Freebsd7 Netwerk Problem

[net]

Hi,

ich habe mein System von 6 auf 7 geupdatet. Danach hab ich einen sehr schlechten Upload der nach einer Zeit stirbt. Auch wenn ich in der ssh console viele daten bekomme stirbt die Verbindung.

Ich habe ipfw und natd im Einsatz. Der Fehler ist weg, wenn ich die Zeile

${fwcmd} add divert natd all from any to any via ${interface}

entferne.

Hat jemand eine Idee, wo ich nachsehen könnte?

gruß
Christian

 

[actro]

Nur mal rein interessehalber: AMD oder Intel?

 

[net]

Es ist ein Intel rechner, die genaue bezeichnung der cpus hab ich nicht im Kopf.
Die Netzwerkkarten sind auch von Intel.
Ich nutze 7.0-Release 32 Bit.

Wenns hilft poste ich ein dmesg, wenn ich wieder an die Maschine komme.

 

[.mp]

Ich persönlich benutze kein ipfw, aber wieso steht da eigentlich "from any to any" ? Kannst du da nicht irgendwie "from ${internal_net} to any" oder so machen?

Möglicherweise legt deine derzeitige Regel ja in beide Richtungen states an, was nach ner Weile dazu führt, daß das Prüfen der states immer länger und länger dauert, weil es einfach viel zu viele gibt.

Nur so ein Schuß ins Blaue..


Gruß

 

[actro]

Ich hab ein ähnliches Problem mit NFS gehabt, allerdings habe ich es durch ein hinzufügen von

 -rxcsum -txcsum

in die ifconfig-zeile der rc.conf umgehen können.
Ist mit Sicherheit nicht der Weisheit letzter Schluß, aber es wird wohl erst einmal so gehen, bis der Fehler im Source bereinigt ist.

 

[net]

Hi,

-rxcsum -txcsum hatte ich ausprobiert, allerdings auch ohne erfolg.

die ipfw regel mit from any to any via {iface} habe ich auch so von 6.2 übernommen, sollte es also auch nicht sein.

In den messages kommen keine Meldungen vom Kernel, nur sshd meldet eine broken pipe, wenn die verbindung abbricht.

 

[net]

nochmal ein paar mehr infos:

Netzwerkkarte:

em0: <Intel(R) PRO/1000 Network Connection Version - 6.7.3> port 0x2000-0x201f mem 0xda000000-0xda01ffff irq 18 at device 0.0 on pci4
em0: Using MSI interrupt
em0: Ethernet address: 00:30:48:8b:95:a8
em0: [FILTER]
ipfw2 (+ipv6) initialized, divert enabled, rule-based forwarding disabled, default to deny, logging limited to 100 packets/entry by default

Setup:
Auf lo0 liegen das interne Netz 192.168.15.0/24. Darauf die jails. Das Hostsystem und die "externen" ips liegen auf em0 im netz 192.168.50.0/24

natd.conf:
interface em0
dynamic yes
unregistered_only yes
redirect_address 192.168.15.20 192.168.50.252
redirect_address 192.168.15.21 192.168.50.253

ipfw.rules
${fwcmd} add divert natd all from any to 192.168.50.252 in via ${interface}
${fwcmd} add divert natd all from any to 192.168.50.253 in via ${interface}
${fwcmd} add divert natd all from 192.168.15.0/24  to any out via ${interface}

Zum testen habe ich 2 Webserver:
Auf dem Host (192.168.50.251)
In einer Jail (192.168.50.253 per nat auf 192.168.15.21)

Auf beiden Servern liegen 2 große Dateien, wget results:

Vom Host läuft der Download mit 11mb/s
Von der Jail nur mit 6kb/s

Mir ist aufgefallen, dass der Download von der Jail laut netstat -sr viele destination not found unreachable ausgibt.

# netstat -sr
routing:
        0 bad routing redirects
        0 dynamically created routes
        0 new gateways due to redirects
        4294941595 destinations found unreachable
        0 uses of a wildcard route
        1 route not in table but not freed

ein tcpdump -i em0

14:52:17.015529 IP 192.168.50.111.39508 > 192.168.50.253.http: . ack 99084 win 501 <nop,nop,timestamp 5663089 490120636>
14:52:17.156823 STP 802.1d, Config, Flags [none], bridge-id 8000.00:14:c1:1d:fc:3d.8001, length 43
14:52:17.244902 IP 192.168.50.253.http > 192.168.50.111.39508: . 99084:100520(1436) ack 1 win 8257 <nop,nop,timestamp 490120866 5663089>

ein tcpdump -i lo0

14:53:11.295518 IP 192.168.15.21 > 192.168.15.21: ICMP 192.168.50.111 unreachable - need to frag (mtu 8030), length 36
14:53:11.525633 IP 192.168.15.21 > 192.168.15.21: ICMP 192.168.50.111 unreachable - need to frag (mtu 8030), length 36
14:53:11.755500 IP 192.168.15.21 > 192.168.15.21: ICMP 192.168.50.111 unreachable - need to frag (mtu 8030), length 36
14:53:11.985616 IP 192.168.15.21 > 192.168.15.21: ICMP 192.168.50.111 unreachable - need to frag (mtu 8030), length 36

was mich wundert, ein natd from any to any via em0 klappte unter 6.2 noch.