виснет pfsense
-
нашел похожую тему
http://forum.pfsense.org/index.php/topic,15401.15.html
но закрытастоит pfsense 1.2.3
3 сетевые карточки
одна смотрит в один инет канал
другая в другой
третья в сеть локальную
есть ещё tap-интерфейс который в бридже с lan (через вебгуйню настроено)
настроен openvpn сервер. стоит squid + lightsquid + squidguard + настроено на авторизацию по ldap
больше ничего. pppoe и pptp соединений нет.
у vpn клиентов ip прописан на интерфейсах вручную (без ручной настройки получают по dhcp адресс от нашего сервака под win2003, на нем же dns и ad), т.к. нужна статика.в общем, все через гуйню, ни чего стороннего.
2 недели назад стоял на таком железе:
pentium 4 1,6 под 370 сокет на мамке gigabyte 8tx с памятью rimm в 256 метров и винтом на 40 гиг
перед новым годом начал виснуть pfsense стабильно.. проверили винт, оказалось дофига бэдов.
накатали образ на другой винт, у которого все ок. всеравно вис pfsense
зависал без всяких сообщений на экраненачал грешить на железо, потому сменил
теперь железо такое:
celeron 2.0 + 512mb одной плашкой ddr.
мамку счас не скажу точно.. винт WD 320 ide новыйпоставил с нуля pfsense 1.2.3
посредством встроенной Backup/restore восстановил конфиг.
аптайм почти 2 недели и снова повис.вот может кто подсказать, куда копать?
-
используйте внешний syslog сервер и подключите монитор, чтобы увидеть возможные сообщения на экране.
-
монитор подключен постоянно..
на мониторе ничего не светит интересного при этом.
а сислогер внешний заюзаю попробую -
pentium 4 1,6 под 370 сокет на мамке gigabyte 8tx
дальше даже читать не стал.
-
А в железе БП старый остался, а сетевухи менялись?
-
pentium 4 1,6 под 370 сокет на мамке gigabyte 8tx
дальше даже читать не стал.
сам в шоке)
но тем не менее:
http://dump.bitcheese.net/images/ekumava/SA401583_1.jpeg
http://dump.bitcheese.net/images/oxakowi/SA401584_2.jpegА в железе БП старый остался, а сетевухи менялись?
нет, бп fsp. думаю менять смысла нет. из-за бп симптомы другие обычно..
сетевухи не менялись тоже. -
нет, бп fsp. думаю менять смысла нет. из-за бп симптомы другие обычно..
сетевухи не менялись тоже.Таки смысл есть и начните с БП. При высыхании емкостей такие плавающие вылеты довольно частое явление.
-
Таки смысл есть и начните с БП. При высыхании емкостей такие плавающие вылеты довольно частое явление.
я конечно проверю его на выходных,
но вы ошибаетесь, емкостя просто так не высыхают, и вовсе не высыхают они. -
сам в шоке)
но вы ошибаетесь, емкостя просто так не высыхают, и вовсе не высыхают они.
ну её богу! Садитесь - два! Учите матчасть!
-
кондеры могут как вспухнуть, так и высохнуть (электролит жидкий и испаряется) и проверять сопротивление нужно вообще везде где они есть тестером.
-
Таки смысл есть и начните с БП. При высыхании емкостей такие плавающие вылеты довольно частое явление.
я конечно проверю его на выходных,
но вы ошибаетесь, емкостя просто так не высыхают, и вовсе не высыхают они.Емкости электролитические "обычной прочности" обычно рассчитаны на ~3-5 лет работы.
Затем их надежность начинает падать с нарастанием. На скорость их выхода из строя влияют температура эксплуатации и отклонения рабочего напряжения от номинала. Производители часто экономят, устанавливая на 5-ти вольтовые цепи емкости на 6,3, а на 12ти вольтовые цепи - на 16в.
Высыхание емкостей проявляется в снижении их номинала и соотв. худших параметрах фильтрации цепей питания. В особых случаях, при перегреве емкостей, наблюдается их "вспучивание". Повышенные пульсации в цепи питания приводит к сбоям и зависаниям в устройствах ЭВТ.ЗЫ В конструкциях "особого назначения" есть правила +25% и 3-х. Элементы выбирают с рабочими номиналами по питанию не ниже +25% и с 3х кратным запасом прочности (3х кратная наработка на отказ, 3-х кратное резервирование/дублирование цепей).
-
правда 3-5 лет минимум всетаки, и зависит от условий эксплуатации, как было сказано другими словами..
часто экономят - это на линию 12 вольт ставить 10 вольтовые, напримердавайте не будем разгоняться, оба прекрасно все знаем.
хочу лишь сказать, что бп свежий.
работает в помещении где температура выше 17 градусов не поднимается (кондиционер)
как сказал, я проверю его тоже. -
давайте не будем разгоняться, оба прекрасно все знаем.
хочу лишь сказать, что бп свежий.Ну вот про свежий БП небыло ни слова. Обычно на роутеры старье ставят. Но в любом случае методом исключения проверить нужно все.
-
Свежесть железки не говорит о ее безгрешности. Одна контора заказала несколько десятков компов. Контора не скупилась и комплектующие были самые качественные. Так вот при инсталляции ОС один из них не включался. Разобрали, включили БП без нагрузки и я в первый раз услышал как взрываются конденсаторы.
-
заменили БП несколько дней назад. всеравно повис.
остается подозрение на сетевушки пару штук и на режим моста, который я сделал между tap и lan -
во внешний syslog что пишет?
-
сегодня опять повис в 7 вечера.. до этого все сетевушки переменял, БП тоже..
завтра приеду, погляжу что во внешнем сислог сервере, если там вообще что-то интересное будет)))) отпишусь в общем.
причем, сейчас уже стоит версия 2.0
после всех исключений, у меня подозрение падает нa бридж между реальным ethernet интерфейсом lan и виртуальным tap у впн сервера.
потому что до того как я его сделал, машина стабильно проработала 2-3 месяца почти. после того как включил опенвпн сервер с tap девайсом в бридже с ланом, начались такие повисания %)
бридж нужен для того чтобы удаленный машины находились в сети на lan интерфейсесегодня поднял опенвпн сервер (в том числе создал мост) на контроллере домена, на котором, естественно, стоит днс и дхцп. попробую перекинуть на него, и проверю как pfsense будет жить без него.
UPD от 7.02.11 (10:08):
в общем в сислог сервере ничего интересного вообще 0_о странно как-то
перенес пользователей на отдельный опенвпн сервер. удалил мост на пфсенсе. посмотрим сколько жить будет.UPD от 7.02.11 (17:30):
один фиг виснет. опять же в сислог сервере ничего.
теперь включил, чтобы валил все логи мне, а не только системные.
кстати, забыл сказать, что помимо сервера опенвпн, завели в тоже время ещё и инет канал другой.
т.е. почти в одно время.. до этого, как я говорил, все работало стабильно.
т.к. опенвпн сервер исключил..
то пало подозрение на инет канал 0_о увы, но вариантов других нет. дома, в точто такой же конфигурации, практически, работает тот же пфсенс 2.0, с тем же опенвпн сервером в бридже с ланом, и работает в течении 4-5 месяцев стабильно 24/7
сейчас смотрю логи фаервола и наблюдаю картину, на проблемном пфсенсе, - оочень много пакетов на разные порты, в основном по udp, приходит на wan (именно с того нового инет канала), которые фаер блочит. в реалтайме на сислог сервере (который киви) в реалтайме наблюда, что фаер постоянно что-то блочит.
у меня дома такая картина не наблюдается. там у меня инет от другого прова правда..
так воооот, вопрос в чем возникает.. возможно ли, что пфсенс просто отрубает от этих бесконечных атак? -
Вполне возможно, попробуй увеличить таблицу соединений и жалуйся провайдеру.
Расскажи подробнее, что за трафик к тебе идет, лучше логами на pastebin.com -
так воооот, вопрос в чем возникает.. возможно ли, что пфсенс просто отрубает от этих бесконечных атак?
Это какой уровень pps примерно? чтобы pfSense отрубало надо потрудиться…
-
Вполне возможно, попробуй увеличить таблицу соединений и жалуйся провайдеру.
Расскажи подробнее, что за трафик к тебе идет, лучше логами на pastebin.comда она и так большая довольно..
http://pastebin.com/Zhdiz7pH
вот кусок, например
порт 6901 это порт для одного из торрент клиентови вот из самого пфсенса из логов фаервола кусочек
http://pastebin.com/X57cjRwB
тут убрал все что с портом 6901..xxx.xxx.xxx.xxx - соответсвенно мой ип в инете.
так воооот, вопрос в чем возникает.. возможно ли, что пфсенс просто отрубает от этих бесконечных атак?
Это какой уровень pps примерно? чтобы pfSense отрубало надо потрудиться…
да слабый вообще.. если я правильно понял, что packet per second )
незнаю что у нас у провайдера с сетью, но похоже таки старается хорошо.
у нас от прова приходит радиоканал. стоит железка в которую входит витая пара от антенны на крыше и из этой железки выходит ethernet уже.. ну и питание подается естесн.. далее ethernet входит в wan порт пфсенса и на порту прописывается ip с маской 255.255.255.252 и шлюзом. ip является белым статическим.думаю попробывать поставить роутер хардварный перед пфсенсом для теста. лежит тут vpn роутер d-link di-804hv без дела %)
UPD: повис - в логе ноль. кроме, все тех же попыток соединений, что в кусках лога кинул..
UPD: нашел свой косяк, вроде.. хотя может не совсем косяк.. сейчас после всех разрешающих правил на wan интерфейсе в конце добавил запрещающее правило на все, хотя pfsense и без явного указания обычно блокирует все (или я чего-то путаю?). и в логах исчезли постоянные попытки достучаться. тишина. но странно, что дома я себе такого правила не ставил, и такого не наблюдаю в логах..
посмотрю как теперь будет себя вести pfsenseUPD от 9.02.11: один фиг повис =\ фантастика какая-то. поставил pfsense 2.0 на вторую машину, тоже самое все настроил как было, поставил вмест первой.. ради интереса посмотреть, будет виснуть или нет..