forum.opennet.ru - "Gentoo+шлюз на FreeBSD

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Gentoo+шлюз на FreeBSD - проблемы"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Gentoo+шлюз на FreeBSD - проблемы"
Сообщение от leave on 31-Июл-07, 16:46
Ситуация такова: рабочая станция на Gentoo Linux (base system 1.2.9), шлюз на FreeBSD 6.2+pf (на pf только NAT, ничего больше). При пинге любого удаленного хоста (или даже внешнего интерфейса шлюза) периодически (один раз из 5-6) "зависает" первый пакет, в итоге теряется, остальные бегают нормально. Также невозможна трассировка UDP пакетами ( ICMP при этом проходят на "ура") - пакеты не уходят дальше шлюза. В сети есть еще станции на Debian, Mandriva, WinXP - там такого не наблюдается. Подскажите, куда копать?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Gentoo+шлюз на FreeBSD - проблемы, leave, 16:48 , 31-Июл-07, (1)

Gentoo+шлюз на FreeBSD - проблемы, Den, 17:09 , 31-Июл-07, (2)

Gentoo+шлюз на FreeBSD - проблемы, leave, 17:12 , 31-Июл-07, (3)

Gentoo+шлюз на FreeBSD - проблемы, Den, 17:17 , 31-Июл-07, (4)

Gentoo+шлюз на FreeBSD - проблемы, leave, 17:42 , 31-Июл-07, (7)

Gentoo+шлюз на FreeBSD - проблемы, Paul, 17:32 , 31-Июл-07, (5)

Gentoo+шлюз на FreeBSD - проблемы, leave, 17:40 , 31-Июл-07, (6)

Gentoo+шлюз на FreeBSD - проблемы, Den, 17:46 , 31-Июл-07, (8)
Gentoo+шлюз на FreeBSD - проблемы, Paul, 18:41 , 31-Июл-07, (9)

Gentoo+шлюз на FreeBSD - проблемы, leave, 18:54 , 31-Июл-07, (10)

Gentoo+шлюз на FreeBSD - проблемы, Paul, 19:04 , 31-Июл-07, (11)
Gentoo+шлюз на FreeBSD - проблемы, Paul, 19:21 , 31-Июл-07, (12)

Gentoo+шлюз на FreeBSD - проблемы, leave, 19:40 , 31-Июл-07, (13)

Сообщения по теме [Сортировка по времени, UBB]

1. "Gentoo+шлюз на FreeBSD - проблемы"

Сообщение от leave on 31-Июл-07, 16:48

вдогонку - pf.conf

ext_if="rl0"
internal_net="192.168.155.0/24"
internal_net2="192.168.15.0/24"
scrub in all
scrub out all
nat on $ext_if from $internal_net to any -> ($ext_if)
nat on $ext_if from $internal_net2 to any -> ($ext_if)
pass in all
pass out all
pass out on $ext_if inet proto udp from any to any port 33433 >< 33626 keep state

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Gentoo+шлюз на FreeBSD - проблемы"

Сообщение от Den (??) on 31-Июл-07, 17:09

>[оверквотинг удален]
>ext_if="rl0"
>internal_net="192.168.155.0/24"
>internal_net2="192.168.15.0/24"
>scrub in all
>scrub out all
>nat on $ext_if from $internal_net to any -> ($ext_if)
>nat on $ext_if from $internal_net2 to any -> ($ext_if)
>pass in all
>pass out all
>pass out on $ext_if inet proto udp from any to any port 33433 >< 33626 keep state
может трабла с dns, сразу тратится время на резолвинг ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Gentoo+шлюз на FreeBSD - проблемы"

Сообщение от leave on 31-Июл-07, 17:12

>может трабла с dns, сразу тратится время на резолвинг ?
на это можно было бы грешить если бы проблема была у меня одного, и если бы описанная ситуация возникала только при пинге по домену. но разницы, что пинговать - домен или айпишник нету. и к чему тогда грабли с traceroute?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Gentoo+шлюз на FreeBSD - проблемы"

Сообщение от Den (??) on 31-Июл-07, 17:17

>
>>может трабла с dns, сразу тратится время на резолвинг ?
>
>на это можно было бы грешить если бы проблема была у меня
>одного, и если бы описанная ситуация возникала только при пинге по
>домену. но разницы, что пинговать - домен или айпишник нету. и
>к чему тогда грабли с traceroute?
временно отключи нат, установи реальники на freebsd и gentoo и проверь в чистом роутинге?
Если проблем нету значит криво работает pf

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Gentoo+шлюз на FreeBSD - проблемы"

Сообщение от leave on 31-Июл-07, 17:42

>временно отключи нат, установи реальники на freebsd и gentoo и проверь в
>чистом роутинге?
>Если проблем нету значит криво работает pf
отключал, проблем не было. значит криво работает pf. только почему трабла наблюдается исключительно с Гентой? вопрос спорный - кто виноват. с тем же Дебианом все всегда работает отлично. а мне пришлось заалиасить traceroute на traceroute -I :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Gentoo+шлюз на FreeBSD - проблемы"

Сообщение от Paul (??) on 31-Июл-07, 17:32

А при пинге внутреннего интерфейса шлюза наблюдается?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Gentoo+шлюз на FreeBSD - проблемы"

Сообщение от leave on 31-Июл-07, 17:40

>А при пинге внутреннего интерфейса шлюза наблюдается?
нет. оно и на внешним-то не всегда бывает, но на внутреннем - никогда.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Gentoo+шлюз на FreeBSD - проблемы"

Сообщение от Den (??) on 31-Июл-07, 17:46

>>А при пинге внутреннего интерфейса шлюза наблюдается?
>
>нет. оно и на внешним-то не всегда бывает, но на внутреннем -
>никогда.
сам сейчас сижу за gentoo'ой и шлюз на freebsd + pf = проблем не наблюдаю.
Попробуйте проанализировать tcpdump'ом и отловить пакет который дропается на внешнем интерфейсе.
Но раз Вы говорите, что при пинге внутреннего интерфейса проблем не наблюдается, значит проблема в pf. И нужно копать в его сторону

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Gentoo+шлюз на FreeBSD - проблемы"

Сообщение от Paul (??) on 31-Июл-07, 18:41

>>А при пинге внутреннего интерфейса шлюза наблюдается?
>
>нет. оно и на внешним-то не всегда бывает, но на внутреннем -
>никогда.
Очень похоже на системную проблему, так как дропается именно первый пакет и с определенной периодичностью, таким образом могу предположить три причины:
1. Работает какой-то демон динамической маршрутизации на bsd. Можно попробовать его выловить.
2. Иногда бывают потери пакетов в процессе согласования скорости обмена между сетевой картой и коммутатором. Можно попробовать задать скорости на портах жестко.
3. Если есть какой-то VPN с шифрованием между интерфейсом bsd и внешним миром, то может быть из-за согласования ключей шифрования в IPSEC.
--
www.ppokrovsky.org

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Gentoo+шлюз на FreeBSD - проблемы"

Сообщение от leave on 31-Июл-07, 18:54

>Очень похоже на системную проблему, так как дропается именно первый пакет и
>с определенной периодичностью, таким образом могу предположить три причины:
>
>1. Работает какой-то демон динамической маршрутизации на bsd. Можно попробовать его выловить.
>
>2. Иногда бывают потери пакетов в процессе согласования скорости обмена между сетевой
>картой и коммутатором. Можно попробовать задать скорости на портах жестко.
>3. Если есть какой-то VPN с шифрованием между интерфейсом bsd и внешним
>миром, то может быть из-за согласования ключей шифрования в IPSEC.
3 - точно нет
2 - на портах свича? наш офисный шуреком на такое не способен ((
1 - тоже нет, роуты прописаны статично на следующий за нами шлюз, который уже и выпускает непосредственно в инет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Gentoo+шлюз на FreeBSD - проблемы"

Сообщение от Paul (??) on 31-Июл-07, 19:04

>3 - точно нет
>2 - на портах свича? наш офисный шуреком на такое не способен
>((
>1 - тоже нет, роуты прописаны статично на следующий за нами шлюз,
>который уже и выпускает непосредственно в инет.
ну если наблюдается только для gentoo могу еще предположить, что проблема где-то также в стеке gentoo, иногда (довольно редко, но все же) такой трабл наблюдается из-за фрагментации пакетов, в этом случае надо поиграться с MTU. Попробуйте правда сниффером на шлюзе (на обоих интерфейсах) послушать на предмет need_frag.

--
http://www.ppokrovsky.org

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Gentoo+шлюз на FreeBSD - проблемы"

Сообщение от Paul (??) on 31-Июл-07, 19:21

>[оверквотинг удален]
>>2. Иногда бывают потери пакетов в процессе согласования скорости обмена между сетевой
>>картой и коммутатором. Можно попробовать задать скорости на портах жестко.
>>3. Если есть какой-то VPN с шифрованием между интерфейсом bsd и внешним
>>миром, то может быть из-за согласования ключей шифрования в IPSEC.
>
>3 - точно нет
>2 - на портах свича? наш офисный шуреком на такое не способен
>((
>1 - тоже нет, роуты прописаны статично на следующий за нами шлюз,
>который уже и выпускает непосредственно в инет.
Кстати вот еще проблема, очень похожая на описанную Вами.
http://archives.neohapsis.com/archives/openbsd/2007-07/0430.html
Речь о каком-то баге в pf. Может быть в этом дело. Но опять же лучше отснифферить и посмотреть дамп в ethereal, чтобы убедиться наверняка.
--
http://www.ppokrovsky.org

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Gentoo+шлюз на FreeBSD - проблемы"

Сообщение от leave on 31-Июл-07, 19:40

>Кстати вот еще проблема, очень похожая на описанную Вами.
>http://archives.neohapsis.com/archives/openbsd/2007-07/0430.html
>Речь о каком-то баге в pf. Может быть в этом дело. Но
>опять же лучше отснифферить и посмотреть дамп в ethereal, чтобы убедиться
>наверняка.
>
>--
>http://www.ppokrovsky.org
кстати, очень похоже. спасибо за помощь, поснифим завтра ночью.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Gentoo+шлюз на FreeBSD - проблемы"
Сообщение от leave on 31-Июл-07, 16:48
вдогонку - pf.conf ext_if="rl0" internal_net="192.168.155.0/24" internal_net2="192.168.15.0/24" scrub in all scrub out all nat on $ext_if from $internal_net to any -> ($ext_if) nat on $ext_if from $internal_net2 to any -> ($ext_if) pass in all pass out all pass out on $ext_if inet proto udp from any to any port 33433 >< 33626 keep state
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Gentoo+шлюз на FreeBSD - проблемы"
	Сообщение от Den (??) on 31-Июл-07, 17:09
	>[оверквотинг удален] >ext_if="rl0" >internal_net="192.168.155.0/24" >internal_net2="192.168.15.0/24" >scrub in all >scrub out all >nat on $ext_if from $internal_net to any -> ($ext_if) >nat on $ext_if from $internal_net2 to any -> ($ext_if) >pass in all >pass out all >pass out on $ext_if inet proto udp from any to any port 33433 >< 33626 keep state может трабла с dns, сразу тратится время на резолвинг ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Gentoo+шлюз на FreeBSD - проблемы"
	Сообщение от leave on 31-Июл-07, 17:12
	>может трабла с dns, сразу тратится время на резолвинг ? на это можно было бы грешить если бы проблема была у меня одного, и если бы описанная ситуация возникала только при пинге по домену. но разницы, что пинговать - домен или айпишник нету. и к чему тогда грабли с traceroute?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Gentoo+шлюз на FreeBSD - проблемы"
	Сообщение от Den (??) on 31-Июл-07, 17:17
	> >>может трабла с dns, сразу тратится время на резолвинг ? > >на это можно было бы грешить если бы проблема была у меня >одного, и если бы описанная ситуация возникала только при пинге по >домену. но разницы, что пинговать - домен или айпишник нету. и >к чему тогда грабли с traceroute? временно отключи нат, установи реальники на freebsd и gentoo и проверь в чистом роутинге? Если проблем нету значит криво работает pf
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Gentoo+шлюз на FreeBSD - проблемы"
	Сообщение от leave on 31-Июл-07, 17:42
	>временно отключи нат, установи реальники на freebsd и gentoo и проверь в >чистом роутинге? >Если проблем нету значит криво работает pf отключал, проблем не было. значит криво работает pf. только почему трабла наблюдается исключительно с Гентой? вопрос спорный - кто виноват. с тем же Дебианом все всегда работает отлично. а мне пришлось заалиасить traceroute на traceroute -I :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Gentoo+шлюз на FreeBSD - проблемы"
Сообщение от Paul (??) on 31-Июл-07, 17:32
А при пинге внутреннего интерфейса шлюза наблюдается?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Gentoo+шлюз на FreeBSD - проблемы"
	Сообщение от leave on 31-Июл-07, 17:40
	>А при пинге внутреннего интерфейса шлюза наблюдается? нет. оно и на внешним-то не всегда бывает, но на внутреннем - никогда.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Gentoo+шлюз на FreeBSD - проблемы"
	Сообщение от Den (??) on 31-Июл-07, 17:46
	>>А при пинге внутреннего интерфейса шлюза наблюдается? > >нет. оно и на внешним-то не всегда бывает, но на внутреннем - >никогда. сам сейчас сижу за gentoo'ой и шлюз на freebsd + pf = проблем не наблюдаю. Попробуйте проанализировать tcpdump'ом и отловить пакет который дропается на внешнем интерфейсе. Но раз Вы говорите, что при пинге внутреннего интерфейса проблем не наблюдается, значит проблема в pf. И нужно копать в его сторону
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Gentoo+шлюз на FreeBSD - проблемы"
	Сообщение от Paul (??) on 31-Июл-07, 18:41
	>>А при пинге внутреннего интерфейса шлюза наблюдается? > >нет. оно и на внешним-то не всегда бывает, но на внутреннем - >никогда. Очень похоже на системную проблему, так как дропается именно первый пакет и с определенной периодичностью, таким образом могу предположить три причины: 1. Работает какой-то демон динамической маршрутизации на bsd. Можно попробовать его выловить. 2. Иногда бывают потери пакетов в процессе согласования скорости обмена между сетевой картой и коммутатором. Можно попробовать задать скорости на портах жестко. 3. Если есть какой-то VPN с шифрованием между интерфейсом bsd и внешним миром, то может быть из-за согласования ключей шифрования в IPSEC. -- www.ppokrovsky.org
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Gentoo+шлюз на FreeBSD - проблемы"
	Сообщение от leave on 31-Июл-07, 18:54
	>Очень похоже на системную проблему, так как дропается именно первый пакет и >с определенной периодичностью, таким образом могу предположить три причины: > >1. Работает какой-то демон динамической маршрутизации на bsd. Можно попробовать его выловить. > >2. Иногда бывают потери пакетов в процессе согласования скорости обмена между сетевой >картой и коммутатором. Можно попробовать задать скорости на портах жестко. >3. Если есть какой-то VPN с шифрованием между интерфейсом bsd и внешним >миром, то может быть из-за согласования ключей шифрования в IPSEC. 3 - точно нет 2 - на портах свича? наш офисный шуреком на такое не способен (( 1 - тоже нет, роуты прописаны статично на следующий за нами шлюз, который уже и выпускает непосредственно в инет.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Gentoo+шлюз на FreeBSD - проблемы"
	Сообщение от Paul (??) on 31-Июл-07, 19:04
	>3 - точно нет >2 - на портах свича? наш офисный шуреком на такое не способен >(( >1 - тоже нет, роуты прописаны статично на следующий за нами шлюз, >который уже и выпускает непосредственно в инет. ну если наблюдается только для gentoo могу еще предположить, что проблема где-то также в стеке gentoo, иногда (довольно редко, но все же) такой трабл наблюдается из-за фрагментации пакетов, в этом случае надо поиграться с MTU. Попробуйте правда сниффером на шлюзе (на обоих интерфейсах) послушать на предмет need_frag. -- http://www.ppokrovsky.org
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Gentoo+шлюз на FreeBSD - проблемы"
	Сообщение от Paul (??) on 31-Июл-07, 19:21
	>[оверквотинг удален] >>2. Иногда бывают потери пакетов в процессе согласования скорости обмена между сетевой >>картой и коммутатором. Можно попробовать задать скорости на портах жестко. >>3. Если есть какой-то VPN с шифрованием между интерфейсом bsd и внешним >>миром, то может быть из-за согласования ключей шифрования в IPSEC. > >3 - точно нет >2 - на портах свича? наш офисный шуреком на такое не способен >(( >1 - тоже нет, роуты прописаны статично на следующий за нами шлюз, >который уже и выпускает непосредственно в инет. Кстати вот еще проблема, очень похожая на описанную Вами. http://archives.neohapsis.com/archives/openbsd/2007-07/0430.html Речь о каком-то баге в pf. Может быть в этом дело. Но опять же лучше отснифферить и посмотреть дамп в ethereal, чтобы убедиться наверняка. -- http://www.ppokrovsky.org
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Gentoo+шлюз на FreeBSD - проблемы"
	Сообщение от leave on 31-Июл-07, 19:40
	>Кстати вот еще проблема, очень похожая на описанную Вами. >http://archives.neohapsis.com/archives/openbsd/2007-07/0430.html >Речь о каком-то баге в pf. Может быть в этом дело. Но >опять же лучше отснифферить и посмотреть дамп в ethereal, чтобы убедиться >наверняка. > >-- >http://www.ppokrovsky.org кстати, очень похоже. спасибо за помощь, поснифим завтра ночью.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]