[Kumarik]

добрый день

 

не могли бы подсказать в чем может быть проблема - ситуация следующая

 

стоит ccr1036(прошивка 6.36.3) на нем поднят нат - около 700-800 активных pppoe сессий на 1 белый адрес приходится /26 серых

chain=srcnat action=src-nat to-addresses=77.75.128.130 src-address=192.168.89.0/26 log=no log-prefix=""

 

все работает нормально., захотелось подкинуть к этим абонентам еще /22 белую сеть, запустил людей они начали авторизововаться, кол-во сессий выросло до 1500 тысяч, а потом сессии начали попросту сбрасываться и подключаться по новой и так до бесконечности пока процесор не нагружается до 100% и микротик просто отваливается

 

в этот момент в логах выскакивало

куча дисконектов, потом подключение по новой

 

peer is not responding

 

was already active - closing previous one

 

 

вот профиль ppp для белых адресов

name="profile10_Public" local-address=13.13.13.13

remote-address=pool_Public3 remote-ipv6-prefix-pool=*0 use-ipv6=default

use-mpls=default use-compression=default use-encryption=default

only-one=default change-tcp-mss=default use-upnp=default address-list=""

dns-server=77.75.129.3,8.8.8.8 on-up="" on-down=""

 

это для нат

name="profile8.3_192.168.95.128/26" local-address=13.13.13.13

remote-address=pool8.3_192.168.95.128/26 remote-ipv6-prefix-pool=*0

use-ipv6=yes use-mpls=default use-compression=default

use-encryption=default only-one=default change-tcp-mss=default

use-upnp=default address-list="" dns-server=77.75.129.3,8.8.8.8 on-up=""

on-down=""

 

так выглядит pppoe server

authentication=pap,chap default-profile=profile10_Public disabled=no \

interface=vlan482_eth5 keepalive-timeout=30 max-mru=1492 max-mtu=1492 \

one-session-per-host=yes service-name=service71_PPPoE_482

[pingz]

Пул закончился в профиле пппое

 

Да и много ему я больше 800 не вешаю утетки до 10 МБ/с с учетками до 100 больше 300-400 не вешаю.

[Kumarik]

пул точно не закончился - я проверял, оставалось еще более 400 свободных адресов

 

хочешь сказать, что для этой железки 1500 подключений это уже запредельное кол-во и она просто сошла с ума?

[myth]

шифрование, надеюсь, выключено?

[pingz]

пул точно не закончился - я проверял, оставалось еще более 400 свободных адресов

 

хочешь сказать, что для этой железки 1500 подключений это уже запредельное кол-во и она просто сошла с ума?

 

А что ты хотел за 62к?

Статики она прожует около гига ната.

Считай с каждым новым правилом фаервола или ната падает производительность

Для примера приведу например мх80 упирается в 10к желёзками стоит 3-4кк

Можно хорошие результаты получить на линуксовом боасе, но его нужно уметь настраивать.

 

Забыл спросить трафик фильтруеш абонентов? Чтобы ходил только пппое.

[nkusnetsov]

Kumarik, при правильном конфиге и отключении лишнего CCR1036 и больше держит.

[pingz]

Kumarik, при правильном конфиге и отключении лишнего CCR1036 и больше держит.

Можно поподробней, что отключали?

[nkusnetsov]

pingz, насколько помню, там почти всё выключено, либо убрано на минимум. Службы, фильтры, MAC-серверы и дискавери. Фаервол минимальный, с established вверху. Никаких скриптов и check-gateway. Шифрование почти у всех убрано. База клиентосов на радиусе, естественно.

Изменено 22 сентября, 2016 пользователем nkusnetsov

[kosmich7]

хочешь сказать, что для этой железки 1500 подключений это уже запредельное кол-во и она просто сошла с ума?

C натом, шейпами и остальным функционалом, видел под 900 сессий онлайн на 1036, но окукливался от малейшего чиха и пыха.

Где то даже показывал графики онлайна.

[Kumarik]

pingz, насколько помню, там почти всё выключено, либо убрано на минимум. Службы, фильтры, MAC-серверы и дискавери. Фаервол минимальный, с established вверху. Никаких скриптов и check-gateway. Шифрование почти у всех убрано. База клиентосов на радиусе, естественно.

можешь показать пример профиля и сервера pppoe?

[Saab95]

PPPoE терминатор должен только сессии поднимать и не более того, НАТа там точно не должно быть. Если шейпер на PPPoE то тоже лишняя нагрузка - обычно его выносят на отдельную железку, тогда и 3000 подключений не предел.

Естественно, перед микротиком весь трафик должен быть отфильтрован, приходить должен только PPPoE, и как выше написали, все мак сервера, арп и все что только можно должно быть отключено в сторону абонентов PPPoE.

 

можешь показать пример профиля и сервера pppoe?

 

use-mpls=no use-compression=no use-encryption=no only-one=yes

[Kumarik]

куча дисконектов, потом подключение по новой

 

peer is not responding

 

was already active - closing previous one

и все же, вот это из-за чего может проявляется? я все понимаю, но почему сессии начинают вываливаться?

[NiTr0]

 

и все же, вот это из-за чего может проявляется?

да потому что производительность этой вундервафли на уровне офисного целерона...

[nur16]

куча дисконектов, потом подключение по новой

 

peer is not responding

 

was already active - closing previous one

и все же, вот это из-за чего может проявляется? я все понимаю, но почему сессии начинают вываливаться?

Снимите все лишние сервисы. Пробуйте наращивать нагрузку постепенно.

Настройте профили с отключением всего ненужного, особенно encryption.

На каком-то моменте вам самим станет ясно, в чем проблема.