виснет pfsense



  • нашел похожую тему
    http://forum.pfsense.org/index.php/topic,15401.15.html
    но закрыта

    стоит pfsense 1.2.3
    3 сетевые карточки
    одна смотрит в один инет канал
    другая в другой
    третья в сеть локальную
    есть ещё tap-интерфейс который в бридже с lan (через вебгуйню настроено)
    настроен openvpn сервер. стоит squid + lightsquid + squidguard + настроено на авторизацию по ldap
    больше ничего. pppoe и pptp соединений нет.
    у vpn клиентов ip прописан на интерфейсах вручную (без ручной настройки получают по dhcp адресс от нашего сервака под win2003, на нем же dns и ad), т.к. нужна статика.

    в общем, все через гуйню, ни чего стороннего.

    2 недели назад стоял на таком железе:
    pentium 4 1,6 под 370 сокет на мамке gigabyte 8tx с памятью rimm в 256 метров и винтом на 40 гиг
    перед новым годом начал виснуть pfsense стабильно.. проверили винт, оказалось дофига бэдов.
    накатали образ на другой винт, у которого все ок. всеравно вис pfsense
    зависал без всяких сообщений на экране

    начал грешить на железо, потому сменил
    теперь железо такое:
    celeron 2.0 + 512mb одной плашкой ddr.
    мамку счас не скажу точно.. винт WD 320 ide новый

    поставил с нуля pfsense 1.2.3
    посредством встроенной Backup/restore восстановил конфиг.
    аптайм почти 2 недели и снова повис.

    вот может кто подсказать, куда копать?



  • используйте внешний syslog сервер и подключите монитор, чтобы увидеть возможные сообщения на экране.



  • монитор подключен постоянно..
    на мониторе ничего не светит интересного при этом.
    а сислогер внешний заюзаю попробую



  • pentium 4 1,6 под 370 сокет на мамке gigabyte 8tx

    дальше даже читать не стал.



  • А в железе БП старый остался, а сетевухи менялись?



  • @aleksvolgin:

    pentium 4 1,6 под 370 сокет на мамке gigabyte 8tx

    дальше даже читать не стал.

    сам в шоке)
    но тем не менее:
    http://dump.bitcheese.net/images/ekumava/SA401583_1.jpeg
    http://dump.bitcheese.net/images/oxakowi/SA401584_2.jpeg

    @dvserg:

    А в железе БП старый остался, а сетевухи менялись?

    нет, бп fsp. думаю менять смысла нет. из-за бп симптомы другие обычно..
    сетевухи не менялись тоже.



  • @lsd25:

    нет, бп fsp. думаю менять смысла нет. из-за бп симптомы другие обычно..
    сетевухи не менялись тоже.

    Таки смысл есть и начните с БП. При высыхании емкостей такие плавающие вылеты довольно частое явление.



  • @dvserg:

    Таки смысл есть и начните с БП. При высыхании емкостей такие плавающие вылеты довольно частое явление.

    я конечно проверю его на выходных,
    но вы ошибаетесь, емкостя просто так не высыхают, и вовсе не высыхают они.



  • сам в шоке)

    но вы ошибаетесь, емкостя просто так не высыхают, и вовсе не высыхают они.

    ну её богу! Садитесь - два! Учите матчасть!



  • кондеры могут как вспухнуть, так и высохнуть (электролит жидкий и испаряется) и проверять сопротивление нужно вообще везде где они есть тестером.



  • @lsd25:

    @dvserg:

    Таки смысл есть и начните с БП. При высыхании емкостей такие плавающие вылеты довольно частое явление.

    я конечно проверю его на выходных,
    но вы ошибаетесь, емкостя просто так не высыхают, и вовсе не высыхают они.

    Емкости электролитические "обычной прочности" обычно рассчитаны на ~3-5 лет работы.
    Затем их надежность начинает падать с нарастанием. На скорость их выхода из строя влияют температура эксплуатации и отклонения рабочего напряжения от номинала. Производители часто экономят, устанавливая на 5-ти    вольтовые цепи емкости на 6,3, а на 12ти вольтовые цепи - на 16в.
    Высыхание емкостей проявляется в снижении их номинала и соотв. худших параметрах фильтрации цепей питания. В особых случаях, при перегреве емкостей, наблюдается их "вспучивание". Повышенные пульсации в цепи питания приводит к сбоям и зависаниям в устройствах ЭВТ.

    ЗЫ В конструкциях "особого назначения" есть правила +25% и 3-х. Элементы выбирают с рабочими номиналами по питанию не ниже +25% и с 3х кратным запасом прочности (3х кратная наработка на отказ, 3-х кратное резервирование/дублирование цепей).



  • правда 3-5 лет минимум всетаки, и зависит от условий эксплуатации, как было сказано другими словами..
    часто экономят - это на линию 12 вольт ставить 10 вольтовые, например

    давайте не будем разгоняться, оба прекрасно все знаем.
    хочу лишь сказать, что бп свежий.
    работает в помещении где температура выше 17 градусов не поднимается (кондиционер)
    как сказал, я проверю его тоже.



  • @lsd25:

    давайте не будем разгоняться, оба прекрасно все знаем.
    хочу лишь сказать, что бп свежий.

    Ну вот про свежий БП небыло ни слова. Обычно на роутеры старье ставят. Но в любом случае методом исключения проверить нужно все.



  • Свежесть железки не говорит о ее безгрешности. Одна контора заказала несколько десятков компов. Контора не скупилась и комплектующие были самые качественные. Так вот при инсталляции ОС один из них не включался. Разобрали, включили БП без нагрузки и я в первый раз услышал как взрываются конденсаторы.



  • заменили БП несколько дней назад. всеравно повис.
    остается подозрение на сетевушки пару штук и на режим моста, который я сделал между tap и lan



  • во внешний syslog что пишет?



  • сегодня опять повис в 7 вечера.. до этого все сетевушки переменял, БП тоже..
    завтра приеду, погляжу что во внешнем сислог сервере, если там вообще что-то интересное будет)))) отпишусь в общем.
    причем, сейчас уже стоит версия 2.0
    после всех исключений, у меня подозрение падает нa бридж между реальным ethernet интерфейсом lan и виртуальным tap у впн сервера.
    потому что до того как я его сделал, машина стабильно проработала 2-3 месяца почти. после того как включил опенвпн сервер с tap девайсом в бридже с ланом, начались такие повисания %)
    бридж нужен для того чтобы удаленный машины находились в сети на lan интерфейсе

    сегодня поднял опенвпн сервер (в том числе создал мост) на контроллере домена, на котором, естественно, стоит днс и дхцп. попробую перекинуть на него, и проверю как pfsense будет жить без него.

    UPD от 7.02.11 (10:08):
    в общем в сислог сервере ничего интересного вообще 0_о странно как-то
    перенес пользователей на отдельный опенвпн сервер. удалил мост на пфсенсе. посмотрим сколько жить будет.

    UPD от 7.02.11 (17:30):
    один фиг виснет. опять же в сислог сервере ничего.
    теперь включил, чтобы валил все логи мне, а не только системные.
    кстати, забыл сказать, что помимо сервера опенвпн, завели в тоже время ещё и инет канал другой.
    т.е. почти в одно время.. до этого, как я говорил, все работало стабильно.
    т.к. опенвпн сервер исключил..
    то пало подозрение на инет канал 0_о увы, но вариантов других нет. дома, в точто такой же конфигурации, практически, работает тот же пфсенс 2.0, с тем же опенвпн сервером в бридже с ланом, и работает в течении 4-5 месяцев стабильно 24/7
    сейчас смотрю логи фаервола и наблюдаю картину, на проблемном пфсенсе, - оочень много пакетов на разные порты, в основном по udp, приходит на wan (именно с того нового инет канала), которые фаер блочит. в реалтайме на сислог сервере (который киви) в реалтайме наблюда, что фаер постоянно что-то блочит.
    у меня дома такая картина не наблюдается. там у меня инет от другого прова правда..
    так воооот, вопрос в чем возникает.. возможно ли, что пфсенс просто отрубает от этих бесконечных атак?



  • Вполне возможно, попробуй увеличить таблицу соединений и жалуйся провайдеру.
    Расскажи подробнее, что за трафик к тебе идет, лучше логами на pastebin.com



  • @lsd25:

    так воооот, вопрос в чем возникает.. возможно ли, что пфсенс просто отрубает от этих бесконечных атак?

    Это какой уровень pps примерно? чтобы pfSense отрубало надо потрудиться…



  • @deutsche:

    Вполне возможно, попробуй увеличить таблицу соединений и жалуйся провайдеру.
    Расскажи подробнее, что за трафик к тебе идет, лучше логами на pastebin.com

    да она и так большая довольно..
    http://pastebin.com/Zhdiz7pH
    вот кусок, например
    порт 6901 это порт для одного из торрент клиентов

    и вот из самого пфсенса из логов фаервола кусочек
    http://pastebin.com/X57cjRwB
    тут убрал все что с портом 6901..

    xxx.xxx.xxx.xxx - соответсвенно мой ип в инете.

    @Evgeny:

    @lsd25:

    так воооот, вопрос в чем возникает.. возможно ли, что пфсенс просто отрубает от этих бесконечных атак?

    Это какой уровень pps примерно? чтобы pfSense отрубало надо потрудиться…

    да слабый вообще.. если я правильно понял, что packet per second )

    незнаю что у нас у провайдера с сетью, но похоже таки старается хорошо.
    у нас от прова приходит радиоканал. стоит железка в которую входит витая пара от антенны на крыше и из этой железки выходит ethernet уже.. ну и питание подается естесн.. далее ethernet входит в wan порт пфсенса и на порту прописывается ip с маской 255.255.255.252 и шлюзом. ip является белым статическим.

    думаю попробывать поставить роутер хардварный перед пфсенсом для теста. лежит тут vpn роутер d-link di-804hv без дела %)

    UPD: повис - в логе ноль. кроме, все тех же попыток соединений, что в кусках лога кинул..

    UPD: нашел свой косяк, вроде.. хотя может не совсем косяк.. сейчас после всех разрешающих правил на wan интерфейсе в конце добавил запрещающее правило на все, хотя pfsense и без явного указания обычно блокирует все (или я чего-то путаю?). и в логах исчезли постоянные попытки достучаться. тишина. но странно, что дома я себе такого правила не ставил, и такого не наблюдаю в логах..
    посмотрю как теперь будет себя вести pfsense

    UPD от 9.02.11: один фиг повис =\ фантастика какая-то. поставил pfsense 2.0 на вторую машину, тоже самое все настроил как было, поставил вмест первой.. ради интереса посмотреть, будет виснуть или нет..



  • UPD: нашел свой косяк, вроде.. хотя может не совсем косяк.. сейчас после всех разрешающих правил на wan интерфейсе в конце добавил запрещающее правило на все, хотя pfsense и без явного указания обычно блокирует все (или я чего-то путаю?). и в логах исчезли постоянные попытки достучаться. тишина. но странно, что дома я себе такого правила не ставил, и такого не наблюдаю в логах..
    посмотрю как теперь будет себя вести pfsense

    в настройках лога есть такая галочка - "логировать пакеты заблокированные правилом по умолчанию", сними эту галочку и твоё запрещающее правило можно убирать.



  • @Evgeny:

    в настройках лога есть такая галочка - "логировать пакеты заблокированные правилом по умолчанию", сними эту галочку и твоё запрещающее правило можно убирать.

    да эт мне не критично. там я видел, что это логи отбракованных входящих. забил уже на это, ибо сам прекрасно понимаю, что это не может быть причиной повисания.

    да 100% это опять мамка попалась "кривая" =
    если включительно по выходные вторая машина замечательно отработает, вывод станет ясным.
    в итоге, почитав весь топик с самого начала, становится весело - легких путей не ищем))))

    UPD от 11.02.11: кажется причина всплыла наверх.. что-то мне кажется, что чипсеты на мамках не справляются с работой 3-х сетевух. чипсеты довольно староваты (на одной i850 с ich2, на другой вообще via). сейчас стоит мамка, на сколько помню, с 865-м + ich4 или ich5. уверен, что проблема именно в них и кроется, как только ставишь 3 сетевухи. естественно когда под нагрузкой… хотя бывало, что и вот только перезагрузил шлюз и тут же через минут 10 повис.
    на другой машине вот уже 3и сутки без претензий, разве что памяти пака мало в ней, свопится..

    UPD от 14.02.11: Проблема была в "совместимости" (или возможностях) железа. Проблема, вроде как, решена. Шлюз не виснет почти неделю.


Log in to reply