Перейти до

NAT & Пул

skybetik

Від skybetik
в Free Billing

 Share

Рекомендованные сообщения

parazit Точу Зубы

parazit

Опубліковано:
Опубліковано:

а по логам что видно?

я во фре не шарю, в линуксе можно было бы попробовать контрак таблицу увеличить

сечас настраиваю логгирование...

 

а что за таблица.. контрак?

loki Вампир

loki

Опубліковано:
Опубліковано: (відредаговано)

Покажи dmesg, и увеличь kern.ipc.nmbclusters=640000. 

Так как судя по  netstat -m у тебя их  впритык. Когда   mbuf clusters заканчиваются,  сетевуха может перейти в режим zonelimit (не отвечать по сети)

 

Покажи netstat -w 1 -d -h в час пик.

Відредаговано loki
loki Вампир

loki

Опубліковано:
Опубліковано:

Ну и еще  алгоритм  round-robin в  sticky-address не очень хороший. Советую переделать на source-hash. Ну и разнести LAN и WAN по физическим интерфейсам, если конечно это возможно. Пусть лучше коммутатор "нарезает" vlan-ы.

Вот конфиг ната, для одного из брасов. 

 

root@bras2:/ ## cat /etc/pf.conf
##Optimization
set optimization aggressive
set limit states 900000000
set limit src-nodes 900000000
set limit frags 90000000
#set timeout tcp.established 1800
 
 
#Normal traf
scrub in  all
scrub out all
 
nat on lagg1 from <local> to any -> **.**.46.0/22 source-hash
nat on lagg1 from <local> to any -> **.**.178.0/22 source-hash
no nat on lagg21 from <me> to <local1>
table <local> { 172.16.0.0/12, 10.11.11.0/24, 192.168.0.0/16 }
table <me> { 10.10.0.0/16, 10.101.100.0/24 }
 
parazit Точу Зубы

parazit

Опубліковано:
Опубліковано:

Покажи dmesg, и увеличь kern.ipc.nmbclusters=640000. 

Так как судя по  netstat -m у тебя их  впритык. Когда   mbuf clusters заканчиваются,  сетевуха может перейти в режим zonelimit (не отвечать по сети)

 

Покажи netstat -w 1 -d -h в час пик.

sysctl kern.ipc.nmbclusters

kern.ipc.nmbclusters: 746462        

 во freebsd 10  это значение по умолчанию..  оно довольно большое...  

34921/1651/    36572/    746462 mbuf clusters in use (current/cache/total/max)      еще очень далеко до MAX

 

 

 

netstat -w 1 -d -h

            input        (Total)           output

   packets  errs idrops      bytes    packets  errs      bytes colls drops

       84K     0     0        74M        83K     0        74M     0     0

       88K     0     0        78M        86K     0        78M     0     0

       85K     0     0        75M        84K     0        75M     0     0

       85K     0     0        75M        84K     0        74M     0     0

       86K     0     0        75M        85K     0        75M     0     0

       86K     0     0        77M        85K     0        77M     0     0

       89K     0     0        79M        88K     0        79M     0     0

       80K     0     0        70M        79K     0        70M     0     0

 

это при 250мб/с - не ЧНН.

завтра выложу ЧНН  

parazit Точу Зубы

parazit

Опубліковано:
Опубліковано:

подправил

pf.conf

 

#------------------------------
# Log
#------------------------------

set loginterface xxx
#set loginterface yyy


#------------------------------
# Нормализация
#------------------------------

# Максимальное количество вхождений в пул отвечающий за состояние таблицы состояний соединений (keep state)
set limit { states 5000000, src-nodes 1600000, table-entries 1600000, frags 300000 }
# изменяем время для состояния установленного tcp соединения, которое по-умолчанию черезчур большое (24часа)
set timeout { interval 10, frag 10, tcp.established 3600 }
# Устанавливаем тип оптимизации
set optimization aggressive
# Игнорируем фильтрацию на кольцевом интерфейсе
set skip on lo0
# Нормализация всего входящего трафика на всех интерфейсах
scrub in all

 

nat pass on $ext_if_ua from 10.20.0.0/16 to any -> W.W.W.W/27 round-robin sticky-address
nat pass on $ext_if_world from 10.20.0.0/16 to any -> W.W.W.W/27 round-robin sticky-address

 

 

 

ЖДУ тревожного часа
 

parazit Точу Зубы

parazit

Опубліковано:
Опубліковано:

 

Ну и еще  алгоритм  round-robin в  sticky-address не очень хороший. Советую переделать на source-hash. Ну и разнести LAN и WAN по физическим интерфейсам, если конечно это возможно. Пусть лучше коммутатор "нарезает" vlan-ы.

Вот конфиг ната, для одного из брасов. 

 

root@bras2:/ ## cat /etc/pf.conf
##Optimization
set optimization aggressive
set limit states 900000000
set limit src-nodes 900000000
set limit frags 90000000
#set timeout tcp.established 1800
 
 
#Normal traf
scrub in  all
scrub out all
 
nat on lagg1 from <local> to any -> **.**.46.0/22 source-hash
nat on lagg1 from <local> to any -> **.**.178.0/22 source-hash
no nat on lagg21 from <me> to <local1>
table <local> { 172.16.0.0/12, 10.11.11.0/24, 192.168.0.0/16 }
table <me> { 10.10.0.0/16, 10.101.100.0/24 }
 

 

round-robin sticky-address - только так люди получают нат в  постоянно одни и теже адреса из пула...

 

лан и ван   на разных сетевых..   вланы конечно же присутствуют..

 

увиличил значения оптимизации как у вас...

ждем ...

bit Точу Зубы

bit

Опубліковано:
Опубліковано:

Тоже делал попытки перехода на 10тку. Откатился назад именно по этой проблеме. Проблема с pf nat.

Первые симптомы появления проблемы - рвутся онлайн сессии. Скайп, тимвьювер, ssh.

parazit Точу Зубы

parazit

Опубліковано:
Опубліковано:

Доброе всем утро...

Ночь пережил нормально

привожу последний конфиг

 

pf.conf

#  NAT
ext_if_ua = "vlanXXX"
ext_if_world = "vlanYYY"

 

 

#------------------------------
# Log
#------------------------------


set loginterface $ext_if_ua
 

#------------------------------
# Нормализация
#------------------------------

# Максимальное количество вхождений в пул отвечающий за состояние таблицы состояний соединений (keep state)
set limit { states 900000000, src-nodes 900000000, table-entries 900000000, frags 900000000 }
# изменяем время для состояния установленного tcp соединения, которое по-умолчанию черезчур большое (24часа)
set timeout { interval 10, frag 10, tcp.established 3600 }
# Устанавливаем тип оптимизации
set optimization aggressive
# Игнорируем фильтрацию на кольцевом интерфейсе
set skip on lo0
# Нормализация всего входящего трафика на всех интерфейсах
scrub in all

#------------------------------
# PORT MAPPED
#------------------------------

 

 

nat pass on $ext_if_ua from 10.20.0.0/16 to any -> W.W.W.W/27 round-robin sticky-address static-port
nat pass on $ext_if_world from 10.20.0.0/16 to any -> W.W.W.W/27 round-robin sticky-address static-port

 

 

Изменения выделил жирным...

parazit Точу Зубы

parazit

Опубліковано:
Опубліковано:

проблемма снова появилась...

снова проблемма с натом..  недогузка страниц, не работают приложения контакта, недокачивает файлы...

 

кто то дружит с FreeBSD 10 + pf nat.. 

adeep Дракон

adeep

Опубліковано:
Опубліковано:

проблемма снова появилась...

снова проблемма с натом..  недогузка страниц, не работают приложения контакта, недокачивает файлы...

 

кто то дружит с FreeBSD 10 + pf nat.. 

увеличьте максимальное количество отслеживаемых соединений

adeep Дракон

adeep

Опубліковано:
Опубліковано:

А лучше linux поставьте, НАТ настроить на любом дистрибутиве 1 минуту займет.

его точно так же надо уметь готовить. а менять дистрибутив только из-за одной задачи? увольте.

KaYot Бог

KaYot

Опубліковано:
Опубліковано:

 

А лучше linux поставьте, НАТ настроить на любом дистрибутиве 1 минуту займет.

его точно так же надо уметь готовить. а менять дистрибутив только из-за одной задачи? увольте.

 

Не, готовить его не нужно. Подправить размер conntrack(таблицы состояний) 1 строчкой и включить NAT еще одной. Все, готов NAT-box.

Для больших объемов трафика можно потюнинговать, но это вовсе не обязательно.

adeep Дракон

adeep

Опубліковано:
Опубліковано:

 

 

А лучше linux поставьте, НАТ настроить на любом дистрибутиве 1 минуту займет.

его точно так же надо уметь готовить. а менять дистрибутив только из-за одной задачи? увольте.

 

Не, готовить его не нужно. Подправить размер conntrack(таблицы состояний) 1 строчкой и включить NAT еще одной. Все, готов NAT-box.

Для больших объемов трафика можно потюнинговать, но это вовсе не обязательно.

 

в pf тоже одну строчку подправить надо.

bit Точу Зубы

bit

Опубліковано:
Опубліковано:

 

проблемма снова появилась...

снова проблемма с натом..  недогузка страниц, не работают приложения контакта, недокачивает файлы...

 

кто то дружит с FreeBSD 10 + pf nat.. 

увеличьте максимальное количество отслеживаемых соединений

 

Сходу не нашел такой опции. А можете на английском указать название?

В линуксе да, есть такое.

  • 8 months later...
maxx Вампиреныш

maxx

Опубліковано:
Опубліковано:

Занекропощу.

 

 В 10.1 pf отлично работает. Проблему пофиксили. C чем всех и поздравляю.

 

https://www.freebsd.org/cgi/man.cgi?query=pf%284%29&sektion=

угу, месяц как перевел 1 из насов на 10. все "воркс пропертли".

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Перейти до переліку тем
×
×
  • Створити нове...