PfSense сбрасывает соединения при сильной загрm



  • Ситуация такая:

    Есть ADSL-линия к которой подключен модем в режиме моста (есть D-Link 2500U и adsl-wifi-router Zyxel - работают одинаково).
    pfSense 2.0 RC2 на ALIX.
    Первый интерфейс смотрит в локалку, второй - PPPoE через ADSL. Все интерфейсы подняты, pfSense пингует хосты в инете, самообновляется и т.д. В общем, всё ОК.
    Я подключаю, к примеру, свой ноут к LAN-выходу pfSense - NAT работает без вопросов.
    Но стоит мне запустить закачку какого-нибудь большого файла, которая занимает всю ширину канала, все соединения с pfSense рвутся, web-консоль подвисает. Это происходит после закачки 2-20 мегабайт файла. Качать что-то необязательно - даже несколько одновременных разговоров по ip-телефонии могут привести к такому обрыву/подвисанию. Затем, через несколько секунд все соединения восстанавливаются, правда закачка, подвесившая pfSense не возобновляется.

    Дело не в железе - пробовал разные ALIXы. Подвисающий в этом офисе ALIX без проблем заработал в другом регионе при схожих условиях (Ростелеком, ADSL, Bridged mode, NAT в локалку и т.д.)

    Также моделировал ситуацию в центральном офисе, где используется выделенная Ethernet-линия, - проблема не воспроизводится.

    Если NAT раздавать через любой из модемов в этом проблемном офисе - трабл не воспроизводится. Качай сколько влезет, забивай канал - ничего не рвётся.

    Если pfSense поставить за NATом этого модема и раздавать инет через pfSense - опять начинаются дисконнекты при большой загрузке канала.

    Логически получается, что есть какая-то несовместимость pfSense с конкретными локальными условиями (параметрами интернет-соединения). Но я не представляю, что это могут быть за параметры.
    Изменение различных настроек, которые могли бы иметь отношение к проблеме, не дали результата.

    Что можно предпринять? Куда капнуть?

    Планирую попробовать поставить туда pfSense 1.2.3, monowall, ipcop, zeroshell. Но мне нужно однообразие, не хочется разводить зоопарк, а также требуется поддержка 3g и IPSec, а это умеют только pfSense 2.0 и ipcop, но последнего очень гиморно на флэшку заливать.
    Т.е. очень хочется заставить работать pfSense 2.0, только вот как? :-(



  • А сетевые карты какие используются? Или ты тоже их менял?



  • А сетевые карты какие используются? Или ты тоже их менял?

    а как вы предлагаете менять интегрированные карты? Феном?  :D ALIX это разновидность встраиваемых решений.



  • @aleksvolgin:

    А сетевые карты какие используются? Или ты тоже их менял?

    а как вы предлагаете менять интегрированные карты? Феном?  :D ALIX это разновидность встраиваемых решений.

    сори не знал:)



  • всё таки лучше в данной ситуации попробовать поставить 1.2.3 а не 2.0rs
    и посмотреть что изменится и не включать шейпер



  • Похоже, что я разобрался с проблемой.
    Надо было логи внимательнее смотреть…

    В общем, в этом офисе Ростелеком интернет предоставляет не очень качественный. Иногда бывает, что доступны только ресурсы внутри региона, а всё, что дальше - уже не пингуется (к счастью, это бывает нечасто и как правило в нерабочее время). Постоянно же проявляется такой эффект - если мы сильно загружаем канал каким-либо соединением (например, закачкой файла), то остальные соединения практически перестают работать (может просто не создаются новые). При этом на ресурсы внутри региона такая особенность не распространяеся - туннель с центральным офисов почти всегда работает без проблем.

    pfSense же мониторит, как у него поживает Gateway. Не знаю, какой ресурс он пингует по умолчанию, но он как раз оказывается недоступным при наличии проблем с выходом вовне. У тут pfSense решает, что у него какие-то проблемы с тем интерфейсом, через который мы выходим в интернет, и перезапускает его.
    В настройках шлюза в наблюдаемый айпи я прописал  адрес своего центрального офиса, который находится в этом же регионе, и, соответственно, почти всегда доступен, и проблемы с обрывами связи прекратились. pfSense больше не передёргивает интерфейс при любом удобном случае.

    Тему можно закрывать.



  • Опция  Lock this topic в Additional options


Locked