Доброго времени суток!
Прошу помощи, столкнулся со следующей проблемой на моем mikrotik 951ui-2hnd, RouterOS mipsbe v6.17, RouterBoard 3.18. Сам справиться с проблемой не смог, запас терпения для бесплодных попыток иссяк.
Проблема:
При запуске dc или торрентов пропадает связь с шлюзом провайдера. После падения активные сессии не разрываются, но скорость падает. Новые соединения не устанавливаются.
Проблема также наблюдается при запуске теста пропускной способности сети на speedtest.net, при первом запуске скорость максимальна, при последующих скорость снижается, пока в конце концов интернет не пропадает совсем.
Диагностика:
WAN интерфейс настроен на белый IP в трехадресной сети.
По данным netwatch, который пингует шлюз провайдера связь по внешнему интерфейсу пропадает ровно на 5 минут. В это время роутер доступен с локали, с роутера доступна локаль и адрес внешнего интерфейса.
Что необычно в маршрутах можно удалить маршрут по умолчанию 0.0.0.0/0 и создать по новой адрес шлюза в nexthop будет иметь состояние reacheable.
Выглядит так как будто роутер игнорирует новые соединения с WAN интерфейса или на исходящие пакеты ван интерфейса нет ответов от шлюза. Если перезагрузить роутер выключением питания, то после загрузки роутера связь появится до истечении 5 минутного интервала. Отключение-включение интерфейса или кабеля не помогает. Если соединить ПК напрямую к провайдеру проблема исчезает с теми же настройками клиента.
Роутер не сообщает о каких либо проблемах или ошибках. На фаерволе правила предельно просты, никаких заумных блокировок или ограничений. Количество пакетов проходящих через цепочки в норме. Загрузка ЦП в момент падения (+200 мс) не превышает 30% при ~300 соединениях, свободной памяти хватает. В арпах все гладко. Радиатор охлаждения на месте.
Пробовал отключать беспроводную сеть, чтобы в роутере остался только один ПК и один мак. Перепроверял нат, чтобы во внешнюю сеть не уходили внутренние адреса и прочее. Провайдер на своем оборудовании проблем не видит, блокировок нет. Драйвер на сетевую карту (dlink 530tx переустанавливал), но не хотелось бы услышать универсальный ответ. Даже если причина в "кривых" драйверах сетевой карты хотелось бы понять, что это за баг, как его выявить.
Конфигурация:
Много вопросов
Что может быть причиной подобного поведения?
Стоит ли мне обменять железо или искать проблему в ОС и настройках маршрутизатора?
Что убедит меня в том что проблема не на стороне провайдера?
Что можно сделать чтобы выявить причину? Откатить ли мне прошивку? Испытать ли роутер в качестве тупаря?
Какую информацию мне предоставить чтобы было проще понять проблему?
Пятиминутный затык на внешнем интерфейсе - РЕШЕНО
-
- Сообщения: 11
- Зарегистрирован: 28 июл 2014, 12:56
-
- Сообщения: 74
- Зарегистрирован: 05 июн 2014, 00:24
Неплохо бы увидеть конфигурацию)
А так по всем симптомам - блокировка провайдером. По какой причине он блокирует - лучше позвоните ему и узнайте у него, чем гадать на кофейной гуще.
А так по всем симптомам - блокировка провайдером. По какой причине он блокирует - лучше позвоните ему и узнайте у него, чем гадать на кофейной гуще.
-
- Сообщения: 11
- Зарегистрирован: 28 июл 2014, 12:56
я и сам не могу отделаться от мысли что проблема в провайдере. после мороки с 32 маской подсети и бардаком в арпах присутствует инерция всех собак спускать на прова, но поговорил с инженерами, адекватны, вежливы, утверждают обратное :)
да и то что работа восстанавливается после перезагрузки роутера и то что при подключении пк все ок, все же наводит на мысли.
к тому же оформлял заявку на платую настройку роутера, приходил инженер посидел полтора два часа и ушел не взяв денег.
да и то что работа восстанавливается после перезагрузки роутера и то что при подключении пк все ок, все же наводит на мысли.
к тому же оформлял заявку на платую настройку роутера, приходил инженер посидел полтора два часа и ушел не взяв денег.
-
- Модератор
- Сообщения: 3329
- Зарегистрирован: 01 окт 2012, 14:48
Прежде чем менять микротик, я бы делал следующее по шагам.
1. Конфиг какой есть. Отключил бы все кабели от микротика, только WAN. Ждем. Не упало - проблема в локальной сети, возможно есть петля. Упало, дальше...
2. Сброс до чистого конфига. Поднимаем только интерфейс WAN. Больше ничего. Пингуем, ждем. Не упало - очень хорошо, проблема была в конфиге. Упало, дальше...
3. Перешиваем через Netinstall. Возвращаемся к пункту 2. Не упало - супер. Упало, дальше.
4. Занимаем у знакомого другой микротик. Идем к пункту 2. Не упало - едем менять наш микротик, упало - меняем/пинаем провайдера.
Все это справедливо при условии, что проблема только при микротике появляется. Если подключаться напрямую компом проблемы точно нет?
1. Конфиг какой есть. Отключил бы все кабели от микротика, только WAN. Ждем. Не упало - проблема в локальной сети, возможно есть петля. Упало, дальше...
2. Сброс до чистого конфига. Поднимаем только интерфейс WAN. Больше ничего. Пингуем, ждем. Не упало - очень хорошо, проблема была в конфиге. Упало, дальше...
3. Перешиваем через Netinstall. Возвращаемся к пункту 2. Не упало - супер. Упало, дальше.
4. Занимаем у знакомого другой микротик. Идем к пункту 2. Не упало - едем менять наш микротик, упало - меняем/пинаем провайдера.
Все это справедливо при условии, что проблема только при микротике появляется. Если подключаться напрямую компом проблемы точно нет?
-
- Сообщения: 417
- Зарегистрирован: 26 сен 2012, 16:17
- Контактная информация:
У вас есть
При этом нет правила не внешнем интерфейсе дроп на 53 порту.
Уверены, что у вас нет паразитного трафика из-за которого железка не справляется и падает?
Да и в принципе в правилах какая-то мешанина наблюдается. Попробуйте отключить все правила фаервола и поработать без них некоторое время, для тестирования.
/ip dns
set allow-remote-requests=yes servers=80.65.16.1,80.65.20.1
При этом нет правила не внешнем интерфейсе дроп на 53 порту.
Уверены, что у вас нет паразитного трафика из-за которого железка не справляется и падает?
Да и в принципе в правилах какая-то мешанина наблюдается. Попробуйте отключить все правила фаервола и поработать без них некоторое время, для тестирования.
-
- Сообщения: 11
- Зарегистрирован: 28 июл 2014, 12:56
gmx писал(а):Прежде чем менять микротик, я бы делал следующее по шагам.
1. Конфиг какой есть. Отключил бы все кабели от микротика, только WAN. Ждем. Не упало - проблема в локальной сети, возможно есть петля. Упало, дальше...
2. Сброс до чистого конфига. Поднимаем только интерфейс WAN. Больше ничего. Пингуем, ждем. Не упало - очень хорошо, проблема была в конфиге. Упало, дальше...
3. Перешиваем через Netinstall. Возвращаемся к пункту 2. Не упало - супер. Упало, дальше.
4. Занимаем у знакомого другой микротик. Идем к пункту 2. Не упало - едем менять наш микротик, упало - меняем/пинаем провайдера.
Все это справедливо при условии, что проблема только при микротике появляется. Если подключаться напрямую компом проблемы точно нет?
техника хороша, но в моем случае проблема практически не наблюдается без запуска активных закачек в дц, да и запущенный дц или торрент могут проработать продолжительное время. как смоделировать множество соединений tcp и udp средствами микротик я пока не знаю. средствами роутера типа пинг флудилки канал уронить не удалось. сброс на заводские делал. у меня мак на порту провайдера дублируется от мака пк, но не думаю что в этом может быть проблема.
напрямую скачал гигабайт 50 при нескольких сотнях соединений, ни разу канал не упал. 1% потерь на оборудовании провайдера был превышен, но не более.
-
- Сообщения: 11
- Зарегистрирован: 28 июл 2014, 12:56
plin2s писал(а):У вас есть/ip dns
set allow-remote-requests=yes servers=80.65.16.1,80.65.20.1
При этом нет правила не внешнем интерфейсе дроп на 53 порту.
Уверены, что у вас нет паразитного трафика из-за которого железка не справляется и падает?
Да и в принципе в правилах какая-то мешанина наблюдается. Попробуйте отключить все правила фаервола и поработать без них некоторое время, для тестирования.
пошарю свой конфиг, наверное просто отключу удаленные запросы. если я правильно понимаю логику днс конечно или последую совету с дропом. пока читаю твои комменты на смайл нет :)
смущает что проблема проявляется и при дц и при спидтестах.
убрал галочку с allow remote requests дропнутых пакетов входящих на внешнем интерфейсе стало меньше. адреса днс раздаются по дхцп. спасибо за замечание :)
по поводу флуда в общем, за 10 минут работы дц с раздачей но без закачек дропнулось 6 входящих инвалидов и 12 остальных входящих. статистика дропа форвард пакетов втрое выше. но от общего числа в 208 тысяч пакетов в цепочке форвад в состоянии соединение установлено не критично на мой взгляд.
пробовал дефолтовые правила и отключать все дропы ситуацию не меняло.
Последний раз редактировалось michaeldreamway 28 июл 2014, 21:08, всего редактировалось 5 раз.
-
- Сообщения: 74
- Зарегистрирован: 05 июн 2014, 00:24
А в момент появления проблемы что пишет в логи?
Меня смущает несколько пунктов в вашем конфиге
и
Объясните, пожалуйста, что там такого вы шейпите или слушаете на компе на порту 9996 и зачем снифать внешку
Меня смущает несколько пунктов в вашем конфиге
Код: Выделить всё
/ip traffic-flow
set cache-entries=1M interfaces=wlan1
/ip traffic-flow target
add address=192.168.88.253:9996 version=9
и
Код: Выделить всё
/tool sniffer
set filter-interface=eth1-wan memory-limit=1000KiB only-headers=yes
Объясните, пожалуйста, что там такого вы шейпите или слушаете на компе на порту 9996 и зачем снифать внешку
-
- Сообщения: 11
- Зарегистрирован: 28 июл 2014, 12:56
DeLL писал(а):А в момент появления проблемы что пишет в логи?
Меня смущает несколько пунктов в вашем конфигеКод: Выделить всё
/ip traffic-flow
set cache-entries=1M interfaces=wlan1
/ip traffic-flow target
add address=192.168.88.253:9996 version=9
иКод: Выделить всё
/tool sniffer
set filter-interface=eth1-wan memory-limit=1000KiB only-headers=yes
Объясните, пожалуйста, что там такого вы шейпите или слушаете на компе на порту 9996 и зачем снифать внешку
в момент падения в логе только сообщение netwatch моего даун скрипта.
запускал нет флоу чтобы слить трафик на пк и проанализировать почему на мои эхо запросы ответы от шлюза ко мне не приходят, но маршрут выстраивается. но не удалось, так как не разобрался в по.
с той же целью запускал сниф внешнего интерфейса во время затыка, что странно снюхивал соседские маки и широковещательные запросы.
вот так выглядит лог при запущенном дц:
Последний раз редактировалось michaeldreamway 30 июл 2014, 13:51, всего редактировалось 1 раз.
-
- Сообщения: 11
- Зарегистрирован: 28 июл 2014, 12:56
кто нибудь может подсказать маршрутизация это хардовая функция микротика? иптэйблс очевидно софтовая, может быть тогда в этом причина "частичного отказа".