Страница 1 из 1
сброс соединений connection tracker
Добавлено: 14 окт 2019, 14:45
Sertik
Раньше в Микротик РОС было необходимо сбрасывать зависшие соединения в коннекшен трекер при переключении WAN-каналов.
Об этом писал, в частности и наш уважаемый podarok66 в своей "записной книжке"
https://podarok66.livejournal.com/12130.html
Вопрос - в последних версиях это пофиксили разработчики или необходимо продолжать сбрасывать соединения ?
Re: сброс соединений connection tracker
Добавлено: 14 окт 2019, 16:23
podarok66
Ну смотри, дружище. Про переключение каналов точно сказать я ща не могу сказать. Но вчера мои мальчишки вечером смотрели стрим с каким-то ивентом. В этот момент на роутере отработали правила дропа для их компа. Так вот, стрим продолжал идти, как ни в чём не бывало. Хотя на новых вкладках в браузере уже не давало ничего открыть...
Думаю, что переключение каналов будет так же работать, как и дроп соединений. То есть конекшены для установленных нужно будет насильно обновлять как и раньше...
Re: сброс соединений connection tracker
Добавлено: 14 окт 2019, 17:01
Sertik
Что же спасибо. Попробую внедрить ... Это актуально только для UDP-соединений или лучше для всех делать (при переключении каналов) ?
Re: сброс соединений connection tracker
Добавлено: 14 окт 2019, 17:14
podarok66
Да вот честно, не скажу так чтобы наверняка. Надо пробовать.
Re: сброс соединений connection tracker
Добавлено: 15 окт 2019, 19:20
Sertik
И ещё вопросики, если можно:
Некоторые "авторы" пишут, что при /remove не все соединения коннекшен трекера сбрасываются и лучше использовать остановку/запуск заново трекера.
Это так ?
И второй вопросик:
/ip firewall connection tracking set tcp-established-timeout=2h
(по умолчанию таймуат стоит 1 день) Стоит ставить тайм-аут короче или как ?
Re: сброс соединений connection tracker
Добавлено: 15 окт 2019, 20:34
podarok66
Опять же надо проверить, но в теории если у нас действительно переключение, а не балансировка или агрегация, то восстанавливаться сброшенное соединение должно уже по маршруту, который актуален. Но это не точно. Если очень актуально именно переключить все соединения оперативно, то лучше будет использовать вариант со скриптами, как мне видится. Я как-то делал переключение, давно правда, где ну просто обрубить просили все хвосты гарантированно. Что-то там с банковским клиентом связано было. Так пришлось писать скрипт, который не только сбрасывал коннекшны, но и на минуту деактивировал неработающий WAN. С той поры уже года три прошло, ни разу туда более не попадал. Не знаю даже, работает ещё или давно всё переделано.
По дефолту таймаутов я же писал, у меня на 750Cr3 вообще tcp-established-timeout=1h. И ничего плохого я не вижу в этом. Похоже это не слишком важный параметр, чтобы голову над ним ломать.
Re: сброс соединений connection tracker
Добавлено: 16 окт 2019, 10:03
Sertik
Спасибо.