Проблема с роутингом пакетов после обновl



  • Был pfsense 2.0.1 и все работало без проблем.

    Вчера решил обновиться до 2.0.2.
    Обновление прошло.

    И вдруг возникла проблема с доступом к pop.gmail.com.
    Адрес не пингуется из внутренней сети.
    При попытке выполнить tracert получаю сообщение от pfsense "заданный узел недоступен"

    
    C:\002\002>tracert pop.gmail.com
    
    Трассировка маршрута к gmail-pop.l.google.com [74.125.143.109]
    с максимальным числом прыжков 30:
    
      1     1 ms    <1 мс    <1 мс  192.168.0.1
      2     *        *        *     Превышен интервал ожидания для запроса.
      3  192.168.0.1  сообщает: Заданный узел недоступен.
    
    Трассировка завершена.
    
    

    другие IP-адреса доступны и работают.

    Пинг с веб-интерфейса pfsense - проходит без проблем.

    При просмотре tcpdump-ом видно, что icmp-пакеты приходят на LAN-интефейс pfsense и не появляются на WAN интерфейсе.

    Откатился на бэкап до обновления (версия 2.0.1) - все заработало без проблем.

    Как найти где "собака порылась"?



  • Нужно было на 2.0.2 посмотреть логи фильтра.



  • @dvserg:

    Нужно было на 2.0.2 посмотреть логи фильтра.

    Не было там ВООБЩЕ упоминания этого IP.

    Ща еще раз проверю. Благо машинки виртуальные и можно менять местами быстро.

    Если речь о Status: System logs: Firewall в веб-интерфейсе, то по фильтру 74.125.143.109 - ничего нет. Хотя из LAN пытаюсь пинговать…



  • Будете пинговать - пропингуйте и по имени домена и по IP.



  • @dvserg:

    Будете пинговать - пропингуйте и по имени домена и по IP.

    Делал.
    С ресолвингом проблем нет.
    Результат - одинаковый.



  • @vicpryl:

    @dvserg:

    Будете пинговать - пропингуйте и по имени домена и по IP.

    Делал.
    С ресолвингом проблем нет.
    Результат - одинаковый.

    Чтобы разобраться - можно дампы правил сравнить с обеих версий из /tmp/rules.debug при одинаковых конфигах.



  • @dvserg:

    Чтобы разобраться - можно дампы правил сравнить с обеих версий из /tmp/rules.debug при одинаковых конфигах.

    Сравнил. Не вижу ПРИНЦИПИАЛЬНЫХ различий  ???

    Самое главное, что это IP-адрес или сеть его включающая нигде не фигурирует.



  • Хм. Если бы было что-то серьезное - в соседних ветках уже бы написали про это. У меня 2.0.2 работает штатно.



  • @dvserg:

    Хм. Если бы было что-то серьезное - в соседних ветках уже бы написали про это. У меня 2.0.2 работает штатно.

    Так и у меня еще на трех серверах работает!

    Но звоночек ОЧЕНЬ не приятный.

    Понять бы ГДЕ смотреть. Как проверить КУДА деваются пакеты адресованные на указанный IP?



  • Есть такая проблема, у меня на одном филиале ни в какую не хочет ходить на сайт мегафона, на другом не видит электронного кабинета в сбербанка, хотя до самого ввода пароля доходит. ставил просто железку, ака Dlink DIR 100, работает на ура. Переустанавливать не побывал, жду удобного случая. Решения так же не нашел пока.



  • У меня 2.0.2 на сайт microsoft.com не пущал. Говорил, не могу имя разрешить и хоть ты лопни. Пришлось к 2.0.1 откатываться.


Locked