Блокируется WAN через 20 минут



  • pfSense стоит между DMZ и локальной сетью (DMZ-Inet  другие файрволы BSD)
    схему такая:
    LANnet–----LAN[pfSense]WAN–---DMZ-----LAN[FW-bsd]WAN–-Inrenet
    WAN -> 192.168.10.10
    LAN -> 172.23.1.1 (no DHCP)
    На WAN сняты галки:
    Block private networks
    Block bogon networks

    Проблема:
    через 20 мин отваливаются исходящие с WAN.
    Т.е. интерфейс WAN(192.168.10.10) пингуется с другой машины,
    а с него ничего не уходит (отваливается GW и весь трафик).

    Что делал:
    1. менял местами WAN и LAN  - эффект тотже
    2. менял сетевые (было 1000 и 100), поставил обе 100 - эффект тотже
    3. Даже ставил галку:
    Disable all packet filtering. (превращает в обычный роутер без функций NAT и файрвола) - эффект тотже
    4. Востанавливал к заводским настройкам

    Как лечиться: (на время 20 мин)
    1. Изменить настройки WAN (убрать/поставить GW)
    2. Переткнуть пачкорд

    Что я делаю не так?
    (может где то есть главная галочка - чтобывсеработалокакнадо :) )

    P.S. 2.0.2-RELEASE (i386)
    built on Fri Dec 7 16:30:14 EST 2012
    FreeBSD fw4-overnet 8.1-RELEASE-p13 FreeBSD 8.1-RELEASE-p13 #0: Fri Dec 7 16:51:57 EST 2012 root@snapshots-8_1-i386.builders.pfsense.org:/usr/obj./usr/pfSensesrc/src/sys/pfSense_SMP.8 i386



  • Зачем создавать еще одну тему? Настройки pfSense у вас вроде правильные, железо вы уже меняли. Смотрите в сторону вашего "FW-bsd". Если он перестает отвечать на пинги от pfSense, то pfSense счиатет gateway упавшим (посмотреть можно в Status -> Gateways) и естественно ничего в него не шлет.



  • Дело в том что pfSense перестает пинговать ВСЕ IP  в DMZ, но его самого пинговать можно. Такое впечатление, он сам блокирует исходящий от себя трафик.

    Вывел его в Inet
    дал белый IP на WAN
    Результат: все чудно работает, ничего не отваливается.
    Вывод:
    Есть какое-то правило (стоит где-то галка) которое блокирует исходящие на WAN если на нем видны не правильные для нэта пакеты (бродкаст, DHCP и т.д.). Это правильно для Inet (WAN) но в моем варианте WANа нет - там DMZ (серая сеть)
    Как выход: держать 3 сетевые
    1. WAN - no
    2. LAN - 172.23.1.1
    3. LAN2 - 192.168.10.10
    Но тоже кастыль какой-то. :(



  • А под серым IP wan на какое оборудование подключен? Может проблема на L2?



  • @netormoz:

    А под серым IP wan на какое оборудование подключен? Может проблема на L2?

    Хм, а это идея. Спасибо.
    Было подключено на D-link DGS-3024
    Сейчас в CISCO.
    Надо попробовать сменить прослойку (свитч), или покапаться в его настройках.



  • Иногда гигабитные карты на Free c СISCO капризно работают. В Линуксе такого нет. На CISCO должно быть duplex full, speed 1000, никаких auto. На стороне PFS в настройке карты Speed and duplex никаких default и autoselect



  • @netormoz:

    Иногда гигабитные карты на Free c СISCO капризно работают. В Линуксе такого нет. На CISCO должно быть duplex full, speed 1000, никаких auto. На стороне PFS в настройке карты Speed and duplex никаких default и autoselect

    Так в том и дело, что на D-link этот глюк наблюдался.
    а на CISCO все работает (кроме того что через CISCO настроен WAN - белый IP)



  • Похоже netormoz прав, и проблема у вас на L2. Не знаю стоит ли смотреть в сторону RSTP, если отваливается все только через 20 минут, но все же..



  • Со сменой оборудования L2 проблема решилась и работает как ожидалось :).
    Спасибо netormoz  за наводку :)



  • Обожаю BSD, но именно окружающий зоопарк железа заставил перейти на Debian, чтобы подобные "мелочи" не отвлекали. Проблемы Free - это драйверы на новое железо и небольшая степень свободы в виртуализации. Поэтому нашел для себя золотую середину -  CARP из Pfsensov прячу в Proxmox, а сам Proxmox, у которого нет штатного файерволла, кроме штатного netfiltra, прячу - за CARP. Вот такая получается "наизнанка": использую гостевой CARP для  обслуживания реальных (пользователей) и виртуальных  (других гостевых ОС Proxmox) сеток и защищаю снаружи сам PROXMOX.


Log in to reply