Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Picos nas interfaces WANs após atualização para versão 2.6

    Scheduled Pinned Locked Moved Portuguese
    2 Posts 1 Posters 306 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      Leonardo Stadler
      last edited by

      Olá, pessoal!

      Sou novo no mundo pfSense então peço desculpas caso descreva algo errado e espero que vocês possam me ajudar. Nosso cenário é o seguinte:

      • Versão pfSense 2.6.0
      • Possuímos 3 wans tendo duas(2) com link dedicado e uma(1) não.
      • Possuímos configuração Failover, utilizando grupos de gateway
      • Trabalhamos com 19 VLANs
      • Possuímos uma quantidade relevante de regras de firewall em floating
      • Trabalhamos também com regras NAT

      Após realizar a atualização do pfSense da versão 2.4.3 para 2.6.0 começamos a ter um problema recorrente. Ao realizar qualquer alteração principalmente nas regras de firewall e routing constatamos picos de RTT/RTTsd entre 500ms a 1800ms em nossas 3 interfaces wans, ocasionando queda na internet por alguns instantes afetando nosso ambiente de produção.

      Para atualização seguimos o seguinte procedimento:

      • Realizamos um backup completo das configurações ainda na versão 2.4.3
      • Subimos um novo hardware com mais recurso e neste instalamos a versão 2.6.0 zerada.
      • Restauramos o backup realizado anteriormente no novo ambiente.

      Testes que realizamos com o intuito de resolver ou identificar o problema mencionado:

      • Recriamos o mesmo ambiente em hardwares diferentes.
      • Realizamos a configuração do zero manualmente na nova versão.
      • Desativamos configurações gerais diferentes do padrão de fábrica.
      • Excluímos todas as regras de NAT.
      • Revisamos as regras de firewall com o intuito de encontrar conflitos.
      • Desativamos o failover deixando fixo apenas um link de internet.

      Conclusões tomadas:

      • Constatamos que ao inserir as interfaces vlans nas regras do floating o problema se agravava, porém estas regras são essenciais para o funcionamento e segurança do nosso ambiente, não sendo possível removê-las ou desativá-las.

      Espero que alguém possa me ajudar, e desde já agradeço pela atenção.

      Obrigado!

      1 Reply Last reply Reply Quote 0
      • L
        Leonardo Stadler
        last edited by

        Bom dia, pessoal!

        Gostaria de compartilhar aqui uma manutenção que realizei neste sábado em nosso ambiente, com o intuito de solucionar o problema tratado neste post.

        Realizamos um levantamento das regras e interfaces que poderíamos remover do Firewall > Rules > Floating. Antes de realizar a manutenção em si, realizei alguns testes e registrei os seguintes picos nos links:

        Alteração de Firewall > Rules:
        Link1 - 553,4ms
        Link2 - 549,9ms
        Link3 - 550,9ms

        Modificação OpenVPN config:
        Link1 - 776,0ms
        Link2 - 777,7ms
        Link3 - 776,7ms

        Alteração System > Routing
        Link1 - 1294,7ms
        Link2 - 1292,2ms
        Link3 - 1293,8ms

        Após a manutenção e otimização das regras de floating e também a exclusão de algumas interfaces realizei novamente os mesmos testes e obtive os seguintes valores:

        Alteração de Firewall > Rules:
        Link1 - 220,3ms
        Link2 - 216,8ms
        Link3 - 230,5ms

        Modificação OpenVPN config:
        Link1 - 316,7ms
        Link2 - 336,1ms
        Link3 - 322,5ms

        Alteração System > Routing
        Link1 - 451,2ms
        Link2 - 456,5ms
        Link3 - 456,1ms

        Mesmo tendo uma baixa na oscilação dos links o problema ainda persiste, mas acredito que através desta manutenção consegui tirar a prova que o problema está ligado diretamente a estas regras.

        Agradeço qualquer ajuda possível,

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.