Перейти к содержимому

NAT & Пул


Рекомендованные сообщения

а по логам что видно?

я во фре не шарю, в линуксе можно было бы попробовать контрак таблицу увеличить

сечас настраиваю логгирование...

 

а что за таблица.. контрак?

Ссылка на сообщение
Поделиться на других сайтах

http://www.cyberciti.biz/faq/ip_conntrack-table-ful-dropping-packet-error/

 

но повторяюсь это на линуксе, во фре я хз

и то не факт что в этом проблема

Изменено пользователем zulu_Radist
Ссылка на сообщение
Поделиться на других сайтах

Покажи dmesg, и увеличь kern.ipc.nmbclusters=640000. 

Так как судя по  netstat -m у тебя их  впритык. Когда   mbuf clusters заканчиваются,  сетевуха может перейти в режим zonelimit (не отвечать по сети)

 

Покажи netstat -w 1 -d -h в час пик.

Изменено пользователем loki
Ссылка на сообщение
Поделиться на других сайтах

Ну и еще  алгоритм  round-robin в  sticky-address не очень хороший. Советую переделать на source-hash. Ну и разнести LAN и WAN по физическим интерфейсам, если конечно это возможно. Пусть лучше коммутатор "нарезает" vlan-ы.

Вот конфиг ната, для одного из брасов. 

 

root@bras2:/ ## cat /etc/pf.conf
##Optimization
set optimization aggressive
set limit states 900000000
set limit src-nodes 900000000
set limit frags 90000000
#set timeout tcp.established 1800
 
 
#Normal traf
scrub in  all
scrub out all
 
nat on lagg1 from <local> to any -> **.**.46.0/22 source-hash
nat on lagg1 from <local> to any -> **.**.178.0/22 source-hash
no nat on lagg21 from <me> to <local1>
table <local> { 172.16.0.0/12, 10.11.11.0/24, 192.168.0.0/16 }
table <me> { 10.10.0.0/16, 10.101.100.0/24 }
 
Ссылка на сообщение
Поделиться на других сайтах

Покажи dmesg, и увеличь kern.ipc.nmbclusters=640000. 

Так как судя по  netstat -m у тебя их  впритык. Когда   mbuf clusters заканчиваются,  сетевуха может перейти в режим zonelimit (не отвечать по сети)

 

Покажи netstat -w 1 -d -h в час пик.

sysctl kern.ipc.nmbclusters

kern.ipc.nmbclusters: 746462        

 во freebsd 10  это значение по умолчанию..  оно довольно большое...  

34921/1651/    36572/    746462 mbuf clusters in use (current/cache/total/max)      еще очень далеко до MAX

 

 

 

netstat -w 1 -d -h

            input        (Total)           output

   packets  errs idrops      bytes    packets  errs      bytes colls drops

       84K     0     0        74M        83K     0        74M     0     0

       88K     0     0        78M        86K     0        78M     0     0

       85K     0     0        75M        84K     0        75M     0     0

       85K     0     0        75M        84K     0        74M     0     0

       86K     0     0        75M        85K     0        75M     0     0

       86K     0     0        77M        85K     0        77M     0     0

       89K     0     0        79M        88K     0        79M     0     0

       80K     0     0        70M        79K     0        70M     0     0

 

это при 250мб/с - не ЧНН.

завтра выложу ЧНН  

Ссылка на сообщение
Поделиться на других сайтах

подправил

pf.conf

 

#------------------------------
# Log
#------------------------------

set loginterface xxx
#set loginterface yyy


#------------------------------
# Нормализация
#------------------------------

# Максимальное количество вхождений в пул отвечающий за состояние таблицы состояний соединений (keep state)
set limit { states 5000000, src-nodes 1600000, table-entries 1600000, frags 300000 }
# изменяем время для состояния установленного tcp соединения, которое по-умолчанию черезчур большое (24часа)
set timeout { interval 10, frag 10, tcp.established 3600 }
# Устанавливаем тип оптимизации
set optimization aggressive
# Игнорируем фильтрацию на кольцевом интерфейсе
set skip on lo0
# Нормализация всего входящего трафика на всех интерфейсах
scrub in all

 

nat pass on $ext_if_ua from 10.20.0.0/16 to any -> W.W.W.W/27 round-robin sticky-address
nat pass on $ext_if_world from 10.20.0.0/16 to any -> W.W.W.W/27 round-robin sticky-address

 

 

 

ЖДУ тревожного часа
 

Ссылка на сообщение
Поделиться на других сайтах

 

Ну и еще  алгоритм  round-robin в  sticky-address не очень хороший. Советую переделать на source-hash. Ну и разнести LAN и WAN по физическим интерфейсам, если конечно это возможно. Пусть лучше коммутатор "нарезает" vlan-ы.

Вот конфиг ната, для одного из брасов. 

 

root@bras2:/ ## cat /etc/pf.conf
##Optimization
set optimization aggressive
set limit states 900000000
set limit src-nodes 900000000
set limit frags 90000000
#set timeout tcp.established 1800
 
 
#Normal traf
scrub in  all
scrub out all
 
nat on lagg1 from <local> to any -> **.**.46.0/22 source-hash
nat on lagg1 from <local> to any -> **.**.178.0/22 source-hash
no nat on lagg21 from <me> to <local1>
table <local> { 172.16.0.0/12, 10.11.11.0/24, 192.168.0.0/16 }
table <me> { 10.10.0.0/16, 10.101.100.0/24 }
 

 

round-robin sticky-address - только так люди получают нат в  постоянно одни и теже адреса из пула...

 

лан и ван   на разных сетевых..   вланы конечно же присутствуют..

 

увиличил значения оптимизации как у вас...

ждем ...

Ссылка на сообщение
Поделиться на других сайтах

Тоже делал попытки перехода на 10тку. Откатился назад именно по этой проблеме. Проблема с pf nat.

Первые симптомы появления проблемы - рвутся онлайн сессии. Скайп, тимвьювер, ssh.

Ссылка на сообщение
Поделиться на других сайтах

Доброе всем утро...

Ночь пережил нормально

привожу последний конфиг

 

pf.conf

#  NAT
ext_if_ua = "vlanXXX"
ext_if_world = "vlanYYY"

 

 

#------------------------------
# Log
#------------------------------


set loginterface $ext_if_ua
 

#------------------------------
# Нормализация
#------------------------------

# Максимальное количество вхождений в пул отвечающий за состояние таблицы состояний соединений (keep state)
set limit { states 900000000, src-nodes 900000000, table-entries 900000000, frags 900000000 }
# изменяем время для состояния установленного tcp соединения, которое по-умолчанию черезчур большое (24часа)
set timeout { interval 10, frag 10, tcp.established 3600 }
# Устанавливаем тип оптимизации
set optimization aggressive
# Игнорируем фильтрацию на кольцевом интерфейсе
set skip on lo0
# Нормализация всего входящего трафика на всех интерфейсах
scrub in all

#------------------------------
# PORT MAPPED
#------------------------------

 

 

nat pass on $ext_if_ua from 10.20.0.0/16 to any -> W.W.W.W/27 round-robin sticky-address static-port
nat pass on $ext_if_world from 10.20.0.0/16 to any -> W.W.W.W/27 round-robin sticky-address static-port

 

 

Изменения выделил жирным...

Ссылка на сообщение
Поделиться на других сайтах

проблемма снова появилась...

снова проблемма с натом..  недогузка страниц, не работают приложения контакта, недокачивает файлы...

 

кто то дружит с FreeBSD 10 + pf nat.. 

Ссылка на сообщение
Поделиться на других сайтах

проблемма снова появилась...

снова проблемма с натом..  недогузка страниц, не работают приложения контакта, недокачивает файлы...

 

кто то дружит с FreeBSD 10 + pf nat.. 

увеличьте максимальное количество отслеживаемых соединений

Ссылка на сообщение
Поделиться на других сайтах

А лучше linux поставьте, НАТ настроить на любом дистрибутиве 1 минуту займет.

его точно так же надо уметь готовить. а менять дистрибутив только из-за одной задачи? увольте.

Ссылка на сообщение
Поделиться на других сайтах

 

А лучше linux поставьте, НАТ настроить на любом дистрибутиве 1 минуту займет.

его точно так же надо уметь готовить. а менять дистрибутив только из-за одной задачи? увольте.

 

Не, готовить его не нужно. Подправить размер conntrack(таблицы состояний) 1 строчкой и включить NAT еще одной. Все, готов NAT-box.

Для больших объемов трафика можно потюнинговать, но это вовсе не обязательно.

Ссылка на сообщение
Поделиться на других сайтах

 

 

А лучше linux поставьте, НАТ настроить на любом дистрибутиве 1 минуту займет.

его точно так же надо уметь готовить. а менять дистрибутив только из-за одной задачи? увольте.

 

Не, готовить его не нужно. Подправить размер conntrack(таблицы состояний) 1 строчкой и включить NAT еще одной. Все, готов NAT-box.

Для больших объемов трафика можно потюнинговать, но это вовсе не обязательно.

 

в pf тоже одну строчку подправить надо.

Ссылка на сообщение
Поделиться на других сайтах

 

проблемма снова появилась...

снова проблемма с натом..  недогузка страниц, не работают приложения контакта, недокачивает файлы...

 

кто то дружит с FreeBSD 10 + pf nat.. 

увеличьте максимальное количество отслеживаемых соединений

 

Сходу не нашел такой опции. А можете на английском указать название?

В линуксе да, есть такое.

Ссылка на сообщение
Поделиться на других сайтах
  • 8 months later...

Занекропощу.

 

 В 10.1 pf отлично работает. Проблему пофиксили. C чем всех и поздравляю.

 

https://www.freebsd.org/cgi/man.cgi?query=pf%284%29&sektion=

угу, месяц как перевел 1 из насов на 10. все "воркс пропертли".

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: Sat_Odessa
      Помогите решить задачу:
      Есть 2 роутера с белыми адресами: TPLink и MikroTik. Необходима переодическая настройка (открытие/закрытие портов). С Mikrotik-oм никаких проблем нет, так как инструкций в интернете вагон и маленькая тележка. А вот с TPLink-ом загвоздка. Чтобы не открывать доступ к нему на весь мир, доступ веб-интерфейсу TPLink-а открыт только для адреса Mikrotik-а. Соответственно из локальной сети Mikrotik-а я могу попасть в настройки TPLink-а. Но иногда нужен удаленный доступ к TPLink-у из других мест.
       
      Можно ли как-то открыть на Mikrotik-е внешний порт, чтобы весь трафик из интернета на этот порт перенаправлялся на внешний IP-адрес TPLink-а? Чтобы для TPLink-а это выглядело так, как будто я подключаюсь к нему с IP-адреса Mikrotik-а.
    • Автор: Інет.укр
      Продам MS-MIC-16G б.у з гарантією 1міс.
      вартість 65 000грн 
      Варіанти оплати:
      рахунок від фоп крипта USDT на карту монобанк p.s 
       


    • Автор: Lux-Domofon
      Доброго дня, потріна допомога в налаштуванні sip server Asterisk, для ip домофонії. Виникла проблема з NAT, а також з  DTMF для відкривання дверей. 
    • Автор: Інет.укр
      Продам 3шт MS-MIC-16G ціна $4600 за 3шт.
      Гарантія 30діб
      Можливо рахунок від ФОП
    • Автор: renegade310
      Доброго дня.
      Маємо коробку A10 3030s.
      Прошивка:
               64-bit Advanced Core OS (ACOS) version 4.1.4-GR1-P5, build 81 (Sep-08-2020,09:32)           Booted from Hard Disk primary image           Number of control CPUs is set to 1           aFleX version: 2.0.0           GUI primary image (default) version 4_1_4-GR1-P5-4_1_4-gr1-p5-38           GUI secondary image version 4_1_4-GR1-P5-4_1_4-gr1-p5-38           aXAPI version: 3.0           Cylance version: N/A           Hard Disk primary image (default) version 4.1.4-GR1-P5, build 81           Hard Disk secondary image version 4.1.4-GR1-P5, build 81           Last configuration saved at Feb-9-2023, 18:37           Hardware: 8 CPUs(Stepping 9), Single 74G drive, Free storage is 34G           Total System Memory 16350 Mbytes, Free Memory 7692 Mbytes           Hardware Manufacturing Code: 175211           Current time is Feb-11-2023, 19:01           The system has been up 21 days, 1 hour, 9 minutes  
      І недавно сталася проблема що розвалився lag на ньому і в логах було таке:
       
      Feb 09 2023 16:54:12 Notice      [Router]:Interface(s)  ethernet 9,  removed from aggregator po2 Feb 09 2023 16:54:12 Notice      [Router]:Interface(s)  ethernet 10,  removed from aggregator po2 Feb 09 2023 16:54:12 Notice      [Router]:Interface(s)  ethernet 11,  removed from aggregator po1 Feb 09 2023 16:54:12 Notice      [Router]:Interface(s)  ethernet 12,  removed from aggregator po1 Feb 09 2023 16:54:11 Error       [Fail Safe]:Failed in thread LWP 6361 Feb 09 2023 16:54:11 Error       [Fail Safe]:Failed in thread LWP 6338 Feb 09 2023 16:54:11 Error       [Fail Safe]:Failed in thread LWP 6340 Feb 09 2023 16:54:11 Error       [Fail Safe]:Failed in thread 0x6f09149 Feb 09 2023 16:54:11 Error       [Fail Safe]:FailSafe timestamp 4704431868, last update time 409464572  Feb 09 2023 16:54:11 Error       [Fail Safe]:FailSafe detected problem in ALB threads. Feb 09 2023 16:54:11 Warning     [AXMON]:Detected problem in Health Monitor DataCPU1 (LWP 6216). (Last counter was -1772775275 at time 4704431868 bit 7). Feb 09 2023 16:54:11 Warning     [AXMON]:Detected problem in Health Monitor DataCPU4 (LWP 6220). (Last counter was -1460486145 at time 4704431868 bit 6). Feb 09 2023 16:54:11 Warning     [AXMON]:Detected problem in Health Monitor DataCPU0 (LWP 6215). (Last counter was -974207122 at time 4704431868 bit 5). Feb 09 2023 16:54:11 Warning     [AXMON]:Detected problem in Health Monitor DataCPU3 (LWP 6219). (Last counter was 1747921038 at time 4704431868 bit 4). Feb 09 2023 16:54:11 Warning     [AXMON]:Detected problem in Health Monitor DataCPU2 (LWP 6217). (Last counter was -1737089530 at time 4704431868 bit 3). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU1 (LWP 6216). (Last counter was -1772775275 at time 4704431789 bit 7). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU4 (LWP 6220). (Last counter was -1460486145 at time 4704431789 bit 6). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU0 (LWP 6215). (Last counter was -974207122 at time 4704431789 bit 5). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU3 (LWP 6219). (Last counter was 1747921038 at time 4704431789 bit 4). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU2 (LWP 6217). (Last counter was -1737089530 at time 4704431789 bit 3). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU1 (LWP 6216). (Last counter was -1772775275 at time 4704431713 bit 7). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU4 (LWP 6220). (Last counter was -1460486145 at time 4704431713 bit 6). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU0 (LWP 6215). (Last counter was -974207122 at time 4704431713 bit 5). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU3 (LWP 6219). (Last counter was 1747921038 at time 4704431712 bit 4). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU1 (LWP 6216). (Last counter was -1772775275 at time 4704431636 bit 7). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU4 (LWP 6220). (Last counter was -1460486145 at time 4704431636 bit 6). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU0 (LWP 6215). (Last counter was -974207122 at time 4704431636 bit 5). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU3 (LWP 6219). (Last counter was 1747921038 at time 4704431636 bit 4). Feb 09 2023 16:54:09 Warning     [AXMON]:Detected problem in Health Monitor DataCPU1 (LWP 6216). (Last counter was -1772775275 at time 4704431556 bit 7). Feb 09 2023 16:54:09 Warning     [AXMON]:Detected problem in Health Monitor DataCPU0 (LWP 6215). (Last counter was -974207122 at time 4704431556 bit 5). Feb 09 2023 16:54:09 Warning     [AXMON]:Detected problem in Health Monitor DataCPU3 (LWP 6219). (Last counter was 1747921038 at time 4704431552 bit 4).  
      Проблема була тимчасова, буквально за хвилину лаг знову зібрався і все працює.
      В чому може бути проблема?
×
×
  • Создать...