Pfsense 2.4 на hyper-v "сыпится" ФС при любом чихе. У кого ес

gost370

День добрый.
Недавно стал использовать pfsense 2.4 на ВМ gen 2 под hyper-v на 2012 r2 server. Обратил внимание, что файловая система pfsense стала разваливаться от любого чиха. те любая некорректная перезагрузка ВМ это 100 гарантия того что pfsense загрузится в режиме только чтение в неработоспособном состоянии. Конечно проверка и исправление ФС решает проблему. На версии 2.2 и ВМ gen1 такого не было, pfsense героически выдерживал перезагрузки после бсод, отключения питания сервера и тп. 
Собственно вопроса два

1. а кто то использует pfsense в похожем конфиге? У вас есть подобные проблемы?
2. есть предложения как с этим бороться, например может быть в pfsense можно поотключать все кеши на запись.

pigbrother

Есть еще путь самурая - переставить pfsense 2.4 включив при установке поддержку ZFS и подгрузить сохраненный заранее конфиг.
https://forum.pfsense.org/index.php?topic=126597.0

werter

Добрый.

Устанавливать так https://doc.pfsense.org/index.php/Virtualizing_pfSense_under_Hyper-V

P.s.

Есть еще путь самурая

Тру-тру вэй - https://forum.pfsense.org/index.php?topic=136398.0
Я от бабушки… ушел от Xen, Vmware, Hyper-V. Чего и вам желаю. Да, займет время на ознакомление и миграцию, но оно того стОит.

gost370

@werter:

Добрый.

Устанавливать так https://doc.pfsense.org/index.php/Virtualizing_pfSense_under_Hyper-V

P.s.

Есть еще путь самурая

Тру-тру вэй - https://forum.pfsense.org/index.php?topic=136398.0
Я от бабушки… ушел от Xen, Vmware, Hyper-V. Чего и вам желаю. Да, займет время на ознакомление и миграцию, но оно того стОит.

Я делал как в инструкции. Пока откатился на gen1 и 2.2, будем посмотреть.
По поводу пути самурая. Спасибо за совет, это долгий путь. Для меня он финансово не оправдан.

werter

Для меня он финансово не оправдан.

В том смысле, что у гипер-в на работе и никто не оплатит переход на опенсурс ?

derwin

он имел ввиду, что нет денег на зарплату специалисту, который бы этим занимался  ::)

pigbrother

Спасибо за совет, это долгий путь. Для меня он финансово не оправдан.
Никаких затрат для этого не надо. Устанавливаете новый pfSense в новую VM. Старый просто на это время выключаете. Во время установки будет возможность выбрать ZFS как файловую систему. Подгружаете в эту новую pfSense заранее сохраненный рабочий конфиг. Все.

gost370

@derwin:

он имел ввиду, что нет денег на зарплату специалисту, который бы этим занимался  ::)

Вы правы, встает в полный рост вопрос цены перехода с hyper-v (в ВМ далеко не только pfsense) и последующей стоимости владения. Даже учитывая что оба два гипервизора бесплатны, стоимость миграции, переобучения или поиска и замены тех персонала, возможные простои связанные с переходом на незнакомые технологии… вообщем очень дорого, а выхлоп минимален. Проще тогда уж перейти на микротик, и гипервизор можно оставить и с поддержкой попроще.

pigbrother

Проще тогда уж перейти на микротик, и гипервизор можно оставить и с поддержкой попроще.
Если уж вы выносите pfSense из виртуальной среды - остается еще вариант собрать для pfSense "железную" машину. За стоимость хорошего Микротика это вполне реально.

werter

Добрый.
@gost370:

вообщем очень дорого, а выхлоп минимален

Если не секрет, то как и с помощью чего у Вас на данный момент организовано резервное копирование ВМ на MS Hyper-V? Как пример, нужно откатиться на 2-5-7 дней назад, чтобы отменить какие-то действия, приведшие к ошибкам. И сделать это в течение 15 минут. Иначе уволят.

Проще тогда уж перейти на микротик

Переходите. Поверьте, помимо явной привязки к железу получите большую стоимость владения fw.
Почему?  Потому что, там где на пф можно обойтись простым клацаньем мышки при создании одного правила fw, на МТ нужно будет создавать два правила - на вход и на выход трафика. Будете про iptables последователю втолковывать ?

Лично "наигрался" со связкой L2-свитч + Hyper-V + pfsense. Больше на такое не наступлю.

стоимость миграции, переобучения или поиска и замены тех персонала

Без претензий лично к Вам, но такое же говорил и предыдущий "начальник" (там, где hyper-v был). Знаете от чего? Лень и некомпетентность. Человек не на своем месте. Признаться же самому себе в таком - удел единиц. Хотя времени на изучение было вагон и тележка.

Fallen_A

@werter:

Добрый.
@gost370:

вообщем очень дорого, а выхлоп минимален

Если не секрет, то как и с помощью чего у Вас на данный момент организовано резервное копирование ВМ на MS Hyper-V? Как пример, нужно откатиться на 2-5-7 дней назад, чтобы отменить какие-то действия, приведшие к ошибкам.

Проще тогда уж перейти на микротик

Переходите. Поверьте, помимо явной привязки к железу получите большую стоимость владения fw.
Почему?  Потому что, там где на пф можно обойтись простым клацаньем мышки при создании одного правила fw, на МТ нужно будет создавать два правила - на вход и на выход трафика. Будете про iptables последователю втолковывать ?

Лично "наигрался" со связкой L2-свитч + Hyper-V + pfsense. Больше на такое не наступлю.

стоимость миграции, переобучения или поиска и замены тех персонала

Без претензий лично к Вам, но такое же говорил и предыдущий "начальник" (там, где hyper-v был). Знаете от чего? Лень и некомпетентность. Человек не на своем месте. Признаться же самому себе в таком - удел единиц. Хотя времени на изучение было вагон и тележка.

Скорее всего, как и у всех, Veeam.

gost370

@pigbrother:

Проще тогда уж перейти на микротик, и гипервизор можно оставить и с поддержкой попроще.
Если уж вы выносите pfSense из виртуальной среды - остается еще вариант собрать для pfSense "железную" машину. За стоимость хорошего Микротика это вполне реально.

Я работаю с smb, самые быстрые каналы с которыми работаем под 100 МБ, 80% менее 30-40 Мбит. Требования к скорости ВПН более 50 мбит были всего несколько раз. 95% случаев микротика уровня 951G-2HnD за глаза. За 5000 рублей новый ПК не взять, бу не ставим (налюбились, проходили).

@werter:

Если не секрет, то как и с помощью чего у Вас на данный момент организовано резервное копирование ВМ на MS Hyper-V? Как пример, нужно откатиться на 2-5-7 дней назад, чтобы отменить какие-то действия, приведшие к ошибкам. И сделать это в течение 15 минут. Иначе уволят.

У нас таких условий не бывает. Тут несколько причин и то что в smb не так важен аптайм, и опасность отката ВМ с базами (очень легко потерять данные), и то что изменения бывают очень редко. Ну и заказчик не готов платить за такую оперативность, все критичное для бизнеса как правило в облаках (а там вот это вот все что вы говорите).

@werter:

Переходите. Поверьте, помимо явной привязки к железу получите большую стоимость владения fw.
Почему?  Потому что, там где на пф можно обойтись простым клацаньем мышки при создании одного правила fw, на МТ нужно будет создавать два правила - на вход и на выход трафика. Будете про iptables последователю втолковывать ?

Я так понимаю вы из "корп" сферы. То что в "корп" необходимость в smb излишне и не важно. 95% процентов роутеров имеют примитивный конфиг. Развернул и из эталонного бэкапа конфига, поменял ip сети пароли wifi и в бой. Изменения редки. Все просто.

werter

95% случаев микротика уровня 951G-2HnD за глаза

Он не вытянет 30-40 мбит\с опенвпн. У него нет поддержки аппаратного шифрования. И только tcp, что создает доп. нагрузку на soc.

У нас таких условий не бывает. Тут несколько причин …

Бэкапов нет? Зря. Наткнетесь.

все критичное для бизнеса как правило в облаках (а там вот это вот все что вы говорите).

Как раз сейчас про облака или хорошо или никак. Когда 0.4% всех IP адресов по решению РКН в борьбе с Телегой заблокировали. Какие уж тут облака.

Я так понимаю вы из "корп" сферы…

Это не зависит от сферы. Тут профрепутация на кону. И доход. Ваш. Если данные потеряются (бэкапов-то, нет) - больше к вам не обратятся. Поймите.

gost370

@werter:

95% случаев микротика уровня 951G-2HnD за глаза

Он не вытянет 30-40 мбит\с опенвпн. У него нет поддержки аппаратного шифрования. И только tcp, что создает доп. нагрузку на soc.

У нас таких условий не бывает. Тут несколько причин …

Бэкапов нет? Зря. Наткнетесь.

все критичное для бизнеса как правило в облаках (а там вот это вот все что вы говорите).

Как раз сейчас про облака или хорошо или никак. Когда 0.4% всех IP адресов по решению РКН в борьбе с Телегой заблокировали. Какие уж тут облака.

Я так понимаю вы из "корп" сферы…

Это не зависит от сферы. Тут профрепутация на кону. И доход. Ваш. Если данные потеряются (бэкапов-то, нет) - больше к вам не обратятся. Поймите.

Все есть и бэкапы, и контроль их корректного выполнения, и регламенты восстановления из них. Да, регулярный бэкап ВМ не выполняется (снэпшоты конечно создаются вручную перед проведением работ на ВМ, например). Регуляный бэкап выполняется на уровне пользовательских данных. При ЧП восстановить из образа и накатить данные из бэкапов удобнее. Да, не бывает ситуаций что за простой овер 15 минут "увольнение", только и всего.

Облака - это тренд. Плюсы многократно превышают недостатки, даже с учетом рисков с РКН. В РФ есть неплохие сервисы риск их блокировки минимален, по крайней мере пока. Для внешних прокси ВПН сервера. Я сейчас говорил про сервера(сервисы) для внутреннего пользования, с которыми работают сотрудники. С сервисами для клиентов  (интернет магазины, ЛК и тп) сложнее конечно, но тоже решаемо.

А вот по поводу репутации и потери данных тут не все так однозначно, тут у меня смешанные чуства (опять же я говорю про smb). Есть мнение что профрепутация эта история про отношения между коллегами, с количеством денег она связана не напрямую. На доход влияют другие качества коммуникативность, сеть контактов, умение продать себя и тп.
Но это совсем офтоп, если интересно можно продолжить в личке.

ComProf

@gost370:

День добрый.
Недавно стал использовать pfsense 2.4 на ВМ gen 2 под hyper-v на 2012 r2 server. Обратил внимание, что файловая система pfsense стала разваливаться от любого чиха. те любая некорректная перезагрузка ВМ это 100 гарантия того что pfsense загрузится в режиме только чтение в неработоспособном состоянии. Конечно проверка и исправление ФС решает проблему. На версии 2.2 и ВМ gen1 такого не было, pfsense героически выдерживал перезагрузки после бсод, отключения питания сервера и тп. 
Собственно вопроса два

1. а кто то использует pfsense в похожем конфиге? У вас есть подобные проблемы?
2. есть предложения как с этим бороться, например может быть в pfsense можно поотключать все кеши на запись.

При установке любого линукса обращайтесь к документации по Hyper-V тыц(ТС точно знает толк в извращениях)

Suggest to Label Disk Devices to avoid ROOT MOUNT ERROR during startup.

рекомендую использовать VHDX фиксированного размера(вне зависимости от того что пишет дока. там кстати написано если хотите динамический то вручную ковыряйте.)
О чем кстати ни слова в указанной Вами инструкции. но это и не удивительно, читаем предложение номер 1.

Учитываю доки по ПФ у нас 2.4 = FreeBSD 11.1