Подвисает Pfsense 2.2.1 в составе Proxmox 3.1.2



  • Всем, привет!

    Конфигурация системы:

    
    Pfsense 2.2.1-RELEASE (i386) 
    built on Fri Mar 13 08:16:53 CDT 2015 
    FreeBSD 10.1-RELEASE-p6
    Proxmox 3.2-1 1933730b
    
    

    2 Сетевых интерфейса: WAN и LAN, dhcp-сервер ISP раздаёт IP с привязкой к MAC-адресу WAN.

    Конфигурация сет интерфейсов в Proxmox (/etc/network/interfaces):

    
    # network interface settings
    auto lo
    iface lo inet loopback
    
    iface eth0 inet manual
    
    iface eth1 inet manual
    
    auto vmbr0
    iface vmbr0 inet manual
        bridge_ports eth0
        bridge_stp off
        bridge_fd 0
    
    auto vmbr1
    iface vmbr1 inet static
        address  192.168.0.7
        netmask  255.255.255.0
        # gateway  192.168.0.1
        bridge_ports eth1
        bridge_stp off
        bridge_fd 0
    
    

    Конфигурация сет интерфейсов в Pfsense (ifconfig -a):

    
    em0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
        options=209b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic>ether 9e:32:a0:9c:7c:91
        inet6 fe80::9c32:a0ff:fe9c:7c91%em0 prefixlen 64 scopeid 0x1 
        inet 188.113.156.235 netmask 0xffffff00 broadcast 188.113.156.255 
        nd6 options=21 <performnud,auto_linklocal>media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
    em1: flags=88843 <up,broadcast,running,simplex,multicast,staticarp>metric 0 mtu 1500
        options=209b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic>ether 0e:0e:5f:44:9c:a1
        inet6 fe80::c0e:5fff:fe44:9ca1%em1 prefixlen 64 scopeid 0x2 
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255 
        nd6 options=21 <performnud,auto_linklocal>media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
    pflog0: flags=100 <promisc>metric 0 mtu 33172
    pfsync0: flags=0<> metric 0 mtu 1500
        syncpeer: 224.0.0.240 maxupd: 128 defer: on
        syncok: 1
    lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
        options=600003 <rxcsum,txcsum,rxcsum_ipv6,txcsum_ipv6>inet 127.0.0.1 netmask 0xff000000 
        inet6 ::1 prefixlen 128 
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5 
        nd6 options=21 <performnud,auto_linklocal>enc0: flags=0<> metric 0 mtu 1536
        nd6 options=21 <performnud,auto_linklocal>pptpd0: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
        nd6 options=21 <performnud,auto_linklocal>pptpd1: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
        nd6 options=21 <performnud,auto_linklocal>pptpd2: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
        nd6 options=21 <performnud,auto_linklocal>pptpd3: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
        nd6 options=21 <performnud,auto_linklocal>pptpd4: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
        nd6 options=21 <performnud,auto_linklocal>pptpd5: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
        nd6 options=21 <performnud,auto_linklocal>pptpd6: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
        nd6 options=21 <performnud,auto_linklocal>pptpd7: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
        nd6 options=21 <performnud,auto_linklocal></performnud,auto_linklocal></pointopoint,noarp,simplex,multicast></performnud,auto_linklocal></pointopoint,noarp,simplex,multicast></performnud,auto_linklocal></pointopoint,noarp,simplex,multicast></performnud,auto_linklocal></pointopoint,noarp,simplex,multicast></performnud,auto_linklocal></pointopoint,noarp,simplex,multicast></performnud,auto_linklocal></pointopoint,noarp,simplex,multicast></performnud,auto_linklocal></pointopoint,noarp,simplex,multicast></performnud,auto_linklocal></pointopoint,noarp,simplex,multicast></performnud,auto_linklocal></performnud,auto_linklocal></rxcsum,txcsum,rxcsum_ipv6,txcsum_ipv6></up,loopback,running,multicast></promisc></full-duplex></performnud,auto_linklocal></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic></up,broadcast,running,simplex,multicast,staticarp></full-duplex></performnud,auto_linklocal></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic></up,broadcast,running,simplex,multicast> 
    

    Время от времени внутренний локальный сетевой интерфейс отваливается без явных ошибок в логах, при всём при это внешний сетевой интерфейс функционирует, как должное.
    Предполагаю, проблема в настройке правил файерволла либо в настройке сетевых интерфейсов, последние настраивал по ссылке http://forum.proxmox.com/threads/2020-Proxmox-Pfsense-working-setup-solved-2-NIC.

    Привожу правила файервола (pfctl -sr):

    
    scrub on em0 all fragment reassemble
    scrub on em1 all fragment reassemble
    anchor "relayd/*" all
    anchor "openvpn/*" all
    anchor "ipsec/*" all
    block drop in log quick inet from 169.254.0.0/16 to any label "Block IPv4 link-local"
    block drop in log quick inet from any to 169.254.0.0/16 label "Block IPv4 link-local"
    block drop in log inet all label "Default deny rule IPv4"
    block drop out log inet all label "Default deny rule IPv4"
    block drop in log inet6 all label "Default deny rule IPv6"
    block drop out log inet6 all label "Default deny rule IPv6"
    pass quick inet6 proto ipv6-icmp all icmp6-type unreach keep state
    pass quick inet6 proto ipv6-icmp all icmp6-type toobig keep state
    pass quick inet6 proto ipv6-icmp all icmp6-type neighbrsol keep state
    pass quick inet6 proto ipv6-icmp all icmp6-type neighbradv keep state
    pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type echorep keep state
    pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type routersol keep state
    pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type routeradv keep state
    pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type neighbrsol keep state
    pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type neighbradv keep state
    pass out quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type echorep keep state
    pass out quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type routersol keep state
    pass out quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type routeradv keep state
    pass out quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type neighbrsol keep state
    pass out quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type neighbradv keep state
    pass in quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type echoreq keep state
    pass in quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type routersol keep state
    pass in quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type routeradv keep state
    pass in quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type neighbrsol keep state
    pass in quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type neighbradv keep state
    pass in quick inet6 proto ipv6-icmp from ff02::/16 to fe80::/10 icmp6-type echoreq keep state
    pass in quick inet6 proto ipv6-icmp from ff02::/16 to fe80::/10 icmp6-type routersol keep state
    pass in quick inet6 proto ipv6-icmp from ff02::/16 to fe80::/10 icmp6-type routeradv keep state
    pass in quick inet6 proto ipv6-icmp from ff02::/16 to fe80::/10 icmp6-type neighbrsol keep state
    pass in quick inet6 proto ipv6-icmp from ff02::/16 to fe80::/10 icmp6-type neighbradv keep state
    pass in quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type echoreq keep state
    pass in quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type routersol keep state
    pass in quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type routeradv keep state
    pass in quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type neighbrsol keep state
    pass in quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type neighbradv keep state
    block drop log quick inet proto tcp from any port = 0 to any
    block drop log quick inet proto udp from any port = 0 to any
    block drop log quick inet proto tcp from any to any port = 0
    block drop log quick inet proto udp from any to any port = 0
    block drop log quick inet6 proto tcp from any port = 0 to any
    block drop log quick inet6 proto udp from any port = 0 to any
    block drop log quick inet6 proto tcp from any to any port = 0
    block drop log quick inet6 proto udp from any to any port = 0
    block drop log quick from <snort2c>to any label "Block snort2c hosts"
    block drop log quick from any to <snort2c>label "Block snort2c hosts"
    block drop in log quick proto tcp from <sshlockout>to (self) port = 8122 label "sshlockout"
    block drop in log quick proto tcp from <webconfiguratorlockout>to (self) port = https label "webConfiguratorlockout"
    block drop in log quick from <virusprot>to any label "virusprot overload table"
    block drop in log on ! em0 inet from 188.113.156.0/24 to any
    block drop in log inet from 188.113.156.235 to any
    block drop in log on em0 inet6 from fe80::9c32:a0ff:fe9c:7c91 to any
    pass in on em0 proto udp from any port = bootps to any port = bootpc keep state label "allow dhcp client out WAN"
    pass out on em0 proto udp from any port = bootpc to any port = bootps keep state label "allow dhcp client out WAN"
    block drop in log on ! em1 inet from 192.168.0.0/24 to any
    block drop in log inet from 192.168.0.1 to any
    block drop in log on em1 inet6 from fe80::c0e:5fff:fe44:9ca1 to any
    pass in quick on em1 inet proto udp from any port = bootpc to 255.255.255.255 port = bootps keep state label "allow access to DHCP server"
    pass in quick on em1 inet proto udp from any port = bootpc to 192.168.0.1 port = bootps keep state label "allow access to DHCP server"
    pass out quick on em1 inet proto udp from 192.168.0.1 port = bootps to any port = bootpc keep state label "allow access to DHCP server"
    pass in on lo0 inet all flags S/SA keep state label "pass IPv4 loopback"
    pass out on lo0 inet all flags S/SA keep state label "pass IPv4 loopback"
    pass in on lo0 inet6 all flags S/SA keep state label "pass IPv6 loopback"
    pass out on lo0 inet6 all flags S/SA keep state label "pass IPv6 loopback"
    pass out inet all flags S/SA keep state allow-opts label "let out anything IPv4 from firewall host itself"
    pass out inet6 all flags S/SA keep state allow-opts label "let out anything IPv6 from firewall host itself"
    pass out route-to (em0 188.113.156.1) inet from 188.113.156.235 to ! 188.113.156.0/24 flags S/SA keep state allow-opts label "let out anything from firewall host itself"
    pass in quick on em1 proto tcp from any to (em1) port = https flags S/SA keep state label "anti-lockout rule"
    pass in quick on em1 proto tcp from any to (em1) port = http flags S/SA keep state label "anti-lockout rule"
    pass in quick on em1 proto tcp from any to (em1) port = 8122 flags S/SA keep state label "anti-lockout rule"
    pass in on em0 inet proto tcp from any to 188.113.156.235 port = pptp flags S/SA modulate state label "allow pptpd 188.113.156.235"
    pass in on em0 proto gre all keep state label "allow gre pptpd"
    anchor "userrules/*" all
    pass on em0 inet proto tcp from any to any port = 8006 flags S/SA keep state label "USER_RULE"
    pass on em1 inet proto tcp from any to any port = 8006 flags S/SA keep state label "USER_RULE"
    pass in quick on openvpn all flags S/SA keep state label "USER_RULE: OpenVPN pfsense_openVPN_server wizard"
    pass in quick on pptp inet all flags S/SA keep state label "USER_RULE"
    pass in quick on em0 reply-to (em0 188.113.156.1) inet all flags S/SA keep state label "USER_RULE"
    pass in quick on em0 reply-to (em0 188.113.156.1) inet from 89.188.243.66 to 188.113.156.235 flags S/SA keep state label "USER_RULE: Easy Rule: Passed from Firewall Log View"
    pass in quick on em0 reply-to (em0 188.113.156.1) inet proto udp from any to 188.113.156.235 port = 8123 keep state label "USER_RULE: OpenVPN pfsense_openVPN_server wizard"
    pass in quick on em1 inet proto tcp from <yes>to 188.113.156.0/24 flags S/SA keep state label "USER_RULE: Group3 - speed unlimited"
    pass in quick on em1 inet proto udp from <yes>to 188.113.156.0/24 keep state label "USER_RULE: Group3 - speed unlimited"
    block drop in quick on em1 inet from <no>to 192.168.0.1 label "USER_RULE: Group2 - speed 0mb"
    pass in quick on em1 inet from <no>to any flags S/SA keep state label "USER_RULE" dnpipe(4, 3)
    pass in quick on em1 inet from <1MB> to ! (self) flags S/SA keep state label "USER_RULE: 1 mb" dnpipe(1, 2)
    pass in quick on em1 inet proto tcp from <1MB> to ! (self) flags S/SA keep state label "USER_RULE: 1mb" dnpipe(1, 2)
    pass in quick on em1 inet proto udp from <1MB> to ! (self) keep state label "USER_RULE: 1mb" dnpipe(1, 2)
    pass in quick on em1 inet all flags S/SA keep state label "USER_RULE"
    pass in quick on em1 inet from 192.168.0.0/24 to any flags S/SA keep state label "USER_RULE: Default allow LAN to any rule"
    anchor "tftp-proxy/*" all
    anchor "miniupnpd" all
    pass in quick on em1 proto tcp from any to ! (em1) port = http flags S/SA keep state
    pass in quick on em1 proto tcp from any to ! (em1) port = 3128 flags S/SA keep state
    pass in quick on pptp inet proto tcp from any to ! 127.0.0.1 port = 3128 flags S/SA keep state</no></no></yes></yes></virusprot></webconfiguratorlockout></sshlockout></snort2c></snort2c> 
    

    В чем может быть проблема?
    Срочно нужна помощь, так как уже давно длится проблема, диагностика и танцы с бубном уже не помогают: сервер может некорректно функционировать и после перезагрузки, а может заработать как положено. :)

    В аттаче логи pfsense и proxmox, замечу, что зависал в районе 16:30.
    SyslogCatchAll-2015-07-04.txt
    SyslogCatchAll-ProxmoxFull-2015-07-04.txt



  • 1. Выключите все вирт. машины и обновите Proxmox (как вариант - перейти на бету 4-ки). После - перезагрузите гипервизор.
    2. Рекомендую сменить тип сетевого адаптера с паравиртуального на e1000. Проверить работоспособность.

    Есть опыт работы с pf в кач-ве вирт. машины на Proxmox (kvm) с приличными (Intel, broadcom) сетевыми картами. Проблем замечено не было.

    И еще - есть ли свитчи ? Может с ними проблемы? Как вариант - смените порт на свитче. Если есть возможность мониторить свитч (snmp) - отследите.

    P.s. В гугле - proxmox pfsense (с) ваш Кэп.

    P.s2. По ссылке внизу скрипт миграции свежеустановленного Proxmox на софт-рейд уровней 1,5,10.

    http://forum.proxmox.com/threads/14299-German-HowTo-Proxmox-VE-3-0-with-Software-RAID



  • http://joealdeguer.com/how-to-virtualize-pfsense-firewall-including-using-virtio-drivers/

    https://forum.pfsense.org/index.php?topic=88858.0

    Disable tx offloading on the pfSense interfaces on the hypervisor side and you're good to go. If you want to overkill is, disable tx offloading on the whole bridge, or all bridges.

    If your bridge were to be called lan-br, you would run: sudo ethtool -K lan-br tx off

    –----

    I'll have read up on how to make the ethtool changes permanent. On Debian/Ubuntu, in /etc/network/interfaces, simply add:

    iface vmbr0 inet static
            address  192.168.121.33
            netmask  255.255.255.0
            gateway 192.168.121.1
            post-up /sbin/ethtool -K $IFACE tx off

    Other distro's will have similar mechanisms.

    Also: pfSense has the option to turn "Hardware Checksum Offloading" off.  Check it under System: Advanced: Networking


    Is it not enough to just uncheck the box in the pfsense VM for tx offloading?
    –--------------------

    No it is not. The problem isn't with pfSense, but with packets from the other VM's not having correct checksums and getting dropped inside the netfront driver on BSD.

    Packets for pfSense need to have a correct checksum before they reach any pfSense virtual interface.



  • Мы поменяли машинку, на котором стоял Pfsense: поставили напрямую без Proxmox, как итог, gateway проработал около 8 часов, потом LAN вновь отвалился.
    Проблемы с портом на свитче? Мы уже пробовали менять порт.
    Гуглить я тоже умею: checksum offload можно отключить через GUI в Pfsense, - если эта фича не работает, то зачем этот чекбокс нужен? В любом случае не помогло.
    "Рекомендую сменить тип сетевого адаптера с паравиртуального на e1000. Проверить работоспособность" - у нас был не паравиртуальный адаптер, а e1000e, что тоже не спасло.

    При чём отваливается LAN в примерно одинаковое время и поднимается тоже в примерно одинаковое время, как такое может быть?

    Сейчас следующие сетевые интерфейсы:

    RealTek 8168/8111 B/C/CP/D/DP/E/F/G PCIe Gigabit Ethernet - LAN
    RealTek 8139 10/100BaseTX - WAN



  • @ilya.rockitin:

    Сейчас следующие сетевые интерфейсы:

    RealTek 8168/8111 B/C/CP/D/DP/E/F/G PCIe Gigabit Ethernet - LAN
    RealTek 8139 10/100BaseTX - WAN

    Т.е. исп. офисные сетевые адаптеры (а тем более RealTek 8139) на "сервере" Вы хотите не иметь проблем? На пальцах объясню.
    Покупая Ладу требуете от нее того же кач-ва, что пресуще Мерседесу ?

    Душите свое пресмыкающееся (класс Reptilia), приобретайте Intel, broadcom и живите спокойно.

    P.s. Вы же гуглом Вы пользоваться умеете (?)



  • У нас небольшой офис, парк из 20 машин, малый трафик: ваши нападки не обоснованы. Шлюз работает строго в определённые часы, а потом виснит, разве это в целом проблема железа? На Ладе можно и мешки картошки возить, не требуя комфорта и скорости.

    Вы не внимательны: до этого у нас был установлен сетевой адаптер Intel, драйвер e1000e, проблема возникла именно на этом железе, - так что же мне осталось установить по Вашему, чтобы получить Мерседес? Так-так, наверно broadcom, точно!

    Если вы не можете дать дельный совет, то зачем хамить? Хамство удел глупцов и людей слабым духом, крепитесь, и хамство исчезнет.

    К примеру, на официальном сайте для малого офиса ("The perfect entry level firewall/router for small networks and remote workers") рекомедуется железка с NIC от Realtek: https://www.pfsense.org/products/product-family.html#vk-t40e, - думаю, они вводят в заблуждение клиентов, напишите им скорей!



  • @ilya.rockitin:

    Вы не внимательны: до этого у нас был установлен сетевой адаптер Intel, драйвер e1000e, проблема возникла именно на этом железе, - так что же мне осталось установить по Вашему, чтобы получить Мерседес? Так-так, наверно broadcom, точно!

    Я более чем внимателен. У вас Intel e1000e исп-ся как виртуальный адаптер для pfsense. В кач-ве физ. адаптера на Proxmox - у Вас Realtek.  Разницу чувствуете ?

    Если вы не можете дать дельный совет, то зачем хамить? Хамство удел глупцов и людей слабым духом, крепитесь, и хамство исчезнет.

    Дал более чем дельный совет. Повторюсь еще раз - купите\арендуйте\отожмите (нужное подчеркнуть) адаптер от intel\или др. какой и проверьте.

    "Хамлю" еще. Советую отключить в БИОС всю не исп. периферию - com, lpt, usb, pci и т.д. Обновите БИОС мат. платы до последней версии и после сбросьте его в default. Так же переставьте дискретную сетевую в др. pci-разъем (чтобы сменить прерывание).

    P.s. За то время, что Вы здесь со мной пререкаетесь - могли бы все эти варианты проверить. Сделайте.

    P.s2. И да, пытаюсь помочь Вам ,пока что, только я.  Цените это.



  • Гуглить я тоже умею: checksum offload можно отключить через GUI в Pfsense, - если эта фича не работает, то зачем этот чекбокс нужен? В любом случае не помогло.

    Снова читаете между строк. Это необходимо делать и на физ. интерфейсе (в debian) и на виртуальном (в pfsense). Предварительно выключив все ВМ на proxmox.

    Но сперва обновить БИОС мат. платы, заменить сетевую карту и вставить ее в др. pci-слот.

    P.s. И заканчивайте минусить меня втихаря  ;) Проверьте все советы - не сработают, тогда честно влепите минус.



  • Спасибо за советы :)
    Я не минусовал, в том смысле, я даже не знаю, как тут минусовать, а если знал бы, то мне это вряд ли помогло в решении проблемы :)

    Снова читаете между строк. Это необходимо делать и на физ. интерфейсе (в debian) и на виртуальном (в pfsense). Предварительно выключив все ВМ на proxmox.

    • Самое смешное, что я сделал и так, и эдак :)
      Я даже поменял порядок запуска сервисов в proxmox: сначала запускается OpenVZ, а затем Networking, так как proxmox зависит от gateway, который сидит в контейнере в качестве Pfesense :)

    Потом, как я уже упоминал, я сменил железку и накатил pfsense без proxmox: да, NIC от Realtek, да, возможно, они не к чёрту, хотя сами ребята из pfsense выпускают железки с NIC Realtek, но, как итог, это не помогло, сменили порт на свитче, сменили свитч (воткнули в другой порт в соседний свитч), не помогло! Вывод - очень маленькая вероятность, что проблема в железе.

    И самая феерия заключается в том, что pfsense оживает, как по часам - в 08:16-8:30 утра. Как такое возможно?!

    Благодарю за помощь, просто я уже все варианты практически попробовал: осталось переставить всё заново, накатить самую последнюю версию pfsense, попробовать взять воткнуть навороченный NIC от Intel, к примеру,  что-нибудь в этом духе http://www.intel.com/content/www/us/en/ethernet-products/gigabit-server-adapters/ethernet-server-adapter-i350.html. Если все эти танцы с бубном не помогут, то я не знаю уже, выкину этот pfsense в окно, терпение имеет свой предел :)

    Ещё раз, благодарю за советы!

    Но вот тут есть проблема с использование CARP-функционала, симптомы похожие (https://forum.pfsense.org/index.php?topic=93941.0), и хотя мы не задействуем CARP, то всё же последнее, что остаётся - это заменить на более свежую, последнюю версию pfsense.



  • Попробуйте также 2.1.5 - последнюю из ветки 2.1.х



  • Свитчи - управляемые? Может где петля ? Кабель от провайдера идет в LAN\WAN напрямую в pf или сперва в др. уст-во ?

    И самая феерия заключается в том, что pfsense оживает, как по часам - в 08:16-8:30 утра. Как такое возможно?!

    Он весь день лежит? Или ложиться с периодичностью?



  • Нет, ложится LAN pfsense вечером, часов в 9-10, а просыпается в районе в 8-8:30 :)
    В остальное время он работает стабильно, как часы.
    Дело не в свитчах, так как до этого, вместо pfsense мы вешали на коммутатор провайдера 68 Asus для проверки скорости и качества, и также запускали его в общую сеть. А потом уже нам настроили это "добро", а мне поручили его саппорт.
    Возможно, выставлен какой-то таймаут на отключение LAN или политика безопасности настроена неверно, хотя какая там политика? Обычный  аналог iptables.
    Просто мистика: я не перезагружал, не рестартил networking service, а просто следил, когда начнут возвращаться пакеты, и они стали возвращаться в 8:29 утра :) Должен заметить, до этого ICMP пакеты проходили раз в 5 минут с большой задержкой.

    Просто феерия.  ;D



  • А пакет cron не установлен ли ? Может с нем есть какой-то скрипт ?

    Все же не мучайтесь. Сливайте бэкап\ делайте скрины правил правил и настроек, разворачивайте с новья, проверяйте рабоспособность и только потом заливайте бэкап.

    P.s . Покажите скрины правил fw (LAN\WAN). Именно скрины.



  • Cron, конечно, поставлен: под его указку крутится куча скриптов.
    Вот список правил и снимок со скриптами cron: https://flic.kr/s/aHskgdKAy6.
    Возможно, проблема упирается в скрипт подсчёта траффика в связке c lightsquid, SQStat и ipcad.
    Попробую всё вырубить по завершению раб дня.

    Ещё раз спасибо за отзывчивость!



  • Не имеет отношение к проблеме, но всё же:

    1. 3-е снизу правило на LAN разрешает всё.
    2. Первое сверху правило на WAN уже разрешает всё. И что делает 2-е правило сверху ?



  • Есть избыточность с правилами, но это ничего не объясняет, в WAN описано правило для ssh-туннеля, как я понимаю: сервак не я один "кручу".
    Поставили последнюю версию 2.2.3-RELEASE (amd64) built on Tue Jun 23 16:37:42 CDT 2015 FreeBSD 10.1-RELEASE-p13 с минимальной конфигурацией, посмотрим, как он доживет до утра :)

    Новая версия 2.2.3 Pfsense дожила до утра.



  • Вы "на чистую" ставили 2.2.3 или обновлялись ? Если "чистая" падает, то с 90% вер-ти - железо (сетевые). Меняйте.

    P.s. Очень надеюсь, что всю лишнюю перефирию в БИОС отключили и сет. карту в другой PCI-слот воткнули.



  • На чистую, всё работает вторые сутки на том же железе. =) Пока не устанавливаем лишних скриптов: максимально простая рабочая версия.
    Буду разбираться со старым снимком Pfsense.

    Спасибо за советы!



  • @ilya.rockitin:

    На чистую, всё работает вторые сутки на том же железе. =) Пока не устанавливаем лишних скриптов: максимально простая рабочая версия.
    Буду разбираться со старым снимком Pfsense.

    Спасибо за советы!

    Отключайте по очереди скрипты (особенно - самописные) и проверяйте.



  • В общем, сменили, как я уже писал, на чистую конфигурацию (2.2.3). Как итог, проработал около 4 суток, а с утра 20 числа опять подвис. В логах попрежнему молчок.  >:(



  • Подскажите что за процесс pgrep? Грузит систему на 100% в составе proxmox. Помогает перезагрузка.