve chegar hoje. Mas anyway vou dar uma testada no proxmox!!

Saudações!

Victor.

@andrefreire:

Como o colega falou, usa o Proxmox. Virtualiza qualquer coisa. O Xen não tem suporte legal aos BSD.

marcelloc

Onde percebeu a perda de pacote?

vsaad

Tudo que fiz foi trouble shooting. Não cheguei a abrir pacote.

Testei em 2x hardwares diferentes,(Ambos XenServer7.2)
Instalei uma instalação do zero e voltei backup.
Instalei do zero sem backup, sem instalar pacote nenhum.

O mesmo problema persistiu em todos os cenarios, por eliminação, cheguei a conclusão quer era o XenServer.

A navegação para alguns sites simplesmente falhava, para outros funcionamento normal. até o ping falhava para alguns sites, e para outros não.

Quando suspeitei do XenServer, eu localizei os links acima,  e providenciei a compra de um harware/appliance .

Ainda tenho uma das instalações e rodando, posso efetuar qualquer teste, uma redundancia não seria nada mal.

@marcelloc:

Onde percebeu a perda de pacote?

gui.ap

Sempre utilizei Xenserver, a algum tempo, estou com o Xenserver7 e pfsense 2.3.3 sem problemas.

Talvez seja algo mesmo com a versão 2.3.4, por que na anterior esta tudo ok.

eghijs

@vsaad:

Fala pessoal,

Editei para deixar documentado no forum em portugues.

O Hardware do PFS travou geral, eu fiz uma nova instalacao em uma VM e voltei um backup de 3 dias atras. está funcionando, porém alguns sites não estao indo mto bem.
Servidor Windows provendo DHCP e DNS para os clientes.
A Interface de rede do dominio windows ta configurada estatica e apontando dns para ele mesmo. (Não quis mexer pois estava funcionando antes)

Liberei geral as regras da  LAN, e to testando por fora do squid.

Hypervisor - XenServer7
PFS WAN - 192.168.16.2 (ISP ROUTER 192.168.16.1)
PFS LAN - 192.168.15.2

Liguei um laptop antes do firewall e funcionou normal bem.

O tracert para o site da amazon ta assim

Tracing route to us-east-1.console.aws.amazon.com [54.239.31.83]
over a maximum of 30 hops:

1    <1 ms    <1 ms    <1 ms  192.168.15.2
  2    2 ms    2 ms    1 ms  192.168.16.1
  3    6 ms    6 ms    6 ms  bundle-ether1051-378.ken-edge902.sydney.telstra.
net [144.130.164.121]
  4    7 ms    5 ms    6 ms  bundle-ether14.ken-core10.sydney.telstra.net [20
3.50.11.96]
  5    6 ms    8 ms    5 ms  bundle-ether1.pad-gw11.sydney.telstra.net [203.5
0.6.61]
  6    8 ms    6 ms    6 ms  bundle-ether1.sydp-core04.sydney.reach.com [203.
50.13.90]
  7  155 ms  155 ms  155 ms  i-52.tlot-core02.bx.telstraglobal.net [202.84.13
7.101]
  8  150 ms  150 ms  150 ms  i-0-0-0-6.eqla01.bi.telstraglobal.net [202.40.14
9.226]
  9  153 ms  150 ms  149 ms  los-brdr-01.inet.qwest.net [63.235.40.45]
10    *        *        *    Request timed out.
11  216 ms  216 ms  216 ms  72.165.86.74
12  242 ms  240 ms  308 ms  54.239.109.218
13  234 ms  235 ms  235 ms  54.239.111.107
14  233 ms  234 ms  234 ms  205.251.244.233
15    *        *        *    Request timed out.
16    *        *        *    Request timed out.
17    *        *        *    Request timed out.

Eu tava pensando em DNS, mas o nslookup ta vindo bem e rapido.

EDIT: Subi uma instalação limpa do PFS ligado no mesmo ISP ROUTER(WAN) e com ip diferente na LAN, Setei uma estacao com ele de gateway e o problema persiste, to achando isso muito estranho.

EDIT2: Coloquei o ISP Router(Lancom 1781AW) como gateway da rede, e agora esta esta indo bem… Estou suspeitando de algo com o XenServer com o PFS, pois as duas instalações que testei, foram em hardwares diferentes mas usando o mesmo HyperV.

vsaad, boa noite

vc conseguiu solucionar seu problema?, estou passando pelo mesmo problema..

Obrigado,

vsaad

Bom saber que a versão 2.3.3 ta rodando na XS7.

Seu XenServer é 7.0 ou tem algum release? To usando 7.2

@gui.ap:

Sempre utilizei Xenserver, a algum tempo, estou com o Xenserver7 e pfsense 2.3.3 sem problemas.

Talvez seja algo mesmo com a versão 2.3.4, por que na anterior esta tudo ok.

vsaad

Eu não tentei mais, comprei um hardware e deixei o firewall sem virtualização. Nos links que postei tem alguns procedimentos, mas eu realmente não tive tempo de testar.

@eghijs:

vc conseguiu solucionar seu problema?, estou passando pelo mesmo problema..

Obrigado,

empbilly

Tenho um pfsense virtualizado atuando como captiveportal. A unica coisa que fiz quando instalei foi as mudanças descritas nos links que tu postou. Faz algum tempo já e está de boas.

vsaad

Fiquei meio receoso de soltar aqueles comandos no servidor de produção, E tambem n tinha mto tempo para testar no ambiente de teste, homologar etc.

Quais versões vc usando?

@empbilly:

Tenho um pfsense virtualizado atuando como captiveportal. A unica coisa que fiz quando instalei foi as mudanças descritas nos links que tu postou. Faz algum tempo já e está de boas.

empbilly

Xen 6.5 e pfsense na ultima versão.