сброс соединений connection tracker

Обсуждение ПО и его настройки
Ответить
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Раньше в Микротик РОС было необходимо сбрасывать зависшие соединения в коннекшен трекер при переключении WAN-каналов.
Об этом писал, в частности и наш уважаемый podarok66 в своей "записной книжке" https://podarok66.livejournal.com/12130.html

Вопрос - в последних версиях это пофиксили разработчики или необходимо продолжать сбрасывать соединения ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ну смотри, дружище. Про переключение каналов точно сказать я ща не могу сказать. Но вчера мои мальчишки вечером смотрели стрим с каким-то ивентом. В этот момент на роутере отработали правила дропа для их компа. Так вот, стрим продолжал идти, как ни в чём не бывало. Хотя на новых вкладках в браузере уже не давало ничего открыть...
Думаю, что переключение каналов будет так же работать, как и дроп соединений. То есть конекшены для установленных нужно будет насильно обновлять как и раньше...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Что же спасибо. Попробую внедрить ... Это актуально только для UDP-соединений или лучше для всех делать (при переключении каналов) ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Да вот честно, не скажу так чтобы наверняка. Надо пробовать.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

И ещё вопросики, если можно:

Некоторые "авторы" пишут, что при /remove не все соединения коннекшен трекера сбрасываются и лучше использовать остановку/запуск заново трекера.
Это так ?

И второй вопросик:

/ip firewall connection tracking set tcp-established-timeout=2h

(по умолчанию таймуат стоит 1 день) Стоит ставить тайм-аут короче или как ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Опять же надо проверить, но в теории если у нас действительно переключение, а не балансировка или агрегация, то восстанавливаться сброшенное соединение должно уже по маршруту, который актуален. Но это не точно. Если очень актуально именно переключить все соединения оперативно, то лучше будет использовать вариант со скриптами, как мне видится. Я как-то делал переключение, давно правда, где ну просто обрубить просили все хвосты гарантированно. Что-то там с банковским клиентом связано было. Так пришлось писать скрипт, который не только сбрасывал коннекшны, но и на минуту деактивировал неработающий WAN. С той поры уже года три прошло, ни разу туда более не попадал. Не знаю даже, работает ещё или давно всё переделано.
По дефолту таймаутов я же писал, у меня на 750Cr3 вообще tcp-established-timeout=1h. И ничего плохого я не вижу в этом. Похоже это не слишком важный параметр, чтобы голову над ним ломать.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Спасибо.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Ответить