Проброс портов и тормоза

artem

Добрый день. такая проблема: есть сервер с Сайнсом(2.1.3) белый IP, всё как надо, за ним находиться веб сервер, пробошен порт 80 - сайт работает.
НО!!! - очень медленно, много картинок - загружаются очень долго или вообще не грузятся
Если подключить в Сайнсу по Ovpn и обращяться на прямую к веб серверу - скорость в разы больше и всё норм грузится.
Как победить притормаживания Сайнса??

werter

Какие пакеты еще установлены на pf ? Задействован ли шейпер\limiter ?
Покажите правила fw на LAN.

artem

шейперов\лимитеров нет, есть прозрачная прокся

werter

Покажите правила fw на LAN, WAN.

artem

не могу картинки добавить
500 ошибка
пакеты

lan

wan

werter

пробошен порт 80 - сайт работает.

В правилах fw вашего WAN-а именно 80-го не видно. Или вы другой порт на WAN пробрасывали?

Далее, вы изменили адрес порта Web-фейса самого pfsense  (по-дефолту http - 80-ый\TCP)?

И проверяете вы извне или из локальной сети, обращаясь на внешний адрес pfsense ?

P.s. На WAN имеются дублирующиеся правила. Обратите на это внимание.
P.p.s. На чем крутится Web-сервер - apache, nginx, iis etc. ?

artem

@werter:

пробошен порт 80 - сайт работает.

В правилах fw вашего WAN-а именно 80-го не видно. Или вы другой порт на WAN пробрасывали?

Далее, вы изменили адрес порта Web-фейса самого pfsense  (по-дефолту http - 80-ый\TCP)?

Пятое правило снизу порт 80 и последне правило 8080
Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)
проверяю из вне(в локалке нормально)

Web-фейс Сайнса не менялся

dr.gopher

@artem:

Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

А на GUI Pfsense поменяли порт?

artem

@dr.gopher:

@artem:

Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

А на GUI Pfsense поменяли порт?

Нет,не менял. Он доступен только из локалки, а по Wan IP отвечает веб сервет

dr.gopher

@artem:

@dr.gopher:

@artem:

Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

А на GUI Pfsense поменяли порт?

Нет,не менял. Он доступен только из локалки, а по Wan IP отвечает веб сервет

Вот и поменяйте на нестандартный порт. Возможно вы заходите на PfSense по 80 порту.

artem

@dr.gopher:

@artem:

@dr.gopher:

@artem:

Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

А на GUI Pfsense поменяли порт?

Нет,не менял. Он доступен только из локалки, а по Wan IP отвечает веб сервет

Вот и поменяйте на нестандартный порт. Возможно вы заходите на PfSense по 80 порту.

Изменил порт Веб морды Сайнса на 88 –> результат тотже, тормоза на отдачю , тормозить HTTP и FTP

werter

Глупая мысль, а провайдер не режет случаем?
Попробуйте временно сменить pf на какой-нибудь tp-link, d-link и проверить на нем.

delari

присоединяюсь к вопросу тока у меня еще хуже с внешнего IP не могу достучатся до внутреннего сайта, ну и по аналогии и до SQL сервера

помогите кто чем может
скрины FW чето не могу отправить но грубо

Firewall: Rules
IPv4 TCP               * * 192.168.90.238 80 (HTTP) * none   NAT 
IPv4 TCP        * * 192.168.90.238 443 (HTTPS) * none         NAT
        IPv4 TCP/UDP       * * 10.194.90.240 1433         * none   NAT

внешний IP 85.23.15.109 даже не пингуется с инета

ссылка на картинку http://i61.fastpic.ru/big/2014/0623/8a/73c920efddb3d93a1d1a47827696c88a.png

werter

@ delari

1.

C:\Users\user>ping 85.23.15.109

Обмен пакетами с 85.23.15.109 по с 32 байтами данных:
Ответ от 85.23.15.109: число байт=32 время=94мс TTL=48
Ответ от 85.23.15.109: число байт=32 время=90мс TTL=48

Статистика Ping для 85.23.15.109:
    Пакетов: отправлено = 2, получено = 2, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 90мсек, Максимальное = 94 мсек, Среднее = 92 мсек
Control-C
^C

Как бы "не все однозначно". И да, чтобы пинговалось - должно быть правило, разрешающее ICMP на WAN address.

2. У вас на WAN - "белый"  адрес (динамика\статика) ? Какой тип подключения исп-ся? Не исп-ся ли несколько провайдеров?

3. Все ли ваши машины имеют шлюзом локальный адрес pfsense ?

4. Firewall: Rules
    IPv4 TCP                *    *    192.168.90.238    80 (HTTP)    *    none        NAT 
    IPv4 TCP          *    *    192.168.90.238    443 (HTTPS)    *    none            NAT
        IPv4 TCP/UDP        *    *    10.194.90.240   1433            *    none        NAT

Почему сети разные? Их несколько или это последствия типа вашего подключения с Сети (т.н. Dual\Russian) ?

В общем - одни вопросы…

P.s. О-о-о, вы из Финляндии?

delari

85.23.15.109 это не мой адресс = написал просто для примера мой 88.86.221.109

2. WAN статичный адрес
3.IP шлюз маска днс днс2  - без логина и пароля (не помню тип подключения)
4. 1 провайдер - инсис
5 идет по схеме    Inet ->>> pfsense –-> static adress clienta 192.168.0. 238
                                                              ->  static adress clienta 240 и т.д.

измени у себя 10.194.90. на 192.168.90 не поменял просто
Firewall: Rules
    IPv4 TCP                *    *    192.168.90.238    80 (HTTP)    *    none        NAT 
    IPv4 TCP          *    *    192.168.90.238    443 (HTTPS)    *    none            NAT
        IPv4 TCP/UDP        *    *    192.168.90.240    1433            *    none        NAT

werter

1. Я выделил жирным адрес. Он не из вашей сети - зачем он там в правиле?

2. И да, чтобы пинговалось - должно быть правило, разрешающее ICMP на WAN address.

В чем проблема создать правило на WAN ? Если оно вам необходимо, конечно.

P.s. Т.е WAN на pfsense имеет реальный адрес - 8х.х.х.х ? Я правильно понял? Или там что-то типа 192.168.х.х, 10.х.х.х.х ?
Потому как постоянный реальный IP у вашего пров-ра - платный.

delari

@werter:

1. Я выделил жирным адрес. Он не из вашей сети - зачем он там в правиле?

2. И да, чтобы пинговалось - должно быть правило, разрешающее ICMP на WAN address.

В чем проблема создать правило на WAN ? Если оно вам необходимо, конечно.

P.s. Т.е WAN на pfsense имеет реальный адрес - 8х.х.х.х ? Я правильно понял? Или там что-то типа 192.168.х.х, 10.х.х.х.х ?
Потому как постоянный реальный IP у вашего пров-ра - платный.

WAN на pfsense имеет реальный адрес - 8х.х.х.х

добавил правило, разрешающее ICMP на WAN address пинг пшл -  коннекта нету
и то что вы выделили жирным шрифтом это просто моя опечатка в правилах все адреса из одной сети 192.168.х.х

werter

1. Вы так и не ответили - все ли ваши машины имеют в кач-ве шлюза LAN address пф ? Так ли это ?

2. коннекта нету

Необходимо проверять со внешней стороны (другой провайдер etc.) . Ибо есть ньюансы.

P.s.

мой 88.86.221.109

Не пингуется!

Покажите правила на WAN.

delari

@werter:

1. Вы так и не ответили - все ли ваши машины имеют в кач-ве шлюза LAN address пф ? Так ли это ?

2. коннекта нету

Необходимо проверять со внешней стороны (другой провайдер etc.) . Ибо есть ньюансы.

P.s.

мой 88.86.221.109

Не пингуется!

Покажите правила на WAN.

да всех машинах что есть прописано в ручную
ip 192.168.0.x
255 255 255 0
шлюз - ip pfsense

в инет они все выходят нормально

werter

http://i62.fastpic.ru/big/2014/0623/ed/f7ff2f5d82d466678c84a72c6be46ced.jpg

Потому как эти ваши правила не связаны с Port forwarding!

P.s. Мой вам совет - удалите ВСЕ правила на WAN и Port forwarding и создайте заново. Потому как у вас с ними просто бардак.