Проблемы с Wan
-
Всем привет!
Прошу совета.
Очень высокий пинг на PfSense Wan интерфейс, 30-170ms.
Ситуация следующая , сеть(192.168…..\24) за файрволом топология звезда , в центре свитч. в сети сервер , Hyper-V с виртуалками , терминал(3389) ,сайт(80,443) , помойка файловая на 445 порту, на нем PfSense c соответствующими NAT правилами перенаправления портов и сетка серверная на Lan интерфейсе.
На Wan Pfsense публичный адрес , 192.168...Конечно Богоны и Приваты отключены в настройках интерфеса WAN.
Не так давно пришлось переподнять Hyper-v , все виртуалки запустил с бекапов Вимом.
и с этого момента пинг до сервера в 30-170 ms, до этого было все норм.
Что я делал : перенастраивал заново с нуля PFsense, переключал виртуальные интерфейсы на Hyper-v,отключал брандмауэр на серваке , менял провода , сканил трафик в локалке , ни чего подозрительного , кроме мультикастов, но и то не много. если разрешить доступ WAN Hyper-v не только на Pfsense , то сервак получает внешний адрес общей локальной сети и пинги в норме , а рядом PF на этом же интерфейсе и пинги 170.
Пинги на серваке LAN сети-в норме.
Пинги WAN адрес сервера-LaN сеть сервера не идут (но терминал , помойка , сайт-все работает из вне ,правила NAT отрабатывают), идут на адрес с Hyper-v LAN.
Пинги LAN сервера-WAN шлюз общей сети - высокие
Пинги WAN сервака-шлюз - высокие
Пинги LAN общей сети - нормальные
Если отключить Firewall на PFsense , то правила не отрабатывают и доступа за него нет.
Куда смотреть , подскажите ? -
P.s. если изолировать на отдельный свитч сервер и машину любую, то пинги тоже высокие, если поднять рядом с PF ещё один на том же физическом иниерфейсе, то туда пинги низкие, но проскакивают 150мс.
-
Добрый.
Мало сведений. Что за железо исп-ся (сетевые, напр.)? Версия пф? Версия гипер-в? Торренты разрешены?Скрины правил fw на интерйесах покажите. А также скрин System ->Advanced ->Networking
На Wan Pfsense публичный адрес , 192.168…Конечно Богоны и Приваты отключены в настройках интерфеса WAN.
Кхм, http://www.cc.spbu.ru/ru/public%26private-ip . У вас частный серый адрес на ВАН в таком случае.
Зы. Все же Гипер-В - не лучшее решение для *unix. Вот это https://forum.pfsense.org/index.php?topic=136398.0 будет лучше.
-
Мало сведений. Что за железо исп-ся (сетевые, напр.)? Версия пф? Версия гипер-в? Торренты разрешены?
Основной шлюз -Zyxel Usg, Свич- 3Com Baseline Switch 2250
На серваке :
Hyper-V версия 6.3.9600.16384
Адаптеры Broadcom NetXtreme Gigabit Ethernet
PF Версия 2.4.3
Торренты -запрещеныСкрины правил fw на интерйесах покажите. А также скрин System ->Advanced ->Networking
https://yadi.sk/i/ojm3pZGJ3ViEjR
https://yadi.sk/i/ZLa1BSMj3ViEnj
https://yadi.sk/i/n1iZsqAO3ViEqj
https://yadi.sk/i/cM89_64z3ViEtW -
У вас задублированы настройки, например 2 раза правило с RDP
А проблема ваша - скорее всего у вас где то петля гуляет на маршрутере. Мне например не нравится в настройках указание сетей 127.0.0.1/
Первоочередной симптом петли - не подргужаются скрипты из веб интерфейса. У вас на скриншотах вместо символов font awasome - кубики.
И проверьте трасертом обязательно, увидите петлю. -
У вас задублированы настройки, например 2 раза правило с RDP
Они не задублированы , разные правила , просто 1 с Lan сети за сервером , т.е. из общей локалки , другое из Интернета.
Хотя , могу обойтись и без второго, Вы правы.Первоочередной симптом петли - не подргужаются скрипты из веб интерфейса. У вас на скриншотах вместо символов font awasome - кубики.
И проверьте трасертом обязательно, увидите петлю.квадраты это из-за того что я принтскрин сделал с отдельно сохраненной страницы. Скрипты подгружаются ровно и трасеровка идет как нужно.физически походил потыкал шнурки , все правильно…Если только какое то активное оборудование , типа ip телефона бесится..
Как еще можно петлю проверить? -
если петля внешняя - будет видно снифером.
Если петля маршрутизации = будет видно в трасерте.
Я так и не понял - маршрутер внутри гиперв? -
Я так и не понял - маршрутер внутри гиперв?
Схема, надо мне было с нее начать.
https://yadi.sk/i/Ur0SHMD23Vib4xЕсли петля маршрутизации = будет видно в трасерте.
Трасировка PF c WAN addresses НА LAn net внутри Hyper-v уходит за шлюза провайдера .
-
System ->Advanced ->Networking
Галку на Disable checksum offload поставьте. И перезагрузитесь после. Это важно.Основной шлюз -Zyxel Usg
Cтрадалец №1 - https://forum.pfsense.org/index.php?topic=147380.0
Страдалец №2. Ёклмн. Как же залюбили с этими зюхелями :'( Да уберите вы его из схемы. На кой ляд вам двойной nat, проблемы с пробросом портов-протоколов? Оставьте только пф. Всё.
Hyper-V версия 6.3.9600.16384
Вот щас прям полезу искать, шо ж этА за версия такая. У вас 2008, 2012\R2, 2016, 2019 гипер-в? Версия вирт. маш - 1-ая или 2-ая ?
Просьба. Цепляйте скрины здесь. Не надо их во вне совать.
-
а не может быть такой пинг изза простой перегрузки HDD на хосте?
-
Галку на Disable checksum offload поставьте. И перезагрузитесь после. Это важно.
Эту рекомендация из оф. вики. Как у ТС вообще сеть работает в ВМ без нее - вообще чудо.
-
System ->Advanced ->Networking
Галку на Disable checksum offload поставьте. И перезагрузитесь после. Это важно.Галку поставил , перегрузился , эффекта нет.
Параллельно все проверил на петли.Основной шлюз -Zyxel Usg
Cтрадалец №1 - https://forum.pfsense.org/index.php?topic=147380.0Пока не могу от него отказаться , как и Страдалец №1
Hyper-V версия 6.3.9600.16384
Вот щас прям полезу искать, шо ж этА за версия такая. У вас 2008, 2012\R2, 2016, 2019 гипер-в? Версия вирт. маш - 1-ая или 2-ая ?Hyperv 2012R2
Просьба. Цепляйте скрины здесь. Не надо их во вне совать.
Я их не вижу на предпросмотре , по этому решил на внешку кидать.
@derwin:а не может быть такой пинг изза простой перегрузки HDD на хосте?
По HDD тоже без перегрузок.
Галку на Disable checksum offload поставьте. И перезагрузитесь после. Это важно.
Эту рекомендация из оф. вики. Как у ТС вообще сеть работает в ВМ без нее - вообще чудо.
Ну тут магии нет , брандмауэры отключены первым делом были.
Как я понял , все дело в WAN интерфейсе pf, его настройках или правилах.Возможно , после переустановки Server 2012R2 c ролью HyperV изменились версии драйверов на интерфейсы,сейчас везде последние версии.
-
Логи
Status\System Logs\System\Gateways
По файрволу диаграмма.
-
это диаграмма чего?
меня смущает, что на диаграмме указаны бродкасты и мультикасты -
Status\System Logs\Firewall\Summary View\Destination IPs
-
Добрый.
Как я понял , все дело в WAN интерфейсе pf, его настройках или правилах.
Вы отдельные vswitch-и для LAN и для WAN на hyper-v создали перед тем, как создавать вирт. маш. с pf ?
-
Вы отдельные vswitch-и для LAN и для WAN на hyper-v создали перед тем, как создавать вирт. маш. с pf ?
Да , на основе физических , пробовал на основе виртуального Lan построить, нет разницы.
Но если в диспетчере виртуальных сетей разрешить предоставлять доступ к WAN , то сервер получает Ip и пинги на него идут нормальные. т.е. один и тот же интерфейс , на PF гигантские пинги , на сервер хорошие. Если отключить PF и назначить его адрес серверу , то пинги тоже в норме. вся проблема в WAN pf. -
Добрых.
Да , на основе физических
Надеюсь, что не на основе физических свитчей ;D
Создание отдельных vswitch-ей для LAN и WAN перед созданием вирт. машины с pfsense в данном случае обязательное условие. Без всяких если.
-
если есть "Доступ к телу" , всегда шлюзы настраиваю в последнюю очередь , после развертывания всей инфраструктуры ,домен контроллеров и т.п. Так что , виртуальные адаптеры уже были созданы и подключены остальным VM перед установкой PF.