Offline, Latency
-
Добрый день, подскажите, как только начинается рабочий день, на шлюзе пакеты пропадают.
Подскажите, куда смотреть?
2.6.0
-
@kashtan выключил все ipsec и потери и задержки прошли. Любой туннель поднимаешь и опять картина как на скрине.
-
@kashtan said in Offline, Latency:
@kashtan выключил все ipsec и потери и задержки прошли. Любой туннель поднимаешь и опять картина как на скрине.
В Gateway виден 77.88.8.8 - DNS Яндекса. Вы мониторите его для проверки доступности интернета? А если мониторить не этот IP,а по умолчанию, провайдерский ?
-
@pigbrother потери за задержки при мониторе любого ip адреса.
Так же это pfsense соединён роутами с другим шлюзом, через локальный свитч и потерь и задержек нет.любой из 4х тунелей ipsec включаю и начинаются проблемы, до пятницы всё ок было, настроек не менял.
-
@kashtan update______________
выяснил, что один туннель даёт сбой, чтобы проблема ушла, нужно было отключить все туннели, а потом включить их без проблемного.Сейчас перегенерил ключ шифрования и пока всё ок с проблемным туннелем, но мне пока кажется, что не в ключе дело
-
@kashtan
Могли быть проблемы у провайдера , или где-то в пути ( те не у Вас ) , и сейчас их устранили
я вообще отключил эту функцию мониторинга канала .
По-моему , от нее больше вреда чем пользы .... -
@konstanti проблема вернулась, но этот мониторинг единственный способ, который даёт понят, что проблема есть
-
@kashtan
а если отключить этот мониторинг , в чем конкретно будет проявляться проблема ?Посмотрите системные журналы - нет ли ошибок ?
Посмотрите журнал Ipsec - нет ли чего-нибудь необычного в записях ? -
@konstanti пока проблемы нет, но такое чувство, что это косяк провайдера, т.к. он один и тот же, но в разных зданиях...
где-то у меня такое было, что ipsec не поднимался когда две точки были у одного провайдера
-
@kashtan
я бы отключил этот мониторинг , на Вашем месте , если все работает . У меня туннели работают месяцами с отключенным мониторингом . Соединение обрывается только в случае проблем с магистральным маршрутизатором где-то в Европе . Но тут никак я эту проблему решить не в силах ) просто жду , когда починят -
@konstanti отключение демона ничего не дало, зато выявил из-за чего задержки и потери, когда между по ipsec передаёшь большие файлы.
Туннель проблемный там где один провайдер.
Хотя при этом же, в другом ipsec в тоже через одного провайдера, всё ок.Один провайдер имеется ввиду, что два разных подключения, в разных зданиях.
-
@kashtan
Попробуйте в настройках IPsec mss поменьше сделать
Например, 1400 -
@kashtan всё проще, шлюз с версией 2.6.0, к нему подключена 4 ipsec, и если с его подсеток забирают большие файлы, то начинаются потери.
А если качать файлы в го подсеть, то всё ок.Не понимаю, в чём дело.
-
@kashtan
Я бы все-таки попробовал , на Вашем месте , уменьшить mss ради эксперимента . -
@konstanti не нашёл в настройка ipsec mss, можно только на самом интерфейсе менять.
-
-
@konstanti классический.
на версии 2.4.4 mss есть, а на 2.6.0 нет. -
https://docs.netgate.com/pfsense/en/latest/config/advanced-firewall-nat.html
-
@konstanti больше спасибо, сделал mss 1360 и всё полетело!!!
Настройка в андвансед-файрволл на 2.6.0.На всякий случай ещё раз опишу что было, есть основной шлюз 2.6.0 к нему подключено несколько шлюзов разных версий по ipsec и когда идёт большой исходящий трафик с основного шлюза, интерфейс на котом весит ipsec тормозит, теряет пакеты, по логам только рестарты служб vpn ipsec видно и ничего не понятно.
Но что интересно, что в сети рядом лежат другие pfsense, с такими же настройками, на тех же свитчах и гипервизорах, и всё летает. -
@konstanti said in Offline, Latency:
https://docs.netgate.com/pfsense/en/latest/config/advanced-firewall-nat.html
@kashtan said in Offline, Latency:
льше спасибо, сделал mss 1360 и всё полетело!!!
Странно и неудобно, что столь специфическую настройку поместили в общий раздел.
Как-то наступил на подобные грабли. Помогал коллеге сдавать объект с IPSEC филиал-> офис. Обе фазы поднимались, пинги ходили, но RDP\SMB\WWW не работали. Объект нужно было к утру открыть, пришлось экстренно поднимать OpenVPN.
