*Solved* Pakete gehen am WAN oder OPT1 verloren



  • –--------
    UPDATE:

    Das Problem ist gelöst! freu

    Es gibt wohl Probleme mit dem Bridging-Modus. Wir haben jetzt in einer großen Aktion
    das gesamte Netz von Bridging auf Routing umgestellt und siehe da: es klappt freu

    Keine verlorenen Pakete mehr und das auf der "alten" HP-Hardware... also wir sind happy :-)

    Danke nochmals an Euch alle für Eure Hilfe und Mühe!

    Hallo!

    Also ich suche hier seit geraumer Zeit nach einer Lösung für folgendes Problem:
    Hinter meiner pfSense 1.0.1 (HP DL380, 3 GB Ram, 2*Dual Port 1000 64-bit Server NICs von Intel)
    sind meine Server.
    Dort ist auch ein WebServer. Wenn ich nun eine Seite dort von außen öffne, kommt diese
    auch schnell angeliefert. Aber hin und wieder (nicht exakt reproduzierbar, aber reproduzierbar)
    kommt wenn ich auf einen Link klicke, einfach keine Antwort vom Server.
    Wenn ich dann auf "STOP" in Webbrowser klicke und sofort wieder auf den Link klicke bekomme
    ich zu 99.9999% sofort die Seite geliefert. Wenn ich warte dauerts eeeeeewig (> 1 Minute) bis
    die Seite ausgeliefert wird oder es passiert meist einfach gar nix.
    Nun haben die Techniker von der Hostingsoftware auf dem Server rausgefunden, dass wenn dieses
    Phänomen auftritt, der Server die Pakete gar nicht erhalten hat! (Ja dann kann er natürlich nix
    ausliefern, wenn er die Anfrage nicht bekommt! ^^)

    Ich habe dann mal intern getestet, von einem Server auf den anderen zuzugreifen und die Seite
    aufzurufen und hab ewig viel rumgeklickt: keine Probleme
    Dann hab ich in die Switche geschaut aber da waren auch keine Errors verzeichnet.

    Daher bleibt jetzt eigentlich nur noch die Firewall bzw. die Hardware der Firewall als Grund übrig.

    Und da brauch ich Eure Hilfe:
    Wie kann ich denn am Besten (ich bin kein totaler Linux-Crack, daher hoffe ich auf Euer Wissen g)
    rausfinden ob die WAN oder die OPT1 (die sind im pfSense gebridged) Intel-Karte "einen Knacks" hat?
    Also ich fänd's z.B. super, wenn ich auf der pfSense anzeigen lassen könnte wenn die Anfragepakete
    ankommen von meinem PC daheim.
    Irgendwie müsste man das doch mit tcpdump oder so auf der pfSense schaffen, nur die eingehenden
    Anfragepakete von meinem Rechner daheim (also z.B. p5435349483.dip.t-dialin.net) anzeigen zu lassen oder?

    Ich bin mit meinem Latein einfach am Ende  :'(

    Nachdem ja pfSense überall super läuft kann es ja fast nur ein HW-Defekt sein... und wenn ich halt sehen
    könnte dass diese Anfragepakete gar nicht erst an der pfSense-SW ankommen dann kann's ja nur die
    Intel-Server-Karte sein, oder?

    Also ich würde mich wirklich sehr über Hilfe von Euch freuen! (Und sorry wegen dem vielen Text, ich hab nur
    versucht das Problem so gut wie möglich zu beschreiben ;-) )

    Liebe Grüße,

    Chris



  • Siehts Du irgendwas Auffälliges unter status>interfaces? Kollisionen, in/out errors? Irgendetwas in den Systemlogs, was auf ein Netzwerkproblem hinweist? Hast Du schon mal die Kabel getauscht? Probierst Du das ganze direkt von einem Client am WAN oder kommst Du irgendwo aus dem Internet und bist schon über viele Hops gelaufen? Im schlimmsten Fall hilft nur sniffen am WAN und am LAN.



  • Hey, Hoba!

    Danke für Deine Antwort!

    Also ich habe mal unter interfaces geschaut: Da steht nix auffälliges:
    In/out errors  0/0
    Collisions 0
    Bridge (bridge0) learning

    In den systemLogs steht eigentlich unter System nur vieles von diesem "mpd":
                                  mpd: Compress using: MPPE, 128 bit, stateless
    Nov 28 21:27:26 mpd: Decompress using: MPPE, 128 bit, stateless
    Nov 28 21:27:26 mpd: [pt0] setting interface ng1 MTU to 1396 bytes
    Nov 28 21:27:26 mpd: [pt0] IPCP: rec'd Configure Request #8 link 0 (Ack-Rcvd)
    etc.

    Also ich habe zwar nicht die Kabel getauscht, habe aber den internen Switch getauscht und
    dort auch mal reingeschaut und geschaut ob da Bad Packets oder die BER (BitErrorRate)
    irgendwie da ist… war alles OK...

    Also ich habe die Verbindung zweifach probiert:

    1. Von zu Hause (also vom WAN aus)
    2. Intern von Server zu Server (beide Server im OPT1)

    Bei Fall 1) tritt das Problem auf, bei Fall 2) nicht.

    Die Frage ist halt ob die Pakete überhaupt bis zur Software (pfSense) kommen oder schon vorher
    "in" der NIC irgendwie gestoppt/geparkt werden (denn manchmal dauert es auch nur seeeehr
    lange bis die Anfrage verarbeitet wird).

    Hast Du da ne Idee wie ich das testen könnte?

    Danke für Deine Hilfe, ich bin ratlos  :'(

    Liebe Grüße,

    Chris



  • Hast Du das mal von einem anderen Internetanschluß ausprobiert? Nicht, daß da auf den Hops vorher schon was schief läuft oder direkt an Deiner Internetverbindung?



  • Hey, Hoba!

    Ja hab ich… Das Problem wurde von mehreren Leitungen und Anbietern aus gesehen und getestet :-(

    Hast Du noch irgendwelche Tricks und Tipps auf Lager?  ;D hoff

    Liebe Grüße,

    Chris



  • Ich glaube da hilft nur noch sniffen dann. Ich würde am WAN interface der pfSense anfangen.



  • Hallo, Hoba und alle Anderen!

    Ich bin's nochmal…

    Also ich habe mit einem Techniker vom Rechenzentrum zusammen nochmal Tests gemacht und es ist wirklich so, dass Pakete in der Firewall verloren gehen (sowohl Eingehend als auch Ausgehend).
    Sie kommen vor der FW an und hinten nicht mehr raus bzw. umgekehrt.
    Ich hab das auf einen Hardware-Defekt geschoben und einen ganz neuen Server für viel Geld gekauft und gehofft damit sei das gegessen...
    Leider nicht  :'(
    Es gibt immer noch diese Probleme...
    Zwar nicht mehr ganz so oft, aber doch auffallend häufig.

    Ich weiß nicht mehr weiter  :(

    Ich wollte jetzt mal einfach ne andere Software testen (und wegen möglicher Treiberprobleme auch mal was unter Windows), aber
    ich finde keine Firewall-Software die Bridging kann. Außerdem würde ich liebend gerne bei pfSense bleiben...

    Was soll/kann ich denn nun machen?

    Sowohl der alte Server (HP DL380) mit Intel Dual Port Server Adaptern, als auch das neue Blade (Bl20p G3) [3*GBit onboard NIC] sind HP-Geräte… Gibt es da irgendwelche Infos
    über Probleme von pfSense/Linux von pfSense und HP-Geräten?

    Ich brauch wirklich Eure Hilfe, ich werde hier glaub ich bald gelyncht wenn ich das nicht hinbekomme  :'(

    Vielen vielen Dank im Vorraus für jegliche Unterstützung!

    Viele Grüße,

    Chris



  • pfSense ist freebsd, nicht linux. Ich würde mal die freebsd mailinglisten durchsuchen bzw googlen. Probiere auch mal den letzten snapshot von http://snapshots.pfsense.com/FreeBSD6/RELENG_1/ . Die Snapshots laufen bereits auf dem Releasecandidate von freebsd 6.2 wo hingegen die pfsense 1.0.1 Releaseversion noch auf freebsd 6.1 läuft.



  • Hey, Hoba!

    Danke für den Tip!

    Das werde ich testen!
    Kann ich die einfach per Web-Interface updaten oder muss ich neu installieren?

    Ich geb dann wieder Bescheid :-)

    Viele Grüße,

    Chris



  • Du kannst das Full Update hochladen per system>firmware im webgui.



  • Hey, Hoba!

    Also Update ist aufgespielt… aber es ist dadurch eher noch schlimmer geworden :-(
    Kann es ggf. an irgendwelchen Konfig-Errors liegen oder so?

    Ich bin echt am Ende  :'( :'(

    Hat noch jemand anderes pfSense auf einem DL380 oder einem "Bl20p G3" Blade laufen?

    Danke für jegliche Hilfe!

    Viele Grüße,

    Chris


  • LAYER 8 Moderator

    Nicht auf DL380 aber bei uns lief es auch bestens auf DL360ern (auch wenn die noch ein Compaq Schriftzug und noch kein HP hatten) und so richtig wahnsinnig unterschiedlich sind die im Gegensatz zu unseren 380ern nicht bestückt.



  • Update:

    Also das Problem ist gelöst.  :D

    Es gibt wohl Probleme mit dem Bridging-Modus. Wir haben jetzt in einer großen Aktion
    das gesamte Netz von Bridging auf Routing umgestellt und siehe da: es klappt freu

    Keine verlorenen Pakete mehr und das auf der "alten" HP-Hardware… also wir sind happy :-)

    Danke nochmals an Euch alle für Eure Hilfe und Mühe!


  • LAYER 8 Moderator

    Das ist doch mal fein zu hören :D


Log in to reply