Re: [FUG-BR] IPSec (netstat -nsp pfkey)
Em 14/09/12 11:28, Breno Ribeiro escreveu: Renato, blz. Está funcionando. Nas filiais tenho roteadores draytek com ADSL e 3G, cai o ADSL o 3G sobe e quando ADSL volta o 3G pára, se minha percepção estiver certa, isso ajuda a incrementar o erro, a troca de ip's quando há queda, mas acredito não ser o único responsável pelo erro. No final do man ipsec (inclusive tem muita info de parametrizacao) tem a seguinte info: When a large database of security associations or policies is present in the kernel the SADB_DUMP and SADB_SPDDUMP operations on PF_KEY sockets may fail due to lack of space. Increasing the socket buffer size may alleviate this problem. - Bom, menos mal que não tem nenhum problema aparente. IPSEC é muito chato quanto á troca de IP, já que a autenticação é fim a fim. Sobre aumentar o buffer size, seria a variável kern.ipc.maxsockbuf! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Flow Table ou route cache No Freebsd 9
Está usando PF como NAT? PF mantém por algum tempo o estado das conexões, você pode dar um pcftl -K 0.0.0.0/0 para ele limpar as state entries[1] [1] http://www.freebsd.org/cgi/man.cgi?query=pfctlsektion=8 Em 14/09/12 09:59, Otavio Augusto escreveu: Galera estou com um problema que ainda não achei a direção do mesmo. Tenho 4 roteadores todos usando Freebsd 9 que se comunicam entre sim com links redundantes. Não é internet e sim uma intranet No geral funciona bem, quando um link cai um script troca o gateway e ele começa o transito pelo link reduntante. Até ai tudo bem. Mas quando volta para o link principal várias máquinas continuam trafegando pelo link antigo. Se eu reiniciar o roteador volta ao normal Notei que isto fica neste estado considerando que as portas de destino são as mesmas. Mesmo fechando a conexao e abrindo outra. O mesmo ocorre com icmp ( ping ). Primeiro fui procurar por flowtable mas não achei nada no sysctl para esta opção. E segundo route cache mas ão achei documentação falando disto para o FreeBSD. ( Venho do linux) Alguém sabe por onde posso começar. Isto ja começou a me perturbar. Desde já agradeço. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Flow Table ou route cache No Freebsd 9
Nao eh mais fácil sincronizar os estados com pfsync? -- Eduardo Schoedler Enviado via iPhone Em 16/09/2012, às 11:18, Renato Frederick ren...@frederick.eti.br escreveu: Está usando PF como NAT? PF mantém por algum tempo o estado das conexões, você pode dar um pcftl -K 0.0.0.0/0 para ele limpar as state entries[1] [1] http://www.freebsd.org/cgi/man.cgi?query=pfctlsektion=8 Em 14/09/12 09:59, Otavio Augusto escreveu: Galera estou com um problema que ainda não achei a direção do mesmo. Tenho 4 roteadores todos usando Freebsd 9 que se comunicam entre sim com links redundantes. Não é internet e sim uma intranet No geral funciona bem, quando um link cai um script troca o gateway e ele começa o transito pelo link reduntante. Até ai tudo bem. Mas quando volta para o link principal várias máquinas continuam trafegando pelo link antigo. Se eu reiniciar o roteador volta ao normal Notei que isto fica neste estado considerando que as portas de destino são as mesmas. Mesmo fechando a conexao e abrindo outra. O mesmo ocorre com icmp ( ping ). Primeiro fui procurar por flowtable mas não achei nada no sysctl para esta opção. E segundo route cache mas ão achei documentação falando disto para o FreeBSD. ( Venho do linux) Alguém sabe por onde posso começar. Isto ja começou a me perturbar. Desde já agradeço. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Flow Table ou route cache No Freebsd 9
Em 16/09/12 13:37, Eduardo Schoedler escreveu: Nao eh mais fácil sincronizar os estados com pfsync? -- Eduardo Schoedler Enviado via iPhone pfsync é para cluster e pelo que ele falou, há 4 caixas rodando BSD com link redudante. Mas não são 4 caixas redundantes(cluster). O que deve estar acontecendo é que no momento que o script detecta que o link caiu e faz o NAT para o outro link, as sessões nateadas anteriormente ficam ativas por algum tempo usando o antigo link. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSec (netstat -nsp pfkey)
- Mensagem original - De: Renato Frederick ren...@frederick.eti.br Para: freebsd@fug.com.br Enviadas: Domingo, 16 de Setembro de 2012 11:14:55 Assunto: Re: [FUG-BR] IPSec (netstat -nsp pfkey) Em 14/09/12 11:28, Breno Ribeiro escreveu: Renato, blz. Está funcionando. Nas filiais tenho roteadores draytek com ADSL e 3G, cai o ADSL o 3G sobe e quando ADSL volta o 3G pára, se minha percepção estiver certa, isso ajuda a incrementar o erro, a troca de ip's quando há queda, mas acredito não ser o único responsável pelo erro. No final do man ipsec (inclusive tem muita info de parametrizacao) tem a seguinte info: When a large database of security associations or policies is present in the kernel the SADB_DUMP and SADB_SPDDUMP operations on PF_KEY sockets may fail due to lack of space. Increasing the socket buffer size may alleviate this problem. - Bom, menos mal que não tem nenhum problema aparente. IPSEC é muito chato quanto á troca de IP, já que a autenticação é fim a fim. Sobre aumentar o buffer size, seria a variável kern.ipc.maxsockbuf! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Valeu pelo retorno. Eu ja tinha aumentado e nao influenciou em nada e voltei ao normal. Acreditei que pelo erro e a msg que postei anteriormente do man do racoon resolveria. :-( - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida sobre Squid com Autenticação NTLM Simultânea
Em 12/09/2012, às 22:47, Saul Figueiredo saulfelip...@gmail.com escreveu: Em 12 de setembro de 2012 22:28, Welinaldo Lopes Nascimento welina...@bsd.com.br escreveu: Klaus, realmente não tinha pensado nisto! Irei adotar sua dica... Mas se alguem souber como fazer isto no squid, ja que abrí a thread, gostaria de saber sim como implementar; Se alguem souber um link ou algum material pra estudar isto, agradeço Abraço! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd h sim, agora entendi o Klaus Schneiderhttps://plus.google.com/u/0/104626343837851187558?prsrc=4 tem razão, inclusive o squid tem uma tag que controla isso! Não sei se já foi respondido, mais procura pela acl max_user_ip . - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd