Падает интерфейс LAN



  • Доброго времени суток, уважаемые форумчане!
    Работаю в фирме имеющей порядка 80 компьютеров.
    имеется 2 интернет канала с выделенными  IP, которые заходят на балансер, выполненный на "железе"  TP-Link. С этой железяки выходит один сбалансированный канал на сервер pfSense v. 1.2.3. Intel Pentium DualCore, 2Gb DDRII, LAN - 3Com. На этом сервере имеется 2 интерфейса WAN (подключенный к "железяке") и LAN имеющей IP 192.168.1.1.  Настроен фаервол, прозрачный прокси, PPTP-сервер.
    Проблема заключается в том, что при подключении данного сервера в локальную сеть, через 20-30 минут сервер перестает пинговаться из сети, с него так же не пингуются хосты локальной сети. В интернет пинг идет. Ситуация разрешается если сервер перезагрузить, либо выдернуть и вставить  кабель.
    Проовал менять сетевые платы местами, ставил другие сетевые карты, ничего не помогло, внутренний интерфейс LAN  как переставал пинговаться из локальной сети так перестает. Если у когото была подобная проблема, подскажите пож. как решить данную ситуацию.
    Заранее спасибо большое!



  • Нужно больше информации по настройке (бридж ?) и какие пакеты стоят?
    Нет ли в правилах ограничений на одновременное подключение
    Можно ли в момент отказа зайти на вебморду PFSENSE//



  • подозреваю банальный конфликт IP-адресов.
    Сделать на клиентской машине (подозреваю Windows)

    arp -a
    

    когда проблемы нет, и когда проблема есть. Сравнить MAC-адреса, соответствующие LAN IP pfSense'a



  • логи /var/log/messages с момента когда перестает быть недоступным покажи



  • @dvserg:

    Нужно больше информации по настройке (бридж ?) и какие пакеты стоят?
    Нет ли в правилах ограничений на одновременное подключение
    Можно ли в момент отказа зайти на вебморду PFSENSE//

    Бриджа нету, пакеты стоят squid, и пакеты для мониторинга сетки, ничего лишнего не ставил, дабы соблюсти целостность сис темы.
    Фаервол настроен на ограничение некоторых портов для пользователей, и полный доступ для администрации и сисадминов. Явно в фаерволе ограничения на подключения не прописывал. Может быть гдето по умолчанию нужно снять галку, вот этого не вкурсе.
    В момент отказа Ip полностью не пингуется, следовательно вебморда тоже не доступна. Приходиться перезагружать рутер.
    Есть еще одна деталь, отказ происходит не мгновенно, а постепенно т.е. в течении несколько секенд, обычно 15-20 секунд тайминги пингов увеличиваются с 64мс до 2к+ мс. А потом происходит отказ сетевого интерфейса и так до перезагрузки.



  • В логах что есть?
    Попробуй также временно отключить PPTP сервер.



  • @Evgeny:

    подозреваю банальный конфликт IP-адресов.
    Сделать на клиентской машине (подозреваю Windows)

    arp -a
    

    когда проблемы нет, и когда проблема есть. Сравнить MAC-адреса, соответствующие LAN IP pfSense'a

    Одинаковых адрессов быть не может. В сети настроен и работает DHCP  с резервированным отрезком IP-адрессов. Так же пока настраивается рутер на pfSense роль рутеров выполняют 2 сервера: Шлюз-балансер 2х каналов интернета(192.168.1.253) на Debian и прокси+фаервол так же на Debian (192.168.1.1.). Когда для проверки в сеть включается рутер на pfSense, прокси-сервер с IP 192.168.1.1 естественно, выключается))))
    Но на всякий случай проверил по описанному способу заарпил, результат - все нормально! Следовательно исключаются ошибки распределения IP-адрессов, а также физическая нисправность кабелей и сетевых интерфейсов. настройка так же нормальная, потому что при тестах с 3-4 компами в интернет пускает, прокси работает, фаервол исправно выполняет свои функции. При подключении большего чила компьютеров в сеть интерфейс LAN просто затыкается и ложиться.



  • Eсли arp таблицы одинаковые как при наличии проблемы, так и при её отсутствии, то можно глянуть на количество состояний на pfSense (когда появляется проблема)```
    pf -ss | wc -l

    А также глянуть на нагрузку```
    top -S
    

    Ещё здорово поможет```
    tcpdump -ni <имя Lan-интерфейса>



  • А в правилах случаем не стоит ограничения количества подключений и прочая?



  • @dvserg:

    А в правилах случаем не стоит ограничения количества подключений и прочая?

    данного правила не стоит. Дело в том что всю свою жизнь я админил шлюзы, сервера на FreeBSD, Linux и с принципами грамотного постороения правил фаерволов знаком не понаслышке. данного правила точно нету. Волей судьбы я решил использовать pfSense и вот такие проблемы. Сейчас вытащу логи и предоставлю на обозрение общественности.


Log in to reply