Проблема c udp трафиком.



  • Всем привет. У меня за nat куча железа и один ip статика в мир. Подключение через pppoe. В один прекрасный момент домашний роутер перестал справлятся с большим количеством правил типа port forward. CPU под 100% и обрезание скорости на всяких keenetik ultra и mikrotik до 500$.
    Завалялся у меня мини сервер 1u по характеристикам производительнее XG-1537 1U. Накатил pfsense, настроил pppoe на первом интерфейсе и цепанул лан на втором а дальше свитч. Все настройки по умолчанию кроме port forward. Софт юзающий tcp работает нормально а вот софт юзающий udp не может сконнектится с другими участниками децентрализованных сетей. Если подменить pfsense другим любым роутером, то софт работающий по udp начинает работать.
    Почти весь софт (udp) каждый раз при запуске юзает разные порты и не юзают upnp.
    На форумах по софту который должен у меня работать пишут что это блок udp трафика.
    Как решить проблему? Может как то можно открыть фаервол только для udp трафика для определенных локальных ip.



  • @LVSEE
    Здр. Покажите правила файрвола на lan и Wan интерфейсах.
    И посмотрите журналы, нет ли блокировок udp трафика. Если есть, то можно в журнале посмотреть номер правила, по которому идёт блокировка. И от этого уже отталкиваться.





  • @werter said in Проблема c udp трафиком.:

    @LVSEE

    Попробуйте вкл UPnP и NAT-PM
    https://docs.netgate.com/pfsense/en/latest/services/configuring-upnp-and-nat-pmp.html

    Это не поможет 100%. На всех роутерах upnp отключен был ручками и все работало даже без port forward. А при включении upnp в логе не было проброса.
    UPD Но на всякий случай включил на pfsense. Не помогло.



  • @Konstanti said in Проблема c udp трафиком.:

    @LVSEE
    Здр. Покажите правила файрвола на lan и Wan интерфейсах.
    И посмотрите журналы, нет ли блокировок udp трафика. Если есть, то можно в журнале посмотреть номер правила, по которому идёт блокировка. И от этого уже отталкиваться.
    ||wan.png
    lan.png||



  • @LVSEE
    А журналы посмотрели ? Нет ли блокировок ?
    На WAN интерфейсе все входящие блокируются по умолчанию .



  • This post is deleted!


  • This post is deleted!


  • @LVSEE
    Давайте по порядку
    1 . Вам нужно сделать так , чтобы люди извне могли подключиться к Вашим серверам внутри сети ?
    2. Если - да , то Вам нужно настроить проброс портов на PFSense с WAN интерфейса к внутренним серверам .



  • @Konstanti said in Проблема c udp трафиком.:

    @LVSEE
    Давайте по порядку
    1 . Вам нужно сделать так , чтобы люди извне могли подключиться к Вашим серверам внутри сети ?
    2. Если - да , то Вам нужно настроить проброс портов на PFSense с WAN интерфейса к внутренним серверам .

    Это я настроил без проблем за 5 минут. Весь софт работающий по tcp работает в том числе и torrent.
    На данный момент не работает p2p по udp через pfsense. Через микрот или более дешманские роутеры p2p по udp работает.



  • This post is deleted!


  • @LVSEE
    Покажите пож правила проброса портов (именно раздел /NAT/Port Forward)
    и сразу вопрос - какие порты должны быть проброшены ?



  • This post is deleted!


  • Это настройки говнотплинка
    upnp.png
    port forward.png
    Это софт на хосте после тплинка
    soft.png
    Это софт на том же хосте после pfsense
    soft2.png



  • This post is deleted!


  • Реально ли настроить так же firewall в pfsense как на скриншоте ниже от openwrt?
    1.png



  • Я так понял форум дохлый. Печаль.



  • @LVSEE
    Уверен, что пф не при чем. На 146%. Проблема в настраивающем.



  • @werter said in Проблема c udp трафиком.:

    Уверен, что пф не при чем. На 146%. Проблема в настраивающем.

    По теме ответы будут? В данном случае настраивать там нечего кроме pppoe и начальных настроек интерфейсов.. Я даже пробросы не делал так как много пробрасывать (больше 400 портов и будет больше). И в пустую делать смысла нет если один из софтов работать не будет через pfsense или opnsense. Тот софт, что требует открытые порты, работает после проброса но он пашет по tcp и как правило порт выставляется в софте раз. А тот софт, что по udp не требует проброса и с простыми роутерами работает. Правила на хосте в брэндмауэре софтина тоже не создает. На включение/отключение upnp не реагирует. В логе upnp сервиса пусто на простых роутерах.

    Ещё раз все настройки pfsense по умолчанию. wan +pppoe и lan без dhcp сервера. Сейчас работает все кроме p2p udp софта. Если сменить на любой другой роутер вместо pfsense, то софт p2p (udp) начинает видеть пиры и обмениваться с ними. Пробовал с флэхи стартануть openwrt версию 19 тоже работает как и остальные роутеры. Скрин с настройками firewall openwrt выше. Так же попробовал opnsense результат такой же как с pfsense все работает кроме p2p udp. На хосте c софтом специально посмотрел firewall (Windows), софтина правил не создала. софтины видны "в своей децентрализованной сети- статус онлайн" но к пирам не подключаются и данными не обмениваются. После смены на любой другой роутер, софтины начинают гонять данные.



  • @LVSEE
    Чудес не бывает
    Все-таки я бы рекомендовал Вам внимательнее изучить журналы файрвола на предмет блокировки udp трафика
    И использовать tcpdump для анализа udp трафика , который приходит/уходит, на различных интерфейсах.
    Вы же , скорее всего , используете внешние DNS сервера , и тут же проблемы нет ?
    А DNS тоже работает по UDP протоколу.

    Напишите название софта



  • @LVSEE said in Проблема c udp трафиком.:

    По теме ответы будут?

    А как же.
    Разберитесь с софтом ,к-ый настраиваете. Например, в любом торрент-клиенте можно\ нужно явно указать udp-порт для обмена. И после отфорвардить этот порт в настройках пф-а на локальный ip и указанный ранее порт. Или пользовать upnp.
    Но это ж, мля, сложно. Для этого ж надо в СколкАвА "отучиться" два раза.

    Еще раз - проблема не в пф.

    @Konstanti

    И использовать tcpdump для анализа udp трафика , который приходит/уходит, на различных интерфейсах

    Константин = constans = постоянный )



  • @werter
    а как еще ? самое популярное для меня средство отладки )))
    Если почитать внимательно документацию к нему , столько всего интересного можно делать , что ой и ай )
    а по теме , да , что-то не так с настройками



  • @werter said in Проблема c udp трафиком.:

    Например, в любом торрент-клиенте можно\ нужно явно указать udp-порт для обмена.

    Считается, что это улучшает работу (отдачу, в частности) с пирами за NAT, коих подавляющее большинство.
    Однако uTorrent прекрасно обходится без открытия порта при работе с pfSense. Для загрузки, по крайней мере. И по TCP и по UDP.



  • @Konstanti said in Проблема c udp трафиком.:

    Напишите название софта

    Отписал в личку.



  • @Konstanti said in Проблема c udp трафиком.:

    Вы же , скорее всего , используете внешние DNS сервера , и тут же проблемы нет ?

    Используются dns cloudflare.



  • @werter said in Проблема c udp трафиком.:

    Разберитесь с софтом ,к-ый настраиваете. Например, в любом торрент-клиенте можно\ нужно явно указать udp-порт для обмена. И после отфорвардить этот порт в настройках пф-а на локальный ip и указанный ранее порт. Или пользовать upnp.
    Но это ж, мля, сложно. Для этого ж надо в СколкАвА "отучиться" два раза.
    Еще раз - проблема не в пф.

    Прочитать или на скрины посмотреть вы не в состоянии. А на скринах видно что в upnp ничего нет и в port forward тоже нет но трафик ходит если юзать tp link. Настройки сети не меняются. Тупо менял роутеры с одинаковыми настройками. Не работают все sense. Осталось monowol попробовать. Дальше пойдут софты типа zeroshell, endian, ng, vyatta.
    По netstat те порты, которые постоянные от софтины ещё до вашей "помощи" были проброшены до хоста и изменений не было. Кроме того у софтины ещё как минимум два порта, которые меняются постоянно после каждого перезапуска. Я тоже их форвардил и толку ноль. В софте порты выставить жестко нельзя.
    Сейчас буду ставить обратно железо с pfsense так как даже микрот CCR1009-7G-1C-1S+ не справляется с большим количеством port forward а дороже я покупать не намерен.



  • @LVSEE said in Проблема c udp трафиком.:

    В софте порты выставить жестко нельзя.

    Временно пробросить все udp с 1024 по 65535 пробовали?



  • @werter said in Проблема c udp трафиком.:

    @LVSEE said in Проблема c udp трафиком.:

    В софте порты выставить жестко нельзя.

    Временно пробросить все udp с 1024 по 65535 пробовали?

    Как пробросить сразу все порты я не знаю. Умею только по одному. И в Redirect target port записывается только один. Если не сложно покажите как все порты прокинуть сразу в pfsense.



  • @LVSEE
    Попробуйте так
    1576a4f0-24b3-46b5-aa57-6c0bfc7746ec-image.png



  • @Konstanti said in Проблема c udp трафиком.:

    @LVSEE
    Попробуйте так
    1576a4f0-24b3-46b5-aa57-6c0bfc7746ec-image.png

    Я похоже чего то не понимаю. У вас запись получается такая: внешний порт от 1024 по 65535 редиректится в один порт 1024.



  • @LVSEE

    Specify the port on the machine with the IP address entered above. In case of a port range, specify the beginning port of the range (the end port will be calculated automatically).



  • @Konstanti said in Проблема c udp трафиком.:

    @LVSEE

    Specify the port on the machine with the IP address entered above. In case of a port range, specify the beginning port of the range (the end port will be calculated automatically).

    Сделал. Все равно не коннектится к пирам.
    nat.png



  • This post is deleted!


  • Ситуация странная получается все роутеры с которыми пашет у меня софтина основаны на linux. А с чем не работает, на bsd.



  • @LVSEE
    Этот софт работает при пробросе портов , но очень-очень медленно .



  • @Konstanti said in Проблема c udp трафиком.:

    @LVSEE
    Этот софт работает при пробросе портов , но очень-очень медленно .

    Каких именно отпишите пожалуйста? А лучше покажите сразу скринами! А то я уже устал готов запихать ssd с centos и не парится дальше.



  • @LVSEE
    1 в 1 , как на Вашей картинке

    покажите закладку
    /Firewall/Rules/WAN



  • @Konstanti said in Проблема c udp трафиком.:

    @LVSEE
    1 в 1 , как на Вашей картинке

    покажите закладку
    /Firewall/Rules/WAN

    wan.png



  • @LVSEE
    Ну, вот видно
    что установлено снаружи 44 соединения и получено 8 кБ



  • @Konstanti said in Проблема c udp трафиком.:

    @LVSEE
    Ну, вот видно
    что установлено снаружи 44 соединения и получено 8 кБ

    Я так понял к пирам у вас тоже не соединяется? Слева нажмите поиск и поставьте что то на закачку если не увидите в течении 5 минут хоть одного процента на картинке с раздачей и не будет анимации активности, то значит у вас тоже самое что у меня. И проблема не в моих руках как многие тут писали.


Log in to reply