Fallo en el NAT? Firewall? Totalmente aleatorio.



  • Buenas,

    Tengo montado un PFSENSE 1.2RC2 en un MINIPC tal y como vi en el magnifico tutorial de Josep Pujadas (http://www.bellera.cat/josep/pfsense/indice.html).

    No tengo nada especial, sólo 2 WAN que enrutan puertos hacia un servidor Web/Correo.

    Lo que me ocurre es lo siguiente, cada X peticiones que hago desde INTERNET hacia el SERVIDOR (pasando por PFSENSE), 1 deja de responder al puerto. Es decir, si hago continuamente conexiones al puerto 80, algunas de ellas no llegan a establecerse. Por ejemplo 1 de cada 100. Ello implica que logicamente la WEB no responda 1 de cada 100 veces.
    Ocurre con cualquier puerto abierto y es totalmente aleatorio.

    Un dia hice una prueba:

    • Cada 1 segundo intentar conectar al puerto 80. El resultado fue que cada 6 minutos aproximadamente, no se podia conectar al puerto 80 durante 1-2 segundos. Esta prueba realizada a otro servidor con otro router (3com) no ocurre nunca el fallo.

    Por lo que hice otra prueba:

    • Conecte otro router (un router clasico ADSL) y esto no ocurría, al volver a conectar el PFSENSE, se volvian a perder conexiones al puerto 80 (u otros puertos).

    Alguien sabe que puede estar ocurriendo? Tengo unas 50/60 conexiones simultaneas, por lo que los STATES estan correctos. Las graficas RRD no muestran una CPU nunca por encima del 40%. La línea tampoco se corta, es simplemente que el puerto no responde (pero localmente siempre responde: dentro de la red local).

    Gracias!
    Rafel Montané



  • Hola!

    Has probado de intercambiar las dos Wan? Puede que te este fallando el acceso a internet ( ADSL?, puede tener cortes intermitentes ), el hardware de red o que tengas un fallo en el servidor web*.

    *Como dices que lo has probado con otro servidor.

    Esta prueba realizada a otro servidor con otro router (3com) no ocurre nunca el fallo

    Cerciorate mirando logs de pfsense y del servidor web, sobre las peticiones de entrada.

    Saludos



  • No son cortes en la línea de Internet ya que el PING responde, es el puerto el que no responde.
    Utilizo un software que monitoriza (PINGCHECKER) si un puerto esta operativo y si la línea esta operativa. Básicamente lo que hace es enviar un ping y a su vez intentar conectarse al puerto indicado. Y efectivamente la línea siempre funciona (nunca se corta, siempre el ping vuelve), pero en ocasiones el puerto no responde. Incluso lo he probado a mano, haciendo continuamente un "TELNET IP_PUBLICA 80"  y tras varios intentos, me deja tirado intentando conectarse.

    Si fuese el servidor fallaría en local, y nunca falla. Me puedo conectar 10.000 veces seguidas que siempre responde.
    Ocurre con cualquier servicio de cualquier servidor que ponga detras del PFSENSE (un Terminal Server con W2003, un servidor Web con FREEBSD…).

    Entonces la prueba que hice fue, conectar el mismo servidor Web que habia conectado al PFSENSE a un ADSL con un clásico router. Entonces nunca fallaba. Al volver a conectarlo al PFSENSE, volvian a aparecer estas ""desconexiones de puerto"".

    El tema es totalmente aleatorio, por lo que no puedo hacer pruebas fiables. Solo se que los que utilizan mi servidor dicen: "Google funciona, y tu web a veces no responde por TIEMPO DE ESPERA AGOTADO".

    La prueba que comentas de otro servidor con otro router fue hacer la siguiente prueba:

    • Monitorizar 2 redes desde Internet:
    1. PFSENSE con un servidor web (y otros) detras.
    2. TIpico router ADSL con un servidor web detras.
      El 2) nunca fallaba al responder el puerto 80.
      El 1) en ocasiones.
      El 1) saltandome PFSENSE, nunca fallaba.

    Hice esta prueba por si era un fallo del cliente (Windows XP) en que se quedara colgado el TCP/IP, pero al hacer la prueba desde el mismo cliente hacia 2 redes distintas, demostro que no depende del cliente sino del destino.

    Un saludo!



  • Hola!

    El servidor de correo te funciona bien?

    Yo utilizo la misma versión que utilizas con servidor web, ftp y funciona sin problemas.

    Que modelo de tarjeta de red y que modelo de router Adsl tienes? Hay modelos que tienen problemas en hacer Nat (Router)

    Saludos



  • Lo que hay montado con nombres y apellidos es:

    PFSENSE donde detras tiene:
    WAN: Modem LMDS (no es ADSL). Es un modem que no ofrece absolutamente ninguna función de router, solo hace de modem, como toda la vida.
    OPT1: Router Zyxel (ADSL) en modo monopuesto, para que haga de modem (esta opción no la utilizo, es solo como emergencia en caso de fallo de la WAN, pero sin utilizar Balanceo ni Failover, es una decision que tomo yo a mano).

    Al otro lado del PFSENSE pues hay un Switch con varios servidores. El que me preocupa mas es uno que tiene doble tarjeta de red Intel Pro 100/1000 integrada en la placa base de servidor Intel S5000PSL.

    El tema es totalmente aleatorio, eso quiere decir que solo se que falla por los usuarios. Un servidor de correo va reintentando incluso durante dias para tramitar un correo. Por tanto, solo tengo el aviso de que la web, cada X clicks, 1 falla.

    La prueba que hice fue la de intentar conectar repetidamente al puerto 80 (WEB), 22 (SSH), 3389 (TS en otro server). Y los 3 fallaban aleatoriamente.

    Empece a pensar en cosas como limite de conexiones por IP o algo por el estilo, pero claro, por defecto es ilimitado y ademas en local no ocurren problemas.

    Hay dias mejores, hay dias peores. Y ocurre tanto si la peticion viene por el WAN (LMDS) como por el OPT1 (ADSL). Pero no ocurre si la peticion viene por medio local.
    Hice la prueba de poner un router 3com ADSL en vez del PFSENSE, y no ocurrio ningun error.

    Es todo un misterior que, logicamente, hace que mi sistema no sea fiable.

    En local, los 3 puertos nunca fallan.



  • ¡Hola!

    ¿ Qué tienes en Firewall Optimization Optionshttp://www.bellera.cat/josep/pfsense/imatges/system_advanced_functions_2.gif ?

    ¿ No estarás superando el máximo número de estados posibles ? que aparece en la página principal de la interfase web ? Se puede ajustar el número de estados en Firewall Maximum States, http://www.bellera.cat/josep/pfsense/imatges/system_advanced_functions_2.gif

    Según http://oriol.joor.net/blog/?item=pfsense-deixava-de-re-enviar-paquets-misteriosament puede haber problemas cuando hay un exceso de conexiones NTP (UDP 123) por parte de las estaciones de la LAN. El autor de la página sugiere bajar el número de conexiones simultáneas para NTP, ajustando las Advanced Options de la regla creada para ir a este servicio en Internet, http://oriol.joor.net/article_fitxers/2159/pfsense.png

    A parte de esto yo haría un reinicio "limpio", consistente en guardar la configuración config.xml en un ordenador a parte y volverla a cargar.

    Saludos,

    Josep Pujadas



  • @bellera:

    ¿ Qué tienes en Firewall Optimization Optionshttp://www.bellera.cat/josep/pfsense/imatges/system_advanced_functions_2.gif ?

    Esta en "normal".

    @bellera:

    ¿ No estarás superando el máximo número de estados posibles ? que aparece en la página principal de la interfase web ? Se puede ajustar el número de estados en Firewall Maximum States, http://www.bellera.cat/josep/pfsense/imatges/system_advanced_functions_2.gif

    Esta en DEFAULT, es decir, 10.000, y en la página de inicio no suele indicar mas de 2.000/10.000.

    @bellera:

    Según http://oriol.joor.net/blog/?item=pfsense-deixava-de-re-enviar-paquets-misteriosament puede haber problemas cuando hay un exceso de conexiones NTP (UDP 123) por parte de las estaciones de la LAN. El autor de la página sugiere bajar el número de conexiones simultáneas para NTP, ajustando las Advanced Options de la regla creada para ir a este servicio en Internet, http://oriol.joor.net/article_fitxers/2159/pfsense.png

    Voy a hacer pruebas referente a este tema y a leer el POST de Oriol.

    @bellera:

    A parte de esto yo haría un reinicio "limpio", consistente en guardar la configuración config.xml en un ordenador a parte y volverla a cargar.

    Saludos,

    Josep Pujadas

    Gracias por la ayuda, a ver si entre todos damos con el misterior.

    Saludos!



  • He realizado una prueba que ha sido definitiva. He sustituido toda la programación de PFsense (incluso el miniPC) por un router Allied Telesyn. Es decir, el PFsense parado y un router que hace las mismas funciones que yo utilizaba.

    Conclusión: también falla.

    Esto es mucho mas sorprendente: si local funciona, y por internet falla tanto con un router como con pfsense… yo ya no se que es :-(

    Por tanto PFSENSE no falla



  • ¡Hola de nuevo!

    … tiene doble tarjeta de red Intel Pro 100/1000 integrada en la placa base de servidor Intel S5000PSL.

    La prueba que hice fue la de intentar conectar repetidamente al puerto 80 (WEB), 22 (SSH), 3389 (TS en otro server). Y los 3 fallaban aleatoriamente.

    ¿Nos podrías decir sistema operativo + tarjetas de red de cada uno de estos servicios?

    ¿Qué puerta de enlace tienen los servidores? ¿La LAN de pfSense u otra?

    ¿Qué puerta de enlace tienen las reglas de LAN hacia afuera para tus servidores? ¿La LAN de uno de tus routers, la default u otra?

    ¿Son tus servidores visibles desde fuera con las dos IPs públicas (ADSL y LMDS) o con sólo una de éllas?

    ¿Tienes subredes distintas en LAN_pfSense, WAN_pfSense+LAN_Router y WAN_Router (IP pública)?

    Da la sensación que puedes tener algo en la red no demasiado bien definido y en algún momento haya confusiones.

    Saludos,

    Josep Pujadas



  • El servidor es una placa Intel S5000PSL en una torre Intel SC5400 con un Intel Xeon Quad.
    El sistema operativo es un FreeBSD 6.2 i386 (cuando salga la 7.0 pasaré a la rama amd64).
    La tarjeta de red es integrada en la placa. Tiene 2 Intel Pro 10/100/1000 de las cuales solo utilizo 1.
    Esto es el servidor principal con el que detecto a diario los fallos.

    Como puerta de enlace de la tarjeta de red del servidor esta la IP de la LAN del PFSENSE.

    El PFsense tiene configurado:
    1 LAN que es la que esta como puerta de enlace en los servidores.
    1 WAN que tiene la LMDS configurada mediante IP statica.
    1 OPT1 que tiene el modem ADSL mediante IP statica.

    Entonces tengo reglas en el firewall/NAT para que una petición al puerto 88 por el WAN lo enroute al SERVIDOR. Y lo mismo para el OPT 1.
    De ese modo peticiones al puerto 88 tanto por WAN como por OPT1 el SERVIDOR responde.
    Cuando el servidor sale a Internet, entonces la regla es que desde LAN hacia fuera utiliza el WAN.

    La idea de todo esto es tener OPT1 solo para casos de emergencia, por si la LMDS falla (1 vez cada 3 meses).  No utilizo balanceo ni nada, ya que quiero que las dos siempre esten operativas.

    Detras del puerto 88, en el servidor, hay un servicio web. Inicialmente era apache, ahora es Lighttpd. Lo cambié por descartar problemas en el apache. Lighttpd muestra que existen unas 7 conexiones simultaneas y llega a utilizar solo 1 de los 4 cores disponibles, por tanto, descarto que sea problema de capacidad. Ya que incluso, en local nunca falla, y hay veces que en remoto falla a las 7 de la mañana cuando no hay conexiones simultaneas.

    Para que os hagais una idea de lo que sucede a nivel grafico, he colgado una captura donde se puede observar:
    Un ping desde el exterior hacia el servidor (pasando por LMDS y PFSENSE) cada segundo en una escala de tiempo (X) respecto a respuesta en ms (Y). En cada ping verifica que el puerto 88 esté abierto. El Verde quiere decir que responde al puerto, el rojo que el ping no responde, y el lila/morado es que ha respondido al ping pero el puerto no está abierto.
    Este gráfico en local es una línea recta en practicmaente 0 ms y siempre con el 88 operativo.
    Como se puede obervar, es totalmente aleatorio.

    Gracias por la ayuda.



  • ¡Hola!

    ¿Podrías probar con otro puerto?, por ejemplo el 8080 …

    Lo digo porque el 88 es para Kerberos e igual te están dando palos desde fuera ...

    http://www.iana.org/assignments/port-numbers

    El 8080 es un puerto habitualmente empleado como alternativo al 80.

    A parte de esto, pfSense emplea lighttpd para su interfase web. Digo esto porque accedo a pfSense desde dos máquinas de mi red: un Win2000 Server más bien lento y un WinXP bastante rápido ... El caso es que con el Win2000 a veces tengo problemas y tengo que darle al refrescar para que me presente toda la página web ... Me da la sensación que lighttpd es algo sensible a la velocidad con que se realizan las peticiones ... Yo miraría la configuración y los logs de lighttpd. Por ejemplo, ¿está lighttpd recibiendo las peticiones en nombre de una misma IP? Veo que hay un parámetro que permite bloquear peticiones en función de esto, http://trac.lighttpd.net/trac/wiki/Docs%3AModEvasive. Se supone que lighttpd tiene que ver que las peticiones se hacen desde IPs públicas distintas, pero hay que asegurarse de ello mirando los logs ... Si hay muchos accesos desde un proxy en Internet este parámetro podría ser un problema ...

    Una pregunta si no es indiscreción, ¿en qué zona estás con LMDS, qué velocidad y qué proveedor? Lo digo porque yo estoy a las afueras de Granollers (30 km al norte de Barcelona, Cataluña -España-) y he estado mirando pero no me acabo de decidir ...

    Saludos,

    Josep Pujadas



  • Bueno, realmente tengo tambien abierto el 80 y el 3389 (Terminal Server) y me ocurría también en estos.
    Es decir, si insisto en Terminal Server pues llega un momento en que no me puedo conectar durante 1-2 segundos (en este caso un Windows 2003 Server).
    Ahora mismo, como una prueba mas, tengo lanzado un cable directamente del servidor (sin pasar por switches) hacia el una boca del router alternativo a PFSENSE. Por ahora no ocurre el problema, veremos durante la tarde.
    Tampoco he caido en que pueda inteferir utilizar el puerto 88, incluso a nivel de OS.

    En cuanto a Lighttpd, como ya te he comentado, fue una prueba (que al final he dejado instalada, me ha gustado) para verificar que no fuese problema de apache. Realmente en los logs no aparecen problemas y las ips de origen son ips publicas de internet (de la gente que se conecta).
    El modulo EVASIVE supongo que por defecto es 0, en mi configuración no existe y tampoco veo la asignación del módulo. Quizás es para la futura 1.5?

    En cuanto a la LMDS, se donde cae Granollers, yo soy de Mollet del Valles jeje. En este caso te hablo de una instalación en Barcelona, en la zona de Via Augusta mediante la empresa NEO-SKY (de Iberdrola). Es un simetrico de 4 Mbps.
    Pero no creas, estamos buscando alternativas, nos ocurren 3 cosas principales:

    1. Con el mal tiempo (muy mal tiempo) el LMDS se corta. Eso de que sea mediante una antena en el tejado… Por tanto, cuando cae una de esas tormentas fuertes, ya estamos montando el plan de emergencia (OPT1 del PFSENSE).
    2. Depende como, casi 1 vez al mes, estamos teniendo microcortes constantes en la conexión que logicamente afectan la estabilidad de las conexiones. Se terminan solucionando solo.
    3. Hay algunas IPs a las que no hay acceso. Algun nodo deniega el acceso a la red de NEO-SKY. Por ejemplo los tipicos DNS de telefonica no resuelven si estas detras de NEO-SKY, cosa que si lo hacen si por ejemplo lo estas detras de otras redes como Albura.

    Como siempre, ellos dicen que somos los unicos a queines les pasa.

    Ademas, cosas como que un dia dejo de funcionar, debido a que un """tecnico""" que subió al tejado para instalar el TDT se apoyó en la antena del LMDS y la desvió de su radio, por lo que 2 días sin conexion a espera de los técnicos tras multiples pruebas. Por tanto, eso de que parte de TU instalacion este en la calle al acceso de algunos....

    Estamos buscando alternativas SDSL, tambien algun 4 Mbps a ver que tal, pero por ahora sin exito, sin tener que recurrir a empresas multimercado como Jazztel.

    Un saludo!


Locked