The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Проблема с VPN сервером, после обновления до 12"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Сеть. проблемы, диагностика / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Проблема с VPN сервером, после обновления до 12"  +1 +/
Сообщение от sherlockemail (ok), 03-Фев-19, 15:01 
После обновления с 11p8 на 12 перестал ходить трафик внутри VPN соединений (PPTP & L2TP на базе MPD5), если они устанавливаются к серверу или сервер является инициатором, сквозные при этом работают, конфигурация не менялась, просто обновился.

Схема такая, инет через VPN провайдера - интерфейс ng0, на нем существует VPN сервер и вот если клиент приходит со стороны инета, т.е. через ng0, то соединение устанавливается, канал ngX поднимается, трафик от клиента приходит, а ответ на него виден на интерфейсе, то клиент его не получает, т.е. канал мертв.

Если этот клиент приходит с локалки, т.е. не через ng0, то все хорошо работает.
Получается, все доп. туннели, которые поднимаются сервером внутри главного - не работают. В логах появилась такая ошибка:

kernel: ng0: if_output recursively called too many (2)

нагуглил, что ограничение на кол-во туннелей в туннеле можно увеличить командой
sysctl net.link. что-то max_nested (точно не помню), эффекта не дало

подскажите, что такое изменилось в ядре 12, что у меня перестало работать, в описании релиза ничего похожего не нашел

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от Аноним (1), 03-Фев-19, 15:39 
> Схема такая, инет через VPN провайдера - интерфейс ng0, на нем существует
> VPN сервер и вот если клиент приходит со стороны инета, т.е.
> через ng0, то соединение устанавливается, канал ngX поднимается, трафик от клиента
> приходит, а ответ на него виден на интерфейсе, то клиент его
> не получает, т.е. канал мертв.

нихера не понял, но очень интересно

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от sherlockemail (ok), 03-Фев-19, 17:15 
> нихера не понял, но очень интересно

Попробую еще раз пояснить:

Сервер поднимает VPN (PPTP) до провайдера, получая туннель в интернет (ng0) и он работает прекрасно. Если после этого сервер поднимает еще один туннель куда-нить? но через ng0, хоть PPTP, хоть L2TP, то он поднимается, но не работает, трафик не бегает, tcpdump на в этом интерфейсе показывает, то трафик уходит, но ответа нет (другая сторона не получает ничего).
Что делать?

да, все сделано на одном mpd (настроены 2 клиента и 2 сервера PPTP и L2TP)

вот это не помогло

net.link.gif.max_nesting=3

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от михалыч (ok), 03-Фев-19, 17:43 
>[оверквотинг удален]
> он работает прекрасно. Если после этого сервер поднимает еще один туннель
> куда-нить? но через ng0, хоть PPTP, хоть L2TP, то он поднимается,
> но не работает, трафик не бегает, tcpdump на в этом интерфейсе
> показывает, то трафик уходит, но ответа нет (другая сторона не получает
> ничего).
> Что делать?
> да, все сделано на одном mpd (настроены 2 клиента и 2 сервера
> PPTP и L2TP)
> вот это не помогло
> net.link.gif.max_nesting=3

vpn через vpn штолe?
может пакет не лезет? mtu изменить?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от Pahanivo (ok), 03-Фев-19, 22:18 
Для полноты картины афтару надо поднять DialUp over VoIP ...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от sherlock (ok), 04-Фев-19, 04:54 
> Для полноты картины афтару надо поднять DialUp over VoIP ...

Не уместно, дома половина Россиян именно так и делает, VPN - к прову, потом внутри VPN для торрентов, и я написал для чего это мне. Решение такое, добавил в в конфиг ядра:

#define MAX_GIF_NEST 10
#define MAX_GRE_NEST 10

ядро соберёться, проверю

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

19. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от Pahanivo (ok), 04-Фев-19, 22:52 
>> Для полноты картины афтару надо поднять DialUp over VoIP ...
> Не уместно, дома половина Россиян именно так и делает, VPN - к
> прову, потом внутри VPN для торрентов, и я написал для чего
> это мне. Решение такое, добавил в в конфиг ядра:

Масштабно мыслишь, сразу по полрашки.


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

5. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от sherlock (ok), 04-Фев-19, 04:40 
>[оверквотинг удален]
>> но не работает, трафик не бегает, tcpdump на в этом интерфейсе
>> показывает, то трафик уходит, но ответа нет (другая сторона не получает
>> ничего).
>> Что делать?
>> да, все сделано на одном mpd (настроены 2 клиента и 2 сервера
>> PPTP и L2TP)
>> вот это не помогло
>> net.link.gif.max_nesting=3
> vpn через vpn штолe?
> может пакет не лезет? mtu изменить?

Нет, в 12 кардинально переделали подход именно к VPN внутри VPN, теперь так делать нельзя, хотя лазейку я нешёл, надо подправить код ядра.

Поясню, зачем мне это надо. В материнской компании заблокированы многие ресурсы, в частности вся внешняя почта, полностью сервисы майла и яндекса, а они нужны, но службе безопасности что-то либо доказывать бесполезно, потому поднимается еще один VPN, чтобы люди могли пользоваться.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от sherlock (ok), 04-Фев-19, 07:10 
Всё, проблема решена и закрыта.
Просто дорогие коллеги имейте в виду, что поднятие вложенных тоннелей (gif, gre, netgraph) с 12-ой версии FreeBSD внезакона и работать они не будут.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от Аноним (8), 04-Фев-19, 08:01 
> Всё, проблема решена и закрыта.
> Просто дорогие коллеги имейте в виду, что поднятие вложенных тоннелей (gif, gre,
> netgraph) с 12-ой версии FreeBSD внезакона и работать они не будут.

Пруф можно в студию?
Ну и решение в копилочку бы неплохо. VPN внутри VPN не юзаем, но вдруг...


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от михалыч (ok), 04-Фев-19, 08:18 
>> Всё, проблема решена и закрыта.
>> Просто дорогие коллеги имейте в виду, что поднятие вложенных тоннелей (gif, gre,
>> netgraph) с 12-ой версии FreeBSD внезакона и работать они не будут.
> Пруф можно в студию?
> Ну и решение в копилочку бы неплохо. VPN внутри VPN не юзаем,
> но вдруг...

так вот же
https://github.com/freebsd/freebsd/blob/master/sys/net/if_gif.c (стр.120-127)
https://github.com/freebsd/freebsd/blob/master/sys/net/if_gre.c (стр.111-118)

заботятся о нас так, типа "защита от дурака"

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от Аноним (8), 04-Фев-19, 08:49 
> так вот же
> https://github.com/freebsd/freebsd/blob/master/sys/net/if_gif.c (стр.120-127)
> https://github.com/freebsd/freebsd/blob/master/sys/net/if_gre.c (стр.111-118)

Спасибо

> заботятся о нас так, типа "защита от дурака"

...! ...!!!

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от eRIC (ok), 04-Фев-19, 10:21 
>> так вот же
>> https://github.com/freebsd/freebsd/blob/master/sys/net/if_gif.c (стр.120-127)
>> https://github.com/freebsd/freebsd/blob/master/sys/net/if_gre.c (стр.111-118)

спасибо за информацию. так получается через пересборку ядра можно снять ограничение.

man if_gif:
Miscellaneous
     By    default, gif tunnels may not be    nested.     This behavior may be modified
     at    runtime    by setting the sysctl(8) variable net.link.gif.max_nesting to
     the desired level of nesting.

значит не работает :(

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от михалыч (ok), 04-Фев-19, 10:50 
> man if_gif:
> Miscellaneous
>      By default, gif tunnels may not be
> nested.  This behavior may be modified
>      at runtime by setting the sysctl(8) variable
> net.link.gif.max_nesting to
>      the desired level of nesting.
> значит не работает :(

да, я тоже обратил на это внимание
и тут либо не обновили документацию,
либо надо проверить на "чистой" системе, установленной с нуля 12,
а то мало ли, чего там ТС напихал в ядро ))))

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от sherlockemail (ok), 04-Фев-19, 17:40 
>[оверквотинг удален]
>>      By default, gif tunnels may not be
>> nested.  This behavior may be modified
>>      at runtime by setting the sysctl(8) variable
>> net.link.gif.max_nesting to
>>      the desired level of nesting.
>> значит не работает :(
> да, я тоже обратил на это внимание
> и тут либо не обновили документацию,
> либо надо проверить на "чистой" системе, установленной с нуля 12,
> а то мало ли, чего там ТС напихал в ядро ))))

Вообще я после 9-ки свое ядро уже не собирал, юзал генерик и меня все устраивало, своё ядро актуально, когда памяти на машине мало, но в современном мире - это фигня вопрос.

А вот теперь снова буду собирать, для обхода этого ограничения.
И да, почему у меня через sysctl не вышло сделать, я использую netgraph (mpd) а там вообще все жестко и без правки кода не обойти

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от toge (?), 04-Фев-19, 19:22 
>[оверквотинг удален]
>> и тут либо не обновили документацию,
>> либо надо проверить на "чистой" системе, установленной с нуля 12,
>> а то мало ли, чего там ТС напихал в ядро ))))
> Вообще я после 9-ки свое ядро уже не собирал, юзал генерик и
> меня все устраивало, своё ядро актуально, когда памяти на машине мало,
> но в современном мире - это фигня вопрос.
> А вот теперь снова буду собирать, для обхода этого ограничения.
> И да, почему у меня через sysctl не вышло сделать, я использую
> netgraph (mpd) а там вообще все жестко и без правки кода
> не обойти

А если запихнуть этот sysctl не в sysctl.conf, а в loader.conf и ребут. Должно на генерик ядре заработать

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от eRIC (ok), 04-Фев-19, 20:16 
> А если запихнуть этот sysctl не в sysctl.conf, а в loader.conf и
> ребут. Должно на генерик ядре заработать

проверил на чистом FreeBSD 12.0-RELEASE-p2, установка в sysctl.conf значения net.link.gif.max_nesting на 10 и перезагрузки системы выдает правильное значение=10.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

13. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от eRIC (ok), 04-Фев-19, 10:56 
>> https://github.com/freebsd/freebsd/blob/master/sys/net/if_gif.c (стр.120-127)
>> https://github.com/freebsd/freebsd/blob/master/sys/net/if_gre.c (стр.111-118)

интересно что эти ограничения были давным давно в старых версиях.

в версии 4.3 для gif
в версии 4.8 для gre (когда с NetBSD первый раз портировали GRE поддержку)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от sherlockemail (ok), 04-Фев-19, 17:42 
>>> https://github.com/freebsd/freebsd/blob/master/sys/net/if_gif.c (стр.120-127)
>>> https://github.com/freebsd/freebsd/blob/master/sys/net/if_gre.c (стр.111-118)
> интересно что эти ограничения были давным давно в старых версиях.
> в версии 4.3 для gif
> в версии 4.8 для gre (когда с NetBSD первый раз портировали GRE
> поддержку)

возможно, я с этим столкнулся, когда они это добавили в netgraph

вот здесь, видите стоит жестко 1:

https://github.com/freebsd/freebsd/blob/master/sys/netgraph/...

/* Protect from deadly infinite recursion. */
    error = if_tunnel_check_nesting(ifp, m, NGM_IFACE_COOKIE, 1);
    if (error) {
        m_freem(m);
        return (error);
    }

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от eRIC (ok), 04-Фев-19, 19:22 
> возможно, я с этим столкнулся, когда они это добавили в netgraph

да вижу, но не только в netgraph, на уровне интерфейса заложен механизм.

но почему-то в netgraph проверка лимита идет жестко больше 1, когда для GIF и GRE в зависимости от установленного количества для вложенных туннелей:

Use if_tunnel_check_nesting() for ng_iface(4)
https://svnweb.freebsd.org/base?view=revision&revision=337278

Add generic function if_tunnel_check_nesting() that does check for
allowed nesting level for tunneling interfaces and also does loop
detection. Use it in gif(4), gre(4) and me(4) interfaces.

https://svnweb.freebsd.org/base?view=revision&revision=336131

Может все таки работа не до конца доделана, чтобы можно было без пересборки ядра оперировать ранее указанными в мануале лимитам, включая для netgraph

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

21. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от butcher (ok), 06-Фев-19, 21:07 
>> возможно, я с этим столкнулся, когда они это добавили в netgraph
> Add generic function if_tunnel_check_nesting() that does check for
> allowed nesting level for tunneling interfaces and also does loop
> detection. Use it in gif(4), gre(4) and me(4) interfaces.
> https://svnweb.freebsd.org/base?view=revision&revision=336131
> Может все таки работа не до конца доделана, чтобы можно было без
> пересборки ядра оперировать ранее указанными в мануале лимитам, включая для netgraph

Эти лимиты были в системе всегда, чтобы защититься от переполнения стека при закольцовывании пакетов различными способами.
В нетграфе эта проверка тоже была, в упомянутых коммитах просто выполняется дедупликация кода, путём введения одной функции вместо использования дублирующегося кода 4 раза.
Мне больше интересно, как у вас раньше работало?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от butcher (ok), 06-Фев-19, 21:17 
> Мне больше интересно, как у вас раньше работало?

Понял как работало, думаю, что Глеб исправит эту проблему с ng_iface в ближайшее время.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от sherlock (ok), 07-Фев-19, 04:46 
>> Мне больше интересно, как у вас раньше работало?
> Понял как работало, думаю, что Глеб исправит эту проблему с ng_iface в
> ближайшее время.

А можно подробнее и что подразумевается под "исправит"? Очень интересно. Введут переменную для тех, кто любит отстреливать себе ноги из двухстволки?
Просто у меня сейчас 2 варианта, либо я перед сервером ставлю какой-нибудь роутер который поднимает VPN провайдеру и делает полный проброс трафика, либо я после каждого патча пересобираю ядро GENERIC, хотя по факту мне наверное надо пересобирать только модуль нетграфа, подскажите как это делать?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от butcher (ok), 07-Фев-19, 09:18 
> А можно подробнее и что подразумевается под "исправит"? Очень интересно. Введут переменную
> для тех, кто любит отстреливать себе ноги из двухстволки?
> Просто у меня сейчас 2 варианта, либо я перед сервером ставлю какой-нибудь
> роутер который поднимает VPN провайдеру и делает полный проброс трафика, либо
> я после каждого патча пересобираю ядро GENERIC, хотя по факту мне
> наверное надо пересобирать только модуль нетграфа, подскажите как это делать?

Да, он добавил sysctl переменную. Я думал это ваш PR:
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=235500

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Проблема с VPN сервером, после обновления до 12"  +2 +/
Сообщение от eRIC (ok), 07-Фев-19, 11:43 
> Да, он добавил sysctl переменную. Я думал это ваш PR:
> https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=235500

это мой баг репорт основанный на нестыковках найденные в данном топике ;)

> Очень интересно. Введут переменную для тех, кто любит отстреливать себе ноги из двухстволки?

да, в патче предложена переменная, чтобы можно было не ковыряться в исходниках.
sherlock если есть возможность проверить данный патч, то было бы хорошо и отписались бы в репорте с результами

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Проблема с VPN сервером, после обновления до 12"  +1 +/
Сообщение от eRIC (ok), 07-Фев-19, 13:16 
> я после каждого патча пересобираю ядро GENERIC, хотя по факту мне
> наверное надо пересобирать только модуль нетграфа, подскажите как это делать?

на личной почте сообщение от меня, проверьте пожалуйста.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от eRIC (ok), 12-Фев-19, 09:03 
@sherlock решение с жестким ограничением в netgraph в данном репорте https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=235500 уже закомичено в HEAD и успешно собирается в CURRENT версии (FreeBSD-13).

Спасибо!


Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от sherlockemail (ok), 12-Фев-19, 15:32 
> @sherlock решение с жестким ограничением в netgraph в данном репорте https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=235500
> уже закомичено в HEAD и успешно собирается в CURRENT версии (FreeBSD-13).
> Спасибо!

т.е. в 12 оно не попадет и надо будет после промежуточных обновлений пересобирать ядро?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Проблема с VPN сервером, после обновления до 12"  +1 +/
Сообщение от eRIC (ok), 12-Фев-19, 18:42 
> т.е. в 12 оно не попадет и надо будет после промежуточных обновлений
> пересобирать ядро?

должно попасть, в STABLE ветки примерно через неделю перенесется:
  PR:        235500
  MFC after:    1 week

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от eRIC (ok), 20-Фев-19, 16:26 
> должно попасть, в STABLE ветки примерно через неделю перенесется:
>   PR:  235500
>   MFC after: 1 week

В Stable 12ю ветку изменение внесено: https://svnweb.freebsd.org/base?view=revision&revision=344139

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

20. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от Pahanivo (ok), 04-Фев-19, 22:55 
> заботятся о нас так, типа "защита от дурака"

интересно зачем ...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

31. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от Вячеслав (??), 05-Мрт-19, 23:27 
> Всё, проблема решена и закрыта.
> Просто дорогие коллеги имейте в виду, что поднятие вложенных тоннелей (gif, gre,
> netgraph) с 12-ой версии FreeBSD внезакона и работать они не будут.

А как же решена проблема?


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

32. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от sherlock (ok), 06-Мрт-19, 04:51 
>> Всё, проблема решена и закрыта.
>> Просто дорогие коллеги имейте в виду, что поднятие вложенных тоннелей (gif, gre,
>> netgraph) с 12-ой версии FreeBSD внезакона и работать они не будут.
> А как же решена проблема?

прочитайте всю ветку, я первоначально поправил код в ядре, но разработчики сделали более правильные изменения, вынесли это в настройку через sysctl

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от Вячеслав (??), 06-Мрт-19, 10:26 
>>> Всё, проблема решена и закрыта.
>>> Просто дорогие коллеги имейте в виду, что поднятие вложенных тоннелей (gif, gre,
>>> netgraph) с 12-ой версии FreeBSD внезакона и работать они не будут.
>> А как же решена проблема?
> прочитайте всю ветку, я первоначально поправил код в ядре, но разработчики сделали
> более правильные изменения, вынесли это в настройку через sysctl

В sysctl добавил, обновил freebsd 12 с r314197m до r344823.
В ядре не понял, что нужно править.
Но всё равно не помогло.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от sherlockemail (ok), 06-Мрт-19, 16:41 
>>>> Всё, проблема решена и закрыта.
>>>> Просто дорогие коллеги имейте в виду, что поднятие вложенных тоннелей (gif, gre,
>>>> netgraph) с 12-ой версии FreeBSD внезакона и работать они не будут.
>>> А как же решена проблема?
>> прочитайте всю ветку, я первоначально поправил код в ядре, но разработчики сделали
>> более правильные изменения, вынесли это в настройку через sysctl
> В sysctl добавил, обновил freebsd 12 с r314197m до r344823.
> В ядре не понял, что нужно править.
> Но всё равно не помогло.

Ну прочтите уже всю ветку, мое сообщение от 14.02.2019, там указан файл в котором надо посмотреть код. Я не обновлялся еще, потому не могу проверить изменили там или нет. Если все-таки нет, значит надо его исправить и собрать ядро

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от Вячеславemail (??), 06-Мрт-19, 17:11 
>[оверквотинг удален]
>>>> А как же решена проблема?
>>> прочитайте всю ветку, я первоначально поправил код в ядре, но разработчики сделали
>>> более правильные изменения, вынесли это в настройку через sysctl
>> В sysctl добавил, обновил freebsd 12 с r314197m до r344823.
>> В ядре не понял, что нужно править.
>> Но всё равно не помогло.
> Ну прочтите уже всю ветку, мое сообщение от 14.02.2019, там указан файл
> в котором надо посмотреть код. Я не обновлялся еще, потому не
> могу проверить изменили там или нет. Если все-таки нет, значит надо
> его исправить и собрать ядро

ng_iface.c ??
Не нашел сообщений за эту дату

Добавить это?
#define MAX_GIF_NEST 10
#define MAX_GRE_NEST 10

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

36. "Проблема с VPN сервером, после обновления до 12"  +1 +/
Сообщение от sherlock (ok), 07-Мрт-19, 04:42 
>[оверквотинг удален]
>>> Но всё равно не помогло.
>> Ну прочтите уже всю ветку, мое сообщение от 14.02.2019, там указан файл
>> в котором надо посмотреть код. Я не обновлялся еще, потому не
>> могу проверить изменили там или нет. Если все-таки нет, значит надо
>> его исправить и собрать ядро
> ng_iface.c ??
> Не нашел сообщений за эту дату
> Добавить это?
> #define MAX_GIF_NEST 10
> #define MAX_GRE_NEST 10

Нет, для этих изначально все сделано через SYSCTL, проблема была именно в нетграфе, в частности в MPD
у меня стоит патч, ставьте его
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=235500

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "Проблема с VPN сервером, после обновления до 12"  +2 +/
Сообщение от eRIC (ok), 28-Мрт-19, 12:38 
> В sysctl добавил, обновил freebsd 12 с r314197m до r344823.
> В ядре не понял, что нужно править.
> Но всё равно не помогло.

https://svnweb.freebsd.org/base/stable/12/sys/netgraph/?path...
в ядре править не нужно ничего, патчить тоже не нужно. в r344823 уже есть исправление, раз ваша система на этой ревизии, то в sysctl.conf внесите переменную net.link.gif.max_nesting = с нужным значением.


Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

38. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от sherlock (ok), 15-Май-19, 09:37 
>> В sysctl добавил, обновил freebsd 12 с r314197m до r344823.
>> В ядре не понял, что нужно править.
>> Но всё равно не помогло.
> https://svnweb.freebsd.org/base/stable/12/sys/netgraph/?path...
> в ядре править не нужно ничего, патчить тоже не нужно. в r344823
> уже есть исправление, раз ваша система на этой ревизии, то в
> sysctl.conf внесите переменную net.link.gif.max_nesting = с нужным значением.

А я сегодня обновился до 12-p4 и снова влетел на эту ошибку, скачал исходники, вроде в исходниках исправление это есть в ng_iface, а я ядро ругается. Собрать GENERIC из исходников тоже не могу

cc -target x86_64-unknown-freebsd12.0 .....  -Werror /usr/src/sys/amd64/amd64/support.S
/usr/src/sys/amd64/amd64/support.S:1813:2: error: instruction requires: AVX-512 ISA
vmovdqa64 %zmm0, %gs:0x340
^
и еще 4 строчки подобных
*** Error code 1

и я не знаю что делать

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от butcher (ok), 15-Май-19, 10:22 
> А я сегодня обновился до 12-p4 и снова влетел на эту ошибку,
> скачал исходники, вроде в исходниках исправление это есть в ng_iface, а
> я ядро ругается. Собрать GENERIC из исходников тоже не могу

В 12.0p4 этого изменения нет, 12.0p4 - это RELENG бранч, а фикс есть только в 12.0-STABLE.

> cc -target x86_64-unknown-freebsd12.0 .....  -Werror /usr/src/sys/amd64/amd64/support.S
> /usr/src/sys/amd64/amd64/support.S:1813:2: error: instruction requires: AVX-512 ISA
>  vmovdqa64 %zmm0, %gs:0x340
>  ^
> и еще 4 строчки подобных
> *** Error code 1
> и я не знаю что делать

Что показывает `cd /usr/src && svnlite info`?
Есть какие-то настройки в /etc/make.conf?

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от sherlock (ok), 15-Май-19, 12:54 
> Что показывает `cd /usr/src && svnlite info`?
> Есть какие-то настройки в /etc/make.conf?

root@mrk:/usr/src # svnlite info
Path: .
Working Copy Root Path: /usr/src
URL: http://svn0.eu.freebsd.org/base/stable/12
Relative URL: ^/stable/12
Repository Root: http://svn0.eu.freebsd.org/base
Repository UUID: ccf9f872-aa2e-dd11-9fc8-001c23d0bc1f
Revision: 347608
Node Kind: directory
Schedule: normal
Last Changed Author: mav
Last Changed Rev: 347604
Last Changed Date: 2019-05-15 06:38:34 +0500 (ср, 15 мая 2019)


make.conf

NO_SENDMAIL=yes
NO_INET6=yes
MAKE_JOBS_NUMBER=4
WITH=""
WITHOUT=X11
WITH_PKGNG=YES
NO_WARNING_PKG_INSTALL_EOL=yes
DEFAULT_VERSIONS+=ssl=openssl

И не понятно, что тогда мне встало при freebsd-update fetch & install
если в исходниках есть нужный код, а в скаченном бинарном ядре получается нет

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

41. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от butcher (ok), 15-Май-19, 13:09 
>> Что показывает `cd /usr/src && svnlite info`?
>> Есть какие-то настройки в /etc/make.conf?
> root@mrk:/usr/src # svnlite info
> Path: .
> Working Copy Root Path: /usr/src
> URL: http://svn0.eu.freebsd.org/base/stable/12
> Relative URL: ^/stable/12
> И не понятно, что тогда мне встало при freebsd-update fetch & install
> если в исходниках есть нужный код, а в скаченном бинарном ядре получается
> нет

Всё так. freebsd-update не обновляет до stable. Чтобы обновиться до stable, нужно собирать из исходников.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

42. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от eRIC (ok), 15-Май-19, 20:20 
В releng/12 ветку переносятся только критические исправления связанные с безопасностью.

Касательно данного патча, который принят и внесен в ветки CURRENT (будующая версия 13.0) и STABLE (текущая версия 12.X) будет официально выпущен в следующем релизе 12.1, который намечен на Ноябрь 2019 года (имейте в виду, что сроки могут изменены):
https://www.freebsd.org/releng/
https://www.freebsd.org/releases/12.1R/schedule.html

Кратко говоря, не замарачиваясь исходниками касательно данного исправления, можно будет смело пользоваться и штатно обновляться после выхода версии 12.1

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

43. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от sherlock (ok), 16-Май-19, 05:13 
> В releng/12 ветку переносятся только критические исправления связанные с безопасностью.
> Касательно данного патча, который принят и внесен в ветки CURRENT (будующая версия
> 13.0) и STABLE (текущая версия 12.X) будет официально выпущен в следующем
> релизе 12.1, который намечен на Ноябрь 2019 года (имейте в виду,
> что сроки могут изменены):
> https://www.freebsd.org/releng/
> https://www.freebsd.org/releases/12.1R/schedule.html
> Кратко говоря, не замарачиваясь исходниками касательно данного исправления, можно будет
> смело пользоваться и штатно обновляться после выхода версии 12.1

Понял, а почему у меня перестало собираться ядро? Я так понял ошибка связана с инструкциями процессора?

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

44. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от eRIC (ok), 17-Май-19, 17:41 
> Понял, а почему у меня перестало собираться ядро?

какой процессор у вас? на момент сборки ядра кастомное или GENERIC ядро работало?
там в исходники внесли очередные решения с багами процессора Intel только вроде.

я думаю что у вас смешалось, ранее у вас система работала собранная из исходников, потом вы попытались поставить обновления на систему через freebsd-update. попробуйте почистить исходники, заново синхронизировать его и попробовать собрать систему.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

46. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от sherlockemail (ok), 18-Май-19, 21:35 
>> Понял, а почему у меня перестало собираться ядро?
> какой процессор у вас? на момент сборки ядра кастомное или GENERIC ядро
> работало?
> там в исходники внесли очередные решения с багами процессора Intel только вроде.
> я думаю что у вас смешалось, ранее у вас система работала собранная
> из исходников, потом вы попытались поставить обновления на систему через freebsd-update.
> попробуйте почистить исходники, заново синхронизировать его и попробовать собрать систему.

Мир был 12-p не скажу уже какой, поставлен через freebsd-update, а вот ядро было GENERIC, но собранное из исходников, чтобы nesting для ng_iface работал. Обновился до 12-p4, стер /usr/src скачал через svn последнюю копию и собрать не смог. Ниже подсказывают, что clang старой версии, ок, как его обновить, чтобы собрать 12-STABLE из исходников, я так понимаю в пакаджах его нет и его придется собирать из портов

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

48. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от eRIC (ok), 20-Май-19, 19:34 
> и собрать не смог. Ниже подсказывают, что clang старой версии, ок,
> как его обновить, чтобы собрать 12-STABLE из исходников, я так понимаю
> в пакаджах его нет и его придется собирать из портов

clang ставится вместе с обновление системы из исходников, скорее всего очередность не была парвильно соблюдена или проспустили что-то.  (make buildworld/make installworld пропущен или не завершен успешно).

к примеру когда я из 12 STABLE на 13 CURRENT перешел llvm/clang перешел на 7.0.1 r349250 (во время всей процедуры обновления системы из исходников комплился llvm/clang, потом ядро и мир, потом уже устанавливалось)

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

45. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от butcher (ok), 18-Май-19, 10:12 
> cc -target x86_64-unknown-freebsd12.0 .....  -Werror /usr/src/sys/amd64/amd64/support.S
> /usr/src/sys/amd64/amd64/support.S:1813:2: error: instruction requires: AVX-512 ISA
>  vmovdqa64 %zmm0, %gs:0x340
>  ^
> и еще 4 строчки подобных

https://lists.freebsd.org/pipermail/svn-src-all/2019-May/180...

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

47. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от sherlockemail (ok), 18-Май-19, 22:06 
>> cc -target x86_64-unknown-freebsd12.0 .....  -Werror /usr/src/sys/amd64/amd64/support.S
>> /usr/src/sys/amd64/amd64/support.S:1813:2: error: instruction requires: AVX-512 ISA
>>  vmovdqa64 %zmm0, %gs:0x340
>>  ^
>> и еще 4 строчки подобных
> https://lists.freebsd.org/pipermail/svn-src-all/2019-May/180...

root@mrk:/usr/src # cc -v
FreeBSD clang version 6.0.1 (tags/RELEASE_601/final 335540) (based on LLVM 6.0.1)
Target: x86_64-unknown-freebsd12.0
Thread model: posix
InstalledDir: /usr/bin

это подходящая версия?

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

49. "Проблема с VPN сервером, после обновления до 12"  +/
Сообщение от eRIC (ok), 20-Май-19, 19:44 
> это подходящая версия?

да, в 12й ветке он 6.0.1

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру