Jump to content
Калькуляторы

Подземные стуки проблемы не подпадающие не под одну категорию

Добрый день. У нас в сети возникла катастрофическая ситуация с маршрутизаторами SNR CPE-W4N и его старшим другом CPE-W4G. В один день, 16 сентября 2015 года, как по волшебству глюкнули эти рутеры у абонентов. Пострадали Wi-Fi Windows клиенты этих точек доступа. Глюк выражается в том, что у абонов рисовался аларм винды "Обранужен конфликт IP адресов в сети" и не работал интернет. (Технология провайдера IPoE, IP абонов от провайдера 10.0.0.0/15. Подсеть внутри дома на SNR 192.168.1.0/24)

Всем рутерам более двух лет. Уже зарегистрировано более 30 случаев (с положительной динамикой роста цифры) на сегодняшний день (хвала яйцам ушли от них и пострадали не все абоны).

Кто сталкивался?

Share this post


Link to post
Share on other sites

Ну во первых CPE-W4G не старший, а младший.

Во вторых смотреть нужно что случилось, вы хоть пытались логи глянуть например? Смысл гадать? Опять таки что за софт стоял, версия и т.д. Не торчало ли это жопой (web/ssh) в инет/сеть с дефолтовыми паролями (знаете как бы шутников хватает, выяснили дефолтовый пароль и скажите спасибо что бут не трут, ну или трут). Опять таки за 2 года электролит в БП запросто мог подсохнуть в итоге сдуревший свитч и дупы пакетов от абонента, ругаться вантуз будет именно так ибо увидит арпы с тем же маком. И т.д. 2 года для сверхбюджетного железа (особенно для БП) срок не малый.

Share this post


Link to post
Share on other sites

В один день -- больше похоже на глюк при очередном обновлении винды... хотя может и хакнули, если пароли дефолтные/одинаковые.

Share this post


Link to post
Share on other sites

В логах ничего криминального. Пока что предварительный диагноз - виноват ARP Proxy. Сняли рутер, поставили в офисе, включили. Подключили винду проводом, забили статику 192.168.1.22, сразу же словили "Конфликт адресов". Меняли адреса, так же ловили аларм винды. Если получать адрес по DHCP, то процесс идет нормально, однако клиентская машина не могла получить MAC-адрес шлюза (Рассылала ARP WHO IS 192.168.1.1 и не получала ответа).

Колупавшись в настройках обнаружили включенный ARP Proxy. После выключения более менее все пришло в норму. Завтра будем бегать по абонам и тестировать нашу догадку.

Share this post


Link to post
Share on other sites

Вы еще посмотрите, ведет ли он себя в первые секунды загрузки как тупой свич?

Иногда бывает такое, порты LAN и WAN оказывались в одном сегменте, пока девайс не прогрузится. Тоже конфликт ип-адресов из-за таких роутеров бывает.

Share this post


Link to post
Share on other sites

[anp/hsw] Ведёт конечно аж секунды 4ре когда драйвер raeth загружается и переинититься свитч (до этого в буте изоляция уже настроена и после тоже). Более того причём тут конфликт адресов-то? Более того не было и нарисовалось.

 

DimOriN Виноват тот кто его включил а не проксиарп. Это не догадка это факт, если у вас изоляции нет и проксиарп включен а ю двух юзверей в одном сегменте будут одинаковые адреса в LAN сети то будет вышеозначенная жопа т.к. ARP`будут летать из юзверь сегмента в WAN и назад без препятственно (с подменой конечно). Руки бы оторвал тому кто додумывается proxyarp (да вообще всё что угодно) включать не понимая зачем включает. И софт сразу обновляйте до актуального раз уж взялись.

 

Короче как обычно, дело было не в бобине...

Share this post


Link to post
Share on other sites

sfstudio, Сбросили настройки в дефолт - ARP Proxy отключен по умолчанию - "Все чудесатее и чудесатее".

Однако не как не могу объяснить проявление проблемы именно сейчас, ведь если она есть, то она была 2 с лишним года.

Share this post


Link to post
Share on other sites

Ессно отключено ибо юзается в очень редких случаях. И включил его кто-то ручками. И никак иначе. Кстати была бы у вас изоляция между абонентами на L2 и не узнали бы что включен.

Share this post


Link to post
Share on other sites

конечно аж секунды 4ре когда драйвер raeth загружается и переинититься свитч (до этого в буте изоляция уже настроена и после тоже). Более того причём тут конфликт адресов-то?

При скачке питания, например, у всех роутеров загрузка начинается в однаковый момент, и на 4 секунды все абонентские компы (у которых за роутерами одинаковые адреса) оказываются в одном сегменте. Отсюда и конфликт.

Share this post


Link to post
Share on other sites

Так не бывает =))) Учитывая что при скачке напряжения ещё и свитч домовой ребутнётся, и если оно не совсем тупое то раздупляется дольше заметно чем роутер успевает заинитить свитч, плюс секунда в секунду один фиг не бывает, плюс юзвери один фиг должны быть на L2 изолированы иначе там вообще бардачина будет даже если только внутри дома оставить возможность по L2 между юзерами ходить. И т.д. и т.п.

 

Ну и опять таки, не сходиться с симптомами ибо массовые скачки регулярно и т.д... Да и причина уже ясна - чьи-то шаловливые ручки включившие проксиарп.

Share this post


Link to post
Share on other sites

Учитывая что при скачке напряжения ещё и свитч домовой ребутнётся

У нас на домовых бесперебойники, например.

 

плюс юзвери один фиг должны быть на L2 изолированы иначе там вообще бардачина будет даже если только внутри дома оставить возможность по L2 между юзерами ходить. И т.д. и т.п.

Ну вот это уже из разряда недопустимых допущений. У очень многих операторов vlan на группу многоквартирных домов.

Все бы отмазываться, лишь бы на эти 4 секунды порты роутера в выключеном состоянии не держать :)

Share this post


Link to post
Share on other sites
' timestamp='1442555297' post='1176225']

У нас на домовых бесперебойники, например.

Прекрасно я вот ТТК допинать не могу что бы на наш проблемный с точки зрения питания дом поставить ИБП, даже подарить готов. Не берут.

 

Ну вот это уже из разряда недопустимых допущений. У очень многих операторов vlan на группу многоквартирных домов.

Все бы отмазываться, лишь бы на эти 4 секунды порты роутера в выключеном состоянии не держать :)

 

У многих операторов вообще бардачина. А порты в момент реинициализации так или иначе будут включены,такова аппаратная логика. Единственный способ это раз и на всегда намертво инитить в буте и больше не трогать. Я бы рад так сделать, но вот провайдерам же надо всякие STB порты и прочую дурь. И внезапно никому эти секунды не мешали и не мешают. На самом деле 4ре секунды я с потолка взял, там врятли и секунда будет суммарно.

 

А вот изоляция нужна(уж вланами или не вланами), ибо юзвери у нас под вяким г-ном живут, и хождение между юзверями L2 зло по определению. Вон черти проксиарп втыкают=)) А могут и чего-нить другого приткнуть что бы всем в доме грустно не было.

Share this post


Link to post
Share on other sites

Прекрасно я вот ТТК допинать не могу что бы на наш проблемный с точки зрения питания дом поставить ИБП, даже подарить готов. Не берут.

Разорвите цепь питания, и заведите ее в бесперебойник снаружи. Положите на верхнюю стенку ящика, если позволяет конструкция. Если у вас там не общага со странным контингентом, то никто ничего не украдет.

 

На самом деле 4ре секунды я с потолка взял, там врятли и секунда будет суммарно.

И тем не менее, этот глюк я замечал и был разочарован (если комп в этот момент успеет получить адрес по dhcp через такую дырку, то потом придется либо кабель передергивать, либо руками интерфейс обновлять).

 

ибо юзвери у нас под вяким г-ном живут, и хождение между юзверями L2 зло по определению.

С современными свичами с ACL разница между фильтрованым L2 и обычным L3 не чувствуется. Нефильтрованый L2, согласен, предоставлять в нашем веке глупо.

Share this post


Link to post
Share on other sites
' timestamp='1442556097' post='1176229']

Разорвите цепь питания, и заведите ее в бесперебойник снаружи. Положите на верхнюю стенку ящика, если позволяет конструкция. Если у вас там не общага со странным контингентом, то никто ничего не украдет.

 

Ага, щас вот полез колупать чужое железо в лифтёрной. =) Оно мне надо? Пусть оператор занимается.

 

И тем не менее, этот глюк я замечал и был разочарован (если комп в этот момент успеет получить адрес по dhcp через такую дырку, то потом придется либо кабель передергивать, либо руками интерфейс обновлять).

 

В новых ещё меньше время реинита, да и в старых в последних версиях свёл на нет практически сей эффект. Ни разу ничего получить мне не удавалось хотя шью девайс боевой чуть ли не раз в час (предпочитаю сразу в работу заливать) и ни разу ничего получить не успело =) Да и не глюк вовсе. На 7621 сия проблема вообще не существует.

 

Нефильтрованый L2, согласен, предоставлять в нашем веке глупо.

 

Ну собсно о том и речь.

Share this post


Link to post
Share on other sites
оказываются в одном сегменте. Отсюда и конфликт.

Абоны на доступе висят в одном vlan'e, однако на доступе запрещен любой пакет с неизученного MAC'а, так что левые arp с левых маков не летают.

SNR CPE работает в режиме свича во время загрузки, L2-подъездный скорее всего тоже (D-LINK DES 3200), но проблема возникла без скачков напряжения.

 

Получается, что летает ахинея с изученых маков и как защититься пока-что не понятно. Запрещать любые arp пакеты, кроме запроса клиента на мак шлюза.

Edited by DimOriN

Share this post


Link to post
Share on other sites
SNR CPE работает в режиме свича во время загрузки

Не работает, если рукоблуды там ничего не сломили. Грю зашейте последнюю версию с wive-ng.sf.net (5.2.6 на данный момент), сбросьте в ноль, поменяйте порядок портов и забудьте о геморе.

 

Грю не парьтесь, вся проблема в том что включен проксиарп и то что они свободно гуляют у вас между абонентами внутри одного свитча. Почему летают между портами? Ну дык это к длинку. В любом случае проксиарп должен быть выключен. Не для этих целей он там есть.

Share this post


Link to post
Share on other sites
' timestamp='1442556097' post=1176229]

С современными свичами с ACL разница между фильтрованым L2 и обычным L3 не чувствуется. Нефильтрованый L2, согласен, предоставлять в нашем веке глупо.

Проходили мы это. Фильтры эти не на всех свичах одинаково хороши, в совокупности всё-равно есть ограничения и "особенности" реализаций, которые инженерам-сетевикам как кость в горле.

Чем держать абонов в одном L2 сегменте и накидывать всякие фильтры на довольно недешевых коммутаторах, проще всех абонов в отдельные вланы на доступе загнать даже на более дешевых свичах.

А вот агрегацию лучше поставить чуть подороже и там сделать QinQ и потом уже всё это дотянуть до нормального BRAS, умеющего разбирать QinQ.

В итоге получается весьма удобно даже по опорной сети гонять тэги - один SVID на агрегацию, в котором умещается до 4095 CVID (абонентских портов) - этого более чем достаточно.

При этом гарантированно между абонентами никакая херь не бегает, проблемы коллизий МАС, кривого DHCP-снупинга с целью навешивания меток (Option 82) и т.п. ересь становятся маловолнующим фактором.

 

Общий влан с ACL - это дороже, геморнее и требования к доступу в разы сложнее, даже авторизация сложнее. Те же D-Link разных серий не на каждой прошивке работают даже приемлемо с DHCP и IP-MAC-Port биндингом, а уж об идеальном свиче остается только мечтать.

Влан на порт - это прекрасно работает даже на тупом свиче доступа, умеющем вланы с портов на транки прописывать.

 

Мы переводили целый большой сегмент сети (около 15тыр абонов) со схемы "влан на дом" на схему "влан на порт". Так что есть с чем сравнить.

По железу заменили только половину старых коммутаторов агрегации не умеющих QinQ. Да и время старых уже "подходило" - стали потихоньку "дохнуть".

 

До перевода было много наболевших проблем, после - все эти проблемы просто стали неактуальны.

 

Дополнительно после перехода на доступе смогли ставить коммутаторы примерно вдвое дешевле но абсолютно для нас без ухудшения сервиса, что оправдало наши затраты на обновление агрегаций буквально за квартал, а далее ессно позволило снизить затраты на оборудование. Да и вообще выбор коммутаторов доступа стал гораздо шире в схеме "влан на порт".

Share this post


Link to post
Share on other sites

Ну тут не принципиально как, принципиально то что надо изолировать на L2 юзверей ибо ХЗ что там с них может валиться и чем аукнуться.

Share this post


Link to post
Share on other sites

Мы переводили целый большой сегмент сети (около 15тыр абонов) со схемы "влан на дом" на схему "влан на порт". Так что есть с чем сравнить.

По железу заменили только половину старых коммутаторов агрегации не умеющих QinQ. Да и время старых уже "подходило" - стали потихоньку "дохнуть".

Статью слабо написать ? Не про qinq, а про опупею замены всего, на управляемые коммутаторы, как вы убедили начальство на-потратиться, и сколько денег ушло... И как Вы это обьяснили хозяевам... Экономией на техподдежрке ? Ах, управляемостью большей...

Share this post


Link to post
Share on other sites

Роутер SNR-CPE-W4N (rev. M) не сохраняются настройки вообще..делаю любое изменение ..жму сохранить все остается как и было до изменения..прошивал два раза...сначала до последней а потом до предпоследней..проблема не устранилась... что это может быть? и лечится ли это вообще??

Edited by Abdul99Aziz

Share this post


Link to post
Share on other sites

Какие именно настройки не сохраняет?

Share this post


Link to post
Share on other sites

Из другого браузера попробуй, например из ИЕ.

все пошло...спасибо..вообще не подумал о таком варианте)))

 

Какие именно настройки не сохраняет?

все не сохранял) все решилось сменой браузера)

Share this post


Link to post
Share on other sites

Из другого браузера попробуй, например из ИЕ.

 

Крайне глупо рекомендовать IE. Отладка идёт на FF/Chroium(тот же хром). IE начиная с 8й версии технически тоже должен уметь всё что используется, но не факт.

 

все не сохранял) все решилось сменой браузера)

 

Так не бывает ибо настройки применяются на лету. Опять таки какой браузер использовался тоже надо указывать что бы dini смог проверить и пофиксить, ессно дремучая экзотика не рассматривается.

 

Так же крайне полезно будет добавить адрес роутера в исключения антивирусов и контентфильтров, ибо эти заразы частенько дропают JS или даже соединения до встроенного вэб сервера, отсюда тормоза и глюки рожи.

 

P.S. На будущее называйте тему по человечески, что бы понятно было что за проблема. Или выбирайте существующую подходящую. В данном случае даже "подземные стуки" подходит лучше чем SNR-CPE-W4N (rev. M), собсно туда ваш вопрос и уезжает. Железо и версию прошивки в теле сообщения указывать никто не запрещал и даже наоборот крайне желательно.

Share this post


Link to post
Share on other sites

все не сохранял) все решилось сменой браузера)

В таком случае в каком браузере отказывалось работать?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this