pfsense блокирует все в lan 2 суток бьюсь
-
@евгений Доброе утро
Удалось устранить проблему ? -
@konstanti
Доброе утро нет( самое печальное что например на другой организации static IP используется не pppoe как у меня дома тот же провайдер мегалинк и так же все один в один не работает, с пф сенса так же все ходит, с Лан ничего кроме пингов не идет. Размер MTU ставил разные не помогло... Не знаю уже что делать за 10 лет работы первый раз такое бред... С простых роутеров все запускаеться все ходит трындец...... -
@евгений Попробуйте использовать tcpdump
Diagnostics /Packet capture
Те запускаете tcpdump на wan интерфейсе (параллельно пытаетесь открыть любой сайт) и смотрите потом трафик - работает ли dns , уходят ли пакеты на 443 порт,возвращаются ли и тд и тп ( mtu верните назад , те поле должно быть пустым)
И еще , ради гипотезы , отключена поддержка ipv6 на wan и lan ? Если включена , отключите -
@konstanti
Хорошо спасибо сейчас попробую -
@konstanti said in pfsense блокирует все в lan 2 суток бьюсь:
tcpdump
вообще не выполняеться выкидывает на страницу 501 типо нет коннекта) -
@евгений не совсем понял Ваше сообщение. Вы запускаете packet capture на Wan интерфейсе и? Что происходит? Есть пакеты? Ipv6 отключили на lan и Wan интерфейсах?
-
@konstanti
Извиняюсь не туда полез)
вот прилагаю файл с tcpdump
0_1545905863196_tcpdmp.txt -
@евгений а 172.16.10.47 это Ваш текущий ip адрес?
-
@konstanti
я сделал через DHCP через второй роутер это подсеть второго роутера думал может затык этот пропадет все то же самое...
Ну то есть к wan провайдера присоедениk zyxel на нем поднял ppoe его подсеть 172.16.10.xxx и лан роутера воткнул в wan pfsense (dhcp)
на zyxel все ходит все работает. -
@евгений Если Вы обратите внимание , пакеты обратно на PF возвращаются , т е wan интерфейс их видит. А можно теперь тоже самое сделать на Lan интерфейсе ?
Packet capture . IPV6 отключили ? -
@konstanti said in pfsense блокирует все в lan 2 суток бьюсь:
IPV6 отключили
везде отключил и на wan и на lan и на DHCP сейчас сделаю
-
@konstanti
вот по lan0_1545911373175_lantcpdump.txt -
@евгений Пакеты от и для 100 хоста уходят , возможно , проблема в хосте 100.
-
@евгений Попробуйте не google chrome использовать . А другой браузер
Антивирус какой-нить стоит ? Dr web , к примеру -
@konstanti
да в том то и дело что на текущем компе все работает с простого роутера когда я его лан втыкаю себе в сетевую карту а pfsense нет все блокируется кроме пингов но это походу icmp и их не блочит фаервол просто по идее только он может так отрабатывать в пфсенс я его отключал не помогло... браузер пробовал другой не помогает -
@konstanti
вот дамп lan0_1545914092938_lan.txt открывал сайты через internet explorer -
@konstanti
получаеться он в лане блочит все tcp заголовки в конце везде 0 -
@евгений Немножко не так . Сначала хосты должны "пообщаться" - "тройное рукопожатие". Поэтому пакеты 0 , в них никаких данных нет . А можете подключить телефон к сети ? Он будет работать ?
-
@konstanti said in pfsense блокирует все в lan 2 суток бьюсь:
тройное рукопожатие
телефона к сожалению нет только аналоговые буду искать ай пи телефон)
-
@евгений Версия Pf какая ? 2.4.4 ? Сервер выделенный ?
-
@konstanti Да последняя что с сайта доступна.. на версии 2.3.5 то же самое кстати а старые версии где то можно найти образы memstick? все облазил нет нигде мне бы по хорошему 2.3.4 release patch 1
-
@евгений А сервер выделенный или виртуалка ? По поводу старых версий , тут была осенью тема , и была в ней ссылка на архивы дистрибутивов PF. Понять бы , проблема только с одним компом или со всеми .
-
@konstanti
Проблема со всеми что подключены к лану pfsense я пробовал и ноутбук подрубать на чистой 7 ку и комп на 10 ке. сам pfsense на простой железке с двумя сетевыми картами. мак адреса у сетевых карт разные я проверял. -
@евгений На другую железяку временно есть возможность поставить PF ? Для проверки . И еще , как вариант , поставить на комп WireShark и смотреть уже внимательно, что за пакеты приходят на хост. Через коммутатор подключено все ? А если напрямую к PF подключиться ?
-
@konstanti напрямую подключался не помогло, на другую железку ставил не помогло...((
-
Добрый.
Попробуйте:
- Сбросить все настройки пф на дефолтные.
- В System/Advanced/Firewall & NAT поставить галку на IP Do-Not-Fragment compatibility . Cохраниться
- В System/Advanced/Networking поставить галки (3 шт) на всех ... Offloading . Cохраниться
- Если у вас провайдер выдает серый адрес при подкл. - попробуйте снять галки с Block private networks and loopback addresses и Block bogon networks . Cохраниться
- Перезагрузиться.
Важно. Обязательно вкл. логирование в Status/System Logs/Settings . И смотреть логи после.
Также обратите внимание на In/out errors и Collisions в Status/Interfaces на ваших интерфейсах. Там должны быть только нули. Если там не нули - проверяйте кабель\проверяйте разъем\ меняйте сетевую карту
-
@werter Странно все это
Другая железка - тоже не помогает
Кабель ? Но с простым роутером все ок -
Пусть ТС все выполнит по пунктам.
@Евгений
Что за железо, на к-ом живет пф? Я бы еще и БИОС сбросил на заводские настройки. Давным-давно на мат. платах существовали проблемы с IRQ.
Попробуйте переставить сет. карту в слот выше или ниже. -
@werter БРАТТТТТТТТТТТТТТ ПОМОГЛА СЛАВА АЛЛАХУ!!!!!!!!!!!!!!!!!!!!!!!! ЧЕМ ТЕБЯ ВОЗНАГРАДИТЬ! ВСЕ ВЫПОЛНИЛ ПО ПУНКТАМ ПОШЛО В ЧЕМ ПРИЧИНА*!?
Попробуйте:Сбросить все настройки пф на дефолтные.
В System/Advanced/Firewall & NAT поставить галку на IP Do-Not-Fragment compatibility . Cохраниться
В System/Advanced/Networking поставить галки (3 шт) на всех ... Offloading . Cохраниться
Если у вас провайдер выдает серый адрес при подкл. - попробуйте снять галки с Block private networks and loopback addresses и Block bogon networks . Cохраниться
Перезагрузиться. -
@Евгений
Нужно разбираться, на каком этапе все произошло.
Возможно, что сетевые не умеют Offloading на аппаратном уровне (?) -
@werter щас пошагово проверю
-
@werter помогло вот это
Hardware Checksum Offloading Disable hardware checksum offload
Checking this option will disable hardware checksum offloading.
Checksum offloading is broken in some hardware, particularly some Realtek cards. Rarely, drivers may have problems with checksum offloading and some specific NICs. This will take effect after a machine reboot or re-configure of each interface. -
@евгений так и есть
у Вас на wan интерфейсе Реалтек стоит -
@konstanti да и на лан
-
@евгений На лан не знаю , не определил
а вот re - это драйвер Реалтека
В общем , поздравляю -
@евгений ребят напишите номер карты в лс. я вам хоть по 1000р скину)
-
@евгений Мне не надо , спс ))))
-
@konstanti как так на новый год на пиво дружище)
-
@konstanti
буду мега благодарен если кто скинет ссылку на pfsense amd64 (vga) memstick для установки с флешки
pfsense 2.3.4-release-p1 или
pfsense 2.3.5 -
@евгений https://forum.netgate.com/topic/136258/%D0%BA%D0%B0%D0%BA-%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%B8%D1%82%D1%8C%D1%81%D1%8F-%D0%B4%D0%BE-%D0%BE%D0%BF%D1%80%D0%B5%D0%B4%D0%B5%D0%BB%D0%B5%D0%BD%D0%BD%D0%BE%D0%B9-%D0%B2%D0%B5%D1%80%D1%81%D0%B8%D0%B8/12