Блокировка локальной сети



  • Приветствую!
    Имеется сервер, на котором хостятся VM, в числе которых и VM с PfSense 2.2.6-RELEASE. Поднят linux-bridge для связи PfSense и остальных VM. PfSense является гейтом в мир для всех остальных VM. В один прекрасный момент виртуалки теряю доступ в мир и перестают пинговать гейт. В логах PfSense блокировки сети нет. После ребута PfSense проблема уходит сама собой. Подскажите куда копать.



  • Доброго.

    @ad77root
    Копать в сторону:

    1. Чтения логов своего гипервизора.
    2. Обновления пф, вкл. на пф логирования и внимательного чтения его логов.

    Поднят linux-bridge для связи PfSense

    Open vSwitch поинтереснее будет (vlan etc.)

    P.s. Рекомендую Proxmox VE в кач-ве платформы для вирт-ции https://forum.netgate.com/topic/120102/proxmox-ceph-zfs-pfsense/
    Особых проблем не замечено (>5 лет активной экспл-ции). На 99% удовлетворяет мои потребности. Активно развивается.



  • Добрый день! А у вас случаем не один физический интерфейс идет на управление VM и LAN в PfSense? Как раз на примере ProxMox могу сказать, что Pf это не любит и даже официальный man рекомендует их разделять



  • @sobleum именно так



  • @sobleum

    А у вас случаем не один физический интерфейс идет на управление VM и LAN в PfSense

    У меня на полутора десятках PVE это так. Проблем нет. И не будет, если только кто-то из VM на PVE не начнет трафик генерировать на LAN сумасшедшим образом. Жирновато будет еще и отдельный интерфейс для управления PVE выделять или VLAN-железяки покупать (причем одной можно и не обойтись, если сеть большая).

    @ad77root

    В один прекрасный момент виртуалки теряю доступ в мир и перестают пинговать гейт.

    Что за сетевые используются? Физические и какой тип виртуальных на пф (должен быть virtio)
    Proxmox обновлен? Покажите вывод pveversion -v
    Пф самый свежий?
    Тут https://www.netgate.com/docs/pfsense/virtualization/virtualizing-pfsense-with-proxmox.html все выполнено?
    Есть ли на пф в Interfaces там где Errors и Collisions значения отличные от нуля?

    Зы. Если в логах пф не будет ничего подозрительного - переходите на Open vSwitch. Как минимум хуже не будет. Плюс :

    It will allow you to add/remove/change VLANs without rebooting the system



  • @werter
    вот что вываливается в Interfaces
    1_1548238851215_LAN_mi.PNG 0_1548238851198_LAN_ex.PNG

    виртуальный адаптер на обоих машинах Intel E1000
    пф будем на выходных обновлять, посмотрим что получится



  • А почему у Вас 2 Lan интерфейса на одном порту (em1)? И как это должно работать?



  • @sobleum это две разные машины. машины разные, а проблема одна



  • Тогда попробуйте все-таки разделить физические интерфейсы



  • Доброго.

    @ad77root

    пф будем на выходных обновлять, посмотрим что получится

    Пф у Вас версии 2.1\2.2 :(
    Боюсь представить, что там у Вас с PVE тогда (версии 4.х ?) :(

    P.s. Оч похоже на то, что Вы пришли на "готовое", т.е. развернуто всё было до Вас (?)
    P.s2. Про бэкапы VM и сохранения конфига не забудьте. Удачи с обновлением.



  • @werter said in Блокировка локальной сети:

    P.s. Оч похоже на то, что Вы пришли на "готовое", т.е. развернуто всё было до Вас

    именно так

    @werter said in Блокировка локальной сети:

    P.s2. Про бэкапы VM и сохранения конфига не забудьте. Удачи с обновлением.

    @werter said in Блокировка локальной сети:

    Доброго.

    @ad77root

    пф будем на выходных обновлять, посмотрим что получится

    Пф у Вас версии 2.1\2.2 :(
    Боюсь представить, что там у Вас с PVE тогда (версии 4.х ?) :(

    P.s. Оч похоже на то, что Вы пришли на "готовое", т.е. развернуто всё было до Вас (?)
    P.s2. Про бэкапы VM и сохранения конфига не забудьте. Удачи с обновлением.

    благодарю =) отпишусь как пройдёт



  • После обновления и смены сетевого интерфейса полёт нормальный. всем спасибо за помощь.