Проблемы с внутренней сеткой



  • Здравствуйте, обнаружилась проблема - при проблемах во внутренней сети полностью падает связь с инетом,в RRD Quality ухот в packet loss,все красное,при этом сам pfsense еле дышит.
    Пару раз выловил что проблемы была в том что зависали мелкие свичи у пользователей, проблема решалась их перезагрузкой или временным блокировкой всех портов с внутренней стороны кроме 80
    Может кто сталкивался с таким



    • Версия pfsense
    • описание структуры сети
    • четкое описание проблемы.

    Так будет понятнее всем.



  • Pfsense 1.2.3-RELEASE
    1ван - Pfsense - 1lan - 48 port switch - локальные 4 портовые свичи пользователей
    Проблема в том что систематически пакеты теряются в pfsense, при этом в RRD графике он рисует что пакет отправлен в wan, но ответа не получено. Возможная проблема в зависании свичей пользователей,а pfsense получается как под атакой и виснет



  • Ну если проблема в свичах - меняйте свичи..
    На предмет вирусной активности в сети не анализировали?

    А вот подобная аглицкая тема
    http://forum.pfsense.org/index.php/topic,3514.0.html

    Но тут все сводится к переустановке. Как вариант - сделайте апдейт Firmware (ту-же 1.2.3).



  • Свичи не дохнут а стандартно виснут.
    Вирусов бродит довольно много,только половину пользователей удалось приучить к KIS.

    Предлагаю программу по изучению Visual Basic 6.0-??????



  • @strelok:

    Свичи не дохнут а стандартно виснут.
    Предлагаю программу по изучению Visual Basic 6.0-??????

    Возможно штормит, что показывает RRD пакетов/с на LAN?
    В каком смысле предлагаешь?



  • по ссылке dvserg'a уроки vb :)



  • А! понял… -)))
    Мне понравился коммент "понятия не имею что это, но я это хочу" -)))



  • @deutsche:

    по ссылке dvserg'a уроки vb :)

    ЫЫ это я не тот копипаст кинул. Поправил пост.



  • @dvserg:

    @deutsche:

    по ссылке dvserg'a уроки vb :)

    ЫЫ это я не тот копипаст кинул. Поправил пост.

    Да чего уж.. прикольно получилось… vb for FreeBSD -)



  • а в той темке похоже просто гейт ICMP блокирует, это лечится сменой monitor ip



  • Проблемы возникают спонтанно,на данный момент их нет,изредка проскакивает lost 2-10%.
    Если вы про monitor ip в load balancer  то он вообще не настроен.
    действительно похоже на штом,гейт прова не блокирует ничего,приезжал пров все тестил,ip белые.
    Систему переставлял 2 раза на этой машине и 2 на другой,все настройки заново пробовал загонять,сетевухи менять.СПОНТАННО, вообще не поймаешь.




  • Покажи RRD graphs->Packets



  • На данный момент проблем тьфу-тьфу нет,насколько помню пакеты были все в wan-out и все.линк проверяли не единожды,даже уговорил всех протянуть новый от каталисты до сервака в обход электрики всей-не помогло



  • опять(






  • Включите pfflowd и используйте внешний анализатор - например ManageEngine Net Flow Analyzer 8. Получите очень подробную статистику по работе сети.



  • Запустил, я так понял что мониториться только исходящий траффик???



  • сегодня тоже с того ни ссего инет отвалился у всех хотя с pfsense все робит, перезагрзука не помогла, как то само все встало не пойму ошибок нету в логах  ???



  • @fox:

    сегодня тоже с того ни ссего инет отвалился у всех хотя с pfsense все робит, перезагрзука не помогла, как то само все встало не пойму ошибок нету в логах  ???

    Ну а что в такой момент нельзя провести серию тестов: DNS, пинг шлюза, пинг IP ка прова и др. ?



  • Потери в пингах везде от 30 до 100 процентов на внешнюю сетку.  пинговал с шлюза и изнутри.вобход шлюза напрямую проблем не возникает



  • @strelok:

    Потери в пингах везде от 30 до 100 процентов на внешнюю сетку.  пинговал с шлюза и изнутри.вобход шлюза напрямую проблем не возникает

    Из локалки гейтвей (LAN IP pfSense) пингуется без потерь?



  • да,все доходит.забыл указать(



  • @strelok:

    да,все доходит.забыл указать(

    А в этот момент процессы в pfSense не смотрел?



  • в что за процессы???сам pfsense в этот момент практически висит,только пинги ходят без проблем










  • @strelok:

    в что за процессы???сам pfsense в этот момент практически висит,только пинги ходят без проблем

    в консоли написать top



  • понял,сделаю скрин как повториться



  • Так, шторма не наблюдается, что есть очень хорошо.
    Как поключен WAN физически рассказывай.



  • Есть мнение, что может быть проблема в сетевухе. Несколько раз встречал похожее с сетью.



  • 3 utp и один ftp идут от каталисты,проверял все линки,один протянули ftp новый.порт на каталисте меняли.Линк когда доставал из pfsense и вставлял в ноут-все работало без проблем
    сетевухи менял 3 штуки,и ставил pfsense с нуля на 2 разных сервака



    1. Что такое ftp?
    2. На протяжении какого времени продолжается?
    3. Сохрани arp -an несколько раз, когда следующий раз случится.


  • FTP это экранированная витая пара.
    продолжается от нескольких минут,до 12 часов!
    DHCP уже заполнил весь статикой,сделал запрет по динамическим arp



  • Файервол настроен?, чтобы отказа от обслуживания не случалось, можно выставить количество соединений по портам (в самих правилах раздел state), тогда при достижении лимита ддосивший комп отвалится, но pfsense должен продолжить работу, да и в логах файера появятся записи…



  • не фаервол практически как был изначально при установки, state не менял,только по портам пару правил дописал.портов используют дохрена,все не выяснишь и наглухо не закроешь.что поставить в state-synproxy state?
    выкладываю ван,лан стандартное правило-any




  • @strelok:

    не фаервол практически как был изначально при установки, state не менял,только по портам пару правил дописал.портов используют дохрена,все не выяснишь и наглухо не закроешь.что поставить в state-synproxy state?
    выкладываю ван,лан стандартное правило-any

    Название раздела: Advanced Options (это когда правило создаёшь, там ниже вот это самое и есть)

    1. Советую на 1 день сделать набор стандартных правил с ограничениями (Simultaneous client connection limit, Maximum state entries per host, Maximum new connections / per second, State Timeout in seconds). За 1-2 дня хотя бы логи файера покажут откуда идёт мусор (если конечно дело не в железе)

    2. Портов не так и много, стандартные до 1024, остальные можно и сделать алиасами типа 1024-65000 и будет одно правило на 50 тысяч портов, на которое тоже можно выставить ограничения.



  • À åñòü ó êîãî îïûò âûñòàâëåíèÿ ïîäîáíûõ îãðàíè÷åíèé, â ñåòêå îêîëî 60 ÷åëîâåê,ip òåëåôîíû è ïðî÷àÿ ìåëî÷ü.



  • НЕ пишите на этом форуме через IE!
    sip прокидывается через siproxd, остальное (почта например) работает в диапазоне до 1024.



  • Сори, не в курсе был про IE
    Вопрос был такой-есть ли у кого уже опыт выставления подобных параметров,а то экспериментировать очень болезненно для работы пользаков. Какие цифры выставлять? в сети около 60 машин, и штук 20 ip шлюзов и прочей мелочи



  • @strelok:

    Сори, не в курсе был про IE
    Вопрос был такой-есть ли у кого уже опыт выставления подобных параметров,а то экспериментировать очень болезненно для работы пользаков. Какие цифры выставлять? в сети около 60 машин, и штук 20 ip шлюзов и прочей мелочи

    Сделайте правила для одного компа, а ещё лучше в виртуалке и посмотрите как влияют различные параметры. Гляньте pfsense book. Потому что то для одной сети работает, для другой может не подойти.

    Для http на 60 машин я бы поставил 30 в секунду, тайм аут в 5, количество для хоста 200, для всех машин 12000 (могу быть в корне не прав)

    Кстати, есть ещё особенность, что в PF по умолчанию таблица в 10 000 состояний, возможно вам нужно увеличить этот параметр.



  • Пока подобрать так и не удалось,некоторые пользаки внезапно полностью блокируются,хотя явно польза от этих настроек явная



  • @strelok:

    Пока подобрать так и не удалось,некоторые пользаки внезапно полностью блокируются,хотя явно польза от этих настроек явная

    Попробуйте нажать reset states в тот момент, когда инет отвалится у этих "некоторых" и проверить, появится инет или нет, тогда будет видно, заблокировал их файер из-за превышения лимита одновременных подключений или дело в чём то ещё.


Log in to reply