Re: pfSense (FreeBSD) firewall med netværksproblemer...

From: Anders Kvist (none@anders--kvistmail.dk.lh.bsd-dk.dk)
Date: Wed 17 Oct 2007 - 16:39:12 CEST


Date: Wed, 17 Oct 2007 16:39:12 +0200
From: Anders Kvist <none@anders--kvistmail.dk.lh.bsd-dk.dk>
To:  bsd-dk@bsd-dk.dk
Subject: Re: pfSense (FreeBSD) firewall med netværksproblemer...

Status efter en lang nats arbejde:

Planen gik på at bruge LACP til at lave link aggregation med 4 porte for
at fordele interrupt loadet. Selve interfacet blev også fint sat op, men
det kom aldrig til at virke...kan være noge her har nogle ideer:

For at lave interfacet:

ifconfig lagg0 create
ifconfig lagg0 up laggproto lacp laggport em4 laggport em5 laggport em6
laggport em7
ifconfig down em4
ifconfig down em5
ifconfig down em6
ifconfig down em7
ifconfig up em4
ifconfig up em5
ifconfig up em6
ifconfig up em7

Ja, medlemmerne i LAG'en skal åbenbart lige ned og op igen efter den er
sat op, ellers kommer linket ikke aktivt...

lagg0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet6 fe80::204:23ff:fe64:8a22%lagg0 prefixlen 64 scopeid 0x9
        inet 10.0.1.15 netmask 0xff000000 broadcast 10.0.0.255
        ether 00:14:22:11:8c:1b
        media: Ethernet autoselect
        status: active
        lagg: laggproto lacp
                laggport em7 =1c<ACTIVE,COLLECTING,DISTRIBUTING>
                laggport em6 =1c<ACTIVE,COLLECTING,DISTRIBUTING>
                laggport em5 =1c<ACTIVE,COLLECTING,DISTRIBUTING>
                laggport em4 =1c<ACTIVE,COLLECTING,DISTRIBUTING>

Det hele ser ud til at virke som det skal, både freebsd'en og switchen
er enige om at linket er oppe. Hvis jeg sniffer på interfacet får jeg
enda nogle ARP pakker fra den anden ende og nogle LACPv1 pakker. Samme
gælder hvis jeg pinger 10.0.1.15 fra det netværk, jeg ser en ARP
forespørgsel og svar afsendt. Hvis jeg sniffer på maskinen jeg pinger
fra, så kommer ARP svaret aldrig. Hvis jeg pinger en anden host på
netværket fra interfacet får jeg:

# ping 10.0.1.120
PING 10.0.1.120 (10.0.1.120): 56 data bytes
ping: sendto: Operation not permitted
ping: sendto: Operation not permitted
ping: sendto: Operation not permitted
ping: sendto: Operation not permitted
ping: sendto: Operation not permitted
^C
--- 10.0.1.120 ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss

Lugter lidt af interfacet ikke accepterer at blive brugt...fedt! Nogen
ideer?

/Anders



This archive was generated by hypermail 2b30 : Wed 31 Oct 2007 - 23:00:02 CET