Pfsense производительность
-
пробовал, на интерфейс пофсенса пакеты попадают….
-
пробовал, на интерфейс пофсенса пакеты попадают….
Уходит в IPSec tunnel и приходит назад?
-
во! вот тут и загвоздка - как узнать какой именно тунель, если интерфейсов тунельных я не вижу (или не нашел как посмотреть, но помоему - один общий), а тунелей около 150…
-
И что все тоннели имеют одинаковые Remote Peer's IPs? т.е. все 150 между двумя сайтами?
-
нет.
через вебморду я вижу тонели отдельно.ifconfig - следующая картина:
em0:
em1:
em2:
em3:
plip0: flags=108810 <pointopoint,simplex,multicast,needsgiant>metric 0 mtu 1500
pflog0: flags=100 <promisc>metric 0 mtu 33204
lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
inet 127.0.0.1 netmask 0xff000000
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7
enc0: flags=41 <up,running>metric 0 mtu 1536
pfsync0: flags=141 <up,running,promisc>metric 0 mtu 1460
pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128
ng0: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng1: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1396
inet6 fe80::250:56ff:fe91:250e%ng1 prefixlen 64 scopeid 0xb
inet 172.23.255.1 –> 172.23.255.200 netmask 0xffffffff
ng2: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
inet6 fe80::250:56ff:fe91:250e%ng2 prefixlen 64 scopeid 0xc
ng3: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
inet6 fe80::250:56ff:fe91:250e%ng3 prefixlen 64 scopeid 0xd
ng4: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
inet6 fe80::250:56ff:fe91:250e%ng4 prefixlen 64 scopeid 0xe
ng5: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng6: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng7: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
.......
ng80: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500как увидеть где какой тунельный интерфейс, если это IPsec Mobile clients</pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></up,pointopoint,running,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></up,running,promisc></up,running></up,loopback,running,multicast></promisc></pointopoint,simplex,multicast,needsgiant>
-
Стоп. Какая связь между IPSec и ngХ интерфейсами?
IPSec tunnel не имеет отдельного интерфейса. А определять какому тоннелю относятся ESP-пакеты на WAN можно только зная удалённый PublicIP. -
IPSec tunnel не имеет отдельного интерфейса. А определять какому тоннелю относятся ESP-пакеты на WAN можно только зная удалённый PublicIP.
и я об чем….
как тогда увидеть трафик внутри нужного тонеля? -
Я смею предположить, что тоннели натянуты от одной коробки (концентратора) к разным удалённым офисам, т.е. мы должны видеть разные IP-адреса для разных удалённых офисов. Т.о. можно трассировать только ESP трафик между этой центральной коробкой (пфСэнс) и одним удалённым офисом.
-
так и есть - пфсенс один, клиентов более 150…
-
Отлично. Один клиент - один IP.