Симптомы

• Не работает транзитный UDP трафик через NAT, например не подключаются такие VPN клиенты как ViPNet, Континент, OpenVPN и другие. Также случаются проблемы с VoIP телефонией, не проходит SIP трафик, проблемы с ВКС или видео потоком, потеря пакетов.
• Через некоторое время после перезагрузки начинают отваливаться соединения, перестают работать некоторые правила межсетевого экрана и маршрутизации, как для входящих, так и для исходящих соединений, после каждой перезагрузки разные, иногда перестают работать частично.
• В редких случаях наблюдаются проблемы с TCP трафиком.
• Низкая скорость передачи транзитного трафика через NGFW

Решение

В качестве временного или постоянного решения можно попробовать в технологическое окно отключить модуль ускоренной загрузки сетевого трафика Fastpath. Если после данной процедуры последует улучшение работы, через заявку в техподдержку вы можете попросить исключить например только UDP трафик из данного модуля, оставив при этом TCP. Управление модулем Fastpath осуществляется в CLI, через консольный доступ или SSH по порту 2200.

Fastpath - модуль ускоренной загрузки сетевого трафика. Принцип обработки прост: если сессия уже установлена и остальные пакеты сессии по какой-то причине не требуют проверки и специальной обработки, то их можно сразу перенаправлять со входного интерфейса в выходной, выполнив необходимые соответствующие преобразования (DNAT, Port forwarding итд.).  При отключении fastpath незначительно повышается нагрузка на процессор и память.

Управление модулем Fastpath на версии 6:

Отключить:

device config -set fastpath false

Включить:

device config -set fastpath true

Статус:

device config -get fastpath

Управление модулем Fastpath на версии 7:

Перейти в режим конфигурации:

configure

Отключить:

set settings fastpath enabled off

Включить:

set settings fastpath enabled on

Статус:

show settings fastpath

Управление модулем Fastpath в версии 7.0.1 через CLI не предусмотрено, данную процедуру могут выполнить только сотрудники технической поддержки через уд. помощника.

Значение параметра Fastpath "false" на версиях 6.1.x сбрасывается после перезагрузки. Чтобы параметр Fastpath оставался "false" после перезагрузки, в тех. окно установите:

device config -set fw_drop_invalid true

Данный параметр следует использовать с осторожностью, так как после его включения может перестать работать асимметрия, в редких случаях можно потерять удалённый доступ, поэтому модуль необходимо активировать через локальный консольный доступ, чтобы в случае проблем его можно было отключить:

В 6 версии:

device config -set fw_drop_invalid false

В 7 версии:

configure
set settings device fw-drop-invalid off

Начиная с версии 7.1 состояние модуля Fastpath после перезагрузки не сбрасывается, оно остаётся в том значении, в котором вы его установили.

Примечание

Переиспользование порта источника для UDP-соединений проходящих через NAT при включенном модуле Fastpath.
По данной проблеме заведены задачи DIS-589 и DIS-1087.

Последствия отключения fastpath

• Какие последствия от отключения Fastpath?
• Нужно ли делать на каждой ноде кластера? Есть ли определенная процедура (делать сначала на активной ноде или на пассивной?)
• Какое поведение с активными сессиями? Будет ли сброс для tcp сессий? Нужна ли перезагрузка после отключения Fastpath?
• Насколько обычно повышается нагрузка на процессор и память?

1) Fastpath отключается и включается на каждой ноде отдельно. Лучше сначала делать на пассивной.

2) При отключении fastpath сессии не сбрасываются, перезагрузка не требуется. При включении аналогично.

3) Могут наблюдаться проблемы с прохождением трафика при манипуляции с fastpath на ПАК, в связи с чем рекомендуется производить действия с ним в тех. окно.

4) Конкретные цифры по нагрузке могут варьироваться от типа и объема трафика, количества правил и т.д. Для минимизации возможных негативных последствий увеличения нагрузки рекомендуем проводить отключение в часы наименьшей нагрузки.