Премини към съдържанието
pinki

PFSENSE - настроен като gateway - процес на 100%

Препоръчан отговор


Здравейте,

PFsense нещо ми прави номера от няколко дни и заради това не мога да си върша останалата работа. Като се логна под ssh на системата и дам top -S ми показва:

   11 root        1  76 ki-31     0K     8K RUN     19:53 100.00% idle: cpu0

Давам му kill -9 11 и процесът се сменя на :

   11 root        1  76 ki-6     0K     8K RUN     19:53 100.00% idle: cpu0


Този вече не мога да го килна и си седи постоянно на 100%. Съответно, интернетът е страшно бавен и непродуктивен.... Инфото в нета, което намирам, не помага с нищо. Pooling опцията си е изключена по подразбиране. Намерих и статия за функцията radius, но не мисля, че е и това.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте,

PFsense нещо ми прави номера от няколко дни и заради това не мога да си върша останалата работа. Като се логна под ssh на системата и дам top -S ми показва:

   11 root        1  76 ki-31     0K     8K RUN     19:53 100.00% idle: cpu0

Давам му kill -9 11 и процесът се сменя на :

   11 root        1  76 ki-6     0K     8K RUN     19:53 100.00% idle: cpu0


Този вече не мога да го килна и си седи постоянно на 100%. Съответно, интернетът е страшно бавен и непродуктивен.... Инфото в нета, което намирам, не помага с нищо. Pooling опцията си е изключена по подразбиране. Намерих и статия за функцията radius, но не мисля, че е и това.

Щом сам се стартира отново, значи въпросния процес се стартира от друг процес, който следи дали съществува дъщерния и като види, че го няма го стартира. Предполагам, че ще можеш да разбереш как да видиш повече подробности за процеса, както и къде е изпълнимия файл. От там може да разбереш на коя програма принадлежи, а от тук и да потърсъш повече информация за нея, настройката й и работата с нея.

 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Ами то е системен процес и има respawn. Тоест като спре и int-а пак го пуска, така е настроен. Трябва сигурно update на тази програма или промяна на конфигурацията и.

Редактирано от Melmak ® (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Значи, тая глупост я преинсталирах преди седмица и е със свежи настройки и само с две правила - за ssh и за RDP. Ето това е мега тъпо:

 

root      11 100.0  0.0     0     8  ??  RL    2:35PM 149:11.58 [idle: cpu0]
root      46  0.0  0.0     0     8  ??  DL    2:35PM   0:00.01 [idlepoll]


А през уеб интерфейса показва, че pool сървисът е спрян. Като ги килвам тези PID (11 и 46) не става нищо. Не излиза грешка, но и не убива процесите, за даради тях CPU  е на 100% и едвам има нет. Няма бащин просцес, или поне не намирам такъв. Има страшно оскъдна информация в нета за този казус...

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Понякога такива процеси не можеш да ги спреш, и по принцип не консумират от ресурсите на машината. Наричат ги зомби процеси, това може да се проследи с команда top (отбелязани са със знак Z).

Друга вероятност е някакъв бъг в системата / хардуера, опитай с reboot на машината (при този случай в команда top процеса е със знак D). Ъпдейт също е добре да се направи.

Редактирано от techmaniac (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Понякога такива процеси не можеш да ги спреш, и по принцип не консумират от ресурсите на машината. Наричат ги зомби процеси, това може да се проследи с команда top (отбелязани са със знак Z).

Друга вероятност е някакъв бъг в системата / хардуера, опитай с reboot на машината (при този случай в команда top процеса е със знак D). Ъпдейт също е добре да се направи.

Това няма нищо общо със зомби процеси, виж че PID-а е различен. Вероятно inittab го респаунва

  • Харесва ми 1

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Не са зомби процеси. Горното е точно от top -S, но не мисля  и че има демон, който да следи, ако спрат да работят и ги респаунва, защото за самото респаунване ще е нужно някакво време (поне 1 - 3 секунди), а в случая, убивам процеса и веднага давам top, за да видя какво се случва и - кор. Изобщо не стига да прекратяването му.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Не са зомби процеси. Горното е точно от top -S, но не мисля  и че има демон, който да следи, ако спрат да работят и ги респаунва, защото за самото респаунване ще е нужно някакво време (поне 1 - 3 секунди), а в случая, убивам процеса и веднага давам top, за да видя какво се случва и - кор. Изобщо не стига да прекратяването му.

погледни какво пише в /etc/inittab

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Това си е някакъв самостоятелен (standalone) pfsense, който си има собствен, орязан линукс. Файла го няма

 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Това си е някакъв самостоятелен (standalone) pfsense, който си има собствен, орязан линукс. Файла го няма

 

ТОва не е линукс а е базирано на FreeBSD (и май наистина няма inittab)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Кофти работа. Другият ми вариант е да сетна windows 2012 за gateway и да се надявам това да реши проблема със скоростта.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Интернетът (международния) е ОК, но само от машината, където съм направил от един windows 2012 gateway сървър. Всичко зад него е зле. Зад него има просто два Domain Controllers, но не виждам как те биха имали общо със скоростта... Факт е, че DC2 има проблеми и не репликира DC1, но пак е странно.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Интернетът (международния) е ОК, но само от машината, където съм направил от един windows 2012 gateway сървър. Всичко зад него е зле. Зад него има просто два Domain Controllers, но не виждам как те биха имали общо със скоростта... Факт е, че DC2 има проблеми и не репликира DC1, но пак е странно.

В Интернет има информация за всичко!!! Трябва само да търсиш достатъчно време или на подходящо място. Нещата със мрежите могат да са доста сложни и в комбинация със стандартни или грешни настройки става трудно и сложно...

Ти си знаеш какво има в мрежата и как е настроено, освен това което споделяш в темата. Разшири наблюдаваните устройства, уточни къде и по кое време има проблем, с какво ТОЧНО е проблема и т.н. Тествай едно по едно устройствата и постепенно ще стесниш вероятностите и ще намериш конкретна информация в Интернет. Вероятно има разлика между Linux и FreeBSD, дори и малка.

Редактирано от supervas (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Последвах много препоръки, намерени в мрежата, но те се отразяват само на самата машина. Международния нет за всички машини зад gateway си остава бавен.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Последвах много препоръки, намерени в мрежата, но те се отразяват само на самата машина. Международния нет за всички машини зад gateway си остава бавен.

Кога се е появил този проблем? Каква е ситуацията по време на проблема с брой работещи компютри, трафик в мрежата, статистика на трафика на рутиращата машина по протоколи? Какви са всички останали компютри (операционна система и задачи, които изпълняват) зад гейтуей-а?

За да разбереш какво трябва да оправиш, трябва да знаеш какво е счупено. Бавният международен Интернет е само следствие от проблема, който трябва да се оправи. Видях, че системата има и WEB интерфейс. Там има картинки и е по-разбираемо (надявам се). Може да има и тестове, диагностика и други полезни инструменти. Една идея: ако проблема е наличен само при международния трафик (сигурен ли си) има вероятност да има проблем с рутирането му.

Не знам, защо не харесвате графичния интерфейс на сървърите?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Coolbox от доставчика -> суич > Gateway (windows server 2012) -> DC -> PCs

Вече подозирам виновника, но не разбирам защо е така. Имаме два domain controllers. Вторият е счупен и не иска да репликара от първия, не иска да създава потребители и постоянно дава някакви грешки, свързани с DNS и (DHCP??). DC 2 беше гръмнала преди време и я спасих като виртуална машина, а в нета пише, че това може да доведе до подобни проблеми. Малко след това, на DC 1 бях създал много тъпа домейн зона, която счупи самия DC1. Успях да го възстановя, но тогава разбрах, че DC2 не работи, защото не можех да се логна с него и да му сменя IP адреса, за да поеме гункцията на DC1. Тоест, по това време (след миграцията), DC2 вече е спрял да си върши работата като domain controller. Как стигнах до заключението, че DC2 е вероятната причина. Ако сменя IP адреса на DC2 с друг, или изключа виртуалката - няма интернет. Доколкото разбирам, двете машини трябва постоянно да си говорят, за да се синкват помежду си и те си говорят, ама не се синкват. И тези разговори отнемат ресурси и, най важното - мрежови. Това мисля, че е проблема и ако е това, то това е лошо, щото нямам никаква представа как да оправя DC2, така че да се синква с DC1.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Coolbox от доставчика -> суич > Gateway (windows server 2012) -> DC -> PCs

Вече подозирам виновника, но не разбирам защо е така. Имаме два domain controllers. Вторият е счупен и не иска да репликара от първия, не иска да създава потребители и постоянно дава някакви грешки, свързани с DNS и (DHCP??). DC 2 беше гръмнала преди време и я спасих като виртуална машина, а в нета пише, че това може да доведе до подобни проблеми. Малко след това, на DC 1 бях създал много тъпа домейн зона, която счупи самия DC1. Успях да го възстановя, но тогава разбрах, че DC2 не работи, защото не можех да се логна с него и да му сменя IP адреса, за да поеме гункцията на DC1. Тоест, по това време (след миграцията), DC2 вече е спрял да си върши работата като domain controller. Как стигнах до заключението, че DC2 е вероятната причина. Ако сменя IP адреса на DC2 с друг, или изключа виртуалката - няма интернет. Доколкото разбирам, двете машини трябва постоянно да си говорят, за да се синкват помежду си и те си говорят, ама не се синкват. И тези разговори отнемат ресурси и, най важното - мрежови. Това мисля, че е проблема и ако е това, то това е лошо, щото нямам никаква представа как да оправя DC2, така че да се синква с DC1.

Нямам представа какъв е обема на трафика между двете машини, но евентуално може да може да се настрои периода, през който да се актуализират. Евентуално да се използва компресия, изпращане само на промените. Затова ще намириш информация в мрежата, аз само давам идеи. Може да видиш и лог файловете на Windows-а. Те са подредени по роли и по процеси, така, че лесно ще се ориентираш и ще видиш съобщения за грешки, които ще те насочат към нещо по-конкретно.

Щом обаче все пак има Интернет, дори и бавен. Може лесно да видиш разликата му от всеки един вид компютри в мрежата. За целта може да използваш команди като ping, tracert, pathping и други, до едни и същи адреси. Така лесно ще видиш ако има някъде разлика по маршрутите и закъсненията за различните компютри. Щом казваш, че от рутираща няма проблеми, а от останалите има, вероятно ще забележиш нещо.

  • Харесва ми 1

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Не е от DC2. Възстанових направо оригиналния HDD, но пак си е наакано. В понеделник, като имам повече време, ще почна машина по машина, както Вие предложихте.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Не е от DC2. Възстанових направо оригиналния HDD, но пак си е наакано. В понеделник, като имам повече време, ще почна машина по машина, както Вие предложихте.

Малко материали по темата за синхронизиране на домейн контролерите:

Статия за Windows Server 2000: https://msdn.microsoft.com/en-us/library/bb742457.aspx#ECAA

Мисля, че ще схванеш идеята и ще намериш еквивалента при версия 2012. Някои варианти могат да се окажат съвсем различни, минали са 12 години между версиите все пак. Там се вижда, че има и компресиран трафик. Освен това има и график за синхронизирането на компютрите, който може да се настройва. Продължавам да нямам представа за обема на трафика на синхронизирането, но той зависи от честотата на промените. Често ли има такива? Ако не са често, а проблема със скоростта е постоянен, вероятно не си се насочил в правилната посока.

Друга идея за проблем е ако се прави опит за достъп до неработещия контролер и минава време докато се пренасочи заявката към работещия или евентуално единия не се синхронизира по графика и при всяка заявка той се синхронзизира, което натоварва мрежата.

При тестовете с командите за маршрутите е добре да си намериш графича програма за наблюдение. Такива има и безплатни. Може да си направиш и скриптове, разбира се и като ги сложиш за изпълнение по график... ще имаш повече свободно време. Казваш че виждаш грешки за DNS и DHCP, това са основни функции и ако там има проблем с конфигурирането, то не се изненадвай, че имаш други проблеми. Като тестваш различни адреси тествай ги по име и по IP адрес. Така евентуално ще тестваш и DNS системата. Вероятно е добре първо да изчистиш DNS кеша.

А ако въпреки положените условия, има проблеми, то ако можеш да докараш чиста инсталация до работещо състояние може да пробваш и този вариант. Първо единия контролер после и другия.

Още нещо, но важно. При настройването на ролите имаше и някаква автоматична диагностика за всяка от тях, ползвай я.

Редактирано от supervas (преглед на промените)
  • Харесва ми 1

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

OK, двата DC вече се репликират и всичко е 6, само че нетът продължава да е отчайващ. Минах обратно на PFsense и се ровя там, ама нищо нередно не намирам

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Виж му логовете. Много е възможно да си казва какво не му е наред.

За мен възможните сценарии са:

- някой те атакува и това е резултата

- конфигурацията е грешна /или зависимите услуги (база данни?)/

- бъг в програмата

Имай в предвид, че нито го ползвам, нито съм pro в областта.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

OK, двата DC вече се репликират и всичко е 6, само че нетът продължава да е отчайващ. Минах обратно на PFsense и се ровя там, ама нищо нередно не намирам

Беше споменал, че виждаш грешки относно DNS и DHCP. Тях изчисти ли ги? Изобщо отстранявай всички забелязани грешки. Това винаги е полезно.

Опиши отново ситуацията като дадеш малко повече конкретна информация. Нещо като статистика, времена, скорости и др. Помисли си от кога съществува проблема и какво е правено около този момент.

 

  • Харесва ми 1

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Логовете, последно, нищо не показваха. Грешките бяха, когато бях в DC2. Всичко почна от грешно създадена домейн зона. Тогаваха паднаха двата DC. Към момента и двата работят и репликират и са на физически машини. Имаме два firewall - един с pfsense, който мъча от доста време и един на windows, който е вътрешен. Само там още не съм пипал. Като цяло, ням от къде другаде да минават заявките. От някоя машина заявката отива към gateway (не мисля, че изобщо минава през DC), после през устройството на ISP и после ходи навън. Не виждам къде толко' ще го мота. Като му дам tracert -j abv.bg ми дава само request timed out, a като е само tracert abv.bg -

tracert  abv.bg

Tracing route to abv.bg [194.153.145.104]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  gateway.easti-bg.com [192.168.2.254]
  2     1 ms     3 ms    <1 ms  94.155.94.14
  3    <1 ms    <1 ms    <1 ms  netinfo.bix.bg [193.169.198.168]
  4    <1 ms    <1 ms    <1 ms  abv.bg [194.153.145.104]

Trace complete.

 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

И естествено един глупав теоретичен въпрос. Колко ще е сложно да се махне и да се ползва Linux-а за тази цел? Те съображенията са от гледна точка на сигурността, иначе не виждам проблем да минеш без тази програма за Gateway.

Още повече в нета забелязвам, че има склонност да създава описаните проблеми.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

То си е BSD+Pfsense. Такава си е дистрибуцията.

  • Харесва ми 1

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Регистрирайте се или влезете в профила си за да коментирате

Трябва да имате регистрация за да може да коментирате това

Регистрирайте се

Създайте нова регистрация в нашия форум. Лесно е!

Нова регистрация

Вход

Имате регистрация? Влезте от тук.

Вход

×

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите условия за ползване.