Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Отпадает WAN на любой версии PF

    Russian
    2
    7
    938
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      Rarog
      last edited by

      Есть 2 физические машины с pf. На 1-ой настроен squid+ntlm. Пользователи в домене ходят в интернет через него(прокси).
      2-ая машина настроена в роли шлюза и через неё ходят программы которые не работают через прокси - все версии outlook, skype. В правилах фаервола запрещено всё, кроме этих подсетей - https://www.microsoft.com/en-us/download/details.aspx?id=53602

      Через 10-30 минут шлюз не пускает в интернет и на веб интерфейс не зайти. Для эксперимента настроил шлюз в виртуальной машине proxmox. В ней работает 2-3 дня и потом падает ядро - пишет crash log, после перезагрузки на веб интерфейс не зайти.

      Как так ? Куда нажать, чтобы починить?
      pffr.jpg
      pffr.jpg_thumb

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Добрый.
        У меня пф работает как ВМ в Proxmox-е. Проблем нет. Проверьте ОЗУ, HDD на наличие ошибок.

        Обновить БИОС мат платы + остальные рекомендации здесь - https://forum.pfsense.org/index.php?topic=136398.0
        Внимательно следовать рекомендациям Virtualizing pfSense on Proxmox https://doc.pfsense.org/index.php/ (особенно п. Configuring pfSense to work with Proxmox VirtIO)

        Есть 2 физические машины с pf. На 1-ой настроен squid+ntlm. Пользователи в домене ходят в интернет через него(прокси).

        Кхм, можно же все на одной машине "крутить" - https://forum.pfsense.org/index.php?topic=142797.0

        1 Reply Last reply Reply Quote 0
        • R
          Rarog
          last edited by

          @werter:

          Добрый.
          У меня пф работает как ВМ в Proxmox-е. Проблем нет. Проверьте ОЗУ, HDD на наличие ошибок.

          Обновить БИОС мат платы + остальные рекомендации здесь - https://forum.pfsense.org/index.php?topic=136398.0
          Внимательно следовать рекомендациям Virtualizing pfSense on Proxmox https://doc.pfsense.org/index.php/ (особенно п. Configuring pfSense to work with Proxmox VirtIO)

          Есть 2 физические машины с pf. На 1-ой настроен squid+ntlm. Пользователи в домене ходят в интернет через него(прокси).

          Кхм, можно же все на одной машине "крутить" - https://forum.pfsense.org/index.php?topic=142797.0

          Проблем с железом нет - биос последний, память проверена на ошибки, ссд новый.
          Проблема возникает после включения правил с подсетями, их примерно 160 штук с разными масками от /10 до /25. Подсети не пересекаются. Шлюз держит около 300 пользователей.
          Перед падением, на шлюзе появляется ошибка при попытке пропинговать ресурс - no route to host.
          Возможно нужно изменить сетевой параметр, но я не знаю какой. Использую сетевую карту intel i350 t2.

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Добрый.
            Proxmox - свежий и обновленный ?
            Эти рекоменадции выполнены https://doc.pfsense.org/index.php/ ? В скрипте postinstall.sh отсюда https://github.com/extremeshok/xshok-proxmox/ присутствует правка нек-ых параметров Proxmox :

            ## Increase max user watches
# BUG FIX : No space left on device
echo 1048576 > /proc/sys/fs/inotify/max_user_watches
echo "fs.inotify.max_user_watches=1048576" >> /etc/sysctl.conf
sysctl -p /etc/sysctl.conf

## Increase max FD limit / ulimit
cat <<'EOF' >> /etc/security/limits.conf
* soft     nproc          131072
* hard     nproc          131072
* soft     nofile         131072
* hard     nofile         131072
root soft     nproc          131072
root hard     nproc          131072
root soft     nofile         131072
root hard     nofile         131072
EOF

            И настройте использование Open vSwitch вместо Linux bridge, к-ый идет по-умолчанию.

            P.s. Возможно, что это поможет https://doc.pfsense.org/index.php/Tuning_and_Troubleshooting_Network_Cards

            P.p.s. Внимание! После изменения параметров на Proxmox и на pfsense потребуется их перезагрузка.

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              2 Rarog
              Если интересно, то бэкап ВМ с Proxmox у меня огранизован по NFS на Nas4Free. На NAS-е - 4 hdd в raid-z2 (двойная избыточность) в кач-ве хранилища. Плюс на NAS живет "шара" для Win машин с аутентиф-ей MS AD. Там же крутится FTP.
              Сам Nas4Free грузится с флешки.

              P.s. Была ситуация, когда вышла из строя мат. плата на этом хранилище. Я просто взял флешку с NAS + hdd и перебросил на совершенно др. железо. Даже ip адрес на новом железе переназначать не пришлось - просто вкл. и дождался окончания загрузки nas4free  8)
              Вот такая вот фантастическая "переносимость". Куда там всяким d-link, q-nap, wd и т.д.
              Рекомендую http://2gusia.livejournal.com/tag/nas4free

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                2 oleg1969
                Буду только рад (уверен, что и не только я), если Вы заведете свою небольшую Вики с Вашими решениями по части внедрения и использования open source.

                P.s. Кто как, я лично считаю, что изобретение вирт-ции - это что-то наравне с изобретением колеса применительно к IT.
                Крайне удобно, быстро, надежно.

                И не один из тех, кому я помог своими скромными рекомендациями и советами по части внедрения оной (а их гораздо больше, чем 3 десятка человек за 10 лет моего знакомства с ней) не пришел и не набил мне лицо. Только сплошной позитив от удобства и гибкости использования.

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by

                  а вот насчет надежности особенно виртуальных роутеров ,шлюзов итд не все так просто и надежно

                  Чтобы "упала" ВМ с софт-роутером внутри, надо чтобы "упал" гипервизор. А для этого надо оч. сильно "постараться".

                  Плюсы однозначно перевешивают - резервное копирование, мгновенный снепшотинг и возможность откатиться.

                  Самый простой пример с тем же пф - обновление или установка доп. пакетов. Перед обновлением\устанвокой сделали снепшот, обновились и ,если что-то не устроило, - вернулись к предыдщему состоянию за ~5 мин.

                  С физ. машиной у вас такое не пройдет. Бэкап конфига, обновление и пф "не заводится"?  Вперед по-новой его устанавливать и восстанавливать-править настройки.

                  P.s. И опять же. Без опыта работы хотя бы с одной системой вирт-ции сейчас даже в средней паршивости конторку не возьмут эникеить.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.