Проброс портов и тормоза



  • Добрый день. такая проблема: есть сервер с Сайнсом(2.1.3) белый IP, всё как надо, за ним находиться веб сервер, пробошен порт 80 - сайт работает.
    НО!!! - очень медленно, много картинок - загружаются очень долго или вообще не грузятся
    Если подключить в Сайнсу по Ovpn и обращяться на прямую к веб серверу - скорость в разы больше и всё норм грузится.
    Как победить притормаживания Сайнса??



  • Какие пакеты еще установлены на pf ? Задействован ли шейпер\limiter ?
    Покажите правила fw на LAN.



  • шейперов\лимитеров нет, есть прозрачная прокся



  • Покажите правила fw на LAN, WAN.



  • не могу картинки добавить
    500 ошибка
    пакеты

    lan

    wan



  • пробошен порт 80 - сайт работает.

    В правилах fw вашего WAN-а именно 80-го не видно. Или вы другой порт на WAN пробрасывали?

    Далее, вы изменили адрес порта Web-фейса самого pfsense  (по-дефолту http - 80-ый\TCP)?

    И проверяете вы извне или из локальной сети, обращаясь на внешний адрес pfsense ?

    P.s. На WAN имеются дублирующиеся правила. Обратите на это внимание.
    P.p.s. На чем крутится Web-сервер - apache, nginx, iis etc. ?



  • @werter:

    пробошен порт 80 - сайт работает.

    В правилах fw вашего WAN-а именно 80-го не видно. Или вы другой порт на WAN пробрасывали?

    Далее, вы изменили адрес порта Web-фейса самого pfsense  (по-дефолту http - 80-ый\TCP)?

    Пятое правило снизу порт 80 и последне правило 8080
    Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)
    проверяю из вне(в локалке нормально)

    Web-фейс Сайнса не менялся



  • @artem:

    Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

    А на GUI Pfsense поменяли порт?



  • @dr.gopher:

    @artem:

    Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

    А на GUI Pfsense поменяли порт?

    Нет,не менял. Он доступен только из локалки, а по Wan IP отвечает веб сервет



  • @artem:

    @dr.gopher:

    @artem:

    Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

    А на GUI Pfsense поменяли порт?

    Нет,не менял. Он доступен только из локалки, а по Wan IP отвечает веб сервет

    Вот и поменяйте на нестандартный порт. Возможно вы заходите на PfSense по 80 порту.



  • @dr.gopher:

    @artem:

    @dr.gopher:

    @artem:

    Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

    А на GUI Pfsense поменяли порт?

    Нет,не менял. Он доступен только из локалки, а по Wan IP отвечает веб сервет

    Вот и поменяйте на нестандартный порт. Возможно вы заходите на PfSense по 80 порту.

    Изменил порт Веб морды Сайнса на 88 –> результат тотже, тормоза на отдачю , тормозить HTTP и FTP



  • Глупая мысль, а провайдер не режет случаем?
    Попробуйте временно сменить pf на какой-нибудь tp-link, d-link и проверить на нем.



  • присоединяюсь к вопросу тока у меня еще хуже с внешнего IP не могу достучатся до внутреннего сайта, ну и по аналогии и до SQL сервера

    помогите кто чем может
    скрины FW чето не могу отправить но грубо

    Firewall: Rules
    IPv4 TCP               * * 192.168.90.238 80 (HTTP) * none   NAT 
    IPv4 TCP        * * 192.168.90.238 443 (HTTPS) * none         NAT
            IPv4 TCP/UDP       * * 10.194.90.240 1433         * none   NAT

    внешний IP 85.23.15.109 даже не пингуется с инета

    ссылка на картинку http://i61.fastpic.ru/big/2014/0623/8a/73c920efddb3d93a1d1a47827696c88a.png



  • @ delari

    1.

    C:\Users\user>ping 85.23.15.109

    Обмен пакетами с 85.23.15.109 по с 32 байтами данных:
    Ответ от 85.23.15.109: число байт=32 время=94мс TTL=48
    Ответ от 85.23.15.109: число байт=32 время=90мс TTL=48

    Статистика Ping для 85.23.15.109:
        Пакетов: отправлено = 2, получено = 2, потеряно = 0
        (0% потерь)
    Приблизительное время приема-передачи в мс:
        Минимальное = 90мсек, Максимальное = 94 мсек, Среднее = 92 мсек
    Control-C
    ^C

    Как бы "не все однозначно". И да, чтобы пинговалось - должно быть правило, разрешающее ICMP на WAN address.

    2. У вас на WAN - "белый"  адрес (динамика\статика) ? Какой тип подключения исп-ся? Не исп-ся ли несколько провайдеров?

    3. Все ли ваши машины имеют шлюзом локальный адрес pfsense ?

    4. Firewall: Rules
        IPv4 TCP                *    *    192.168.90.238    80 (HTTP)    *    none        NAT 
        IPv4 TCP          *    *    192.168.90.238    443 (HTTPS)    *    none            NAT
            IPv4 TCP/UDP        *    *    10.194.90.240   1433            *    none        NAT

    Почему сети разные? Их несколько или это последствия типа вашего подключения с Сети (т.н. Dual\Russian) ?

    В общем - одни вопросы…

    P.s. О-о-о, вы из Финляндии?



  • 85.23.15.109 это не мой адресс = написал просто для примера мой 88.86.221.109

    2. WAN статичный адрес
    3.IP шлюз маска днс днс2  - без логина и пароля (не помню тип подключения)
    4. 1 провайдер - инсис
    5 идет по схеме    Inet ->>> pfsense –-> static adress clienta 192.168.0. 238
                                                                  ->  static adress clienta 240 и т.д.

    измени у себя 10.194.90. на 192.168.90 не поменял просто
    Firewall: Rules
        IPv4 TCP                *    *    192.168.90.238    80 (HTTP)    *    none        NAT 
        IPv4 TCP          *    *    192.168.90.238    443 (HTTPS)    *    none            NAT
            IPv4 TCP/UDP        *    *    192.168.90.240    1433            *    none        NAT



  • 1. Я выделил жирным адрес. Он не из вашей сети - зачем он там в правиле?

    2. И да, чтобы пинговалось - должно быть правило, разрешающее ICMP на WAN address.

    В чем проблема создать правило на WAN ? Если оно вам необходимо, конечно.

    P.s. Т.е WAN на pfsense имеет реальный адрес - 8х.х.х.х ? Я правильно понял? Или там что-то типа 192.168.х.х, 10.х.х.х.х ?
    Потому как постоянный реальный IP у вашего пров-ра - платный.



  • @werter:

    1. Я выделил жирным адрес. Он не из вашей сети - зачем он там в правиле?

    2. И да, чтобы пинговалось - должно быть правило, разрешающее ICMP на WAN address.

    В чем проблема создать правило на WAN ? Если оно вам необходимо, конечно.

    P.s. Т.е WAN на pfsense имеет реальный адрес - 8х.х.х.х ? Я правильно понял? Или там что-то типа 192.168.х.х, 10.х.х.х.х ?
    Потому как постоянный реальный IP у вашего пров-ра - платный.

    WAN на pfsense имеет реальный адрес - 8х.х.х.х

    добавил правило, разрешающее ICMP на WAN address пинг пшл -  коннекта нету
    и то что вы выделили жирным шрифтом это просто моя опечатка в правилах все адреса из одной сети 192.168.х.х



  • 1. Вы так и не ответили - все ли ваши машины имеют в кач-ве шлюза LAN address пф ? Так ли это ?

    2. коннекта нету

    Необходимо проверять со внешней стороны (другой провайдер etc.) . Ибо есть ньюансы.

    P.s.

    мой 88.86.221.109

    Не пингуется!

    Покажите правила на WAN.



  • @werter:

    1. Вы так и не ответили - все ли ваши машины имеют в кач-ве шлюза LAN address пф ? Так ли это ?

    2. коннекта нету

    Необходимо проверять со внешней стороны (другой провайдер etc.) . Ибо есть ньюансы.

    P.s.

    мой 88.86.221.109

    Не пингуется!

    Покажите правила на WAN.

    да всех машинах что есть прописано в ручную
    ip 192.168.0.x
    255 255 255 0
    шлюз - ip pfsense

    в инет они все выходят нормально



  • http://i62.fastpic.ru/big/2014/0623/ed/f7ff2f5d82d466678c84a72c6be46ced.jpg

    Потому как эти ваши правила не связаны с Port forwarding!

    P.s. Мой вам совет - удалите ВСЕ правила на WAN и Port forwarding и создайте заново. Потому как у вас с ними просто бардак.



  • @werter:

    http://i62.fastpic.ru/big/2014/0623/ed/f7ff2f5d82d466678c84a72c6be46ced.jpg

    Потому как эти ваши правила не связаны с Port forwarding!

    P.s. Мой вам совет - удалите ВСЕ правила на WAN и Port forwarding и создайте заново. Потому как у вас с ними просто бардак.

    удалил не нужные хотя они не мешали

    новый скрин FW

    http://i61.fastpic.ru/big/2014/0623/ef/0346397f99aa8a7a9c9ac8a9bb4048ef.png

    при таких правилах пинг идет, но по WAN сайт внутренний не открывает

    http://i64.fastpic.ru/big/2014/0623/c2/e39cec72a08d15aa555032b160c1b1c2.png





  • @werter:

    http://i63.fastpic.ru/big/2014/0623/6e/fc0cd88d074fe633af909205b2e7196e.jpg

    http://i61.fastpic.ru/big/2014/0623/74/f64579abefedc18b0bf24ce36b759c74.jpg

    Если я его убираю пинга нет я хз почему + в ридерект таргет требуется указать адрес цели - если я пингую WAN я и указал WAN IP



  • @ delari
    Всё, умываю руки :(

    Поищите в гугле книгу по pf . Есть и на русском.



  • @werter:

    @ delari
    Всё, умываю руки :(

    Поищите в гугле книгу по pf . Есть и на русском.

    Смысл было тогда распрашивать?

    вопрос такой как правильно пробросить порты

    имя WAN - 12.14.14.14

    на локальную машину 192.168.0.100

    по протоколу HTTP (80)

    чтобы с любого компа в инете открыть этот долбаный сайт?

    создаю правило

    WAN TCP * * WAN address 80 (HTTP) 192.168.0.100 80 (HTTP)

    что дальше?



  • Смысл было тогда распрашивать?

    Т.е. вы на протяжение 2-ух страниц еще с кем-то общались? Кто-то еще помогал?

    Учиться, учиться, учиться… (В.И. Ульянов (Ленин))



  • @werter:

    Смысл было тогда распрашивать?

    Т.е. вы на протяжение 2-ух страниц еще с кем-то общались? Кто-то еще помогал?

    Учиться, учиться, учиться… (В.И. Ульянов (Ленин))

    Вы единственный кто расспросил и в конце когда уже по идеи возможные причины неполадки и их решения - умываю руки

    а взять даже первую строку из гугла по перебросу портов в pfsense я и без форума могу
    http://www.thin.kiev.ua/router-os/50-pfsense/399–pfsense-20.html



  • Про проброс портов спрашивают практически через день.
    Поищите здесь https://forum.pfsense.org/index.php?topic=22839.0 , а так-же поиском по форуму.



  • @dvserg:

    Про проброс портов спрашивают практически через день.
    Поищите здесь https://forum.pfsense.org/index.php?topic=22839.0 , а так-же поиском по форуму.

    в том то и дело что по скринам из раздела
    Мапинг портов в pfSense 2.x на примере RDP протокола

    все также, но пациент мертв



  • А зачем Вы портфорвард для ICMP делаете, и что за закрашенные адреса в правилах?



  • @ dvserg

    Не поверите - это человек так ICMP разрешает на WAN.

    P.s. Я уже помочь пытался - в этом случае дело неблагодарное.



  • @werter:

    @ dvserg

    Не поверите - это человек так ICMP разрешает на WAN.

    P.s. Я уже помочь пытался - в этом случае дело неблагодарное.

    Ну выход всегда есть - воспользоваться платной помощью по настройке.



  • @werter:

    Глупая мысль, а провайдер не режет случаем?

    Доброго времени суток.
    Отчитываюсь: было выявлено следующее: потери пакетов до Default gateway, в остальных направлениях пинг без проблем.
    После воскресного пинка звонка в саппотр, с разбором полётов, в понедельник утром проблема самоустранилась  ;D
    Всем спасибо, тему можно закрыть.

    P.s.  Тем более что параллельное обсуждение всё равно зашло в тупик….


Log in to reply