Странное поведение правил после таймаутов на интерфейсе



  • Всем привет! помогите понять куда копать с вот такой проблемой:
    Схема сети Wan->re0_Pfsense_re1->Lan.
    Так-же поднят VPN до другой страны для просмотра недоступных по wan сайтов(правило через Alias отправляет пакеты к сайтам на гейтвей VPN).
    Все работает ровно до момента пока не происходят такие события на WAN:

    Mar 18 09:28:03 dpinger send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr “ISP_serverd_address_here” bind_addr “ISP_dhcp_address_here” identifier "WAN_DHCP "

    Следом естественно плохо становится VPN:
    Mar 18 09:34:32 dpinger send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr “VPN_address_here” bind_addr “VPN_address_here” identifier "OPT1_DHCP "

    Потом оба интерфейса работают без таких сообщений, но пакеты по правилу ходить перестают пока полностью не перезагрузишь систему.
    Пробовал рестартовать отдельно демона OpneVPN, пробовал переинициализировать соединение, пробовал моргать интерфейсом в ifconfig. Просто через WAN пакеты ходят.
    В другой ветке посоветовали поставить галочку на опции Skip rules when gateway is down, но не помогает, видимо потому-что Gateway-то поднят.

    в какую сторону копать?



  • @killater
    Здр
    а в журналах что пишут по поводу перезапуска туннеля ??
    Я вообще отключил этот dpinger .



  • @Konstanti
    OpenVPN лог пишет, что тоннель поднимается как обычно. позже могу прислать, но выглядит вроде ровно так-же.
    dpinger тут как индикатор того, что что-то случилось с интерфейсом, но вцелом как по мне - если что-то произошло(может VPN сервер каждый час будет сбрасывать соединение), но потом всё поднялось обратно, то правила должны работать штатно. не перезагружать-же каждый час машину?
    вот и пытаюсь понять где-что подвисает, чтобы это починить, или хотя-юы накостылить скрипт какой.



  • @killater
    В системном логе что пишется ???
    Как происходит перезапуск wan интерфейса и туннеля ???
    Дальше , как только возникла проблема , надо мониторить трафик , куда он идет .
    tcpdump, таблица состояний , какие правила в памяти файрвола.
    Если соединение уже установлено через wan , когда VPN туннель лежал , то тогда весь трафик этого соединения будет идти через wan интерфейс. Пока соединение не будет сброшено.



  • @killater
    Какой адрес мониторится dpinger-ом? Скрины покажите.

    Если соединение уже установлено через wan , когда VPN туннель лежал , то тогда весь трафик этого соединения будет идти через wan интерфейс. Пока соединение не будет сброшено.

    Можно жОстко задать ходить к выделенным ресурсам ТОЛЬКО через ВПН.



  • @Konstanti вот системный лог за примерно то-же время
    примерно такие события возникают при каждом инциденте.
    особенно меня смущает строка "pfSense package system has detected an IP change or dynamic WAN reconnection - 10.7.3.5 -> 10.7.2.3 - Restarting packages."

    Mar 18 09:47:36 php-fpm 15429 /rc.start_packages: Restarting/Starting all packages.
    Mar 18 09:47:35 check_reload_status Starting packages
    Mar 18 09:47:35 php-fpm 369 /rc.newwanip: pfSense package system has detected an IP change or dynamic WAN reconnection - 10.7.3.5 -> 10.7.2.3 - Restarting packages.
    Mar 18 09:47:33 php-fpm 369 /rc.newwanip: Creating rrd update script
    Mar 18 09:47:31 dhcpleases kqueue error: unknown
    Mar 18 09:47:31 dhcpleases Could not deliver signal HUP to process because its pidfile (/var/run/unbound.pid) does not exist, No such process.
    Mar 18 09:47:31 dhcpleases /etc/hosts changed size from original!
    Mar 18 09:47:26 php-fpm 369 /rc.newwanip: IP Address has changed, killing all states (ip_change_kill_states is set).
    Mar 18 09:47:26 dhcpleases /etc/hosts changed size from original!
    Mar 18 09:47:26 php-fpm 369 /rc.newwanip: rc.newwanip: on (IP address: 10.7.2.3) (interface: OPT1[opt1]) (real interface: ovpnc1).
    Mar 18 09:47:26 php-fpm 369 /rc.newwanip: rc.newwanip: Info: starting on ovpnc1.
    Mar 18 09:47:25 check_reload_status rc.newwanip starting ovpnc1
    Mar 18 09:47:25 kernel ovpnc1: link state changed to UP
    Mar 18 09:47:24 check_reload_status Reloading filter
    Mar 18 09:47:24 kernel ovpnc1: link state changed to DOWN



  • @werter сейчас к выделенным ресурсам можно ходить только через VPN. мониторится гейтвей провайдера и гейтвей сервера VPN
    f9f372c3-2082-4ae2-ae33-cee1aaab17d6-image.png



  • @killater said in Странное поведение правил после таймаутов на интерфейсе:

    an IP change or dynamic

    Здр
    Вас не должно это смущать ( такой текст всегда пишется в лог при перезапуске пакетов независимо от интерфейса)
    Те что у Вас произошло
    Поднялся интерфейс OPT1 ( ovpnc1)
    VPN провайдер выдал другой ip
    Удаляются все соединения из таблицы состояний
    и перезапускаются пакеты

    Интересно ,что происходит в системе потом .



  • мониторится гейтвей провайдера и гейтвей сервера VPN

    Не надо так делать. Мониторьте на ВАНе гугл\яндекс ДНС. Потому как шлюз провайдера может быть доступен, а инета может и не быть.

    И еще. Зачем вам шлюз на ЛАН?



  • @Konstanti тогда ждем очередного происшествия, я попробую снять tcdump.
    как посмотреть какие правила загружены в память? если честно я до этого момента думал,ч то все, что указано в списке правил - загружается и применяется. это не так?


Log in to reply