Не роутятся пакеты на некоторые сети. Начи



  • Стоял pfSense 2.0.1 - все работало нормально.
    Обновился до 2.0.2 - пропал доступ к imap.gmail.com.
    Вернулся обратно на 2.0.1 - все работает.

    Переход на 2.0.3. - тоже не работает.

    В итоге удалось методом научного тыка обнаружить, что, как минимум на IP-адреса из сети 74.125.143.* не проходят пакеты через pfSense версии выше 2.0.1

    В файрволе никаких упоминаний об этой сети НЕТ.

    Пинг через вебGUI с интерфейса WAN - идет.
    Пинг через вебGUI с интерфейса LAN - НЕ идет.

    Где искать проблему?

    P.S. На всякий случай сохранил конфиг с версии 2.0.1 (работающей) и загрузил в вервию 2.0.3 (полученую апгрейдом из 2.0.1) - не помогло. В самом конфиге тоже нет упоминаний о проблемной сети.



  • Проверил у себя.

    2.0.2-RELEASE (i386)  c патчем ppp_dns_fix

    Ping из WebGUI, интрфейс LAN

    Ping output:

    PING gmail-imap.l.google.com (173.194.70.109) from 10.0.2.111: 56 data bytes
    64 bytes from 173.194.70.109: icmp_seq=0 ttl=49 time=49.881 ms
    64 bytes from 173.194.70.109: icmp_seq=1 ttl=49 time=50.412 ms
    64 bytes from 173.194.70.109: icmp_seq=2 ttl=49 time=50.414 ms

    –- gmail-imap.l.google.com ping statistics ---
    3 packets transmitted, 3 packets received, 0.0% packet loss
    round-trip min/avg/max/stddev = 49.881/50.236/50.414/0.251 ms



  • У меня на других pfsense тоже все работает.

    Проблема именно в одном КОНКРЕТНОМ сервере.

    Вопрос ГДЕ искать и исправить?



  • Поставил 2.0.3 с нуля. Поднял только WAN и LAN интерфейсы - пакеты на проблемные сети ходят.

    Похоже, что собака могла порыться в конфигурациях OpenVPN.
    Каким образом - не понятно.
    Почему с одинм и тем же конфигом 2.0.1 нормально работает, а 2.0.3 - блокирует пакеты и шлет их в неизвестном направлении.



  • Идея была правильная.
    Отключение одного из 6 OpenVPN серверов - лечит проблему.

    Но самое главное этот сервер не имеет никакого отношения к указанным сетям!!!

    UPD: все несколько сложнее - отключение сервера не дает МГНОВЕННОГО эффекта. Похоже что строится какая-то динамическая маршрутизация и не сразу.



  • Закончите (желаю успеха) расследование - отпишитесь, в чем же дело.



  • @pigbrother:

    Закончите (желаю успеха) расследование - отпишитесь, в чем же дело.

    Я бы с удовольствием.
    Но кончились идеи ГДЕ искать.
    В таблице роутинга - все нормально.
    В правилах pf - тоже кринминала не вижу или плохо смотрю.

    Лезть в исходники - квалификация не та…



  • Может быть, надо на проблемном  pfsense прописать в качестве первого DNS 8.8.8.8 и на openvpn клиентах тоже?



  • @netormoz:

    Может быть, надо на проблемном  pfsense прописать в качестве первого DNS 8.8.8.8 и на openvpn клиентах тоже?

    Хм…
    А каким боком тут может быть DNS-сервер?

    Хотя на самом деле именно гугловские DNS давно прописаны.



  • Потому что проблема с маршрутизацией перекрыла бы весь белый интернет, а не отдельные IP.
    Все клиенты ходят в Инет через openvpn на pfsense?
    Я повторяю вопрос: какой DNS прописан у клиентов?
    Показывай вывод tracert от клиента до проблемного IP.



  • @netormoz:

    Потому что проблема с маршрутизацией перекрыла бы весь белый интернет, а не отдельные IP.
    Все клиенты ходят в Инет через openvpn на pfsense?
    Я повторяю вопрос: какой DNS прописан у клиентов?

    У клиентов приписан в качестве DNS - адрес pfsense - 192.168.0.1
    @netormoz:

    Показывай вывод tracert от клиента до проблемного IP.

    при включенных 6-ти OpenVPN:

    H:>tracert imap.gmail.com

    Трассировка маршрута к gmail-imap.l.google.com [74.125.143.108]
    с максимальным числом прыжков 30:

    1    <1 мс    <1 мс    <1 мс  192.168.0.1
      2    *        *        *    Превышен интервал ожидания для запроса.
      3    *        *    192.168.0.1  сообщает: Заданный узел недоступен.

    Трассировка завершена.

    Задизейблил три OpenVPN сервера:

    C:>tracert imap.gmail.com

    Трассировка маршрута к gmail-imap.l.google.com [74.125.143.108]
    с максимальным числом прыжков 30:

    1    <1 мс    <1 мс    <1 мс  192.168.0.1
      2    3 ms    4 ms    7 ms  stat.promenergo.ru [77.108.89.1]
      3    <1 мс    <1 мс    <1 мс  10.255.255.33
      4    1 ms    <1 мс    1 ms  c1.promenergo.ru [62.117.87.42]
      5    5 ms    3 ms    3 ms  iki-crs.comcor.ru [62.117.100.73]
      6    26 ms    26 ms    27 ms  74.125.51.81
      7    17 ms    17 ms    17 ms  209.85.250.222
      8    17 ms    17 ms    17 ms  209.85.249.79
      9    23 ms    23 ms    23 ms  72.14.233.170
    10    *        *        *    Превышен интервал ожидания для запроса.
    11    17 ms    17 ms    17 ms  la-in-f108.1e100.net [74.125.143.108]

    Трассировка завершена.



  • Включите 6 openvpn
    Дайте ДНС клиенту  принудительно  в настройках сетевой карты 8.8.8.8
    Снова сделайте tracert



  • Таблицу маршрутизацию покажите при всех включенных OpenVPN и при отключенном проблемном.


Log in to reply