Offline, Latency
-
@pigbrother потери за задержки при мониторе любого ip адреса.
Так же это pfsense соединён роутами с другим шлюзом, через локальный свитч и потерь и задержек нет.любой из 4х тунелей ipsec включаю и начинаются проблемы, до пятницы всё ок было, настроек не менял.
-
@kashtan update______________
выяснил, что один туннель даёт сбой, чтобы проблема ушла, нужно было отключить все туннели, а потом включить их без проблемного.Сейчас перегенерил ключ шифрования и пока всё ок с проблемным туннелем, но мне пока кажется, что не в ключе дело
-
@kashtan
Могли быть проблемы у провайдера , или где-то в пути ( те не у Вас ) , и сейчас их устранили
я вообще отключил эту функцию мониторинга канала .
По-моему , от нее больше вреда чем пользы .... -
@konstanti проблема вернулась, но этот мониторинг единственный способ, который даёт понят, что проблема есть
-
@kashtan
а если отключить этот мониторинг , в чем конкретно будет проявляться проблема ?Посмотрите системные журналы - нет ли ошибок ?
Посмотрите журнал Ipsec - нет ли чего-нибудь необычного в записях ? -
@konstanti пока проблемы нет, но такое чувство, что это косяк провайдера, т.к. он один и тот же, но в разных зданиях...
где-то у меня такое было, что ipsec не поднимался когда две точки были у одного провайдера
-
@kashtan
я бы отключил этот мониторинг , на Вашем месте , если все работает . У меня туннели работают месяцами с отключенным мониторингом . Соединение обрывается только в случае проблем с магистральным маршрутизатором где-то в Европе . Но тут никак я эту проблему решить не в силах ) просто жду , когда починят -
@konstanti отключение демона ничего не дало, зато выявил из-за чего задержки и потери, когда между по ipsec передаёшь большие файлы.
Туннель проблемный там где один провайдер.
Хотя при этом же, в другом ipsec в тоже через одного провайдера, всё ок.Один провайдер имеется ввиду, что два разных подключения, в разных зданиях.
-
@kashtan
Попробуйте в настройках IPsec mss поменьше сделать
Например, 1400 -
@kashtan всё проще, шлюз с версией 2.6.0, к нему подключена 4 ipsec, и если с его подсеток забирают большие файлы, то начинаются потери.
А если качать файлы в го подсеть, то всё ок.Не понимаю, в чём дело.
-
@kashtan
Я бы все-таки попробовал , на Вашем месте , уменьшить mss ради эксперимента . -
@konstanti не нашёл в настройка ipsec mss, можно только на самом интерфейсе менять.
-
-
@konstanti классический.
на версии 2.4.4 mss есть, а на 2.6.0 нет. -
https://docs.netgate.com/pfsense/en/latest/config/advanced-firewall-nat.html
-
@konstanti больше спасибо, сделал mss 1360 и всё полетело!!!
Настройка в андвансед-файрволл на 2.6.0.На всякий случай ещё раз опишу что было, есть основной шлюз 2.6.0 к нему подключено несколько шлюзов разных версий по ipsec и когда идёт большой исходящий трафик с основного шлюза, интерфейс на котом весит ipsec тормозит, теряет пакеты, по логам только рестарты служб vpn ipsec видно и ничего не понятно.
Но что интересно, что в сети рядом лежат другие pfsense, с такими же настройками, на тех же свитчах и гипервизорах, и всё летает. -
@konstanti said in Offline, Latency:
https://docs.netgate.com/pfsense/en/latest/config/advanced-firewall-nat.html
@kashtan said in Offline, Latency:
льше спасибо, сделал mss 1360 и всё полетело!!!
Странно и неудобно, что столь специфическую настройку поместили в общий раздел.
Как-то наступил на подобные грабли. Помогал коллеге сдавать объект с IPSEC филиал-> офис. Обе фазы поднимались, пинги ходили, но RDP\SMB\WWW не работали. Объект нужно было к утру открыть, пришлось экстренно поднимать OpenVPN. -
Ничего странного и нелогичного с точки зрения разработчиков я не вижу
Данная настройка относится именно к опциям PF , и никакого отношения к Strongswan не имеет ( а в разделе IPSEC как раз находятся все настройки , на основании которых формируются конфигурационные файлы Strongswan )
А эта опция попадает в файл rules.debug (scrub )
Так что все ,по-моему , понятно , почему ее переместили в другое местоА проблема mss в Ipsec давно известна )
-
Обе фазы поднимались, пинги ходили, но RDP\SMB\WWW не работали
1-м делом в таких случаях проверяю размер mtu:
ping -l <размер-пакета-в-байтах> -f -t <ip-addr>
Если он разный на концах, то привожу к единому знаменателю. -
@werter said in Offline, Latency:
1-м делом в таких случаях проверяю размер mtu:
Насколько помню - mtu проверяли и меняли. А вот mss - нет.