Picos nas interfaces WANs após atualização para versão 2.6
-
Olá, pessoal!
Sou novo no mundo pfSense então peço desculpas caso descreva algo errado e espero que vocês possam me ajudar. Nosso cenário é o seguinte:
- Versão pfSense 2.6.0
- Possuímos 3 wans tendo duas(2) com link dedicado e uma(1) não.
- Possuímos configuração Failover, utilizando grupos de gateway
- Trabalhamos com 19 VLANs
- Possuímos uma quantidade relevante de regras de firewall em floating
- Trabalhamos também com regras NAT
Após realizar a atualização do pfSense da versão 2.4.3 para 2.6.0 começamos a ter um problema recorrente. Ao realizar qualquer alteração principalmente nas regras de firewall e routing constatamos picos de RTT/RTTsd entre 500ms a 1800ms em nossas 3 interfaces wans, ocasionando queda na internet por alguns instantes afetando nosso ambiente de produção.
Para atualização seguimos o seguinte procedimento:
- Realizamos um backup completo das configurações ainda na versão 2.4.3
- Subimos um novo hardware com mais recurso e neste instalamos a versão 2.6.0 zerada.
- Restauramos o backup realizado anteriormente no novo ambiente.
Testes que realizamos com o intuito de resolver ou identificar o problema mencionado:
- Recriamos o mesmo ambiente em hardwares diferentes.
- Realizamos a configuração do zero manualmente na nova versão.
- Desativamos configurações gerais diferentes do padrão de fábrica.
- Excluímos todas as regras de NAT.
- Revisamos as regras de firewall com o intuito de encontrar conflitos.
- Desativamos o failover deixando fixo apenas um link de internet.
Conclusões tomadas:
- Constatamos que ao inserir as interfaces vlans nas regras do floating o problema se agravava, porém estas regras são essenciais para o funcionamento e segurança do nosso ambiente, não sendo possível removê-las ou desativá-las.
Espero que alguém possa me ajudar, e desde já agradeço pela atenção.
Obrigado!
-
Bom dia, pessoal!
Gostaria de compartilhar aqui uma manutenção que realizei neste sábado em nosso ambiente, com o intuito de solucionar o problema tratado neste post.
Realizamos um levantamento das regras e interfaces que poderíamos remover do Firewall > Rules > Floating. Antes de realizar a manutenção em si, realizei alguns testes e registrei os seguintes picos nos links:
Alteração de Firewall > Rules:
Link1 - 553,4ms
Link2 - 549,9ms
Link3 - 550,9msModificação OpenVPN config:
Link1 - 776,0ms
Link2 - 777,7ms
Link3 - 776,7msAlteração System > Routing
Link1 - 1294,7ms
Link2 - 1292,2ms
Link3 - 1293,8msApós a manutenção e otimização das regras de floating e também a exclusão de algumas interfaces realizei novamente os mesmos testes e obtive os seguintes valores:
Alteração de Firewall > Rules:
Link1 - 220,3ms
Link2 - 216,8ms
Link3 - 230,5msModificação OpenVPN config:
Link1 - 316,7ms
Link2 - 336,1ms
Link3 - 322,5msAlteração System > Routing
Link1 - 451,2ms
Link2 - 456,5ms
Link3 - 456,1msMesmo tendo uma baixa na oscilação dos links o problema ainda persiste, mas acredito que através desta manutenção consegui tirar a prova que o problema está ligado diretamente a estas regras.
Agradeço qualquer ajuda possível,