Перейти к содержимому
Калькуляторы

Подземные стуки проблемы не подпадающие не под одну категорию

Добрый день. У нас в сети возникла катастрофическая ситуация с маршрутизаторами SNR CPE-W4N и его старшим другом CPE-W4G. В один день, 16 сентября 2015 года, как по волшебству глюкнули эти рутеры у абонентов. Пострадали Wi-Fi Windows клиенты этих точек доступа. Глюк выражается в том, что у абонов рисовался аларм винды "Обранужен конфликт IP адресов в сети" и не работал интернет. (Технология провайдера IPoE, IP абонов от провайдера 10.0.0.0/15. Подсеть внутри дома на SNR 192.168.1.0/24)

Всем рутерам более двух лет. Уже зарегистрировано более 30 случаев (с положительной динамикой роста цифры) на сегодняшний день (хвала яйцам ушли от них и пострадали не все абоны).

Кто сталкивался?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну во первых CPE-W4G не старший, а младший.

Во вторых смотреть нужно что случилось, вы хоть пытались логи глянуть например? Смысл гадать? Опять таки что за софт стоял, версия и т.д. Не торчало ли это жопой (web/ssh) в инет/сеть с дефолтовыми паролями (знаете как бы шутников хватает, выяснили дефолтовый пароль и скажите спасибо что бут не трут, ну или трут). Опять таки за 2 года электролит в БП запросто мог подсохнуть в итоге сдуревший свитч и дупы пакетов от абонента, ругаться вантуз будет именно так ибо увидит арпы с тем же маком. И т.д. 2 года для сверхбюджетного железа (особенно для БП) срок не малый.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В один день -- больше похоже на глюк при очередном обновлении винды... хотя может и хакнули, если пароли дефолтные/одинаковые.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В логах ничего криминального. Пока что предварительный диагноз - виноват ARP Proxy. Сняли рутер, поставили в офисе, включили. Подключили винду проводом, забили статику 192.168.1.22, сразу же словили "Конфликт адресов". Меняли адреса, так же ловили аларм винды. Если получать адрес по DHCP, то процесс идет нормально, однако клиентская машина не могла получить MAC-адрес шлюза (Рассылала ARP WHO IS 192.168.1.1 и не получала ответа).

Колупавшись в настройках обнаружили включенный ARP Proxy. После выключения более менее все пришло в норму. Завтра будем бегать по абонам и тестировать нашу догадку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы еще посмотрите, ведет ли он себя в первые секунды загрузки как тупой свич?

Иногда бывает такое, порты LAN и WAN оказывались в одном сегменте, пока девайс не прогрузится. Тоже конфликт ип-адресов из-за таких роутеров бывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

[anp/hsw] Ведёт конечно аж секунды 4ре когда драйвер raeth загружается и переинититься свитч (до этого в буте изоляция уже настроена и после тоже). Более того причём тут конфликт адресов-то? Более того не было и нарисовалось.

 

DimOriN Виноват тот кто его включил а не проксиарп. Это не догадка это факт, если у вас изоляции нет и проксиарп включен а ю двух юзверей в одном сегменте будут одинаковые адреса в LAN сети то будет вышеозначенная жопа т.к. ARP`будут летать из юзверь сегмента в WAN и назад без препятственно (с подменой конечно). Руки бы оторвал тому кто додумывается proxyarp (да вообще всё что угодно) включать не понимая зачем включает. И софт сразу обновляйте до актуального раз уж взялись.

 

Короче как обычно, дело было не в бобине...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

sfstudio, Сбросили настройки в дефолт - ARP Proxy отключен по умолчанию - "Все чудесатее и чудесатее".

Однако не как не могу объяснить проявление проблемы именно сейчас, ведь если она есть, то она была 2 с лишним года.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ессно отключено ибо юзается в очень редких случаях. И включил его кто-то ручками. И никак иначе. Кстати была бы у вас изоляция между абонентами на L2 и не узнали бы что включен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

конечно аж секунды 4ре когда драйвер raeth загружается и переинититься свитч (до этого в буте изоляция уже настроена и после тоже). Более того причём тут конфликт адресов-то?

При скачке питания, например, у всех роутеров загрузка начинается в однаковый момент, и на 4 секунды все абонентские компы (у которых за роутерами одинаковые адреса) оказываются в одном сегменте. Отсюда и конфликт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так не бывает =))) Учитывая что при скачке напряжения ещё и свитч домовой ребутнётся, и если оно не совсем тупое то раздупляется дольше заметно чем роутер успевает заинитить свитч, плюс секунда в секунду один фиг не бывает, плюс юзвери один фиг должны быть на L2 изолированы иначе там вообще бардачина будет даже если только внутри дома оставить возможность по L2 между юзерами ходить. И т.д. и т.п.

 

Ну и опять таки, не сходиться с симптомами ибо массовые скачки регулярно и т.д... Да и причина уже ясна - чьи-то шаловливые ручки включившие проксиарп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Учитывая что при скачке напряжения ещё и свитч домовой ребутнётся

У нас на домовых бесперебойники, например.

 

плюс юзвери один фиг должны быть на L2 изолированы иначе там вообще бардачина будет даже если только внутри дома оставить возможность по L2 между юзерами ходить. И т.д. и т.п.

Ну вот это уже из разряда недопустимых допущений. У очень многих операторов vlan на группу многоквартирных домов.

Все бы отмазываться, лишь бы на эти 4 секунды порты роутера в выключеном состоянии не держать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

' timestamp='1442555297' post='1176225']

У нас на домовых бесперебойники, например.

Прекрасно я вот ТТК допинать не могу что бы на наш проблемный с точки зрения питания дом поставить ИБП, даже подарить готов. Не берут.

 

Ну вот это уже из разряда недопустимых допущений. У очень многих операторов vlan на группу многоквартирных домов.

Все бы отмазываться, лишь бы на эти 4 секунды порты роутера в выключеном состоянии не держать :)

 

У многих операторов вообще бардачина. А порты в момент реинициализации так или иначе будут включены,такова аппаратная логика. Единственный способ это раз и на всегда намертво инитить в буте и больше не трогать. Я бы рад так сделать, но вот провайдерам же надо всякие STB порты и прочую дурь. И внезапно никому эти секунды не мешали и не мешают. На самом деле 4ре секунды я с потолка взял, там врятли и секунда будет суммарно.

 

А вот изоляция нужна(уж вланами или не вланами), ибо юзвери у нас под вяким г-ном живут, и хождение между юзверями L2 зло по определению. Вон черти проксиарп втыкают=)) А могут и чего-нить другого приткнуть что бы всем в доме грустно не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прекрасно я вот ТТК допинать не могу что бы на наш проблемный с точки зрения питания дом поставить ИБП, даже подарить готов. Не берут.

Разорвите цепь питания, и заведите ее в бесперебойник снаружи. Положите на верхнюю стенку ящика, если позволяет конструкция. Если у вас там не общага со странным контингентом, то никто ничего не украдет.

 

На самом деле 4ре секунды я с потолка взял, там врятли и секунда будет суммарно.

И тем не менее, этот глюк я замечал и был разочарован (если комп в этот момент успеет получить адрес по dhcp через такую дырку, то потом придется либо кабель передергивать, либо руками интерфейс обновлять).

 

ибо юзвери у нас под вяким г-ном живут, и хождение между юзверями L2 зло по определению.

С современными свичами с ACL разница между фильтрованым L2 и обычным L3 не чувствуется. Нефильтрованый L2, согласен, предоставлять в нашем веке глупо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

' timestamp='1442556097' post='1176229']

Разорвите цепь питания, и заведите ее в бесперебойник снаружи. Положите на верхнюю стенку ящика, если позволяет конструкция. Если у вас там не общага со странным контингентом, то никто ничего не украдет.

 

Ага, щас вот полез колупать чужое железо в лифтёрной. =) Оно мне надо? Пусть оператор занимается.

 

И тем не менее, этот глюк я замечал и был разочарован (если комп в этот момент успеет получить адрес по dhcp через такую дырку, то потом придется либо кабель передергивать, либо руками интерфейс обновлять).

 

В новых ещё меньше время реинита, да и в старых в последних версиях свёл на нет практически сей эффект. Ни разу ничего получить мне не удавалось хотя шью девайс боевой чуть ли не раз в час (предпочитаю сразу в работу заливать) и ни разу ничего получить не успело =) Да и не глюк вовсе. На 7621 сия проблема вообще не существует.

 

Нефильтрованый L2, согласен, предоставлять в нашем веке глупо.

 

Ну собсно о том и речь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

оказываются в одном сегменте. Отсюда и конфликт.

Абоны на доступе висят в одном vlan'e, однако на доступе запрещен любой пакет с неизученного MAC'а, так что левые arp с левых маков не летают.

SNR CPE работает в режиме свича во время загрузки, L2-подъездный скорее всего тоже (D-LINK DES 3200), но проблема возникла без скачков напряжения.

 

Получается, что летает ахинея с изученых маков и как защититься пока-что не понятно. Запрещать любые arp пакеты, кроме запроса клиента на мак шлюза.

Изменено пользователем DimOriN

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SNR CPE работает в режиме свича во время загрузки

Не работает, если рукоблуды там ничего не сломили. Грю зашейте последнюю версию с wive-ng.sf.net (5.2.6 на данный момент), сбросьте в ноль, поменяйте порядок портов и забудьте о геморе.

 

Грю не парьтесь, вся проблема в том что включен проксиарп и то что они свободно гуляют у вас между абонентами внутри одного свитча. Почему летают между портами? Ну дык это к длинку. В любом случае проксиарп должен быть выключен. Не для этих целей он там есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

' timestamp='1442556097' post=1176229]

С современными свичами с ACL разница между фильтрованым L2 и обычным L3 не чувствуется. Нефильтрованый L2, согласен, предоставлять в нашем веке глупо.

Проходили мы это. Фильтры эти не на всех свичах одинаково хороши, в совокупности всё-равно есть ограничения и "особенности" реализаций, которые инженерам-сетевикам как кость в горле.

Чем держать абонов в одном L2 сегменте и накидывать всякие фильтры на довольно недешевых коммутаторах, проще всех абонов в отдельные вланы на доступе загнать даже на более дешевых свичах.

А вот агрегацию лучше поставить чуть подороже и там сделать QinQ и потом уже всё это дотянуть до нормального BRAS, умеющего разбирать QinQ.

В итоге получается весьма удобно даже по опорной сети гонять тэги - один SVID на агрегацию, в котором умещается до 4095 CVID (абонентских портов) - этого более чем достаточно.

При этом гарантированно между абонентами никакая херь не бегает, проблемы коллизий МАС, кривого DHCP-снупинга с целью навешивания меток (Option 82) и т.п. ересь становятся маловолнующим фактором.

 

Общий влан с ACL - это дороже, геморнее и требования к доступу в разы сложнее, даже авторизация сложнее. Те же D-Link разных серий не на каждой прошивке работают даже приемлемо с DHCP и IP-MAC-Port биндингом, а уж об идеальном свиче остается только мечтать.

Влан на порт - это прекрасно работает даже на тупом свиче доступа, умеющем вланы с портов на транки прописывать.

 

Мы переводили целый большой сегмент сети (около 15тыр абонов) со схемы "влан на дом" на схему "влан на порт". Так что есть с чем сравнить.

По железу заменили только половину старых коммутаторов агрегации не умеющих QinQ. Да и время старых уже "подходило" - стали потихоньку "дохнуть".

 

До перевода было много наболевших проблем, после - все эти проблемы просто стали неактуальны.

 

Дополнительно после перехода на доступе смогли ставить коммутаторы примерно вдвое дешевле но абсолютно для нас без ухудшения сервиса, что оправдало наши затраты на обновление агрегаций буквально за квартал, а далее ессно позволило снизить затраты на оборудование. Да и вообще выбор коммутаторов доступа стал гораздо шире в схеме "влан на порт".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну тут не принципиально как, принципиально то что надо изолировать на L2 юзверей ибо ХЗ что там с них может валиться и чем аукнуться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мы переводили целый большой сегмент сети (около 15тыр абонов) со схемы "влан на дом" на схему "влан на порт". Так что есть с чем сравнить.

По железу заменили только половину старых коммутаторов агрегации не умеющих QinQ. Да и время старых уже "подходило" - стали потихоньку "дохнуть".

Статью слабо написать ? Не про qinq, а про опупею замены всего, на управляемые коммутаторы, как вы убедили начальство на-потратиться, и сколько денег ушло... И как Вы это обьяснили хозяевам... Экономией на техподдежрке ? Ах, управляемостью большей...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Роутер SNR-CPE-W4N (rev. M) не сохраняются настройки вообще..делаю любое изменение ..жму сохранить все остается как и было до изменения..прошивал два раза...сначала до последней а потом до предпоследней..проблема не устранилась... что это может быть? и лечится ли это вообще??

Изменено пользователем Abdul99Aziz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Из другого браузера попробуй, например из ИЕ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какие именно настройки не сохраняет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Из другого браузера попробуй, например из ИЕ.

все пошло...спасибо..вообще не подумал о таком варианте)))

 

Какие именно настройки не сохраняет?

все не сохранял) все решилось сменой браузера)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Из другого браузера попробуй, например из ИЕ.

 

Крайне глупо рекомендовать IE. Отладка идёт на FF/Chroium(тот же хром). IE начиная с 8й версии технически тоже должен уметь всё что используется, но не факт.

 

все не сохранял) все решилось сменой браузера)

 

Так не бывает ибо настройки применяются на лету. Опять таки какой браузер использовался тоже надо указывать что бы dini смог проверить и пофиксить, ессно дремучая экзотика не рассматривается.

 

Так же крайне полезно будет добавить адрес роутера в исключения антивирусов и контентфильтров, ибо эти заразы частенько дропают JS или даже соединения до встроенного вэб сервера, отсюда тормоза и глюки рожи.

 

P.S. На будущее называйте тему по человечески, что бы понятно было что за проблема. Или выбирайте существующую подходящую. В данном случае даже "подземные стуки" подходит лучше чем SNR-CPE-W4N (rev. M), собсно туда ваш вопрос и уезжает. Железо и версию прошивки в теле сообщения указывать никто не запрещал и даже наоборот крайне желательно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

все не сохранял) все решилось сменой браузера)

В таком случае в каком браузере отказывалось работать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.