Aller au contenu

Messages recommandés

Posté(e)

Bonjour à Tous,

 

Je fais appel à vos lumières pour un problème que j'ai depuis plusieurs semaines.

J'ai deux NAS qui communiquent via un VPN en mode routage sur deux sites distants.

Le premier (un DS418) est sur un réseau avec l'IP 192.168.1.204 avec un masque en /24.

Le second (un DS216Play) est sur un réseau avec l'IP 192.168.0.204 avec un masque en /24.

Ils passent donc par un VPN qui est fourni par un pfSense (192.168.1.254) et un Mikrotik (192.168.0.254), le réseau du VPN est 10.8.0.0/24.

La passerelle internet du Mikrotik est une box en 192.168.0.1 et il y a des routes statiques sur celui ci (vers le réseau 192.168.1.0/24 en autres).

La passerelle par défaut du DS216Play (en 192.168.0.204) est le Mikrotik (en 192.168.0.254) qui fait aussi office de serveur DHCP pour le réseau 192.168.0.0/24.

 

Tout fonctionnait bien mais suite à une mise à jour de Node.JS en v12 et du paquet Service d'application Synology sur mon NAS DS216Play (qui est en 192.168.0.204), ce dernier perd souvent la route vers le NAS DS418 en 192.168.1.204 et des fois d'autres éléments du réseau.

 

Table de routage du Mikrotik:

[****@MIKRO] /ip route> print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          192.168.0.1               1
 1  DS  0.0.0.0/0                          10.8.0.1                  1
 2 A S  10.0.9.0/24                        FLToSM                    1
 3 ADC  10.8.0.0/24        10.8.0.2        FLToSM                    0
 4 ADS  90.108.***.***/32                  192.168.0.1               0
 5 ADC  192.168.0.0/24     192.168.0.254   bridge1                   0
 6 ADS  192.168.1.0/24                     10.8.0.1                  1
 7 ADS  192.168.2.0/24                     10.8.0.1                  1

 

Table de routage du DS216Play:

ash-4.3# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.254   0.0.0.0         UG    0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

 

Quand je fais alors un traceroute depuis le DS216Play vers le DS418, il emprunte directement comme route la livebox. (il n'y a pas de routes statique sur les 2 NAS).

ash-4.3# traceroute 192.168.1.204
traceroute to 192.168.1.204 (192.168.1.204), 30 hops max, 60 byte packets
 1  192.168.0.1 (192.168.0.1)  0.899 ms  0.877 ms  1.269 ms
 2  80.10.****.*** (80.10.***.***)  23.824 ms !X * *

 

Une fois que je redémarre le service réseau du DS216Play:

ash-4.3# /etc.defaults/rc.network restart

La route est bien reconnue:

ash-4.3# traceroute 192.168.1.204
traceroute to 192.168.1.204 (192.168.1.204), 30 hops max, 60 byte packets
 1  router.lan (192.168.0.254)  0.582 ms  0.550 ms  0.491 ms
 2  10.8.0.1 (10.8.0.1)  56.332 ms  56.326 ms  56.321 ms
 3  192.168.1.204 (192.168.1.204)  56.660 ms  56.658 ms  56.264 ms

 

Malheureusement cela fonctionne quelques heures et d'un coup cela bloque de nouveau.

 

Ce qui a de bizarre aussi c'est que pendant le blocage cela ne concerne que quelques hôtes, comme si il bloquait que le DS418 et les hôtes qui y sont connectés à ce moment là.

Exemples:

Pendant je ne peux pas accéder au NAS DS418:

ash-4.3# traceroute 192.168.1.204
traceroute to 192.168.1.204 (192.168.1.204), 30 hops max, 60 byte packets
 1  192.168.0.1 (192.168.0.1)  0.899 ms  0.877 ms  1.269 ms
 2  80.10.****.*** (80.10.***.***)  23.824 ms !X * *

Je peux accéder aux autres hôtes du même réseau:

ash-4.3# traceroute 192.168.1.210
traceroute to 192.168.1.210 (192.168.1.210), 30 hops max, 60 byte packets
 1  router.lan (192.168.0.254)  0.571 ms  0.554 ms  0.530 ms
 2  10.8.0.1 (10.8.0.1)  60.210 ms  60.205 ms  60.191 ms
 3  192.168.1.210 (192.168.1.210)  60.566 ms  60.168 ms  60.493 ms

 

Ce que j'ai déjà fait:

- Supprimer les paquets en question sur le DS216Play

- Mettre des routes statiques vers le réseau distant sur le DS216Play

- Réinitialiser le réseau du DS216Play

- Réinstaller le DSM du DS216Play

 

Tout cela n'a rien changé, j'en appelle donc à vos connaissances. 🙂

Posté(e)

Les logs gateway ou WAN (ou autre, je ne connais que pfSense) ne te donnent pas d'indication relative à cette perte de route ?
Qui est serveur et qui est client entre pfSense et Mikrotik ?

Posté(e)

Salut .Shad. et merci de vous pencher sur mon problème.

il y a 22 minutes, .Shad. a dit :

Les logs gateway ou WAN (ou autre, je ne connais que pfSense) ne te donnent pas d'indication relative à cette perte de route ?
Qui est serveur et qui est client entre pfSense et Mikrotik ?

 

Les logs du pfSense et du Mikrotik ne me donnent rien, pas une seule référence aux routes ou au firewall aux heures où je perds la connexion, c'est le pfSense qui est serveur.

Par contre, j'ai épluché les logs de mes deux NAS et parmi toutes les lignes de log j'ai un "Delete host IP [192.168.1.204] from Block List." qui se balade tout seul dans les logs du DS216Play... Mais aucune information sur la mise en Block list de cet hôte et j'ai regardé plusieurs fois dans cette Block list aux moments où le NAS est bloqué et la liste est vide.

J'ai vu déjà ce problème autre part dans un forum.

Je désactive le blocage automatique et je teste comme ça, je reviens vers vous après, merci.

Posté(e)

Alors j'ai testé sans le blocage automatique, cela fait le même chose.

Par contre j'ai un peu plus fouillé dans les logs du DS216Play ( dans /var/log/messages) et il y a bien une interruption de la tâche de backup qui me faisait dire qu'il y avait interruption, par contre je me suis rendu compte qu'elle était interrompu 20 minutes avant ce que disaient les logs de Hyper Backup.

Je suis donc allez voir dans les logs du pfSense et du Mikrotik à cette heure là et il y a bien une interruption de la liaison VPN avec une renégociation TLS. En cherchant un peu plus loin, je me suis rendu compte qu'elle avait lieu toutes les 1 heures.

Pour le moment j'ai ajouté ces deux paramètres dans les "Custom options" du serveur VPN (pfSense):

push "reneg-sec 0";
reneg-sec 43200;

Ce qui forcera le pfSense à renégocier toutes les 12 heures.

Je vois ce qu'il en est et vous tiens au courant.

 

Posté(e) (modifié)

Ok, ça m'intéresse beaucoup donc je suis le sujet 🙂 

PS : OpenVPN ou IPSec sur pfSense ?

Modifié par .Shad.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.