man781 Posted January 28, 2016 · Report post Имеется тыщи и тыщи роутеров у абонов. Zyxel и TP-Link разной степени свежести. Последние дня три довольно много звонков от тех абонов, у кого тп-линк. Никто не заметил такого? Мы раздаем белые ипы, может какая новая дырка у них? Симптомы - не поднимает впнку... Адрес сервера видимо не может разрезолвить. (если руками прописать днс наш - вроде как подниает впн) И это не всех и не всегда. И почему вот сечас вот такая беда... Пока не нашел систему... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted January 28, 2016 · Report post днс запросы от абонентов насильно заверните на свой днс рекурсер. Скорее всего бот прошёлся и поменял им днс сервер в настройках на свой левый. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
man781 Posted January 28, 2016 · Report post это я сразу сделал - не помогло Еще из мира закрыто телнет, ссш, веб, снмп и что-то еще Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
man781 Posted January 28, 2016 · Report post задампил я трафик от такого клиента, еще и лог роутера надыбал. Получает корректно адрес днс от дхцп (правда только примэри, секондари = 0.0.0.0, но так у нас уже много лет) В дампе трафика нормально резолвит кучу фигни с компа, но, блин, нет попытки разрезолвить имя впн сервера - соответственно тунель не поднимается, инета нету. И главное, я знал, что есть проблема такая в тплинках, проявляется иногда редко - но почему сейчас и у мнгоих - не могу понять. http://serverfault.com/questions/365613/tp-link-routers-send-dns-queries-to-1-0-0-19-what-is-that/365630 И обновление свежей прошивы со слов клиента - помогло, но не надолго. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FuckingElvis Posted January 28, 2016 · Report post У своих абонентов не заметил... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 28, 2016 · Report post У нас тоже нет проблем, наверно они только у тех, кто работает по туннелям, а не по PPPoE или IPoE. Технология подключения какая? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sfstudio Posted January 29, 2016 · Report post У нас тоже нет проблем, наверно они только у тех, кто работает по туннелям, а не по PPPoE или IPoE. Технология подключения какая? PPPOE не туннель? Как раз самый обычный туннель, разве что в отличии от PPTP/L2TP ходит поверх L2 а не L3. Ессно если трабла с DNS PPOE поднимется, ему ничего резовлить не надо, послал дискавери, выбрал из ответов к кому цепляться и попёр. Но туннелем он от этого (ни от того что по L2 ходить начал, ни от того что подъём ни от DNS ни от IP на ифэейсе есть или нет не зависит) быть не перестал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TVSF Posted January 29, 2016 · Report post у нас тоже наблюдается такая проблема ,хотя технология прямой ip и местами ipoe .По логам ничего нету ,проблема наблюдается на старых версиях роутеров и у которых закончилась техподдержка Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sfstudio Posted January 29, 2016 · Report post И обновление свежей прошивы со слов клиента - помогло, но не надолго. Автообновления там нет? А то может юзер заливает чуть более старую версию с сайта, всё оживает, потом сама автообновляется и приплыли. Вот потому и всегда и грю что автообновление на непроверенные в вашей сети версии ПО зло по умолчанию. Если прописывание DNS руками помогает то явно какая-то бага в ПО. Тут только вендору писать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted January 29, 2016 · Report post Если прописывание DNS руками помогает то явно какая-то бага в ПО. Тут только вендору писать. типа как у насосов http://www.ps-ax.ru/2015/02/06/о-роутерах-asus-и-проблеме-dns-relay/ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sfstudio Posted January 29, 2016 · Report post Если прописывание DNS руками помогает то явно какая-то бага в ПО. Тут только вендору писать. типа как у насосов http://www.ps-ax.ru/2015/02/06/о-роутерах-asus-и-проблеме-dns-relay/ Это будет у всех кто из-за ужаса перед GPL юзает глюкоделие dnsd (ещё и версию царя гороха) вместо dnsmasq в своих прошивках, ведь на коленке работает чего ж надо-то =)). Там много фееричного было, я уже и забыл когда от него отказался (ещё во времена RTL8186), и эту багу помню. В таком случае единственное что поможет это сказать dhcp серверу в роутере выдавать клиентам адреса DNS ISP вместо адреса роутера на котором крутиться relay. Но судя по В дампе трафика нормально резолвит кучу фигни с компа, но, блин, нет попытки разрезолвить имя впн сервера - соответственно тунель не поднимается, инета нету. тут другая трабла и relay продолжает работать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
man781 Posted January 29, 2016 · Report post И обновление свежей прошивы со слов клиента - помогло, но не надолго. Автообновления там нет? А то может юзер заливает чуть более старую версию с сайта, всё оживает, потом сама автообновляется и приплыли. Вот потому и всегда и грю что автообновление на непроверенные в вашей сети версии ПО зло по умолчанию. Автообновления нет. Если прописывание DNS руками помогает то явно какая-то бага в ПО. Тут только вендору писать. Я хочу понять, почему эти несколько тысяч роутеров работают годами, и, периодически возникает эта херня. А тем более именно вот сейчас у многих сразу. (Но далеко не у всех). Например, в день сотня роутеров из тысяч. Как людям объяснить, что у них все работало на этом роутере несколько лет, а теперь им что-то надо прописать руками.... И при этом такой всплеск появился грубо в понедельник. Мы у себя все проверили. Хз - что является триггером проблемы. Лучше бы оно либо всегда работало, либо пока сразу при подключении абона не пропишешь руками... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sfstudio Posted January 29, 2016 · Report post ИМХО тут в любом случае надо с вендором списываться и разбираться что происходит. Без понимания логики нагороженной в прошивке будет сложно сказать в чём проблема и почему всплыла именно сейчас. Периодически приходиться решать подобные задачки при поддержки железа моего заказчика. Собирается версия прошивки с максимальной отладкой и выясняется что и где перестало отрабатывать, по путно выясняется зачастую и тригер. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xaker1 Posted January 31, 2016 (edited) · Report post Не так давно тестировал роутеры, были D-link DIR-615 и один Zyxel Keenetic Lite. Так на них тоже была трабла с DNS. Схема подключения у нас - PPPoE, при этом по DHCP клиент получает IP адрес и ряд маршрутов, в т.ч. и до DNS сервера. В итоге, пока маршрут до DNS шел через локалку - DNS могло не работать. Как только делал принудительно через PPPoE - все работало. Дамп трафика показывал DNS запросы роутера, и DNS ответы, которые, похоже, роутер игнорировал. Причем проблемный роутер можно было отложить на часок - включить снова - и все работало. Прошивка везде последняя. Edited January 31, 2016 by xaker1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mcdemon Posted February 1, 2016 · Report post man781, помню что у asus'ов была болячка, что изза "непопулярных" настроек в dhcp они могли не принимать вообще все настройки. посмотрите может быть вы кроме ip,gw,dns еще выдаете ntp или еще что... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted February 1, 2016 · Report post 2ТС, сами то ничего не меняли? Сервера не обновляли? Dns/dhcp не трогали? По аналогии с асусовским днс рЕЗолвером, трпбл вылезал после апдейта бинда. Может вы тоже что-то крутили? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
man781 Posted February 1, 2016 · Report post man781, помню что у asus'ов была болячка, что изза "непопулярных" настроек в dhcp они могли не принимать вообще все настройки. посмотрите может быть вы кроме ip,gw,dns еще выдаете ntp или еще что... Конечно, выдаем ntp и еще что-то, но это много лет так. И по логам роутера видно, что он принял ип адрес, днс, роуты... И вообще с роутера пингуется впн сервер по ип. И вообще - это проявляется не одновременно на всех роутерах - "там/сям" И еще я заметил, что в таблице маршрутизации висит роут /32 до впн сервера, т.е. все таки в какой то момент он разрезолвил адрес, и даже была попытка коннекта А потом всё. Логи браса (SE600) - там хрен что поймешь. Но тоже не трогали. Логи роутера: видно что-то про попытки конекта L2TP и дисконект (то ли брасу что-то не понравилось, то ли роутеру). Люди прислали скриншот через Viber, а потом его нечаянно грохнул ) 2ТС, сами то ничего не меняли? Сервера не обновляли? Dns/dhcp не трогали? По аналогии с асусовским днс рЕЗолвером, трпбл вылезал после апдейта бинда. Может вы тоже что-то крутили? не, bind не меняли (вернее у нас unbound) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
man781 Posted February 1, 2016 · Report post Трогали конфиг dhcp ISC 4, лиз тайм меняли на час, потом вернули обратно на сутки. И конфиг dhcp - раньше прописывал биллинг каждый раз для нового абона. Теперь сгенерили полный конфиг для всех свичей и портов (опц82). Чтобы не рестартовать демона. Но, вроде, для тп-линков это ничего не меняет :) Вот, кстати, пример конфига и набор опций (которые 100500 лет уже такие) subnet 10.213.76.0 netmask 255.255.255.0 { option routers 10.213.76.1; option netbios-node-type = uint2; option subnet-mask 255.255.255.0; option nis-domain "provider.lan"; option domain-name "provider.lan"; option domain-name-servers 181.247.75.11; option time-offset 10800; default-lease-time 86400; option ms-classes-static-routes 24,192,168,254,10,213,76,1,10,10,192,10,213,76,1,24,192,168,10,10,213,76,1,24,192,168,4,10,213,76,1; option rfc3442-classes-static-routes 24,192,168,254,10,213,76,1,10,10,192,10,213,76,1,24,192,168,10,10,213,76,1,24,192,168,4,10,213,76,1; option ntp-servers 192.168.10.1; max-lease-time 172800; # ********* starting classes block ********** group { class "switch_Y044_port_1" {match if binary-to-ascii (16,8,":", substring (option agent.circuit-id,0,8)) = "0:1:c:f0:59:30:34:34";} class "switch_Y044_port_2" {match if binary-to-ascii (16,8,":", substring (option agent.circuit-id,0,8)) = "0:2:c:f0:59:30:34:34";} class "switch_Y044_port_3" {match if binary-to-ascii (16,8,":", substring (option agent.circuit-id,0,8)) = "0:3:c:f0:59:30:34:34";} class "switch_Y044_port_4" {match if binary-to-ascii (16,8,":", substring (option agent.circuit-id,0,8)) = "0:4:c:f0:59:30:34:34";} .... } pool { range 10.213.76.6; allow members of "switch_Y019_port_1"; } pool { range 10.213.76.7; allow members of "switch_Y019_port_1"; } pool { range 10.213.76.8; allow members of "switch_Y019_port_2"; } pool { range 10.213.76.9; allow members of "switch_Y019_port_2"; } pool { range 10.213.76.10; allow members of "switch_Y019_port_3"; } pool { range 10.213.76.11; allow members of "switch_Y019_port_3"; } ... } #close the subnet 10.213.76.0 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AlKov Posted February 2, 2016 · Report post Как только делал принудительно через PPPoE - все работало. А каким образом Вы это реализовывали? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
man781 Posted March 7, 2016 · Report post up В итоге само прошло )))). DHCP и DNS серверы - это был ложный след. Но что поменялось? Да почти ничего такого - переехали на новый биллинг )))) Я делаю вывод - что тп-линк тупо заглючивает и уходит в цунгцванг, если не может поднять впн с нескольких попыток (в частности l2tp - но скорее всего относится и к pptp/pppoe). А поднять не может с первого раза - потому что биллинг уже не справлялся. Но это уже не важно. Просто мы его переросли. (Сидели на Ideco АСР3 8 лет - который развивался вместе с нами, и, справедливости ради - парни многое сделали из наших хотелок, всё объясняли и делали хорошо свою работу, много ночей в аське вместе провели ))))). Но потом у них произошли внутренние сложности и раскол компании.... Наши циклы перестали совпадать...) И Ideco АСР3 давно уже END OF LIFE. (чтобы не говорил сааб95 - который утверждает в 2016 году, что Windows98SE - самая лучшая и удобная ОС Ideco АСР3 - самый лучший биллинг ) Кстати - помню старый форум ideco - где сааб тупил, критиковал - что все неправильно, непонятно и устаревшие технологии, и ему очень долго разжевывали элементарные вещи как скрестить микротик и Ideco АСР3. Но уж когда у него получилось - всё - сработал синдром утенка.... (Синдром или эффект утёнка (англ. baby duck syndrome, нлпёрск. импринтинг) — психологический принцип, по которому человек, сталкиваясь с какой-либо областью и далее углубляясь в неё, считает первый встреченный им объект из этой области самым лучшим, самым правильным, а все прочие — тем «хуже», чем меньше они похожи на его первую любовь. Является показанием к участию в Special Olympics.) P.S. Перешли на Гидру 4.х (при всех сложностях, которые возникали при подготовке и переходе - это просто НЕбО и ЗЕМЛЯ.) Т.е. я в целом весьма доволен новым биллингом и его архитектурой (не забывая ни на секунду, что мы живем не в идеальном мире). Ощущение такое - как после ваз2101 пересел на ситроен С5 - который тоже далек от идеала и имеет свои косячки. И это не Bentley State Limousine ручной сборки за 1,5М USD. Но - как говорится - почувствуй разницу ))))) Полечу на КРОС 2016 и жду шоколадку за рекламу от парней из Латеры )))) P.S.0 Carbon5 тоже я изучал (как продукт, который предлагали на замену Ideco АСР3 (он же Carbon4)). Да - это уже не ваз2101. Что-то более современное. Но все еще сыровато... Я желаю парням из карбон софт удачи. Верю, что Вы наладите внутренние бизнес процессы, найдете свою нишу, доработаете свой продукт до взрослого состояния и все у Вас будет хорошо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...