После ограничения полосы провайдером нач



  • В конторе на оборудовании провайдера два порта с белыми IP-адресами.
    На одном порту полоса интернет 10 Мбит./с. на контору - порт включается в порт WAN прокси на pfSense, для сотрудников и другой порт с полосой 20 Мбит./с. для гостей  с доступом по WiFi на специализированной железке.
    Директор распорядился у сотрудников канал урезать и добавить гостям.
    Провайдеры на своём железе перенастроили полосы на портах.
    После этого сотрудникам полоса стала 5 Мбит./с., гостям 25 Мбит./с.
    Начались проблемы на pfSense - переодически отваливается сетевая карта WAN на проксе.
    WAN-порт на встроенной на мамане сетевой карте.
    LAN-порт на интеловской карточке.
    Запускаю пинги на обе карты.
    Пинг на LAN-порт не отваливается, на WAN-порту пропадает на 9~17 пингов, потом восстанавливается и
    работа продолжается.
    Самое главное - на сетевом оборудовании линк не пропадает.
    Такое ощущение что pfSense что-то внутри себя переваривает и потом продолжает работу дальше.
    Что такое может быть?

    Самое интересное, что в то время, когда пинг на WAN-порт из локальной сети  отваливается, через WEB-интерфейс pf Sense по LAN-порту запускаю из меню Diagnostics: Ping на интернет ресурсы yandex.ru, mail.ru и т.д. на самом pfSense пинги идут, никуда не теряются.



  • 1. Смотрите логи pf.
    2. Проверьте кабель.
    3. Смените сетевую.
    4. Попробуйте на время поставить что-то аппаратное вместо pf и промониторить ситуацию.
    5. Теребите провайдера(-ов) - пускай он глянет, что у него не так.

    P.s. Странно, что одмин спрашивает , не проверив сперва все сам. Или Вы там не админите?



  • @werter:

    1. Смотрите логи pf.
    2. Проверьте кабель.
    3. Смените сетевую.
    4. Попробуйте на время поставить что-то аппаратное вместо pf и промониторить ситуацию.
    5. Теребите провайдера(-ов) - пускай он глянет, что у него не так.

    P.s. Странно, что одмин спрашивает , не проверив сперва все сам. Или Вы там не админите?

    Я, к сожалению, не великий спец в freebsd (pfSense), в каких логах что смотреть?

    Кабель здесь не причём.
    Кабели менял, провод от провайдера ради чистоты эксперимента вытащил из WAN-порта pfSense
    и воткнул в разрыв через два порта на управляемом свиче, сделав в нём свой VLAN на два порта.
    На портах свича ошибок ни от провайдера, ни от WAN-порта pfSense нет, есть только коллизии.
    Ситуация не изменилась.

    Что интересно, когда специализированная железка по раздаче WiFi подключалась к провайдеру
    напрямую, наблюдались её зависания ранним утром если у провайдера порт был на 100 Мбит./с.,
    если они делали 10 Мбит./с., зависания уходили. Повесил эту железку в разрыв на управляемый
    свич со своим VLAN-ом и проблема ушла - похоже свич как-то кэширует пакеты за счёт своего
    буфера.

    Сетевая карта тоже не причём, когда я из локалки одновременно пингую и локальную карту и
    WAN-карту, то пинги на локалке не пропадают, на WAN-пропадают, но в это же время,
    при пропадании пингов на WAN-порт, из WEB-интерфейса pfSense пинги на различные сайты
    по WAN-порту проходят.
    Такое ощущуение, что pfSense на какое-то время приостанавливает прохождение пакетов
    из локалки в интернет, хотя сам в интернет выходит.



  • На портах свича ошибок ни от провайдера, ни от WAN-порта pfSense нет, есть только коллизии.

    Ну вот и замечательно, коллизий вполне достаточно, чтобы возникали проблемы с сетью. Разбирайтесь с оборудованием\провайдером.

    P.s. Если Вы понимаете ,что такое VLAN и тем более знаете как его настраивать на свитчах, то воспользоваться гуглом, вбив фразу "logs+pfsense" вы точно сумеете.

    P.p.s.  Повторюсь еще раз - коллизий на интерфейсах pfsense быть не должно! Вообще.



  • Мне кажется на канал 5 Мбит./с. 24 компьютера наверное это слишком много,
    да если ещё учесть, что человек 7 смотрит видеоролики, слушают mp3 музыку
    и т.д. в рабочее время, pfSense, бедняга, в какой-то момент прекращает пересылку пакетов
    из локалки, переваривает внутри что-то и через несколько секунд продолжает работу дальше.



  • На чем он у вас построен?



  • @werter:

    На чем он у вас построен?

    Построен на старом железе, которое раньше было сервером видеонаблюдения.
    Процессор: Intel(R) Pentium(R) 4 CPU 2.40GHz
    памяти: 1 Гигабайт.
    винт: SATA 70 Gb.
    Судя по загрузке, процессор особо не используется.
    Память доходит до 80-ти с лишнем процентов.
    Привожу скрин главного экрана.




  • Есть что-то по-серъезнее в наличие? Может есть сервер , на к-ый можно было бы установить гипервизор и поднять pfsense как виртуалку?

    да если ещё учесть, что человек 7 смотрит видеоролики, слушают mp3 музыку
    и т.д. в рабочее время

    Как это? Вы там одмините или кто-то другой? Идите к начальству и покажите (у вас ведь не только squid, но отчетность имеется в виде lightsquid, верно?), чем люди занимаются в раб. время. Затем все это дело "рубите" на корню squidguard-ом.

    P.s. Я не удивлюсь, если у вас еще и p2p разрешен  :o



  • @werter:

    Есть что-то по-серъезнее в наличие? Может есть сервер , на к-ый можно было бы установить гипервизор и поднять pfsense как виртуалку?
    Да хорошо бы, если бы было, я бы хотел на VMware гипервизоре поднять и pfSense и FreeNas.
    Только нет такой возможности.

    да если ещё учесть, что человек 7 смотрит видеоролики, слушают mp3 музыку
    и т.д. в рабочее время

    Как это? Вы там одмините или кто-то другой? Идите к начальству и покажите (у вас ведь не только squid, но отчетность имеется в виде lightsquid, верно?), чем люди занимаются в раб. время. Затем все это дело "рубите" на корню squidguard-ом.

    А мне это надо?
    Да пусть делают что хотят, трафик безлимитный,
    а мне главным злыднем в конторе быть как-то не хочется.

    P.s. Я не удивлюсь, если у вас еще и p2p разрешен  :o

    Да чем бы дитя не тешилось, лишь бы не вешалось! :-) (чёрный юмор)
    Ну не может народ уже жить без одноклассников и вконтакте,
    наркомания 21 века!



  • Ааа…ну тогда у вас есть еще вариант - отрезать половину общего входящего\исходящего трафика Лимитером и пущай они в этой полосе развлекаются (если получится  ;D)

    P.s. Странный у вашей конторы подход к рабочему времени. Максимум из "мягкого" , что видел я  - это 1 час (в перерыв) открыты одноглазники\вконтагде. Но чтоб полностью все рабочее время было разрешено - такого не видел. Наоборот, первое требование нач-ва - закрыть соц. сети\мультимедиа etc.

    P.p.s. Еще вопрос - зачем вам тогда сквид\сквидгвард? На будущее? Или "шо б було" ?



  • @werter:

    Ааа…ну тогда у вас есть еще вариант - отрезать половину общего входящего\исходящего трафика Лимитером и пущай они в этой полосе развлекаются (если получится  ;D)

    P.s. Странный у вашей конторы подход к рабочему времени. Максимум из "мягкого" , что видел я  - это 1 час (в перерыв) открыты одноглазники\вконтагде. Но чтоб полностью все рабочее время было разрешено - такого не видел. Наоборот, первое требование нач-ва - закрыть соц. сети\мультимедиа etc.

    P.p.s. Еще вопрос - зачем вам тогда сквид\сквидгвард? На будущее? Или "шо б було" ?

    Контора коммерческая, гостиница, у босса комп самы дохлый, наверное после меня в конторе.
    Так он с планшета работает по гостевому WiFi.
    Пока гайки не закручивает.
    А чем девчёнкам на рецепшенах по ночам ещё заниматься! :-)
    Не, пусть живут, по этой полосе ещё руководство из домов смотрит по камерам наблюдения, как
    там сотрудники развлекаются. :-)
    Сквид во-первых "шо б було", себя, естественно, пропускаю мимо :-), во-вторых - интересно,
    кто чем занимается, в-третьих, если босс припрёт, а нате Вам, пожалуйте, статистику, чем ваши
    подопечные занимаются в рабочее время. :-)
    Да и вроде бы какая-то экономия трафика должна быть, раз все тусуются в одноклассниках, вконтакте, майле.
    Хоть на картинках сэкономим.
    Вот только снорт я не понял и отключил его пока - запустил, так он зараза первым делом мне
    корпоративную почту заблокировал, не правилный у вас мол обмен данными с почтовым сервером.
    Несёт всякую хрень, если бы он мне говорил, вот мол друзья из Китая к вам ломятся на такой-то порт а так…



  • Кстати, в момент пропадания интернета из локальной сети и прохождения пингов с самого pfSense
    с WAN-порта на ya.ru, к примеру, в Status: System logs: General появляется такая запись:

    kernel: pid 50742 (syslogd), uid 0: exited on signal 11 (core dumped)

    Похоже где-то здесь собака порылась, только где искать, что глючит?



  • и все таки смени сетевушки, как советовали, да и шнуки-сетку повнимательней посмотри.



  • Похоже нащупал глюку.

    В локальной сетке стоит сервак на XP, который собирает звонки с телефонной станции.
    Он с молоду какой-то глюковатый - иногда программа сбора звонков подвисает, приходится её презапускать.
    Чтобы серваку было не скушно от такой небольшой загрузки, я на него поставил софтинку по сбору
    логов Syslog Watcher 4. Повесил собираться только журналы с pfSense - System logs: Firewall, чтобы
    если что можно было позже посмотреть кто и куда ломится.
    В Status: System logs: Settings в пункте Remote Logging Options поставил галку
    Enable Remote Logging Send log messages to remote syslog server.
    Прописал ip-шник сервака с Syslog Watcher 4.
    Журналы собираются нормально.
    Похоже это было моей ошибкой! :-)
    Как я понимаю, демон syslogd толи не успевает записать на уделённый Syslog Watcher 4
    большое количество информации, либо тот не успевает принимать, как я понимаю из-за
    этого и происходит падение syslogd, когда он перезапускается, раздача интернета
    клиентам восстанавливается, остальное функционирование pfSense не прекращается.
    Сейчас попробовал отключить логирование на внешний сервер, и, похоже, ситуация поменялась.
    Соседка рядом слушет музыку, я тащу в это время с сайта 1С очередное гигантское обновление.
    Сообщения в журнале Status: System logs: General от том, что
    kernel: (syslogd), uid 0: exited on signal 11 (core dumped) больше не вываливалось.

    Посмотрим как оно дальше себя будет чуствовать. :-)

    Кстати, и интернет по-шустрее стал по ощущениям.
    То ли пакеты от журнала дополнительно нагружают сетку, то ли pfSense дополнительно отрывается
    на то, чтобы передать эти пакеты на удалённый сервер, а скореевсего это так и есть.



  • Как я понимаю, демон syslogd толи не успевает записать на уделённый Syslog Watcher 4
    большое количество информации, либо тот не успевает принимать

    Щито? syslogd просто валит логи в адрес syslog сервера по UPD и ему по барабану принял сервер его "важные мессаги" или нет. Если вы "тупо" выключите syslog сервер из сети (локальной/электрической), сей факт никак не отразиться на работе вашего pfsens'a.
    А вот "захлёбывание" syslogd вполне может быть похоже на правду.



  • @aleksvolgin:

    Как я понимаю, демон syslogd толи не успевает записать на уделённый Syslog Watcher 4
    большое количество информации, либо тот не успевает принимать

    Щито? syslogd просто валит логи в адрес syslog сервера по UPD и ему по барабану принял сервер его "важные мессаги" или нет. Если вы "тупо" выключите syslog сервер из сети (локальной/электрической), сей факт никак не отразиться на работе вашего pfsens'a.
    А вот "захлёбывание" syslogd вполне может быть похоже на правду.

    А проблема-то ушла!
    Перестала эта ошибка появляться.
    Если бы syslogd было всё по барабану, он бы не захлёбывался.
    Наверное есть над чем поработать разработчикам.
    Как я понимаю, при выдаче информации syslogd на внешний syslog сервер должен быть какой-то
    буфер. И при пополнении этого буфера syslogd быстрее, чем он опустошается при отдаче на
    на внешний syslog сервер, происходит аварийное завершение  syslogd, при этом,
    похоже, на время перезапуска syslogd приём пакетов из локальной сети прекращается,
    хотя WAN-порт продолжает работать как ни в чём не бывало.

    Может быть есть какие-то настройки для syslogd?
    В общем, если кто-то захочет отправлять логи с pfSense на внешний лог-сервер,
    надо иметь в виду возможность появления такой неприятной вещи.



  • Всё, два дня уже интернет работает как часы.
    Проблема в самом деле, похоже, была в связке с внешним лог-сервером.


Log in to reply