parazit Posted March 8, 2014 Posted March 8, 2014 а по логам что видно? я во фре не шарю, в линуксе можно было бы попробовать контрак таблицу увеличить сечас настраиваю логгирование... а что за таблица.. контрак?
zulu_Radist Posted March 8, 2014 Posted March 8, 2014 (edited) http://www.cyberciti.biz/faq/ip_conntrack-table-ful-dropping-packet-error/ но повторяюсь это на линуксе, во фре я хз и то не факт что в этом проблема Edited March 8, 2014 by zulu_Radist
loki Posted March 8, 2014 Posted March 8, 2014 (edited) Покажи dmesg, и увеличь kern.ipc.nmbclusters=640000. Так как судя по netstat -m у тебя их впритык. Когда mbuf clusters заканчиваются, сетевуха может перейти в режим zonelimit (не отвечать по сети) Покажи netstat -w 1 -d -h в час пик. Edited March 8, 2014 by loki
loki Posted March 8, 2014 Posted March 8, 2014 Ну и еще алгоритм round-robin в sticky-address не очень хороший. Советую переделать на source-hash. Ну и разнести LAN и WAN по физическим интерфейсам, если конечно это возможно. Пусть лучше коммутатор "нарезает" vlan-ы. Вот конфиг ната, для одного из брасов. root@bras2:/ ## cat /etc/pf.conf ##Optimization set optimization aggressive set limit states 900000000 set limit src-nodes 900000000 set limit frags 90000000 #set timeout tcp.established 1800 #Normal traf scrub in all scrub out all nat on lagg1 from <local> to any -> **.**.46.0/22 source-hash nat on lagg1 from <local> to any -> **.**.178.0/22 source-hash no nat on lagg21 from <me> to <local1> table <local> { 172.16.0.0/12, 10.11.11.0/24, 192.168.0.0/16 } table <me> { 10.10.0.0/16, 10.101.100.0/24 }
parazit Posted March 8, 2014 Posted March 8, 2014 Покажи dmesg, и увеличь kern.ipc.nmbclusters=640000. Так как судя по netstat -m у тебя их впритык. Когда mbuf clusters заканчиваются, сетевуха может перейти в режим zonelimit (не отвечать по сети) Покажи netstat -w 1 -d -h в час пик. sysctl kern.ipc.nmbclusters kern.ipc.nmbclusters: 746462 во freebsd 10 это значение по умолчанию.. оно довольно большое... 34921/1651/ 36572/ 746462 mbuf clusters in use (current/cache/total/max) еще очень далеко до MAX netstat -w 1 -d -h input (Total) output packets errs idrops bytes packets errs bytes colls drops 84K 0 0 74M 83K 0 74M 0 0 88K 0 0 78M 86K 0 78M 0 0 85K 0 0 75M 84K 0 75M 0 0 85K 0 0 75M 84K 0 74M 0 0 86K 0 0 75M 85K 0 75M 0 0 86K 0 0 77M 85K 0 77M 0 0 89K 0 0 79M 88K 0 79M 0 0 80K 0 0 70M 79K 0 70M 0 0 это при 250мб/с - не ЧНН. завтра выложу ЧНН
parazit Posted March 8, 2014 Posted March 8, 2014 подправил pf.conf #------------------------------# Log#------------------------------set loginterface xxx#set loginterface yyy #------------------------------# Нормализация#------------------------------# Максимальное количество вхождений в пул отвечающий за состояние таблицы состояний соединений (keep state)set limit { states 5000000, src-nodes 1600000, table-entries 1600000, frags 300000 }# изменяем время для состояния установленного tcp соединения, которое по-умолчанию черезчур большое (24часа)set timeout { interval 10, frag 10, tcp.established 3600 }# Устанавливаем тип оптимизацииset optimization aggressive# Игнорируем фильтрацию на кольцевом интерфейсеset skip on lo0# Нормализация всего входящего трафика на всех интерфейсахscrub in all nat pass on $ext_if_ua from 10.20.0.0/16 to any -> W.W.W.W/27 round-robin sticky-addressnat pass on $ext_if_world from 10.20.0.0/16 to any -> W.W.W.W/27 round-robin sticky-address ЖДУ тревожного часа
parazit Posted March 8, 2014 Posted March 8, 2014 Ну и еще алгоритм round-robin в sticky-address не очень хороший. Советую переделать на source-hash. Ну и разнести LAN и WAN по физическим интерфейсам, если конечно это возможно. Пусть лучше коммутатор "нарезает" vlan-ы. Вот конфиг ната, для одного из брасов. root@bras2:/ ## cat /etc/pf.conf ##Optimization set optimization aggressive set limit states 900000000 set limit src-nodes 900000000 set limit frags 90000000 #set timeout tcp.established 1800 #Normal traf scrub in all scrub out all nat on lagg1 from <local> to any -> **.**.46.0/22 source-hash nat on lagg1 from <local> to any -> **.**.178.0/22 source-hash no nat on lagg21 from <me> to <local1> table <local> { 172.16.0.0/12, 10.11.11.0/24, 192.168.0.0/16 } table <me> { 10.10.0.0/16, 10.101.100.0/24 } round-robin sticky-address - только так люди получают нат в постоянно одни и теже адреса из пула... лан и ван на разных сетевых.. вланы конечно же присутствуют.. увиличил значения оптимизации как у вас... ждем ...
bit Posted March 8, 2014 Posted March 8, 2014 Тоже делал попытки перехода на 10тку. Откатился назад именно по этой проблеме. Проблема с pf nat. Первые симптомы появления проблемы - рвутся онлайн сессии. Скайп, тимвьювер, ssh.
parazit Posted March 9, 2014 Posted March 9, 2014 parazit а в dmesg пусто ? только небольшой скан.. на часах 3-13 пока полет нормальный
parazit Posted March 9, 2014 Posted March 9, 2014 Доброе всем утро... Ночь пережил нормально привожу последний конфиг pf.conf # NAText_if_ua = "vlanXXX"ext_if_world = "vlanYYY" #------------------------------# Log#------------------------------set loginterface $ext_if_ua #------------------------------# Нормализация#------------------------------# Максимальное количество вхождений в пул отвечающий за состояние таблицы состояний соединений (keep state)set limit { states 900000000, src-nodes 900000000, table-entries 900000000, frags 900000000 }# изменяем время для состояния установленного tcp соединения, которое по-умолчанию черезчур большое (24часа)set timeout { interval 10, frag 10, tcp.established 3600 }# Устанавливаем тип оптимизацииset optimization aggressive# Игнорируем фильтрацию на кольцевом интерфейсеset skip on lo0# Нормализация всего входящего трафика на всех интерфейсахscrub in all#------------------------------# PORT MAPPED#------------------------------ nat pass on $ext_if_ua from 10.20.0.0/16 to any -> W.W.W.W/27 round-robin sticky-address static-portnat pass on $ext_if_world from 10.20.0.0/16 to any -> W.W.W.W/27 round-robin sticky-address static-port Изменения выделил жирным...
parazit Posted March 18, 2014 Posted March 18, 2014 Такая конфигурация и осталась? Живет? так точно.. со времени последнего поста проблемма исчезла... может карма - ХЗ
parazit Posted March 23, 2014 Posted March 23, 2014 проблемма снова появилась... снова проблемма с натом.. недогузка страниц, не работают приложения контакта, недокачивает файлы... кто то дружит с FreeBSD 10 + pf nat..
adeep Posted March 23, 2014 Posted March 23, 2014 проблемма снова появилась... снова проблемма с натом.. недогузка страниц, не работают приложения контакта, недокачивает файлы... кто то дружит с FreeBSD 10 + pf nat.. увеличьте максимальное количество отслеживаемых соединений
KaYot Posted March 23, 2014 Posted March 23, 2014 А лучше linux поставьте, НАТ настроить на любом дистрибутиве 1 минуту займет.
adeep Posted March 23, 2014 Posted March 23, 2014 А лучше linux поставьте, НАТ настроить на любом дистрибутиве 1 минуту займет. его точно так же надо уметь готовить. а менять дистрибутив только из-за одной задачи? увольте.
KaYot Posted March 23, 2014 Posted March 23, 2014 А лучше linux поставьте, НАТ настроить на любом дистрибутиве 1 минуту займет.его точно так же надо уметь готовить. а менять дистрибутив только из-за одной задачи? увольте. Не, готовить его не нужно. Подправить размер conntrack(таблицы состояний) 1 строчкой и включить NAT еще одной. Все, готов NAT-box. Для больших объемов трафика можно потюнинговать, но это вовсе не обязательно.
adeep Posted March 24, 2014 Posted March 24, 2014 А лучше linux поставьте, НАТ настроить на любом дистрибутиве 1 минуту займет.его точно так же надо уметь готовить. а менять дистрибутив только из-за одной задачи? увольте. Не, готовить его не нужно. Подправить размер conntrack(таблицы состояний) 1 строчкой и включить NAT еще одной. Все, готов NAT-box.Для больших объемов трафика можно потюнинговать, но это вовсе не обязательно. в pf тоже одну строчку подправить надо.
bit Posted March 24, 2014 Posted March 24, 2014 проблемма снова появилась... снова проблемма с натом.. недогузка страниц, не работают приложения контакта, недокачивает файлы... кто то дружит с FreeBSD 10 + pf nat.. увеличьте максимальное количество отслеживаемых соединений Сходу не нашел такой опции. А можете на английском указать название? В линуксе да, есть такое.
loki Posted November 26, 2014 Posted November 26, 2014 Занекропощу. В 10.1 pf отлично работает. Проблему пофиксили. C чем всех и поздравляю. https://www.freebsd.org/cgi/man.cgi?query=pf%284%29&sektion=
maxx Posted November 26, 2014 Posted November 26, 2014 Занекропощу. В 10.1 pf отлично работает. Проблему пофиксили. C чем всех и поздравляю. https://www.freebsd.org/cgi/man.cgi?query=pf%284%29&sektion= угу, месяц как перевел 1 из насов на 10. все "воркс пропертли".
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now