FreeBSD 10.0 и маршрутизация

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
zdima
рядовой
Сообщения: 12
Зарегистрирован: 2014-02-07 14:59:13

FreeBSD 10.0 и маршрутизация

Непрочитанное сообщение zdima » 2014-03-17 9:48:22

Установлена FreeBSD 10.0 в качестве маршрутизатора и почтового сервера.
Люди жалуются, что страницы грузятся крайне неохотно.
На сервере подняты вланы и бридж для них. А также основной канал(отдельной сетевой платой) на провайдера.
С чем может быть это связано, какую информацию нужно от меня/сервера?
Доступность нижеуказанных адресов имеется, и в целом, интернет на машине есть и раздается, но жалобы присутствуют.
При просмотре дампа трафика получаю:
10:42:40.321862 IP 192.168.1.10 > 192.168.1.57: ICMP host 217.69.141.142 unreachable, length 56
10:42:40.335939 IP 192.168.1.10 > 192.168.1.87: ICMP host 195.184.79.6 unreachable, length 36
10:42:40.359871 IP 192.168.1.10 > 192.168.1.57: ICMP host 217.69.140.219 unreachable, length 56
10:42:40.396314 IP 192.168.1.10 > 192.168.1.87: ICMP host 213.19.122.130 unreachable, length 36
10:42:40.563928 IP 192.168.1.10 > 192.168.1.109: ICMP host 144.76.245.42 unreachable, length 60
10:42:40.563950 IP 192.168.1.10 > 192.168.1.109: ICMP host 173.194.32.185 unreachable, length 60
10:42:40.569880 IP 192.168.1.10 > 192.168.1.57: ICMP host 217.69.141.142 unreachable, length 56
10:42:40.571851 IP 192.168.1.10 > 192.168.1.57: ICMP host 217.69.140.219 unreachable, length 56
10:42:40.837528 IP 192.168.1.10 > 192.168.1.172: ICMP host 205.251.243.170 unreachable, length 56
10:42:41.116858 IP 192.168.1.10 > 192.168.1.103: ICMP host 87.240.183.195 unreachable, length 56
10:42:41.820147 IP 192.168.1.10 > 192.168.1.103: ICMP host 87.240.131.120 unreachable, length 56
10:42:41.895927 IP 192.168.1.10 > 192.168.1.109: ICMP host 88.212.196.105 unreachable, length 60
10:42:41.925024 IP 192.168.1.10 > 192.168.1.63: ICMP host 217.69.139.59 unreachable, length 60
10:42:42.134084 IP 192.168.1.10 > 192.168.1.63: ICMP host 217.69.139.59 unreachable, length 60
10:42:42.199223 IP 192.168.1.10 > 192.168.1.109: ICMP host 81.19.104.102 unreachable, length 60
10:42:42.366881 IP 192.168.1.10 > 192.168.1.87: ICMP host 195.184.79.6 unreachable, length 36

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

ChihPih
ст. прапорщик
Сообщения: 568
Зарегистрирован: 2009-09-04 12:23:30
Откуда: Где-то в России...
Контактная информация:

Re: FreeBSD 10.0 и маршрутизация

Непрочитанное сообщение ChihPih » 2014-03-17 14:47:35

Надо бы посмотреть
ifconfig
netstat -rn
www.info-x.org - информационный ресурс о ОС FreeBSD.

zdima
рядовой
Сообщения: 12
Зарегистрирован: 2014-02-07 14:59:13

Re: FreeBSD 10.0 и маршрутизация

Непрочитанное сообщение zdima » 2014-03-17 15:15:35

ChihPih писал(а):Надо бы посмотреть
ifconfig
netstat -rn
Вот данные, ошибок на сетевых нету, но сайты грузятся действительно медленно, но не всегда.
Иногда выпадает ошибка недоступности страницы, т.е. вообще не загрузилась.
На фаерволле только правило разрешено всем и все (чтобы исключить проблему фаера). ipnat тоже одно правило - выпускать всех в интернет под своим адресом.

Код: Выделить всё

root@myhost:/etc # ifconfig
re0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
        ether 50:e5:49:20:e4:9c
        inet6 fe80::52e5:49ff:fe20:e49c%re0 prefixlen 64 scopeid 0x1
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <half-duplex>)
        status: active
vr0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=82808<VLAN_MTU,WOL_UCAST,WOL_MAGIC,LINKSTATE>
        ether 00:1c:f0:c7:fa:84
        inet6 fe80::21c:f0ff:fec7:fa84%vr0 prefixlen 64 scopeid 0x2
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
vlan51: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=3<RXCSUM,TXCSUM>
        ether 50:e5:49:20:e4:9c
        inet6 fe80::52e5:49ff:fe20:e49c%vlan51 prefixlen 64 scopeid 0x4
        inet 19x.8x.1xx.1xx netmask 0xfffffffc broadcast 19x.8x.1xx.1xx
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <half-duplex>)
        status: active
        vlan: 51 parent interface: re0
vlan60: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=3<RXCSUM,TXCSUM>
        ether 50:e5:49:20:e4:9c
        inet6 fe80::52e5:49ff:fe20:e49c%vlan60 prefixlen 64 scopeid 0x5
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <half-duplex>)
        status: active
        vlan: 60 parent interface: re0
vlan61: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=3<RXCSUM,TXCSUM>
        ether 50:e5:49:20:e4:9c
        inet6 fe80::52e5:49ff:fe20:e49c%vlan61 prefixlen 64 scopeid 0x6
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <half-duplex>)
        status: active
        vlan: 61 parent interface: re0
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 02:47:d4:c1:80:00
        inet 10.0.0.1 netmask 0xffffff00 broadcast 10.0.0.255
        inet 192.168.1.10 netmask 0xffffff00 broadcast 192.168.1.255
        nd6 options=9<PERFORMNUD,IFDISABLED>
        id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
        maxage 20 holdcnt 6 proto rstp maxaddr 2000 timeout 1200
        root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
        member: vr0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 2 priority 128 path cost 55
        member: vlan61 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 6 priority 128 path cost 55
        member: vlan60 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 5 priority 128 path cost 55
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        options=80000<LINKSTATE>
        inet6 fe80::52e5:49ff:fe20:e49c%tun0 prefixlen 64 scopeid 0x8
        inet 192.168.1.2 --> 192.168.1.1 netmask 0xffffffff
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        Opened by PID 1607

Код: Выделить всё

root@myhost:/etc # netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            19x.8x.1xx.1xx     UGS         0 37218510 vlan51
10.0.0.0/24        link#7             U           0 35334367 bridge
10.0.0.1           link#7             UHS         0        0    lo0
127.0.0.1          link#3             UH          0      186    lo0
192.168.1.0/24     link#7             U           0  4251389 bridge
192.168.1.1        link#8             UH          0        0   tun0
192.168.1.2        link#8             UHS         0       22    lo0
192.168.1.10       link#7             UHS         0        0    lo0
19x.8x.1xx.1xx/30  link#4             U           0     1425 vlan51
19x.8x.1xx.1xx     link#4             UHS         0     4575    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::/96                             ::1                           UGRS        lo0
::1                               link#3                        UH          lo0
::ffff:0.0.0.0/96                 ::1                           UGRS        lo0
fe80::/10                         ::1                           UGRS        lo0
fe80::%re0/64                     link#1                        U           re0
fe80::52e5:49ff:fe20:e49c%re0     link#1                        UHS         lo0
fe80::%vr0/64                     link#2                        U           vr0
fe80::21c:f0ff:fec7:fa84%vr0      link#2                        UHS         lo0
fe80::%lo0/64                     link#3                        U           lo0
fe80::1%lo0                       link#3                        UHS         lo0
fe80::%vlan51/64                  link#4                        U        vlan51
fe80::52e5:49ff:fe20:e49c%vlan51  link#4                        UHS         lo0
fe80::%vlan60/64                  link#5                        U        vlan60
fe80::52e5:49ff:fe20:e49c%vlan60  link#5                        UHS         lo0
fe80::%vlan61/64                  link#6                        U        vlan61
fe80::52e5:49ff:fe20:e49c%vlan61  link#6                        UHS         lo0
fe80::%tun0/64                    link#8                        U          tun0
fe80::52e5:49ff:fe20:e49c%tun0    link#8                        UHS         lo0
ff01::%re0/32                     fe80::52e5:49ff:fe20:e49c%re0 U           re0
ff01::%vr0/32                     fe80::21c:f0ff:fec7:fa84%vr0  U           vr0
ff01::%lo0/32                     ::1                           U           lo0
ff01::%vlan51/32                  fe80::52e5:49ff:fe20:e49c%vlan51 U        vlan51
ff01::%vlan60/32                  fe80::52e5:49ff:fe20:e49c%vlan60 U        vlan60
ff01::%vlan61/32                  fe80::52e5:49ff:fe20:e49c%vlan61 U        vlan61
ff01::%tun0/32                    fe80::52e5:49ff:fe20:e49c%tun0 U          tun0
ff02::/16                         ::1                           UGRS        lo0
ff02::%re0/32                     fe80::52e5:49ff:fe20:e49c%re0 U           re0
ff02::%vr0/32                     fe80::21c:f0ff:fec7:fa84%vr0  U           vr0
ff02::%lo0/32                     ::1                           U           lo0
ff02::%vlan51/32                  fe80::52e5:49ff:fe20:e49c%vlan51 U        vlan51
ff02::%vlan60/32                  fe80::52e5:49ff:fe20:e49c%vlan60 U        vlan60
ff02::%vlan61/32                  fe80::52e5:49ff:fe20:e49c%vlan61 U        vlan61
ff02::%tun0/32                    fe80::52e5:49ff:fe20:e49c%tun0 U          tun0

Код: Выделить всё

root@myhost:/etc # netstat -i
Name    Mtu Network       Address              Ipkts Ierrs Idrop    Opkts Oerrs  Coll
re0    1500 <Link#1>      50:e5:49:20:e4:9c 56736675     0     0 51759209     0     0
re0    1500 fe80::52e5:49 fe80::52e5:49ff:f        0     -     -        2     -     -
vr0    1500 <Link#2>      00:1c:f0:c7:fa:84 48111857     0     0 56011280     0     0
vr0    1500 fe80::21c:f0f fe80::21c:f0ff:fe        0     -     -        1     -     -
lo0   16384 <Link#3>                            5198     0     0     5200     0     0
lo0   16384 localhost     ::1                      0     -     -        0     -     -
lo0   16384 fe80::1%lo0   fe80::1                  0     -     -        0     -     -
lo0   16384 your-net      localhost              179     -     -     5198     -     -
vlan5  1500 <Link#4>      50:e5:49:20:e4:9c 50209071     0     0 36257685    46     0
vlan5  1500 fe80::52e5:49 fe80::52e5:49ff:f        0     -     -        1     -     -
vlan5  1500 19x.8x.1xx.1xx mail.myhost.net  6303317     -     -  4517768     -     -
vlan6  1500 <Link#5>      50:e5:49:20:e4:9c  1156963     0     0  3920307    12     0
vlan6  1500 fe80::52e5:49 fe80::52e5:49ff:f        0     -     -        1     -     -
vlan6  1500 <Link#6>      50:e5:49:20:e4:9c  5370658     0     0 11581232    11     0
vlan6  1500 fe80::52e5:49 fe80::52e5:49ff:f        0     -     -        2     -     -
bridg  1500 <Link#7>      02:47:d4:c1:80:00 52782822     0     0 71506842    23     0
bridg  1500 10.0.0.0      10.0.0.1            561412     -     -  2556088     -     -
bridg  1500 192.168.1.0   192.168.1.10       1677221     -     -  2857504     -     -
tun0   1500 <Link#8>                               0     0     0        5     0     0
tun0   1500 fe80::52e5:49 fe80::52e5:49ff:f        0     -     -        1     -     -
tun0   1500 192.168.1.2/3 192.168.1.2             59     -     -        0     -     -

ChihPih
ст. прапорщик
Сообщения: 568
Зарегистрирован: 2009-09-04 12:23:30
Откуда: Где-то в России...
Контактная информация:

Re: FreeBSD 10.0 и маршрутизация

Непрочитанное сообщение ChihPih » 2014-03-17 15:29:46

Чет вы все иксами зашифровали и как понимать, куда какой интерфейс смотрит....
Мож с MTU проблемы (TCP MSS). и после чего началось?
www.info-x.org - информационный ресурс о ОС FreeBSD.

zdima
рядовой
Сообщения: 12
Зарегистрирован: 2014-02-07 14:59:13

Re: FreeBSD 10.0 и маршрутизация

Непрочитанное сообщение zdima » 2014-03-17 15:46:25

ChihPih писал(а):Чет вы все иксами зашифровали и как понимать, куда какой интерфейс смотрит....
Мож с MTU проблемы (TCP MSS). и после чего началось?
Маршрут один - на провайдера (что-то действительно переборщил с иксами, защищаюсь от ботов и атакеров)
19х.8х.1хх.114 - адрес этой машины
19х.8х.1хх.113 - маршрут по умолчанию
Ранее стояла машина со старой фряхой, при попытке ее обновить все поломалось.
В итоге, выделили другую машину. Установили туда FreeBSD 10.0 amd64
И вроде бы все пошло нормально после установки машины на свое рабочее место. После чего местный админ (локалит сеть компании) начал все чаще звонить и говорить, что его клиенты (бухи и тд) жалуются на загрузку страниц из интернета.
Система свежая. Но меня вот беспокоят сетевые платы. Установить туда нормально-зарекомендованные себя у них нет возможности.
MTU на обоих интерфейсах пробовал уменьшить, не помогло.
Кстати, ядро родное, не пересборное.

ChihPih
ст. прапорщик
Сообщения: 568
Зарегистрирован: 2009-09-04 12:23:30
Откуда: Где-то в России...
Контактная информация:

Re: FreeBSD 10.0 и маршрутизация

Непрочитанное сообщение ChihPih » 2014-03-17 17:27:12

При просмотре дампа трафика получаю:
10:42:40.321862 IP 192.168.1.10 > 192.168.1.57: ICMP host 217.69.141.142 unreachable, length 56
10:42:40.335939 IP 192.168.1.10 > 192.168.1.87: ICMP host 195.184.79.6 unreachable, length 36
1. Как/чем дамп получаете?
2. traceroute бы с проблемных машин выполнить до сайта в тырнете? + ping с малыми и большими пакетами? tcpdump,ом в это время на фри?
3. А через какой интерфейс инет? И с фри инет нормально пашет?
www.info-x.org - информационный ресурс о ОС FreeBSD.

zdima
рядовой
Сообщения: 12
Зарегистрирован: 2014-02-07 14:59:13

Re: FreeBSD 10.0 и маршрутизация

Непрочитанное сообщение zdima » 2014-03-19 8:00:22

ChihPih писал(а):
При просмотре дампа трафика получаю:
10:42:40.321862 IP 192.168.1.10 > 192.168.1.57: ICMP host 217.69.141.142 unreachable, length 56
10:42:40.335939 IP 192.168.1.10 > 192.168.1.87: ICMP host 195.184.79.6 unreachable, length 36
1. Как/чем дамп получаете?
2. traceroute бы с проблемных машин выполнить до сайта в тырнете? + ping с малыми и большими пакетами? tcpdump,ом в это время на фри?
3. А через какой интерфейс инет? И с фри инет нормально пашет?
1. строка обычная tcpdump -ni bridge0 | grep unreach
2. с этим проблемно, доступ к клиентам дать не могут, попробую их админа поймать, чтобы организовал доступ.
3. инет идет через vlan51. с фряхи особо не полазить по сайтам в консоле.
сейчас установлен сквид, и всех через проксю выпустили, говорят более-менее стало, хотя, может это им только так кажется.
проблемы возникают не всега, симптомы выявить сложно. как только дадут доступ к клиенту, проделаю вышеперечисленное.

zdima
рядовой
Сообщения: 12
Зарегистрирован: 2014-02-07 14:59:13

Re: FreeBSD 10.0 и маршрутизация

Непрочитанное сообщение zdima » 2014-03-19 11:19:08

В общем ситуация такая: дали доступ на клиент, пинги до шлюза 192.168.1.10 идут, пинги до интернета (8.8.8.8) уже не проходят.
ответный пакет приходит 11:49:24.048683 IP 192.168.1.10 > 192.168.1.78: ICMP host 8.8.8.8 unreachable, length 36
правило для ната одно - map vlan51 192.168.1.0/24 -> 19x.8x.1xx.114/32

Код: Выделить всё

netstat -rn | grep default
default            19x.8x.1xx.113     UGS         0 47579711 vlan51
sysctl net.inet.ip.forwarding
net.inet.ip.forwarding: 1
ситуация вообще крайне странная, альясом прописал на клиенте другой адрес 192.168.100.2, на шлюзе прописал 192.168.100.1
добавил в нат правило map vlan51 192.168.100.0/24 -> 19x.8x.1xx.114/32
пинги до 8.8.8.8 пошли, все остальное не работает

Код: Выделить всё

C:\Documents and Settings\kav>tracert -d ya.ru

Трассировка маршрута к ya.ru [213.180.204.3]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  192.168.100.1
  2  192.168.100.1  сообщает: Заданный узел недоступен.

Трассировка завершена.

C:\Documents and Settings\kav>tracert -d 8.8.8.8

Трассировка маршрута к 8.8.8.8 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  192.168.100.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6    43 ms    44 ms    44 ms  8.8.8.8

Трассировка завершена.
Каких-либо специфических маршрутов на шлюзе нет. В чем дело не понимаю, не может же быть это от проблем со стандартным ядром?

Dmitriy_3206
проходил мимо

Re: FreeBSD 10.0 и маршрутизация

Непрочитанное сообщение Dmitriy_3206 » 2014-03-23 2:06:05

Какой файрвол используете?
Может режете icmp ?
Проблема выглядит так: часть сайтов открывается, часть нет. Сайт пингуется при этом.
Вот решение на iptableshttp://www.opennet.ru/docs/RUS/LARTC/x2657.html

Dmitriy_3206
проходил мимо

Re: FreeBSD 10.0 и маршрутизация

Непрочитанное сообщение Dmitriy_3206 » 2014-03-23 2:52:10

Я не знаю "попал" ли я с Вашей проблемой, но вот еще:
Вот статья более доступным языком http://asmodeus.com.ua/library/nets/pppoe_mtu.html
А вот сами коды http://www.iana.org/assignments/icmp-pa ... ters.xhtml

Мне самому интересно как надо "допилить" pf (в котором по умолчанию правило запрет всё) разрешение на прохождение ICMP 3:4.