Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd

pfsense - ssh sessioner fryser

1 2
Skriv svar
Permalänk
Medlem

pfsense - ssh sessioner fryser

Hej! Jag har satt upp en pfsense box här hemma för x antal månader sedan. Under den senaste tiden har dock SSH sessioner (spelar ingen roll vilken enhet jag ansluter till) börjar frysa varje gång jag försöker logga in. Ibland lyckas jag vara ansluten några minuter som max. Detta gäller endast lokala anslutningar. Har inte formaterat den ännu utan tänkte kolla med er om ni vet vart problemet kan sitta? Det är fullt möjligt att jag lyckats komma åt något jag inte minns av.

edit: Kan tilläga att alla mina anslutningar går via en annan router som agerar accesspunkt. Har tidigare kört tomato men har nu bytt (av annan anledning) till openwrt. Problemet kvarstår forfarande.

wan -> apu1c ->wrt3500l

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Vila i frid

Vad säger Wireshark om den PCAP du låter pfsense skapa när det händer?

Visa signatur

https://andersbrink.se/
https://www.userbenchmark.com/UserRun/32673274

Redigera
Citera flera Citera
Permalänk
Medlem

@hasenfrasen:
Jag får avvakta till morgondagen med resultat! Nu senast jag var inloggad så fungerade det, dock var jag inte inne någon längre stund. Får testa mer under morgondagen.

Redigera
Citera flera Citera
Permalänk
Medlem

@hasenfrasen: Wireshark ger mig ingen output på port 22 nu när jag testade för en stund sedan. Denna gång lyckades jag inte ens logga in utan den frös ~5 min sen släppte den och gav mig en timed out. Kan även lägga till att jag prövat båda med hostname och ip på samtliga datorer.

ssh connect to host web.home port 22 connection timed out
Redigera
Citera flera Citera
Permalänk
Medlem

Trodde att jag hade löst det efter en reset på båda enheterna men icket. Fungerade någon timme sedan va jag tillbaka på ruta ett. Någon som har en aning?

ping @hasenfrasen

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Vila i frid

En analys av nätverkstrafiken är ett måste för att veta vad som (inte) händer. Fixa en PCAP från både pfsense och din lokala maskin.

Visa signatur

https://andersbrink.se/
https://www.userbenchmark.com/UserRun/32673274

Redigera
Citera flera Citera
Permalänk
Medlem

@hasenfrasen:

http://s000.tinyupload.com/download.php?file_id=0533029645178...

Här är trafiken från laptopen. Från att jag loggar in till att jag lyckas logga in (dock blev väntetiden väldigt länge innan jag kom in).

Edit: Tog och pluggade ur pfsense routern ett tag och kör endast på den andra. Ska se hur det går under kvällen ..

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Vila i frid

Det finns två 192.168.1.5 samt två 192.168.1.14 på ditt lokala nätverk.

Visa signatur

https://andersbrink.se/
https://www.userbenchmark.com/UserRun/32673274

Redigera
Citera flera Citera
Permalänk
Medlem

@hasenfrasen: Jag såg att det stod det. Men hur är det möjligt? 1.5 är min raspberry och 1.14 är min laptop. Inga fler enheter var inkopplade.

Kan tillägga att problemet försvann när jag tog bort pfsense boxen. Som nämt tidigare har jag försökt med en factory reset på pfsense boxen utan att problemet försvinner.

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Vila i frid
Skrivet av llxt:

@hasenfrasen: Jag såg att det stod det. Men hur är det möjligt?

Gå till inlägget

Möjligen https://en.wikipedia.org/wiki/ARP_spoofing

Du har inte av misstag aktiverat Static ARP och blandat ihop .5 med .14?

Visa signatur

https://andersbrink.se/
https://www.userbenchmark.com/UserRun/32673274

Redigera
Citera flera Citera
Permalänk
Medlem

@hasenfrasen:

Static arp är inte aktiverat. Har satt static ip på min laptop också nu men samma problem fortfarande.

Redigera
Citera flera Citera
Permalänk
Vila i frid

På din laptop, kör kommandot: ARP -a -v

Visa signatur

https://andersbrink.se/
https://www.userbenchmark.com/UserRun/32673274

Redigera
Citera flera Citera
Permalänk
Medlem

@hasenfrasen:

laptop@master > arp -a -v
web.home (192.168.1.5) at b8:27:eb:8c:fd:28 [ether] on wlp2s0
? (192.168.1.2) at 10:0d:7f:91:73:1c [ether] on wlp2s0
router.home (192.168.1.1) at 00:0d:b9:35:e3:b2 [ether] on wlp2s0
Entries: 3	Skipped: 0	Found: 3
laptop@master > arp -v
Address                  HWtype  HWaddress           Flags Mask            Iface
web.home                 ether   00:25:22:c2:cb:c6   C                     wlp2s0
192.168.1.2              ether   10:0d:7f:91:73:1c   C                     wlp2s0
router.home              ether   00:0d:b9:35:e3:b2   C                     wlp2s0
Entries: 3	Skipped: 0	Found: 3
Redigera
Citera flera Citera
Permalänk
Vila i frid

Är du absolut säker på att ingen ansluten enhet har statisk IP satt i sin stack?

Den "andra" routern dvs AP, har den WAN, DHCP och DNS på LAN inaktiverat och kör med statiskt IP-adress (för det bör den).

Visa signatur

https://andersbrink.se/
https://www.userbenchmark.com/UserRun/32673274

Redigera
Citera flera Citera
Permalänk
Medlem

Ja, dd-wrt har dhcp inaktiverat och statisk ip. AP och router står bredvid mig. Det är endast raspberryin inkopplad. Laptopen går på wifi.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av llxt:

(spelar ingen roll vilken enhet jag ansluter till) börjar frysa varje gång jag försöker logga in. Ibland lyckas jag vara ansluten några minuter som max. Detta gäller endast lokala anslutningar.
wan -> apu1c ->wrt3500l

Gå till inlägget

* Vilka syften har wrt3500l hos dig?
* Vart någonstans i schemat ligger den dator du ansluter från?
* Vilka IP-adresser har apu1c(WAN adressen ej intressant i detta läge) och wrt3500?
* Vilka spann nyttjar Du lokalt?
* Hur ser din traceroute från den dator Du ansluter från fram till målet?

Senast redigerat Traceroute fråga
Visa signatur

Grundregel för felsökning: Bryt och begränsa.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Veni:

* Vilka syften har wrt3500l hos dig?
* Vart någonstans i schemat ligger den dator du ansluter från?
* Vilka IP-adresser har apu1c(WAN adressen ej intressant i detta läge) och wrt3500?
* Vilka spann nyttjar Du lokalt?

Gå till inlägget

* Den routern agerar wifi/switch då min apu1c endast har 3(inkluderat wan) portar.
* All utrustning kopplas via wrt3500l och vidare till pfsense.
* pfsense 192.168.1.1, wrt2500l 192.168.1.2
* Vad menar du med spann?

Hm, nu blev jag lite fundersam. En traceroute visar detta:

laptop@master | traceroute 192.168.1.1
traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av llxt:

* Vad menar du med spann?

Gå till inlägget

Hej på dig.

Ville bara ha den biten ur världen.
Hos mig så ligger WLAN på 192.168.13.0/24 för mina egna enheter med begränsad LAN åtkomst samt portalinloggning.
Gäst WLAN ligger på 192.168.21.0/24 utan krav på portalinloggning med ingen LAN åtkomst.
Och mitt LAN ligger på 192.168.11.0/24.

Allt termineras hos en pfSense som kör virtuellt, men jag har även en ALIX och en APU hemma.
APU:n är en kallreserv och ALIX:en ger mig en väg in via SSH för att köra IPMI.

Ville bara få en tydlig bild av ditt nätverk.

Skrivet av llxt:

Hm, nu blev jag lite fundersam. En traceroute visar detta:

laptop@master | traceroute 192.168.1.1
traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *
Gå till inlägget

Låter som om något inte besvarar korrekt på ICMP förfrågningar. Bäst att kolla det först. Prova med en simpel pingförfrågan.
Prova även att koppla dig förbi WLAN:et och direkt mot LAN och köra SSH.

Visa signatur

Grundregel för felsökning: Bryt och begränsa.

Redigera
Citera flera Citera
Permalänk
Medlem

Kom på en annan grej från egna problem, men det har egentligen att göra med om Du har flera separata nätverk som din pfSense hanterar. Det ena var "Bypass firewall rules for traffic on the same interface" inställningen. Utan den så hängde sig mina anslutningar till mitt 192.168.22.0/24 nät(där publika servrar ligger) så fort WinSCP eller Putty hanterade större mängder data.

Den andra var MTU värdena. MTU brukar inte vara ett problem för TCP anslutningar eftersom där förhandlar parterna med varandra om största möjliga "fönster" storlek. Kolla så att din MTU är identisk över lag.

Visa signatur

Grundregel för felsökning: Bryt och begränsa.

Redigera
Citera flera Citera
Permalänk
Medlem

@Veni:

Jag kan pinga pfsense boxen. Prövade även att aktivera "Bypass firewall rules for traffic on the same interface" utan resultat. Blir tokig på detta. Och eftersom det fungerat fint tidigare gör mig mer irriterat Sista utvägen får väl bli att flasha om SD kortet helt enkelt. MTU är även detsamma på både dd-wrt och pfsense.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av llxt:

@Veni:

Jag kan pinga pfsense boxen. Prövade även att aktivera "Bypass firewall rules for traffic on the same interface" utan resultat. Blir tokig på detta. Och eftersom det fungerat fint tidigare gör mig mer irriterat Sista utvägen får väl bli att flasha om SD kortet helt enkelt. MTU är även detsamma på både dd-wrt och pfsense.

Gå till inlägget

Hur blir det ifall Du testar direkt på LAN.et istället för att gå via WLAN:et?
För om Du får samma problem då så låter det som om trafik går åt fel håll eller kollisioner.

Din traceroute borde fungera och inte ge dig några mellanhänder(när Du testar WLAN-->LAN eller direkt på LAN:et) om allt är korrekt konfigurerat.

Dumpa även din ifconfig från din klient.

Visa signatur

Grundregel för felsökning: Bryt och begränsa.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Veni:

Hur blir det ifall Du testar direkt på LAN.et istället för att gå via WLAN:et?
För om Du får samma problem då så låter det som om trafik går åt fel håll eller kollisioner.

Gå till inlägget

Samma problem med kabel. Det är den här guiden jag följt för att sätta upp dd-wrt.

Skrivet av Veni:

Din traceroute borde fungera och inte ge dig några mellanhänder(när Du testar WLAN-->LAN eller direkt på LAN:et) om allt är korrekt konfigurerat.

Dumpa även din ifconfig från din klient.

Gå till inlägget

Vad bör jag kontrollera för att felsöka tracerouts? Kolla gärna bilderna ovan om du hittar något som är fel.

laptop@master | ifconfig
eth0: flags=-28605<UP,BROADCAST,RUNNING,MULTICAST,DYNAMIC>  mtu 1500
        inet 192.168.1.4  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::9eeb:e8ff:fe1d:250f  prefixlen 64  scopeid 0x20<link>
        ether 9c:eb:e8:1d:25:0f  txqueuelen 1000  (Ethernet)
        RX packets 513381  bytes 612276750 (583.9 MiB)
        RX errors 0  dropped 10  overruns 0  frame 0
        TX packets 341316  bytes 86178013 (82.1 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 0  (Local Loopback)
        RX packets 58688  bytes 5424398 (5.1 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 58688  bytes 5424398 (5.1 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av llxt:

Samma problem med kabel. Det är den här guiden jag följt för att sätta upp dd-wrt.
Vad bör jag kontrollera för att felsöka tracerouts? Kolla gärna bilderna ovan om du hittar något som är fel.

Gå till inlägget

Kontrollera att samtliga ICMP varianter tillåts till/från din dator och likaså från måldatorn.

Skrivet av llxt: 
laptop@master | ifconfig
eth0: flags=-28605<UP,BROADCAST,RUNNING,MULTICAST,DYNAMIC>  mtu 1500
        inet 192.168.1.4  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::9eeb:e8ff:fe1d:250f  prefixlen 64  scopeid 0x20<link>
        ether 9c:eb:e8:1d:25:0f  txqueuelen 1000  (Ethernet)
        RX packets 513381  bytes 612276750 (583.9 MiB)
        RX errors 0  dropped 10  overruns 0  frame 0
        TX packets 341316  bytes 86178013 (82.1 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 0  (Local Loopback)
        RX packets 58688  bytes 5424398 (5.1 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 58688  bytes 5424398 (5.1 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
Gå till inlägget

Inte många, men 10 paket på eth0 har förkastats. Någon som är kunnigare får kanske fylla i varför. Hos mig är det 0.
Din MTU är rätt för ett vanligt Ethernet.

Dumpa din route.

En annan fråga:
Såg i ditt exempel att Du ansluter via DNS adress.
Får Du samma problem om Du ansluter via IP-adress?

Visa signatur

Grundregel för felsökning: Bryt och begränsa.

Redigera
Citera flera Citera
Permalänk
Medlem

@Veni:

Googlade lite och kom över detta:

Citat:

On most (all?) *nix distros, traceroute uses UDP by default, not ICMP.

Så jag körde en traceroute --icmp vilket verkar ha nått målet. Något annat som spökar?

laptop@master | sudo traceroute --icmp 192.168.1.1
traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 60 byte packets
 1  router.home (192.168.1.1)  2.200 ms  3.608 ms  3.622 ms

Skrivet av Veni:

En annan fråga:
Såg i ditt exempel att Du ansluter via DNS adress.
Får Du samma problem om Du ansluter via IP-adress?

Gå till inlägget

Ja, Samma med både DNS och IP.

Redigera
Citera flera Citera
Permalänk
Vila i frid

Stäng av AP'n och kör enbart kablat med medans du felsöker.

Visa signatur

https://andersbrink.se/
https://www.userbenchmark.com/UserRun/32673274

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av llxt:

@Veni:

Googlade lite och kom över detta:
Så jag körde en traceroute --icmp vilket verkar ha nått målet. Något annat som spökar?

laptop@master | sudo traceroute --icmp 192.168.1.1
traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 60 byte packets
 1  router.home (192.168.1.1)  2.200 ms  3.608 ms  3.622 ms
Gå till inlägget

Är 192.168.1.1 samma adress som i ssh connect to host web.home port 22 connection timed out?
För det är den jag vill att Du gör en traceroute mot från samma dator som Du kör med i denna felsökningsrutin.
Tolkar jag dig rätt att Du försöker ansluta till en webbserver där hemma via SSH?

Sen att Du har problem med UDP, det får vi felsöka vid ett senare tillfälle.

Visa signatur

Grundregel för felsökning: Bryt och begränsa.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Veni:

Är 192.168.1.1 samma adress som i ssh connect to host web.home port 22 connection timed out?
För det är den jag vill att Du gör en traceroute mot från samma dator som Du kör med i denna felsökningsrutin.
Tolkar jag dig rätt att Du försöker ansluta till en webbserver där hemma via SSH?

Sen att Du har problem med UDP, det får vi felsöka vid ett senare tillfälle.

Gå till inlägget

Aha, jag trodde du menade att du ville ha en traceroute mot pfsense. Får pröva när jag är hemma nån dag. Jo det är en raspberry som jag försöker ansluta till lokalt. Dock är det samma problem om jag försöker ansluta till någon av mina andra enheter.

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem

@Veni:

Nu har jag prövat köra en icmp traceroute mot web servern och den ger mig

laptop@master | sudo traceroute --icmp 192.168.1.5
[sudo] password for master: 
traceroute to 192.168.1.5 (192.168.1.5), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  *^C~

Samma händer om jag kör med DNS. Fungerar fint mot router och ap dock.

Vad kan det bero på att jag inte kan göra en traceroute mot andra enheter (bortsett från router/ap) i hemmet?

Jag märkte nu att under tiden ssh sessionen fryser så kan jag inte heller pinga den enhet jag försöker ansluta till. Så det verkar bli totalstopp från och till när jag försöker ansluta.

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av llxt:

@Veni:

Nu har jag prövat köra en icmp traceroute mot web servern och den ger mig

laptop@master | sudo traceroute --icmp 192.168.1.5
[sudo] password for master: 
traceroute to 192.168.1.5 (192.168.1.5), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  *^C~

Samma händer om jag kör med DNS. Fungerar fint mot router och ap dock.

Vad kan det bero på att jag inte kan göra en traceroute mot andra enheter (bortsett från router/ap) i hemmet?

Jag märkte nu att under tiden ssh sessionen fryser så kan jag inte heller pinga den enhet jag försöker ansluta till. Så det verkar bli totalstopp från och till när jag försöker ansluta.

Gå till inlägget

Dumpa din route från datorn som Du utför felsökningen ifrån.

Visa signatur

Grundregel för felsökning: Bryt och begränsa.

Redigera
Citera flera Citera
Permalänk
Medlem

Bumpar denna tråd med lösning så den kan gå i graven. Formaterade SD kortet som pfsense är installerat på istället för att göra en vandlig återställning och installerade om på nytt. Det verkar ha löst problemet för mig.

Redigera
Citera flera Citera
1 2
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara