Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    State Table Size läuft voll

    Deutsch
    3
    4
    625
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      Dunkelfalke last edited by

      Hallo,

      ich hab seit mehreren Tagen ein Problem welches mir den Netzzugang praktisch lahmlegt…:(

      Kurze Zeit nach dem Einschalten der pfsense läuft die State Table Size auf 100% voll und der ausgehende Traffic macht den DSL Uplink dicht.

      Die Show Table ist dann voll von solchen Einträgen:

      udp 127.0.0.1:24443 -> 127.0.0.1:53 MULTIPLE:MULTIPLE
      udp 127.0.0.1:53 <- 127.0.0.1:24443 MULTIPLE:MULTIPLE
      udp 127.0.0.1:56501 -> 127.0.0.1:53 MULTIPLE:MULTIPLE
      udp 127.0.0.1:53 <- 127.0.0.1:56501 MULTIPLE:MULTIPLE

      Einzige Veränderung war vor einem Monat einen VPN Provider einzurichten, war auch kein grosses Problem dank der Tutorials hier.
      Das lief die letzten vier Wochen auch völlig Problemlos. Das obige Verhalten trat dann von heut auf morgen auf.

      Ich hab die pfsense schon neu installiert und von Hand konfiguriert um sicherzugehen ob ich nicht doch aus versehen irgendwas vebockt hatte was auch noch in der Sicherung stecken könnte, änderte leider aber nix.

      Manchmal verschwindet dieses Verhalten auch nach ein paar Stunden von alleine.

      Ich bin im Moment völlig ratlos wo ich auch nur anfangen könnte mit der Ursachenforschung....:(

      Mfg
      DF

      1 Reply Last reply Reply Quote 0
      • D
        Dunkelfalke last edited by

        Kleine Änderung, große Wirkung….seufz

        Ich hatte vor einer Woche eine Firewallregel gebaut (Mit einem Alias und darin einer Liste der FQDNs) um den Traffic von einer Handvoll Seiten nicht durch den Tunnel sondern über das normale WAN interface zu schicken weil die Seiten recht allergisch auf VPN IPs reagieren.

        Sobald die Regel aktiv ist gibts im System Log Resolver für jeden Alias Eintrag solche Meldungen

        filterdns: failed to resolve host smtp.1und1.com will retry later again.
        filterdns: failed to resolve host payments.amazon.com will retry later again.

        Im Moment versteh ich nicht warum er das nicht kann, ich erreich die Seiten ja (sogar wie gewünscht mit der WAN IP)  wenn die Regel aktiv ist....kopfkratz

        Mfg
        DF

        1 Reply Last reply Reply Quote 0
        • JeGr
          JeGr LAYER 8 Moderator last edited by

          Failed to resolve… hört sich nach Problemen bei DNS an. Evtl. kann der DNS nur übers VPN erreicht werden (oder eben gerade nicht) und es gibt deshalb Probleme. Im General Settings Menü könntest du spaßeshalber einen neuen DNS angeben und direkt für das VPN oder das WAN Interface definieren, dann hat er für das jeweilige Interface einen DNS den er auflösen kann.

          Grüße

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • E
            eSpezi last edited by

            Servus,

            laut Deinem Logauszug versucht die pfS bei sich selbst die Hosts aufzulösen. D.h. die sollten über den DNS Forwarder (ist der aktiviert?!?) bei den DNSsen aufgelöst werden, die Du im General Setup stehen hast.

            Um das Ganze mal zu checken würde ich dort mal die Google DNS (8.8.8.8 und 8.8.4.4) eintragen und auf Use Gateway "none" setzten. Dann alle eventuell vorhandenen sonstigen rausnehmen und den Haken bei Allow DNS server list to be overridden by DHCP/PPP on WAN rausnehmen.

            Damit nimmt die pfS nur noch die Googles her und die haben bisher (zumindest bei mir) in jeder Konstellation funktioniert.
            Wenn's dann läuft könntest Du's so lassen, außer Du magst den Google nicht, oder Dein ISP mag keine DNS Anfragen bei fremden Servern, oder Du brauchst einen internen DNS (z.B. wegen Active Directory).

            Gruß
            Harry

            1 Reply Last reply Reply Quote 0
            • First post
              Last post