Не роутятся пакеты на некоторые сети. Начи
-
Стоял pfSense 2.0.1 - все работало нормально.
Обновился до 2.0.2 - пропал доступ к imap.gmail.com.
Вернулся обратно на 2.0.1 - все работает.Переход на 2.0.3. - тоже не работает.
В итоге удалось методом научного тыка обнаружить, что, как минимум на IP-адреса из сети 74.125.143.* не проходят пакеты через pfSense версии выше 2.0.1
В файрволе никаких упоминаний об этой сети НЕТ.
Пинг через вебGUI с интерфейса WAN - идет.
Пинг через вебGUI с интерфейса LAN - НЕ идет.Где искать проблему?
P.S. На всякий случай сохранил конфиг с версии 2.0.1 (работающей) и загрузил в вервию 2.0.3 (полученую апгрейдом из 2.0.1) - не помогло. В самом конфиге тоже нет упоминаний о проблемной сети.
-
Проверил у себя.
2.0.2-RELEASE (i386) c патчем ppp_dns_fix
Ping из WebGUI, интрфейс LAN
Ping output:
PING gmail-imap.l.google.com (173.194.70.109) from 10.0.2.111: 56 data bytes
64 bytes from 173.194.70.109: icmp_seq=0 ttl=49 time=49.881 ms
64 bytes from 173.194.70.109: icmp_seq=1 ttl=49 time=50.412 ms
64 bytes from 173.194.70.109: icmp_seq=2 ttl=49 time=50.414 ms–- gmail-imap.l.google.com ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 49.881/50.236/50.414/0.251 ms -
У меня на других pfsense тоже все работает.
Проблема именно в одном КОНКРЕТНОМ сервере.
Вопрос ГДЕ искать и исправить?
-
Поставил 2.0.3 с нуля. Поднял только WAN и LAN интерфейсы - пакеты на проблемные сети ходят.
Похоже, что собака могла порыться в конфигурациях OpenVPN.
Каким образом - не понятно.
Почему с одинм и тем же конфигом 2.0.1 нормально работает, а 2.0.3 - блокирует пакеты и шлет их в неизвестном направлении. -
Идея была правильная.
Отключение одного из 6 OpenVPN серверов - лечит проблему.Но самое главное этот сервер не имеет никакого отношения к указанным сетям!!!
UPD: все несколько сложнее - отключение сервера не дает МГНОВЕННОГО эффекта. Похоже что строится какая-то динамическая маршрутизация и не сразу.
-
Закончите (желаю успеха) расследование - отпишитесь, в чем же дело.
-
Закончите (желаю успеха) расследование - отпишитесь, в чем же дело.
Я бы с удовольствием.
Но кончились идеи ГДЕ искать.
В таблице роутинга - все нормально.
В правилах pf - тоже кринминала не вижу или плохо смотрю.Лезть в исходники - квалификация не та…
-
Может быть, надо на проблемном pfsense прописать в качестве первого DNS 8.8.8.8 и на openvpn клиентах тоже?
-
Может быть, надо на проблемном pfsense прописать в качестве первого DNS 8.8.8.8 и на openvpn клиентах тоже?
Хм…
А каким боком тут может быть DNS-сервер?Хотя на самом деле именно гугловские DNS давно прописаны.
-
Потому что проблема с маршрутизацией перекрыла бы весь белый интернет, а не отдельные IP.
Все клиенты ходят в Инет через openvpn на pfsense?
Я повторяю вопрос: какой DNS прописан у клиентов?
Показывай вывод tracert от клиента до проблемного IP. -
Потому что проблема с маршрутизацией перекрыла бы весь белый интернет, а не отдельные IP.
Все клиенты ходят в Инет через openvpn на pfsense?
Я повторяю вопрос: какой DNS прописан у клиентов?У клиентов приписан в качестве DNS - адрес pfsense - 192.168.0.1
@netormoz:Показывай вывод tracert от клиента до проблемного IP.
при включенных 6-ти OpenVPN:
H:>tracert imap.gmail.com
Трассировка маршрута к gmail-imap.l.google.com [74.125.143.108]
с максимальным числом прыжков 30:1 <1 мс <1 мс <1 мс 192.168.0.1
2 * * * Превышен интервал ожидания для запроса.
3 * * 192.168.0.1 сообщает: Заданный узел недоступен.Трассировка завершена.
Задизейблил три OpenVPN сервера:
C:>tracert imap.gmail.com
Трассировка маршрута к gmail-imap.l.google.com [74.125.143.108]
с максимальным числом прыжков 30:1 <1 мс <1 мс <1 мс 192.168.0.1
2 3 ms 4 ms 7 ms stat.promenergo.ru [77.108.89.1]
3 <1 мс <1 мс <1 мс 10.255.255.33
4 1 ms <1 мс 1 ms c1.promenergo.ru [62.117.87.42]
5 5 ms 3 ms 3 ms iki-crs.comcor.ru [62.117.100.73]
6 26 ms 26 ms 27 ms 74.125.51.81
7 17 ms 17 ms 17 ms 209.85.250.222
8 17 ms 17 ms 17 ms 209.85.249.79
9 23 ms 23 ms 23 ms 72.14.233.170
10 * * * Превышен интервал ожидания для запроса.
11 17 ms 17 ms 17 ms la-in-f108.1e100.net [74.125.143.108]Трассировка завершена.
-
Включите 6 openvpn
Дайте ДНС клиенту принудительно в настройках сетевой карты 8.8.8.8
Снова сделайте tracert -
Таблицу маршрутизацию покажите при всех включенных OpenVPN и при отключенном проблемном.