Проблема с портами из вне



  • Добрый день, специально зарегестрировался чтобы спросить, проблема такая, есть сайт, есть два провайдера, каждому провайдеру создан идентичный pfsense. Один работает без нареканий, второй странно, странность вот в чем, порты 443 и 80 прокинуто все как обычно, в нате правила туда и обратно сделаны. Когда коннектишься на сайт то он открывается с компьютера моментально. С телефона очень медленно, с большой задержкой. Если проверять телнетом то в 99% все ок. Если проверять порт чекером то в 60% порт открыт а в 40% закрыт, почему он может себя так вести? Я бы понял если бы он был все время закрыт, но он же работает. И почему с компьютера заходит отлично, с разных компьютеров у разных провайдеров. А с телефона нет. Как то так, спасибо  тем кто попробует помочь.



  • Смените номера портов веб-фейса пф на что-то типа 8085, 8443.
    Отключите правило редиректа с 80-го порта на тот что определили выше.



  • Я сразу же поменял на что то нейтральное 5000 и 5443



  • Днс используется, днс моего провайдера,  по умолчанию указаны динамические шлюзы провайдеров. Вот все настройки, они идентичные на обоих серверах, меняются лишь цифры. Единственное что я думаю, я на второй сервер загрузил xml 1, потом изменил все цифры и значения, проверил что домен название и маки разные. Может быть из за этого? Хотя если бы было из за этого, 1 сервак бы тоже испытывал проблемы, но с его стороны все ок.  Разница у обоих серверов только в подсети у одного 10.65.1.0 у второго 2.0 и разные провайдеры с разными днс














  • Судя по outbound получается что все компьютеры вместо того чтобы идти на локальные сервера напрямую идут через шлюз? как то не круто.
    в portforward -> destination address лучше явно указать внешний интерфейс (мало ли).
    проверьте правильно ли выставлен mtu в pppoe. иногда из-за проблем с ним бывали такие не понятные весчи (можно продиагностировать с windows утилитой пинг).



  • @skivik:

    Днс используется, днс моего провайдера,  по умолчанию указаны динамические шлюзы провайдеров…

    Я имею ввиду, браузером подключаетесь по ip или имени и то какие шлюзы выставлены на конечных серверах. А вовсе не то как настроен pfsense.

    Поскольку конфиги идентичны, возможно, придётся ставить под сомнение железо или как минимум покрутить mtu.



  • Mtu попробую, насчет outbound так на 1 сервере все работает, но я попробую как вы посоветовали,  и еще вот это правило в outbound где с 1-64000 порт оно кидает соединения на Kerio firewall где прописаны правила для локальных пользователей. А вот насчет как подключаюсь к серверам то по ip, шлюзом ничего у локального интерфейса не указано. Железом является esx от MSI на нем сотня сервером крутится не было проблем еще. К сожалению тесты только в воскресенье возможны в 6 утра, так бы уже попробовал( А вопрос, если играть с MTU то предпочтительнее в большую сторону от стандарта или в меньшую?



  • @skivik:

    Mtu попробую, насчет outbound так на 1 сервере все работает, но я попробую как вы посоветовали,  и еще вот это правило в outbound где с 1-64000 порт оно кидает соединения на Kerio firewall где прописаны правила для локальных пользователей. А вот насчет как подключаюсь к серверам то по ip, шлюзом ничего у локального интерфейса не указано. Железом является esx от MSI на нем сотня сервером крутится не было проблем еще. К сожалению тесты только в воскресенье возможны в 6 утра, так бы уже попробовал( А вопрос, если играть с MTU то предпочтительнее в большую сторону от стандарта или в меньшую?

    в ту которая работает.
    вот руководство по выяснению по факту: http://www.tp-linkru.com/article/?id=190
    так же не лишним будет пообщаться с провайдером как mtu они советуют.
    если уже есть нормально работающий ппп то посмотреть какой мту у него выставлен.
    текущий мту можно посмотреть с консоли командой ifconfig



  • Так получилось что ночью упал керио что держит ppoe сейчас,  и удалось проверить pfsense не помогло ничего что вы посоветовали к сожалению. Есть еще одно дополнение, он работает хорошо в течении 5 минут после включения а потом с постоянной переодичностью начинает закрывать порты.



  • @skivik:

    Так получилось что ночью упал керио что держит ppoe сейчас,  и удалось проверить pfsense не помогло ничего что вы посоветовали к сожалению. Есть еще одно дополнение, он работает хорошо в течении 5 минут после включения а потом с постоянной переодичностью начинает закрывать порты.

    kerio раздает инет? может стоит его проверить?



  • Нет, c kerio все ок, он держит соединение сейчас, в плане мы отходим от него и переходит на pfsense. когда включен pfsense  только он поднимает PPPOE


Log in to reply