Problema al usar los 2 puertos de una Intel Pro 1000 8492MT Dual LAN



  • Muy buenas, estoy intentando montar un equipo con pfsense para hacer de router casero para una conexión de fibra de telefónica con triple vlan.
    Al equipo le he puesto una tarjeta Intel Pro 1000 PCI, que parece ser recomendada para pfsense, con dos puertos lan,  que funciona con el driver em, uno de los puertos como wan y el otro como lan.
    El problema es que al configurar las vlan en uno de los puertos al conectar la ONT la tarjeta parece morir al cabo de un minuto o menos; digo morir porque los leds de actividad de los puertos Ethernet se apagan y el pfsense deja de ser accesible.
    La conexión pppoe de la vlan llega a establecerse, llego a ver la ip pública en la interfaz pero no dura mucho más allá.
    He probado intercambiando la wan y la lan entre los dos conectores em1 y em2. También he probado definiendo únicamente la vlan 6 que corresponde a la conexión de Internet.
    He probado definiendo la wan con la vlan 6 en una tarjeta lan separada (una realtek), dejando la lan en la em0 y he conseguido que me funcione. Me falta por probar dejando solo la wan en la Intel y definir la lan en la realtek a ver si así va.
    La pregunta es si alguien tiene este tipo de tarjetas funcionando con VLANs sin problemas? Supuestamente lo soportan sin problemas pero no se si estas tarjetas de dos puertos dan algún problemas con ese tema…



  • Hola. No entiendo muy bien.

    El interfaz que debe hacer ppoe (protocolo que en resumen va a validarse con usuario:clave en tu isp para obtener IP pública, etc) es siempre una interfaz WAN. Ya que es la que va a tomar la IP pública (o un pool de IPs, depende de lo contratado con tu ISP)

    Respecto a que se muere tu nic Intel-pro. ¿Has mirado en Satus > Interfaces si esta UP? y que  MTU y Media tienen?
    deberia ser:

    MTU 1500
    Media 1000baseT <full-duplex>Respecto a lo de las conf de  las VLAN de telefonica (Imagenio) hay un post muy bueno sobre el tema:
    https://forum.pfsense.org/index.php?topic=79208.0

    Salu2

    nota: conviene que hagas un esquema y pongas capturas de pantalla de tus configuraciones y lo postees para que sea más entendible tu caso

    p.e

    red local –- interfaz lan -- pfsense --- interfaz wan --- ONT</full-duplex>



  • @thorazine74:

    La conexión pppoe de la vlan

    Habia un error en el post, la conexión PPPoE esta en la interfaz wan asociada a la vlan, me imagino que por eso no se entienda bien…

    Pongo unas capturas a ver si se entiende mejor:

    El esquema es exactamente el que pones:

    Red local - puerto em1 - interfaz LAN - pfsense - interfaz WAN_PPPOE - VLAN 6 - puerto em0 - ONT

    Los puertos em0 y em1 pertenecen a la misma tarjeta física una Intel 8492MT:

    Cuando digo que la nic muere me refiero a que no puedo acceder al pfsense a través de ella, los leds de los puertos de la nic se apagan (no puedo acceder al pfsense para comproba nada).

    Los puertos físicos ambos funcionan pues he intercambiado WAN y LAN del em0 al em1 con el mismo resultado.
    La tarjeta no se muere si la wan no esta conectada, funciona sin problemas mientras este solo un puerto conectado a la lan, y la wan este en otra tarjeta física, de ahí la pregunta de si hay alguna incompatibilidad con este tipo de tarjetas de 2 puertos..



  • Hola.

    ¿Tienes reglas que permitan el acceso a la GUI de pfSense al tcp80 y/o tcp443 en LAN y/o WAN?

    (para desactivar durante un rato el firewall y que no filtre, vas a la consola de pfSense, abres una shell (opción 8) e introduces el comando pfctl -d , intenta acceder vía navegador al pfsense por la ip de la lan y/o wan)

    ¿El status de las interfaces LAN y WAN como están? ¿UP o DOWN?¿Que MTU tiene la lan y WAN?¿negocian con exito el full-duplex?

    Salu2



  • En la LAN esta la anti lockout rule que viene por defecto, en la wan no.
    No creo que sea un problema del firewall puesto que ni siquiera puedo hacer ping a la ip del pfsense, los leds de la tarjeta se apagan de hecho por lo que entiendo que no hay conectividad.
    Los dos puertos negocian el full dúplex cuando están asociados a la interfaz LAN, el MTU no lo he tocado.

    He intentado crear una segunda interfaz lan en otro puerto de la tarjeta de la placa que esta libre, para intentar acceder al pfsense a través de el una vez que la lan principal del puerto Intel se bloquea pero todavía no he conseguido hacerlo funcionar…

    Acabo de probar poniendo la WAN en la Intel y la LAN en otra tarjeta y también parece funcionar, por lo que el problema no parece estar relacionado con las VLAN, mas bien con el hecho de usar los dos puertos de la misma tarjeta a la vez (voy a editar el titulo del post para evitar confusiones...)



  • Hola.
    Si tienes todavía la regla por defecto, al instalar pfSense, permisiva, de permitir todo el tráfico IPv4 en la lan, debe responder al ping el pfSense en su interfaz lan.

    ¿Respecto a el estado de las interfaces?.

    ¿El status de las interfaces LAN y WAN como están? ¿UP o DOWN?¿Que MTU tiene la lan y WAN?¿negocian con exito el full-duplex?

    Salu2



  • Las interfaces por separado aparentemente funcionan correctamente:

    LAN:

    WAN:

    No pone nada de full dúplex me imagino que por ser una conexión PPPoE pero me llegan los 300 Mb de la ONT completos, se puede mirar en otro sitio?

    Es cuando las dos están activas en la tarjeta cuando muere…

    He conseguido hacer funcionar la segunda interfaz lan, voy a probar a ver si una vez que pierdo la conectividad en la lan del puerto Intel puedo acceder por ella y ver si hay algo...



  • Bueno, pues después de que se queden fritas las dos interfaces de la tarjeta Intel sigo podiendo acceder por la LAN2 y me encuentro con esto:

    Esa captura esta tomada con el cable de red desconectado del puerto em1, sin embargo la interfaz sigue saliendo como UP!!!
    Y ese numero exagerado de errores y colisiones…
    No se si pensar que la tarjeta esta mal físicamente o es que no se puede usar de esta forma...



  • Hola.

    Uf, todo errores en el interfaz LAN

    Por ir descartando. Empieza con la capa 1 (física).

    ¿Los latiguillos (cables) de red son cat6?. Para 1000baseT (GigabitEtehernet) se recomienda cat6 (con cat5 deberia ser suficiente, pero …)?.

    Intercambia el latiguillo que sabes que va bien (es tu ultima prueba el de la LAN2) con el de la WAN (ppoe)

    Y fuerza el full-duplex, que no lo negocie; y desactiva si lo estuviera el enable dial-on-demand

    A ver que pasa.

    Salu2



  • Muchas gracias, probare a ver mañana.
    Los latiguillos son cat5e, no creo que sean porque son los mismos que con el router funcionan sin problemas, básicamente los desconecto del router de telefónica y los conecto al pfsense pero probaré a ver, aunque no se si tengo uno tan largo…

    Probaré también lo del full duplex, porque es importante que sea full duplex?
    Teniendo en cuenta que es una tarjeta pci y que seguramente no tiene ancho de banda suficiente para dos conexiones Gigabit full duplex, no sería negativo forzar algo que tal vez no soporte?

    La MTU la dejo en el valor por defecto, pero la conexión pppoe se pone el mtu automáticamente a 1492, no se si es debido al pppoe o la vlan, puede haber algún problema con que la lan este a 1500 si los dos puertos pertenecen al mismo nic?



  • Hola.

    A veces en la negociación ethernet de velocidad y modo de transmisión se produce un error llamado "duplex mismath" ( https://en.wikipedia.org/wiki/Duplex_mismatch ), esto se subsana forzando el modo de Tx y la velocidad en los interfaces, se empieza probando la óptima ( 1000baseT o GigabitEthernet, si no funciona, se sigue con FastEthernet 100baseT,  .. y por últimos half-duplex, pero está desfasado, se usaba en los HUBS o concentradores, ahora todo son conmutadores (switch) y tarjetas fast ethernet y ghigabitethernet)

    El MTU o unidad máxima de Tx es el tamaño máximo del paquete que se puede Tx, con telefónica, creo recordad que para fibra con 1492 va bien, pero esto puedes dejarlo en blanco, que se autoasigna.

    Respecto a lo de que sea una tarjeta pci y que no soporte el BW (ancho de banda) no te comas la cabeza, si pFsense te las detecta y no muestra error, al 99,999% que no es eso.

    recuerda quitar lo de dial on demand mode (si no hay tráfico de red, se desconecta el ppoe y logicamente los leds dejan de parpadear e iluminarse)

    Salu2



  • Bueno, despues de revisar el dmesg me he encontrado con esto:

    em0: Watchdog timeout -- resetting
    em0: Hardware Initialization Failed
    em0: Unable to initialize the hardware
    

    Parece ser que el puerto hace timeout y al intentar hacerle un reset no puede ser inicializdo…
    He intentado alguno de los tweaks que ponen aqui:
    https://doc.pfsense.org/index.php/Tuning_and_Troubleshooting_Network_Cards
    Pero ninguno ha solucionado el problema y al final despues de tanto tocar el loader.conf he metido la pata en algo y el pfsense no arrancaba...
    He visto varios mensajes sobre problemas con el driver em pero no se si aplican a mi caso, y como no puedo probar la tarjeta (los dos puertos simulatenamente) si no es con el pfsense, me interesaria saber si alguien tiene una tarjeta como esta Intel multipuerto con el driver em funcionando con la version actual sin errores?



  • Es una tarjeta PCI-X? que miedo me dan…. imagino que la estaras usando en un bus PCI normal...

    SI tuviera que apostar diria que tiene pinta de un problema de hardware o del driver del pfsense.

    Probaria a forzar la velocidad a la mas baja posible y ver si los errores descienden, no se aun problema de autonegociacion que esas tarjetas de intel son muy especialitas