Zvláštní poruchy sítě

[darebacik]

Existuje domaca LAN v ktorej su bezne PC, NTB, TV, boxy, domace wifi AP ....
Struktura siete je nasledovna. Vsetko je to postavene na Odroid H2 na ktorom bezi proxmox 6.x zo statickou IP 192.168.1.3.
Na proxmoxe bezi KVM 192.168.1.1 (pfsense 2.5.0). Na pfSense je aj DHCP kde je rozsah nastaveny na 192.168.1.10 - 192.168.1.99.
IP adresy mimo rozsahu su nastavene staticky. pfSense je vlastne GW do internetu (bezi ako firewall router pre celu LAN).
Pred nedavnom som si na pfSense zriadil remote access cez openvpn (funguje dobre).

Predvcerom som sedel na PC v LAN (taktiez je v pfsense bindnuta MAC PC s IP 192.168.1.2) a zistil som, ze mi nefunguje inet. Nefungovalo nic ani ping na GW. Jedine co ma napadlo, bol restart PC, restart hlupeho switcha. Nepomohlo ani jedno ani druhe. Nevedel som sa pingnut na nic v LAN sieti.

Odroid H2 ma 2 sietovky, takze zrejme bude problem tam. Este ma napadlo, ze sa mozem skusit napojit z mobilu (mobilne data  (mimo domacej LAN)) cez openvpn.

Tak som to skusil a uplne normalne som sa dostal na  GW pfsense 192.168.1.1. Jednoducho z vonka cez tunel openvpn mi LAN fungovala. Tak isto mam v LAN nejake web servery, ktore mam cez reverzny proxy vystavene na internete a tieto tak isto fungovali (takze z tohto pohladu lan a wan bola OK).

Nedokazal som vyriesit tento problem, takze som Odroid H2 odpojil z 230V a opatovne pripojil naspat. Tymto sa vsetko vyriesilo, ale nemozem to povazovat za riesenie. Doteraz neviem kde bol problem.

Cital som o tom, ze pfsense nema velmi doriesene drivery pre NIC realteky, ale proxmox mu podhazuje virtio sietovky, takze nekomunikuje priamo s realtekmi aj ked fyzicky tam su realteky.

pfSense sa mi celkom paci, pouzivam to uz asi pol roka, ale neviem ci tam nebude problem s kompatinilitou freebsd a moj HW (resp. NIC).
Tento problem sa nestal prvy krat. Vobec neviem ci mam problem prisudit sietovkam, ale ked som sa dostal cez openvpn na LAN, tak som musel prejst cez WAN aj LAN sietovku.

Nema niekto napad ako to riesit ak nastane taky problem nabuduce?

[Reklama]

[Logik]

Měli ty zařízení co nefungovali přiřazenou IP? Pokud ne, byl problém v DHCP, pokud ano, tak by porucha Odroid neměla bránit v pingu na jiné zařízení. I když je samozřejmě možný, že se síťovka Odroid zbláznila a posílala do sítě takový šílenosti, že to pak nevydejchal ani switch, ale to bych spíš nečekal.

[darebacik]

Ja som sa nedostal ani na GW (z LAN) 192.168.1.1. Ale zato z vonka cez tunel som sa na 192.168.1.1 dostal.
Z vnutra sa javila cela LAN ako mrtva.
Ale mrtva nebola, kedze fungovali webowe servery, ktore su za reverznym proxy a NAT. A tak isto tunel do LAN fungoval (samozrejme to fungovalo z vonka  (ale to som uz pisal)).

[Logik]

Ja som sa nedostal ani na GW

A co s tím má co dělat ta Gateway, když jsi se podle svých slov nedostal ani na další zařízení v síti? To přece vůbec přes žádnou GW nejde. Z toho, co píšeš, jsem pochopil, že komunikace uvnitř vnitní sítě fungovala, kromě toho desktopu, kterej byl z nějakýho důvodu odříznutej. Ovšem zpravila to restart GW. Tedy je otázka, jak může GW ovlivnit provoz uvnitř sítě, teda provoz, kterej přes ní vůbec neprochází.
Proto se ptám tu IP - protože to, že z nějakého důvodu ten desktop nedostal IP adresu z DHCP serveru a tedy byl održíznutej - zní nejpravděpodobnějc. Máš na tom desktopu statickou IP adresu, nebo ji máš přidělovanou DHCP dle MAC? Pokud přidělenou DHCP, tak bych na 99% hledal problém tam, že Ti zamrz DHCP server.

Teda, pak je ještě varianta, že ta gateway si "ukradla" tu adresu toho PC, takže by v síti vznikla duplicita IP a tím tu IP znefunkčnil pro oba - zatímco zbytek sítě by furt zůstal funkční (na servery se podle Tebe dostat šlo) - jinej mechanismus, jak by nějaký problém na GW (tedy spravitelný restartem GW) mohl ovlivnit komunikaci uvnitř sítě mne nenapadá.
PS: Doufám teda, že nemáš provoz uvnitř lokální sítě routovanej přes ten Odroid.....

[Lukas1500]

Nezachytilo se něco zajímavého v logách na pfsense?

[Reklama]

[darebacik]

Ja som sa nedostal ani na GW

A co s tím má co dělat ta Gateway, když jsi se podle svých slov nedostal ani na další zařízení v síti? To přece vůbec přes žádnou GW nejde. Z toho, co píšeš, jsem pochopil, že komunikace uvnitř vnitní sítě fungovala, kromě toho desktopu, kterej byl z nějakýho důvodu odříznutej. Ovšem zpravila to restart GW. Tedy je otázka, jak může GW ovlivnit provoz uvnitř sítě, teda provoz, kterej přes ní vůbec neprochází.
Proto se ptám tu IP - protože to, že z nějakého důvodu ten desktop nedostal IP adresu z DHCP serveru a tedy byl održíznutej - zní nejpravděpodobnějc. Máš na tom desktopu statickou IP adresu, nebo ji máš přidělovanou DHCP dle MAC? Pokud přidělenou DHCP, tak bych na 99% hledal problém tam, že Ti zamrz DHCP server.

Teda, pak je ještě varianta, že ta gateway si "ukradla" tu adresu toho PC, takže by v síti vznikla duplicita IP a tím tu IP znefunkčnil pro oba - zatímco zbytek sítě by furt zůstal funkční (na servery se podle Tebe dostat šlo) - jinej mechanismus, jak by nějaký problém na GW (tedy spravitelný restartem GW) mohl ovlivnit komunikaci uvnitř sítě mne nenapadá.
PS: Doufám teda, že nemáš provoz uvnitř lokální sítě routovanej přes ten Odroid.....

Na desktope som samozrejme skusal nastavit IP rucne, ale ani tak som nikde nepingol (cize ak by bol dhcp off, tak rucne nastavenie IP by zabralo).
V pfSence mam nastavene mapovanie MAC na IP adresu (nie na vsetky zariadenia, ale na desktop urcite ano)

[Logik]

...som skusal...

Takže ji máš opravdu dynamickou a přidělenou DHCP. Chybu bych tedy hledal tam, zkus prohledat logy DHCP serveru, jestli Ti něco nenapoví.

nastavit IP rucne,

A že nepomohlo ruční nastavení.... hmmm, a nastavil jsi ji opravdu dobře :-)? Např. častá chyba je nenastavit (správně) netmask. :-)A fakt to teda znamená, že jsi tu IP adresu opravdu od GW nedostal? Nebo jsi nějakou dostal, tu jsi odstranil a dal tam jinou? Nebo že byly nastavené dvě na stejném subnetu?

Kdyby se např. zbláznil firewall na GW, tak sice neprojde DHCP request, a tak nedostaneš IP adresu, ale po ručním nastavení IP adresy by vše fungovalo. Jak by ale mohl jakýkoli problém na GW zabít komunikaci, která přes tu GW vůbec nejde? Mimo tu duplikaci IP adresy myslím nic možného není. A protože dupliakce IP adresy je hodně nepravděpodobná, tak bych to fakt tipoval na DHCP problém + chyba při ručním nastavení IP (což není nic za co by ses měl stydět, to se prostě stává... :-)).

pfSence mam nastavene mapovanie MAC na IP adresu

A to znamená co? Že je tak nastavený DHCP server? Že je tak nastaven Firewall? Obojí? :-)

[darebacik]

Takto:
Na desktope mam DHCP zapnute, ale od servera DHCP dostanem stale tu istu IP vid obr.

Ked som skusal rucne nastavovat IP, tak urcite som to nastavil dobre, len teraz je otazka, ci som nahodou nevybral zly interface (sietovku). Inak ak som nastavoval siet rucne tak davam IP, masku a tak isto branu. Davam aj DNS ale na diagnostiku  LAN nema DNS vplyv.

Ospravedlnujem sa, mozno som pri vybere sietovky neklikol na wired connection ale na wifi rozhranie (to by mozno vysvetlovalo vsetko).

Co sa tyka logu z DHCP serveru, tak som to z pfSense vytiahol v case ked to nefungovalo. Log ma nieco cez 300 riadkov a svojim lajickym okom som tam nevidel nic co by nasvedcovalo nejakej chybe. Nechcem tu davat 300 riadkov logu, ale ak by si (alebo niekto) to bol ochotny prekontrolovat, tak https://textuploader.com/tsf4m

[Jose D]

Nebyvalo potřeba na pfsense s libvirt vypnout nějaký offloading na síťovce? Zní mi to nějak povědomě.

[Logik]

Ostatní IP chtěj DHCP lease zpravidla po hodině. Teda DHCP lease time je předpokládám hodina?
Ten desktop je chce nepravidelně. A to s většíma i menšíma intervalama.
Menší intervaly by šly vysvětlit tím, že nedostával odpověď - anebo restartem. Větší tím, že GW nedostávala requesty, anebo že byl desktop vypnutej.

Pokud dobře identifikuju restart v 21:44

mozno som pri vybere sietovky neklikol

No jo, klikání :-). Zlatej

Kód: [Vybrat]

ip addr

Btw., nepravidelný intervaly má i IP .57 (Mikrotic). Ten předpokládám běží furt. To je předpokládám nějaký IP, takže je správně, že chce IP? Pokud běží furt a lease time je opravdu hodina, tak je dost možný, že se Ti z nějakýho důvodu náhodně ztrácej DHCP requesty.To může bejt ten problém o kterým mluví Jose (nic o tom nevím, ale předpokládám, že on ano), nebo kdovíco jiného, ale prověřil bych to (např. z nějakýho linuxu, utilita dhclient + sledovat, kde se ty pakety ztrácej....)

[esenc]

Ostatní IP chtěj DHCP lease zpravidla po hodině. Teda DHCP lease time je předpokládám hodina?

Predpokladám skôr, že dve hodiny. Zariadenia si zvyknú pýtať renew po polke uplynutého lease time.

[darebacik]

Nebyvalo potřeba na pfsense s libvirt vypnout nějaký offloading na síťovce? Zní mi to nějak povědomě.

To neviem skusim este nieco okolo toho pohladat.

Ostatní IP chtěj DHCP lease zpravidla po hodině. Teda DHCP lease time je předpokládám hodina?

Predpokladám skôr, že dve hodiny. Zariadenia si zvyknú pýtať renew po polke uplynutého lease time.

toto je defaultne nastavene na 7200 sekund co je 2 hodky a nemal som to potrebu menit.

Ostatní IP chtěj DHCP lease zpravidla po hodině. Teda DHCP lease time je předpokládám hodina?
Ten desktop je chce nepravidelně. A to s většíma i menšíma intervalama.
Menší intervaly by šly vysvětlit tím, že nedostával odpověď - anebo restartem. Větší tím, že GW nedostávala requesty, anebo že byl desktop vypnutej.

Pokud dobře identifikuju restart v 21:44

mozno som pri vybere sietovky neklikol

No jo, klikání :-). Zlatej

Kód: [Vybrat]

ip addr

Btw., nepravidelný intervaly má i IP .57 (Mikrotic). Ten předpokládám běží furt. To je předpokládám nějaký IP, takže je správně, že chce IP? Pokud běží furt a lease time je opravdu hodina, tak je dost možný, že se Ti z nějakýho důvodu náhodně ztrácej DHCP requesty.To může bejt ten problém o kterým mluví Jose (nic o tom nevím, ale předpokládám, že on ano), nebo kdovíco jiného, ale prověřil bych to (např. z nějakýho linuxu, utilita dhclient + sledovat, kde se ty pakety ztrácej....)

Co sa tyka toho dhcp zaznamu, tak problem som zistil asi (+-) o 19:00, ale pastol som tam par hodin pred a par hodin po incidente.
----
Nerad by som znova privolaval problemy, ale skusim este pockat na podobny problem a uvidime. Ak sa budem vedeit nejakym sposobom dostat na webgui pfSense, tak by som restartol dhcp

[SB]

Opět: Jestli máte zapnuté IPv6, tak první věc, která se zkouší, tak je, kolik adres odpoví na multicastový ping z daného rozhraní počítače (ping ff02::1%<rozhraní>). Když nemáte, je třeba se zalamovat s DHCP.