[АТитов]

Доброго времени суток, дамы и господа

 

Прошу подсказки в сбое, который мне неудается отловить, да и понять никак...

В офисе для выхода в Сеть используется роутер ASUS RT-N66U. Выход в сеть только через порт WAN. Так же в нем настроен доступ к корпоративным серверам с помошью поднятия тунеля OpenVPN. Вся внутренняя сеть это 3 неуправляеммых коммутатора DLink, подключенные в LAN-порты.

В случайные дни (пока что периодичности не отловил) в 18:20-18:25 перестает быть доступен интернет, т.е. все оборудование работает, а дальше роутера не уходим.

Служба поддержки провайдера говорит что они на нашем канале видят два mac-адреса одновременно.

Перезагружаю ASUS и через 10 секунд доступ восстанавливается.

Самое логичное, как советуют провайдеры, заменить роутер, но вот у меня сомнения в верности выводов. Как-то время и непонятная цикличность наводят на мысль что это какое-то внешнее воздействие, но понять не могу.

Коллеги, может кто сталкивался с подобным...

[kayot]

Замените роутер, это стандартная болезнь всего дешевого гумна. Роутеру время от времени сносит крышу и он начинает пропускать на WAN маки с LAN.

Так ведут себя некоторые модели длинков, и видать ваш асус.

[EShirokiy]

Интересно бы узнать, что стоит у провайдера в качестве NAS. На микротике можно отключить трансляцию одного мака с нескольких ip. Правда, если через хостот авторизация происходит.

[witch]

можно попробовать обновить прошивку в асусе. сталкиваемся с похожим на роутерах асус *N10,12....

Edited January 22, 2016 by witch

[Negator]

Нормальный провайдер присылает сотрудника к клиенту для решения этих проблем.

Тем более вы юрлицо.

Позвоните провайдеру, наверняка они в теме - пришлют человека, перешьет роутер. Если провайдер дорожит клиентами и ввел подобные ограничения он должен это делать, причем бесплатно.

[YuryD]

Нормальный провайдер присылает сотрудника к клиенту для решения этих проблем.

Тем более вы юрлицо.

Позвоните провайдеру, наверняка они в теме - пришлют человека, перешьет роутер. Если провайдер дорожит клиентами и ввел подобные ограничения он должен это делать, причем бесплатно.

Ну уж за бесплатно:). Хотя - траблема имеет место быть. Многие домашние роутеры не только свои маки выставляют, но еще и ИП и мас локалки? отвечают многими маками на арп.

Таких физклиентов - к конкуренту, а юрлиц - в магазин, за нормальным оборудованием...

[kosmich7]

Самое логичное, как советуют провайдеры, заменить роутер, но вот у меня сомнения в верности выводов.

Обновить прошивку или заменить роутер - решать только вам.

Можно попробовать попросить провайдера, расширить кол-во мак адресов на порту, до трех например.

У некоторых ограничение по таймауту два мака, это более гуманно чем один.

[nixx]

ТС, я бы в самом начале поинтересовался, какие именно маки видит провайдер. то есть один мак - это должен быть WAN-порт роутера. а второй?

ну и да - обновление прошивки.

еще может помочь отключение IPv6 плюшек (если они есть), на длинках точно помогало.

[vjet]

АТитов, софт на Вашем ASUS какой - из коробки или какой-либо кастомный?

[rdc]

может, разумнее выбрать более вменяемого провайдера, которого не будут смущать лишние маки на порту?

[kayot]

может, разумнее выбрать более вменяемого провайдера, которого не будут смущать лишние маки на порту?

Если у провайдера IPOE с авторизацией по dhcp, то кривой роутер лишними маками будет делать постоянную каку(клиенту).

Если там PPPoE - роуты бывает начинают пытаться поднять этот PPP бесконечное число раз, или подымают сессию с маком WAN, а потом вторую с маком LAN.

Таки лечить нужно говно-роутер, а не провайдера.

[DRiVen]

kayot, в обоих случаях это решается просто ограничением в биллинге количества сессий до одной. Костыль с ограничением количества маков до одного херит любой VPN L2 или/и мультисервисное подключение (например vlan на сервис, у клиента inet+voip+iptv c нескольких STB). Так что лечить таки провайдера.

[Adim]

Самое логичное, как советуют провайдеры, заменить роутер

логичнее проверить сначала...завести учётку на комп (мимо роутера) и день два тестировать

В офисе для выхода в Сеть используется роутер ASUS RT-N66U

в офисах такое г...не ставят

Таки лечить нужно говно-роутер, а не провайдера.

+

[DRiVen]

Есть основания полагать, что прошивка спасет ситуацию? А если нет? Полуадекватных СРЕ как грязи, и когда их на сети десятки тысяч - вы их все лечить предполагаете? Переписывать ПО своими силами будете, или клиенту порекомендуете железку выкинуть и потратить еще надцать тысяч на новую? Как думаете, если вы не единственый ТК, сколько секунд ему понадобится, чтоб вас послать?

 

rdc, +100500

[Ivan_83]

в офисах такое г...не ставят

Комплат прямо возле кремля такое клиентам ставит. Или ставил раньше.

[NiTr0]

Интересно бы узнать, что стоит у провайдера в качестве NAS

скорее всего блочится на свиче. поскольку свич считает, что клиент делает arp spoofing.

 

kayot, в обоих случаях это решается просто ограничением в биллинге количества сессий до одной.

и что? вот есть порт, в него клиент воткнул комп, работает по DHCP. выдернул кабель, воткнул ноут - должно заработать сразу или через час? если сразу - значит, нужно старую "сессию" (лизу) прибивать.

 

потом, берем роутер который гадит дхцп с двумя маками. каждый раз "сессия" рвется и поднимается по-новой. с новым ип.

 

Костыль с ограничением количества маков до одного херит любой VPN L2 или/и мультисервисное подключение (например vlan на сервис, у клиента inet+voip+iptv c нескольких STB).

а если нет мультикаста, и абону предоставляется обычное дешевое офисное подключение, а не выделенный транспорт с qinq?

[rdc]

Если у провайдера IPOE с авторизацией по dhcp, то кривой роутер лишними маками будет делать постоянную каку(клиенту).

Не совсем понимаю, как dhcp может служить средством авторизации, но у моих клиентов таких проблем нет.

Есть только очень редкие ситуации, когда клиент «замыкает» мой порт с портом какого-нибудь пионернета, и упирается в мой защитный лимит в 64 мака.

А пока у него 2-3 мака - на здоровье, это его личное дело, всё нормально работает.

 

Таких физклиентов - к конкуренту

Можете их мне присылать :D

 

есть порт, в него клиент воткнул комп, работает по DHCP. выдернул кабель, воткнул ноут - должно заработать сразу

Сразу, конечно.

Даже более того - моя поддержка при любых жалобах первым делом советует воткнуть комп напрямую ко мне в сеть, чтобы выявить неполадки с вайфаем и т.д.

[tehmeh]

Не совсем понимаю, как dhcp может служить средством авторизации, но у моих клиентов таких проблем нет.

Есть только очень редкие ситуации, когда клиент «замыкает» мой порт с портом какого-нибудь пионернета, и упирается в мой защитный лимит в 64 мака.

А пока у него 2-3 мака - на здоровье, это его личное дело, всё нормально работает.

DHCP служит средством авторизации для IPoE, например, в ISG, когда DISCOVER-пакет является триггером к старту сессии.

В L2-connected уникальным идентификатором сессии является MAC (ну на той же ISG), если получить запросы с другого MAC, сессия пересоздастся с новым MAC.

[orlik]

Если на той тороне видят 2 мака , какие это маки и не пробовали ли понять кому принадлежит второй мак ?

[rdc]

Конкретный пример - у клиента радиомост на нанках, далее его роутер. На порту я вижу мак роутера и маки нанок.

[DRiVen]

и что? вот есть порт, в него клиент воткнул комп, работает по DHCP. выдернул кабель, воткнул ноут - должно заработать сразу или через час? если сразу - значит, нужно старую "сессию" (лизу) прибивать. потом берем роутер, который гадит дхцп с двумя маками. каждый раз "сессия" рвется и поднимается по-новой, с новым ип.

Сразу вряд ли, время на проверку alive еще должно пройти. И хоть один роутер покажите, который разными аппаратными адресами dhcp-запросы шлет, за надцать лет ни один не попадался. А от каждого гипотетического "если бы у бабушки был..." костыли лепить - это неадекватность.

 

а если нет мультикаста, и абону предоставляется обычное дешевое офисное подключение, а не выделенный транспорт с qinq?

То есть схема предоставления услуг под каждого абонента индивидуально? Это должно быть или абонентов трое в два ряда, или работников немеряно. Ни того, ни другого у полноразмерных телекомов как-то не наблюдается.

[АТитов]

ТС, я бы в самом начале поинтересовался, какие именно маки видит провайдер. то есть один мак - это должен быть WAN-порт роутера. а второй?

ну и да - обновление прошивки.

еще может помочь отключение IPv6 плюшек (если они есть), на длинках точно помогало.

 

К сожалению провайдер не озвучивает что они видят на порту.

IPv6 отключен полностью.

Попробую обновить прошивку...

[АТитов]

АТитов, софт на Вашем ASUS какой - из коробки или какой-либо кастомный?

 

Если честно, то только сейчас посмотрел, что прошивка там не типовая (хотя выглядит так же).

Установлена версия 3.0.0.4.376.44_0 Merlin build

На сайте прошивки нашел обновление до 380.57 - попробую обновить и посмотреть результат...

 

Скажу, что мне это "счастье" досталось в наследство после смены нескольких системных администраторов. Судя по следам, настройкой занимался кто-то внешний, т.к. идентичное оборудование с такой же редакцией стоит в нескольких офисах.

[АТитов]

Если на той тороне видят 2 мака , какие это маки и не пробовали ли понять кому принадлежит второй мак ?

 

К сожалению служба поддержки не озвучивает данных что они видят.

[NiTr0]

Сразу, конечно.

Даже более того - моя поддержка при любых жалобах первым делом советует воткнуть комп напрямую ко мне в сеть, чтобы выявить неполадки с вайфаем и т.д.

угу, и при 2 маках одновременно - будут друг друга выбивать из сети, так?

или может быть, предлагаете абону давать поднимать сколько угодно сессий, получая N*тариф скорость? :)