Проблема с доступом к сайтам через pfSense

stroman

Добрый день.

Имеем pfSense 2.4.5, на WAN интерфейсе белый IP от провайдера, на LAN соответственно серый из нашей локалки. В один день на компьютерах напрочь перестали открываться некоторые сайты (такие как rbk.ru, online.sberbank.ru и др.), при этом в остальном всё работает стабильно. Промучившись с выявлением проблемы, решили переустановить pfSense в дефолтной конфигурации, прописав только адреса на интерфейсах. Это ничем не помогло, всё те же сайты не открываются. В то же время в web-интерфейсе pfSense появилось сообщение о невозможности подключиться к серверу pfsense.org (соответственно этот сайт не открывается и из локальной сети) и перестал отображаться список доступных для установки пакетов. Без pfSense все эти ресурсы открываются стабильно. Ещё одна странность - при установке перед pfSense любого роутера с переносом на него ip провайдера и подключении pfSense к нему всё нормализуется (pfSense получает доступ к pfsense.org, компьютеры в локальной сети открывают любые сайты). Посоветуйте, что может мешать нормальной работе pfSense при подключении между провайдером и локальной сетью?

Konstanti

@stroman
Здр
PFsense на виртуальной машине ??? Или какие сетевые адаптеры используются ?

stroman

изначально проблема возникла у клиента на железном сервере, временно для устранения проблем поставили у него роутер zyxel, после чего смоделировали сеть у себя с виртуальным сервером на vmware (причем с абсолютно другой адресацией того же провайдера), ситуация в точности повторилась.

Konstanti

@stroman
А если попробовать подключиться через другого провайдера ?
Если сменить dns сервер ?
Что показывает tcpdump ? В чем затык ? в dns ответе или при установлении tcp соединения ?
tcpdump запускайте на WAN интерфейсе

stroman

клиент говорит, что через другого провайдера на других точках у него всё продолжает работать нормально, у нас нет возможности проверить. Любые блокировки и т.п. со стороны провайдера исключены на 100%, работать перестало абсолютно без каких-либо действий со стороны провайдера. От смены DNS ничего не меняется, затык при установлении tcp соединения, pfsense посылает Client Hello, сервер отвечает Server Hello, потом сервер присылает Certificate и Server Key Exchange, дальше 30ти секундное ожидание и FIN, ACK пакет от pfSense.

Konstanti

@stroman
Попробуйте, ради интереса, MSS/MTU поменьше поставить на WAN интерфейсе .

stroman

MTU ставили 1400, ничего не меняется.

Konstanti

@stroman
/System/Advanced/Networking

stroman

тоже не помогло

stroman

Судя по всему, помогло включение "Система" - "Расширенные" - "Брэндмауэр и NAT" - "IP Do-Not-Fragment совместимость" - "Удаление неверных DF битов вместо удаления пакетов". Сайты стали открываться, видимо где-то есть проблема с фрагментацией пакетов, осталось понять откуда она взялась.

inkoff

Проброс 80 и 443 порта - помогла и мне. Долго мучился.