Pbm perte de connexion tcp/ip avec PFSense sur Proxmox



  • Bonjour,

    Je vous sollicite pour un problème de déconnexions aléatoires d'un client TeamViewer sur un site distant derrière un firewall PFSense 4.3.3p virtualisé sur Proxmox VE 6.1
    Je gere qq machines du LAN distant avec le logiciel TeamViewer installé sur PC, qu'on appellera "PC Console1", branché en ethernet sur un switch HP lui-même branché sur un serveur R710, qui sert pour le routage avec Proxmox et un PFSense virtualisé dessus.

    J'accède à distance au PCconsole1 depuis l'extérieur du firewall PFSense, coté internet donc.

    PFSense a été virtualisé en suivant le tuto suivant : https://docs.netgate.com/pfsense/en/latest/virtualization/virtualizing-pfsense-with-proxmox.html

    Voici le descriptif de la config et des tests effectués :

    872c5829-adcb-4f23-9478-9c5be5fb1aa0-image.png

    A l'origine

    • Sur un DELL R710

    Avec Proxmox VE 6.1
    vmbr0 : bridge + vlan vers Lan principal + admin
    vmbr1 : bridge + vlan vers Internet

    LAN avec client TeamViewer v15 (dernière version)
    <> (IP LAN bridgée sur vmbr0) PFSense on proxmox (IP WAN1 + IP WAN2 en FailOver bridgées sur vmbr1)
    <> MODEM/ROUTER NAT 4G (Huawei) et MODEM/ROUTER NAT ADSL (Draytek)

    Dans cette configuration, au bout de quelques plusieurs jours, les connexions entrantes depuis internet à destination du client TeamViewer sont bloquées : le client TeamViewer apparait éteint ou injoignable.
    Après avoir demandé à faire rebooter la Console1, TeamViewer était de nouveau en ligne.
    Ensuite j'ai eu le même résultat avec et depuis le switch sur lequel était connecté le client TeamViewer : shutdown/up du port réseau = retour de la connexion TeamViewer instantanée
    Suite à cela et à plusieurs autres tests, je me suis rendu compte que l'élément bloquant était le combo FW PFsense et/ou Proxmox
    Vérification de la config ; à première vue RAS
    Case d'option "Hardware Checksum offload" : cochée

    • Sur un DELL R610

    Proxmox VE 6.1
    vmbr0 : bridge + vlan vers Lan principal + admin
    vmbr1 : bridge + vlan vers Internet

    J'ai refait une install neuve et basique plus simple avec un seul accès internet (ADSL OVH) sur un R610 avec la même version de Proxmox et la dernière version de PFSense : la liaison avec le TeamViewer a été stable pendant 3/4 jours puis les même symptômes sont réapparus (coupure de la connexion tcp/ip)

    LAN avec client TeamViewer v15 dernière version
    <> (IP LAN bridgée sur vmbr0) PFSense on proxmox (IP WAN1 bridgées sur vmbr1)
    <> MODEM/ROUTER NAT ADSL OVH

    Case d'option "Hardware Checksum offload" (pour la virtualisation) : cochée

    Dans les 2 cas, sur R710 et R610, je n'ai malheureusement pas eu le temps d'accéder et de fouiller les logs PFSense pour analyser une eventuellement erreur dans les logs firewall ; avant de me faire éjecter de l'accès distant

    • J'ai fait le test également avec un PFSense allumé sur proxmox sur R710 (192.168.3.1/24) et un autre allumé sur proxmox sur R610 (192.168.3.2/24). Lorsque que le PCConsole1 avec le client TeamViewer n'arrive plus à accéder à internet en passant par la passerelle 192.168.3.1, je remplace celle-ci par 192.168.3.2 et instantanément la connexion internet+TeamViewer revient puis disparait au bout de qq heures/jours.

    • A contrario sur VMware ESXi je n'ai jamais en plusieurs années ce type de problématique. Jamais eu ce type de coupure/rejet de session tcp/ip non plus.

    Quelqu'un aurait-il eu les mêmes symptômes avec PFSense virtualisé sur Proxmox ?

    Merci d'avance



  • @ApolloXI : ERRATUM : sur la première ligne il faut lire la version 2.4.4-p3 (coquille de relecture) ; soit la dernière iso en date que j'avais récupéré en décembre 2019 sur le site distant.



  • Bonjour,

    Tu as cochée "Hardware Checksum offload" c'est bien ; fait un test en cochant également les 2 lignes en dessous :
    -> "Disable hardware TCP segmentation offload"
    -> "Disable hardware large receive offload"

    J'ai At Home un Pf sous proxmox qui fonctionne parfaitement avec ces réglages, mes versions PVE et PF sont plus ancienne.

    Cdt


Log in to reply