man781 Опубликовано 28 января, 2016 Имеется тыщи и тыщи роутеров у абонов. Zyxel и TP-Link разной степени свежести. Последние дня три довольно много звонков от тех абонов, у кого тп-линк. Никто не заметил такого? Мы раздаем белые ипы, может какая новая дырка у них? Симптомы - не поднимает впнку... Адрес сервера видимо не может разрезолвить. (если руками прописать днс наш - вроде как подниает впн) И это не всех и не всегда. И почему вот сечас вот такая беда... Пока не нашел систему... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 28 января, 2016 днс запросы от абонентов насильно заверните на свой днс рекурсер. Скорее всего бот прошёлся и поменял им днс сервер в настройках на свой левый. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
man781 Опубликовано 28 января, 2016 это я сразу сделал - не помогло Еще из мира закрыто телнет, ссш, веб, снмп и что-то еще Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
man781 Опубликовано 28 января, 2016 задампил я трафик от такого клиента, еще и лог роутера надыбал. Получает корректно адрес днс от дхцп (правда только примэри, секондари = 0.0.0.0, но так у нас уже много лет) В дампе трафика нормально резолвит кучу фигни с компа, но, блин, нет попытки разрезолвить имя впн сервера - соответственно тунель не поднимается, инета нету. И главное, я знал, что есть проблема такая в тплинках, проявляется иногда редко - но почему сейчас и у мнгоих - не могу понять. http://serverfault.com/questions/365613/tp-link-routers-send-dns-queries-to-1-0-0-19-what-is-that/365630 И обновление свежей прошивы со слов клиента - помогло, но не надолго. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FuckingElvis Опубликовано 28 января, 2016 У своих абонентов не заметил... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 28 января, 2016 У нас тоже нет проблем, наверно они только у тех, кто работает по туннелям, а не по PPPoE или IPoE. Технология подключения какая? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 29 января, 2016 У нас тоже нет проблем, наверно они только у тех, кто работает по туннелям, а не по PPPoE или IPoE. Технология подключения какая? PPPOE не туннель? Как раз самый обычный туннель, разве что в отличии от PPTP/L2TP ходит поверх L2 а не L3. Ессно если трабла с DNS PPOE поднимется, ему ничего резовлить не надо, послал дискавери, выбрал из ответов к кому цепляться и попёр. Но туннелем он от этого (ни от того что по L2 ходить начал, ни от того что подъём ни от DNS ни от IP на ифэейсе есть или нет не зависит) быть не перестал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TVSF Опубликовано 29 января, 2016 у нас тоже наблюдается такая проблема ,хотя технология прямой ip и местами ipoe .По логам ничего нету ,проблема наблюдается на старых версиях роутеров и у которых закончилась техподдержка Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 29 января, 2016 И обновление свежей прошивы со слов клиента - помогло, но не надолго. Автообновления там нет? А то может юзер заливает чуть более старую версию с сайта, всё оживает, потом сама автообновляется и приплыли. Вот потому и всегда и грю что автообновление на непроверенные в вашей сети версии ПО зло по умолчанию. Если прописывание DNS руками помогает то явно какая-то бага в ПО. Тут только вендору писать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 29 января, 2016 Если прописывание DNS руками помогает то явно какая-то бага в ПО. Тут только вендору писать. типа как у насосов http://www.ps-ax.ru/2015/02/06/о-роутерах-asus-и-проблеме-dns-relay/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 29 января, 2016 Если прописывание DNS руками помогает то явно какая-то бага в ПО. Тут только вендору писать. типа как у насосов http://www.ps-ax.ru/2015/02/06/о-роутерах-asus-и-проблеме-dns-relay/ Это будет у всех кто из-за ужаса перед GPL юзает глюкоделие dnsd (ещё и версию царя гороха) вместо dnsmasq в своих прошивках, ведь на коленке работает чего ж надо-то =)). Там много фееричного было, я уже и забыл когда от него отказался (ещё во времена RTL8186), и эту багу помню. В таком случае единственное что поможет это сказать dhcp серверу в роутере выдавать клиентам адреса DNS ISP вместо адреса роутера на котором крутиться relay. Но судя по В дампе трафика нормально резолвит кучу фигни с компа, но, блин, нет попытки разрезолвить имя впн сервера - соответственно тунель не поднимается, инета нету. тут другая трабла и relay продолжает работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
man781 Опубликовано 29 января, 2016 И обновление свежей прошивы со слов клиента - помогло, но не надолго. Автообновления там нет? А то может юзер заливает чуть более старую версию с сайта, всё оживает, потом сама автообновляется и приплыли. Вот потому и всегда и грю что автообновление на непроверенные в вашей сети версии ПО зло по умолчанию. Автообновления нет. Если прописывание DNS руками помогает то явно какая-то бага в ПО. Тут только вендору писать. Я хочу понять, почему эти несколько тысяч роутеров работают годами, и, периодически возникает эта херня. А тем более именно вот сейчас у многих сразу. (Но далеко не у всех). Например, в день сотня роутеров из тысяч. Как людям объяснить, что у них все работало на этом роутере несколько лет, а теперь им что-то надо прописать руками.... И при этом такой всплеск появился грубо в понедельник. Мы у себя все проверили. Хз - что является триггером проблемы. Лучше бы оно либо всегда работало, либо пока сразу при подключении абона не пропишешь руками... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 29 января, 2016 ИМХО тут в любом случае надо с вендором списываться и разбираться что происходит. Без понимания логики нагороженной в прошивке будет сложно сказать в чём проблема и почему всплыла именно сейчас. Периодически приходиться решать подобные задачки при поддержки железа моего заказчика. Собирается версия прошивки с максимальной отладкой и выясняется что и где перестало отрабатывать, по путно выясняется зачастую и тригер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xaker1 Опубликовано 31 января, 2016 (изменено) Не так давно тестировал роутеры, были D-link DIR-615 и один Zyxel Keenetic Lite. Так на них тоже была трабла с DNS. Схема подключения у нас - PPPoE, при этом по DHCP клиент получает IP адрес и ряд маршрутов, в т.ч. и до DNS сервера. В итоге, пока маршрут до DNS шел через локалку - DNS могло не работать. Как только делал принудительно через PPPoE - все работало. Дамп трафика показывал DNS запросы роутера, и DNS ответы, которые, похоже, роутер игнорировал. Причем проблемный роутер можно было отложить на часок - включить снова - и все работало. Прошивка везде последняя. Изменено 31 января, 2016 пользователем xaker1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 1 февраля, 2016 man781, помню что у asus'ов была болячка, что изза "непопулярных" настроек в dhcp они могли не принимать вообще все настройки. посмотрите может быть вы кроме ip,gw,dns еще выдаете ntp или еще что... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 1 февраля, 2016 2ТС, сами то ничего не меняли? Сервера не обновляли? Dns/dhcp не трогали? По аналогии с асусовским днс рЕЗолвером, трпбл вылезал после апдейта бинда. Может вы тоже что-то крутили? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
man781 Опубликовано 1 февраля, 2016 man781, помню что у asus'ов была болячка, что изза "непопулярных" настроек в dhcp они могли не принимать вообще все настройки. посмотрите может быть вы кроме ip,gw,dns еще выдаете ntp или еще что... Конечно, выдаем ntp и еще что-то, но это много лет так. И по логам роутера видно, что он принял ип адрес, днс, роуты... И вообще с роутера пингуется впн сервер по ип. И вообще - это проявляется не одновременно на всех роутерах - "там/сям" И еще я заметил, что в таблице маршрутизации висит роут /32 до впн сервера, т.е. все таки в какой то момент он разрезолвил адрес, и даже была попытка коннекта А потом всё. Логи браса (SE600) - там хрен что поймешь. Но тоже не трогали. Логи роутера: видно что-то про попытки конекта L2TP и дисконект (то ли брасу что-то не понравилось, то ли роутеру). Люди прислали скриншот через Viber, а потом его нечаянно грохнул ) 2ТС, сами то ничего не меняли? Сервера не обновляли? Dns/dhcp не трогали? По аналогии с асусовским днс рЕЗолвером, трпбл вылезал после апдейта бинда. Может вы тоже что-то крутили? не, bind не меняли (вернее у нас unbound) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
man781 Опубликовано 1 февраля, 2016 Трогали конфиг dhcp ISC 4, лиз тайм меняли на час, потом вернули обратно на сутки. И конфиг dhcp - раньше прописывал биллинг каждый раз для нового абона. Теперь сгенерили полный конфиг для всех свичей и портов (опц82). Чтобы не рестартовать демона. Но, вроде, для тп-линков это ничего не меняет :) Вот, кстати, пример конфига и набор опций (которые 100500 лет уже такие) subnet 10.213.76.0 netmask 255.255.255.0 { option routers 10.213.76.1; option netbios-node-type = uint2; option subnet-mask 255.255.255.0; option nis-domain "provider.lan"; option domain-name "provider.lan"; option domain-name-servers 181.247.75.11; option time-offset 10800; default-lease-time 86400; option ms-classes-static-routes 24,192,168,254,10,213,76,1,10,10,192,10,213,76,1,24,192,168,10,10,213,76,1,24,192,168,4,10,213,76,1; option rfc3442-classes-static-routes 24,192,168,254,10,213,76,1,10,10,192,10,213,76,1,24,192,168,10,10,213,76,1,24,192,168,4,10,213,76,1; option ntp-servers 192.168.10.1; max-lease-time 172800; # ********* starting classes block ********** group { class "switch_Y044_port_1" {match if binary-to-ascii (16,8,":", substring (option agent.circuit-id,0,8)) = "0:1:c:f0:59:30:34:34";} class "switch_Y044_port_2" {match if binary-to-ascii (16,8,":", substring (option agent.circuit-id,0,8)) = "0:2:c:f0:59:30:34:34";} class "switch_Y044_port_3" {match if binary-to-ascii (16,8,":", substring (option agent.circuit-id,0,8)) = "0:3:c:f0:59:30:34:34";} class "switch_Y044_port_4" {match if binary-to-ascii (16,8,":", substring (option agent.circuit-id,0,8)) = "0:4:c:f0:59:30:34:34";} .... } pool { range 10.213.76.6; allow members of "switch_Y019_port_1"; } pool { range 10.213.76.7; allow members of "switch_Y019_port_1"; } pool { range 10.213.76.8; allow members of "switch_Y019_port_2"; } pool { range 10.213.76.9; allow members of "switch_Y019_port_2"; } pool { range 10.213.76.10; allow members of "switch_Y019_port_3"; } pool { range 10.213.76.11; allow members of "switch_Y019_port_3"; } ... } #close the subnet 10.213.76.0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 2 февраля, 2016 Как только делал принудительно через PPPoE - все работало. А каким образом Вы это реализовывали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
man781 Опубликовано 7 марта, 2016 up В итоге само прошло )))). DHCP и DNS серверы - это был ложный след. Но что поменялось? Да почти ничего такого - переехали на новый биллинг )))) Я делаю вывод - что тп-линк тупо заглючивает и уходит в цунгцванг, если не может поднять впн с нескольких попыток (в частности l2tp - но скорее всего относится и к pptp/pppoe). А поднять не может с первого раза - потому что биллинг уже не справлялся. Но это уже не важно. Просто мы его переросли. (Сидели на Ideco АСР3 8 лет - который развивался вместе с нами, и, справедливости ради - парни многое сделали из наших хотелок, всё объясняли и делали хорошо свою работу, много ночей в аське вместе провели ))))). Но потом у них произошли внутренние сложности и раскол компании.... Наши циклы перестали совпадать...) И Ideco АСР3 давно уже END OF LIFE. (чтобы не говорил сааб95 - который утверждает в 2016 году, что Windows98SE - самая лучшая и удобная ОС Ideco АСР3 - самый лучший биллинг ) Кстати - помню старый форум ideco - где сааб тупил, критиковал - что все неправильно, непонятно и устаревшие технологии, и ему очень долго разжевывали элементарные вещи как скрестить микротик и Ideco АСР3. Но уж когда у него получилось - всё - сработал синдром утенка.... (Синдром или эффект утёнка (англ. baby duck syndrome, нлпёрск. импринтинг) — психологический принцип, по которому человек, сталкиваясь с какой-либо областью и далее углубляясь в неё, считает первый встреченный им объект из этой области самым лучшим, самым правильным, а все прочие — тем «хуже», чем меньше они похожи на его первую любовь. Является показанием к участию в Special Olympics.) P.S. Перешли на Гидру 4.х (при всех сложностях, которые возникали при подготовке и переходе - это просто НЕбО и ЗЕМЛЯ.) Т.е. я в целом весьма доволен новым биллингом и его архитектурой (не забывая ни на секунду, что мы живем не в идеальном мире). Ощущение такое - как после ваз2101 пересел на ситроен С5 - который тоже далек от идеала и имеет свои косячки. И это не Bentley State Limousine ручной сборки за 1,5М USD. Но - как говорится - почувствуй разницу ))))) Полечу на КРОС 2016 и жду шоколадку за рекламу от парней из Латеры )))) P.S.0 Carbon5 тоже я изучал (как продукт, который предлагали на замену Ideco АСР3 (он же Carbon4)). Да - это уже не ваз2101. Что-то более современное. Но все еще сыровато... Я желаю парням из карбон софт удачи. Верю, что Вы наладите внутренние бизнес процессы, найдете свою нишу, доработаете свой продукт до взрослого состояния и все у Вас будет хорошо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...