Netgate SG-1000 microFirewall

Author Topic: Отпадает WAN на любой версии PF  (Read 264 times)

0 Members and 1 Guest are viewing this topic.

Offline Rarog

  • Newbie
  • *
  • Posts: 19
  • Karma: +3/-0
    • View Profile
Отпадает WAN на любой версии PF
« on: January 23, 2018, 02:34:02 am »
Есть 2 физические машины с pf. На 1-ой настроен squid+ntlm. Пользователи в домене ходят в интернет через него(прокси).
2-ая машина настроена в роли шлюза и через неё ходят программы которые не работают через прокси - все версии outlook, skype. В правилах фаервола запрещено всё, кроме этих подсетей - https://www.microsoft.com/en-us/download/details.aspx?id=53602

Через 10-30 минут шлюз не пускает в интернет и на веб интерфейс не зайти. Для эксперимента настроил шлюз в виртуальной машине proxmox. В ней работает 2-3 дня и потом падает ядро - пишет crash log, после перезагрузки на веб интерфейс не зайти.

Как так ? Куда нажать, чтобы починить?
« Last Edit: January 23, 2018, 06:32:50 am by Rarog »

Offline werter

  • Hero Member
  • *****
  • Posts: 5025
  • Karma: +239/-15
    • View Profile
Re: Падает WAN,LAN на любой версии PF
« Reply #1 on: January 23, 2018, 03:08:39 am »
Добрый.
У меня пф работает как ВМ в Proxmox-е. Проблем нет. Проверьте ОЗУ, HDD на наличие ошибок.

Обновить БИОС мат платы + остальные рекомендации здесь - https://forum.pfsense.org/index.php?topic=136398.0
Внимательно следовать рекомендациям Virtualizing pfSense on Proxmox https://doc.pfsense.org/index.php/ (особенно п. Configuring pfSense to work with Proxmox VirtIO)

Quote
Есть 2 физические машины с pf. На 1-ой настроен squid+ntlm. Пользователи в домене ходят в интернет через него(прокси).
Кхм, можно же все на одной машине "крутить" - https://forum.pfsense.org/index.php?topic=142797.0

« Last Edit: January 23, 2018, 03:15:44 am by werter »

Offline Rarog

  • Newbie
  • *
  • Posts: 19
  • Karma: +3/-0
    • View Profile
Re: Падает WAN,LAN на любой версии PF
« Reply #2 on: January 23, 2018, 03:39:34 am »
Добрый.
У меня пф работает как ВМ в Proxmox-е. Проблем нет. Проверьте ОЗУ, HDD на наличие ошибок.

Обновить БИОС мат платы + остальные рекомендации здесь - https://forum.pfsense.org/index.php?topic=136398.0
Внимательно следовать рекомендациям Virtualizing pfSense on Proxmox https://doc.pfsense.org/index.php/ (особенно п. Configuring pfSense to work with Proxmox VirtIO)

Quote
Есть 2 физические машины с pf. На 1-ой настроен squid+ntlm. Пользователи в домене ходят в интернет через него(прокси).
Кхм, можно же все на одной машине "крутить" - https://forum.pfsense.org/index.php?topic=142797.0


Проблем с железом нет - биос последний, память проверена на ошибки, ссд новый.
Проблема возникает после включения правил с подсетями, их примерно 160 штук с разными масками от /10 до /25. Подсети не пересекаются. Шлюз держит около 300 пользователей.
Перед падением, на шлюзе появляется ошибка при попытке пропинговать ресурс - no route to host.
Возможно нужно изменить сетевой параметр, но я не знаю какой. Использую сетевую карту intel i350 t2.
« Last Edit: January 23, 2018, 04:16:16 am by Rarog »

Offline werter

  • Hero Member
  • *****
  • Posts: 5025
  • Karma: +239/-15
    • View Profile
Re: Отпадает WAN на любой версии PF
« Reply #3 on: January 25, 2018, 02:06:59 am »
Добрый.
Proxmox - свежий и обновленный ?
Эти рекоменадции выполнены https://doc.pfsense.org/index.php/ ? В скрипте postinstall.sh отсюда https://github.com/extremeshok/xshok-proxmox/ присутствует правка нек-ых параметров Proxmox :

Code: [Select]
## Increase max user watches
# BUG FIX : No space left on device
echo 1048576 > /proc/sys/fs/inotify/max_user_watches
echo "fs.inotify.max_user_watches=1048576" >> /etc/sysctl.conf
sysctl -p /etc/sysctl.conf

## Increase max FD limit / ulimit
cat <<'EOF' >> /etc/security/limits.conf
* soft     nproc          131072
* hard     nproc          131072
* soft     nofile         131072
* hard     nofile         131072
root soft     nproc          131072
root hard     nproc          131072
root soft     nofile         131072
root hard     nofile         131072
EOF

И настройте использование Open vSwitch вместо Linux bridge, к-ый идет по-умолчанию.

P.s. Возможно, что это поможет https://doc.pfsense.org/index.php/Tuning_and_Troubleshooting_Network_Cards

P.p.s. Внимание! После изменения параметров на Proxmox и на pfsense потребуется их перезагрузка.

Offline werter

  • Hero Member
  • *****
  • Posts: 5025
  • Karma: +239/-15
    • View Profile
Re: Отпадает WAN на любой версии PF
« Reply #4 on: January 25, 2018, 02:18:12 am »
2 Rarog
Если интересно, то бэкап ВМ с Proxmox у меня огранизован по NFS на Nas4Free. На NAS-е - 4 hdd в raid-z2 (двойная избыточность) в кач-ве хранилища. Плюс на NAS живет "шара" для Win машин с аутентиф-ей MS AD. Там же крутится FTP.
Сам Nas4Free грузится с флешки.

P.s. Была ситуация, когда вышла из строя мат. плата на этом хранилище. Я просто взял флешку с NAS + hdd и перебросил на совершенно др. железо. Даже ip адрес на новом железе переназначать не пришлось - просто вкл. и дождался окончания загрузки nas4free  8)
Вот такая вот фантастическая "переносимость". Куда там всяким d-link, q-nap, wd и т.д.
Рекомендую http://2gusia.livejournal.com/tag/nas4free
« Last Edit: January 25, 2018, 02:24:01 am by werter »

Offline oleg1969

  • Full Member
  • ***
  • Posts: 245
  • Karma: +39/-0
    • View Profile
Re: Отпадает WAN на любой версии PF
« Reply #5 on: January 25, 2018, 02:34:50 am »
Неугомонный Вы наш ,Виртуализатор  ;D ;D

Offline werter

  • Hero Member
  • *****
  • Posts: 5025
  • Karma: +239/-15
    • View Profile
Re: Отпадает WAN на любой версии PF
« Reply #6 on: January 25, 2018, 03:35:54 am »
2 oleg1969
Буду только рад (уверен, что и не только я), если Вы заведете свою небольшую Вики с Вашими решениями по части внедрения и использования open source.

P.s. Кто как, я лично считаю, что изобретение вирт-ции - это что-то наравне с изобретением колеса применительно к IT.
Крайне удобно, быстро, надежно.

И не один из тех, кому я помог своими скромными рекомендациями и советами по части внедрения оной (а их гораздо больше, чем 3 десятка человек за 10 лет моего знакомства с ней) не пришел и не набил мне лицо. Только сплошной позитив от удобства и гибкости использования.
« Last Edit: January 25, 2018, 03:47:39 am by werter »

Offline oleg1969

  • Full Member
  • ***
  • Posts: 245
  • Karma: +39/-0
    • View Profile
Re: Отпадает WAN на любой версии PF
« Reply #7 on: January 25, 2018, 04:38:42 am »

P.s. Кто как, я лично считаю, что изобретение вирт-ции - это что-то наравне с изобретением колеса применительно к IT.
Крайне удобно, быстро, надежно.


Никто и не говорить что это лищнее ,
Да удобно ,да быстро -- а вот насчет надежности особенно виртуальных роутеров ,шлюзов итд не все так просто и надежно :-\
Ну для проверки пойдет но не более

Offline werter

  • Hero Member
  • *****
  • Posts: 5025
  • Karma: +239/-15
    • View Profile
Re: Отпадает WAN на любой версии PF
« Reply #8 on: January 25, 2018, 05:23:52 am »
Quote
а вот насчет надежности особенно виртуальных роутеров ,шлюзов итд не все так просто и надежно
Чтобы "упала" ВМ с софт-роутером внутри, надо чтобы "упал" гипервизор. А для этого надо оч. сильно "постараться".

Плюсы однозначно перевешивают - резервное копирование, мгновенный снепшотинг и возможность откатиться.

Самый простой пример с тем же пф - обновление или установка доп. пакетов. Перед обновлением\устанвокой сделали снепшот, обновились и ,если что-то не устроило, - вернулись к предыдщему состоянию за ~5 мин.

С физ. машиной у вас такое не пройдет. Бэкап конфига, обновление и пф "не заводится"?  Вперед по-новой его устанавливать и восстанавливать-править настройки.

P.s. И опять же. Без опыта работы хотя бы с _одной_ системой вирт-ции сейчас даже в средней паршивости конторку не возьмут эникеить.

Offline oleg1969

  • Full Member
  • ***
  • Posts: 245
  • Karma: +39/-0
    • View Profile
Re: Отпадает WAN на любой версии PF
« Reply #9 on: January 25, 2018, 06:23:33 am »

С физ. машиной у вас такое не пройдет. Бэкап конфига, обновление и пф "не заводится"?  Вперед по-новой его устанавливать и восстанавливать-править настройки.


При наличии бэкапа полная переустановка с нуля PF занимает мах 15мин
И не надо править настройки :)