asdf27

Wi-Fi работал стабильно года 2, а вчера позвонил клиент, что интернет работает моментами. При диагностике увидел шторм при пинге, но практически без превышений интервалов. Пинг что роутера, что точки Nanostation M2 скакал 1-2000 мс. Поменял провода на PoE, пинг выровнялся, но спустя минуту превышен интервал для запроса, хотя соединение есть, скорость 72 mbs. Отключишься от сети, подключишься снова - пинг ровный, инет есть, но через минуту тоже самое. Залил конфиг с другой точки, не помогло. Взял еще один комп и мобильник. Если первый клиент отключен от сети, полёт нормальный. Если есть провалы, через 2-3 попытки соединение возвращалось. Но если первый клиент подключен, сеть падала и падала у всех. Причина следующая: на первом клиенте оказалось ноль памяти, диспетчер устройств запускался в течение 15 секунд. Когда память освободил, всё стало работать штатно, без скачков пинга, провалов и обрывов. Вывод: клиент долго отвечал точке, создавая медленные пакеты. А так как запросы идут через точку, роутер блочил её. В DDOS'е такой же принцип переполнения, долгими ответами с неполными пакетами? Получается что одна клиентская машина способна положить всю сеть в пределах SSID? Вопрос: можно ли что-то сделать с настройками самой точки, чтобы она отсекала таких клиентов?

Ага, оно. Давным-давно настраивали роутер, пароль вбили и забыли. Потом ребут к заводским, а этот момент проглядели...

Пипец, один мат на языке. В настройках роутера пул адресов всего 20 штук был, вот и вся причина.

Пипец, один мат на языке. В настройках роутера пул адресов всего 20 штук был, вот и вся причина. -- Доброго времени, форум. Имеется сеть точек, одна bullet m2hp, остальные Nanostaion M2 и Loco M2. Роутер zuxel keenetik. Точки дают клиенту ip от DHCP с роутера. В какой-то момент клиент перестает подключаться к точке (подключение к сети выполняется дольше обычного). Чтобы сеть ожила, проделываем следующее: Погасить роутер Погасить точки Включить роутер Минуту ждем пока роутер очухается Включаем точки Точки удалены друг от друга, но от роутера проводами. Как вы считаете, что провоцирует проблему, роутер?

Прочел статью, ссылки в её начале и комментарии к ней... из уважения к вам, что не перестаете отвечать на мои вопросы. Но это не то... Нашли хорошую книгу как раз по связке Debian + freeradius + chilli на роутере, сейчас читаю. Статья "не та", приведу сравнение: Если объект ставит связку локально, ему нужно: - купить компьютер (20к с монитором и прочим), - поставить ось и биллинг (3-4к), - прошить и настроить на сервер роутер (3к). Если роутер слабый, то купить новый (2-5к), - прописать персонал на роутере (?) - купить статичный ip (?) - возможно, рейды сделать (2к) Итого 26к + возможно 2-5к + возможно 2к + ? + ?. Ну и временные затраты на поиск того, кто всё это сделает. Если наши услуги, то: - прошить и настроить на сервер роутер (3к). Если роутер слабый, то купить новый (2-5к), - оплатить год доступа (4,8к) - депозит на оплату смс (2к) - прописать персонал (?) Итого 9,8к + возможно 2-5к + ?. И тут готовое решение, и урегулирование вопросов с контролирующими и самое главное, верификация по sms. Во-первых, гостиницы и кафе в общей своей массе дают бесплатный wi-fi; Во-вторых, генерация, печать, нарезка и раздача купонов ляжет на сотрудников. Связка получается примитивной. Первичное видение по незнанию казалось куда более удобным. Ответ с минсвязи до сих пор не получен, прошла неделя. Ответ просил на электронку. Сегодня прозвонил, спросил можно ли обойтись sms-авторизацией. В ответ, мол, в законе разве не написано? Ответил что нет разъяснений, на что посоветовали отписать на электронку.

Я понял... Значит единственный вариант, это в каждый роутер загонять chillispot и ссылать их на свой радиус... А время жизни сессии указывается в chilli, верно?

Очень ценные советы. На данный момент борюсь со связкой radius + chilli. Прописываю шлюзом сервер, но в ответ тишина... страницу авторизации не показывает. Только при пинге с клиента определяет ip хоста (ya.ru). Радиус прикрутил, юзера прописал. Тестом из терминала reject'ит и accept'ит, а вот chilli никак себя не проявляет. Хотя нет, проявляет. Когда сервис запущен, на серваке инет падает :) Не прописывал его в радиусе. А вот в логи заглянуть не успел, рабочий день и даже чуть больше кончился. ---- Говоря о роутере, вы имеете ввиду шить wrt? Дело в том, что клиентские роутеры могут быть достаточно удаленными, на место выезжать далеко. Потому работаю над тем, чтобы всю связку поднять в одном сервере, а клиенту достаточно лишь прописать шлюз в роутере.

Спасибо, очень много времени мне экономите. А как быть с МАКами клиентов? Роутер передаст при подключении через инет радиусу мак клиента? И с обработкой php, радиус передает какие-то переменные, чтобы их можно было обработать php и записать в таблицу? Или идентификатор клиента, свой, "радиусовский"?

А логи писать? FTP? Радиус только поставил, разбираюсь...

Значит мне надо подучить мат.часть, именно так мне и нужно. Сформулировал с ошибками. На роутере ip сервера я указываю в качестве dns?

Верно, так и есть. Балансировать инет будет другой сервер, он же будет и резать скорость. Это я отвлекся. В продолжении темы. В конечном итоге я добиваюсь следующего: 1. Будет сервер, указанный шлюзом у сотни роутеров (простых, не микротиков), связь с ними через инет. 2. Это сервер фиксирует подключение роутера (его мак), проверяет есть ли он в списке авторизованных роутеров (чтобы левые не подсели). 3. Сверяет мак клиента. Есть в списке - пустил в инет. Нет в списке или истекла сессия - запросил телефон и код подтверждения. 4. Все действия клиентов (каждый запрос, где сёрфили) пишется в лог на отдельный файловый сервер. Делается это для того, чтобы в свете нового закона каждой мелкой кафешке или гостевому дому сэкономить на установке нового железа. Тот же микротик, цена + настройка + настройка на месте будет в 30 раз дороже месячного тарифа. + логирование на ftp тоже 200р в месяц (простой хостинг).

Т.е. если каждый коннект проверять запросом вида SELECT * FROM mac_table WHERE mac='мак_клиента' - это плохо? Если время жизни доступа, скажем, 5 дней, и за это время будет собираться 30к записей, не критично делать SELECT по всем записям? Каждые 5 дней по крону перемещать в архивную таблицу. За рейды спасибо, сразу запланировал. И может кто знает, объясните примитивным языком: если два канала инета, как работает балансировщик, как он определяет на какой канал прицепить клиента? Тут речь о гостинице, один канал не справляется. Буду вешать второй модем, хотелось бы чтобы сервер определял загрузка каждого канала и правильно раскидывал коннекты.

Нет, это просто прокладка. Говоря прямо, я думаю на этом зарабатывать. Роутеры раскиданы по объектам и связь между ними может быть только по инету. Роутеры: кинетики, длинки, асусы и прочие бюджетные. Очень много гостевых домов и мелких кафе, которые не будут покупать микротик и оплачивать настройку биллинга. А вот такая услуга за пятьсот рублей в месяц очень даже может быть... когда закон начнет работать. По этому поводу отписал в минсвязи, можно ли для авторизации использовать только мобильный, без паспортных, а также размер штрафа для физиков и юриков. Если интересно, позже отпишу ответ. Правильно ли я понимаю, что при каждом пакете будет сверяться, авторизован ли клиент? Ширина канала 50 мбит, сколько в теории запросов в секунду удержит? Жесткий HDD, core i5.

Т.е. алгоритм верный?

Посмотрите мою, сырой вариант. Как авторизуетесь, жмите "Упра" (это то, что вам нужно). http://6.firepic.org/6/images/2014-09/20/6ib6k1ueypw8.jpg