morfey1 Опубликовано 5 мая, 2012 · Жалоба Настраиваем резерв + пиринг. Трафик побежал. Но отваливаются некоторые сети. Например vk.com,local.com.ua etc.. . Траса проходит, пинг идет. При заходе на сайт присылаются заголовки ( connection reset by peer). Принимаем дефолт + укр. в разных вланах. Только подключаем резерв(пира), начинают отваливатся сети. Конфиг http://pastebin.com/v9jPi4sy xxx.xxx.206.0/23 - мое xxx.xxx.0.0/22 - мое xxx.xxx.20.0/24 - пира Где может быть затык? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morfey1 Опубликовано 5 мая, 2012 (изменено) · Жалоба Немного локализовал проблему tcpdump'ом. Запросы(пинги) идут на один интерфейс(основного аплинка), а ответ идет от пира. Но пинги то доходят... o_O Возможно более понятный конфиг http://pastebin.com/yr7eP52i Изменено 5 мая, 2012 пользователем morfey1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dovecot Опубликовано 5 мая, 2012 (изменено) · Жалоба Вы на этом же девайсе натите пользователей? Делаете NAT вообще? Лучше конечно разобраться с Вашей асиметрией. Ну а пока можно prepend сделать с сторону пира (хотя, как показывает практика, не всегда помогает). Изменено 5 мая, 2012 пользователем dovecot Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morfey1 Опубликовано 5 мая, 2012 (изменено) · Жалоба Да, немного осталось натовских, ipfw NAT Изменено 5 мая, 2012 пользователем morfey1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morfey1 Опубликовано 5 мая, 2012 (изменено) · Жалоба препенды стоят Изменено 5 мая, 2012 пользователем morfey1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 6 мая, 2012 · Жалоба rpf отключен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morfey1 Опубликовано 6 мая, 2012 (изменено) · Жалоба во фре нет rp_f насколько я знаю, есть правила фаервола аля antispoof/verrevpath в ipfw. Но у меня нет таких правил. У меня на основной аплинк 2 влана(мир, укр.). Есть некоторые сети по которым запрос идет в укр. влан, а возвращается в мировой влан. И все работает. Т.е. о rp_f речи не может идти. Правильно? P.S. В линуксе такая же проблема лечится rp_f=0 на каждом интнерфейсе. Как быть на фре? Изменено 6 мая, 2012 пользователем morfey1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 6 мая, 2012 · Жалоба т.е. с одного и того же хоста в вашей AS, до хоста в AS vkontakte icmp проходит, а http не? Ну... попробуйте детально разобрать дамп установления tcp сессии с требуемым хостом, кто там чего кому и на каком интерфейсе отвечает. Начните с telnet x.x.x.x 80 для простоты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morfey1 Опубликовано 6 мая, 2012 · Жалоба Сегодня ночью поснимаю дампы, отпишусь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 6 мая, 2012 · Жалоба посмотрите обратную трассу lg.vk.com может ваш пир куда-то ваши анонсы передает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morfey1 Опубликовано 6 мая, 2012 (изменено) · Жалоба попробую. Вот сейчас пробую просто к пиру обратную трассу сделать: traceroute to xxx.xxx.20.1 (xxx.xxx.20.1), 10 hops max, 60 byte packets 3 * * * 4 * * * 5 xxx.xxx.20.1 (xxx.xxx.20.1) 34.959 ms 35.049 ms 35.295 ms У меня нормально. Если у пира не настроины PTR, должно работать? Ночью попробую при включенной сессии Изменено 6 мая, 2012 пользователем morfey1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morfey1 Опубликовано 6 мая, 2012 (изменено) · Жалоба Вот с интерфейса пира пришло: (но почему оно от них лезет, локалпреф стоит, препенды стоят...) 87.240.143.243.80 > xxx.xxx.xxx.50.40321: Flags [s.], cksum 0x3599 (correct), seq 626198243, ack 3686956373, win 14480, options [mss 1460,sackOK,TS val 1614399262 ecr 854936165,nop,wscale 2], length 0 20:49:41.772426 IP (tos 0x0, ttl 58, id 0, offset 0, flags [DF], proto TCP (6), length 40) 87.240.143.243.80 > xxx.xxx.xxx.50.40321: Flags [R], cksum 0xd3de (correct), seq 626198244, win 0, length 0 20:49:47.464959 IP (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto TCP (6), length 48) посмотрите обратную трассу lg.vk.com Не могу т.к. vk.com не работает при вкл. пире # fetch http://vk.com fetch: http://vk.com: Connection reset by peer P.S. vk.com - пример, так пол инета валится Изменено 6 мая, 2012 пользователем morfey1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 6 мая, 2012 · Жалоба 87.240.143.243.80 > xxx.xxx.xxx.50.40321: Flags [s.], cksum 0x3599 (correct), seq 626198243, ack 3686956373, win 14480, options [mss 1460,sackOK,TS val 1614399262 ecr 854936165,nop,wscale 2], length 0 20:49:41.772426 IP (tos 0x0, ttl 58, id 0, offset 0, flags [DF], proto TCP (6), length 40) 87.240.143.243.80 > xxx.xxx.xxx.50.40321: Flags [R], cksum 0xd3de (correct), seq 626198244, win 0, length 0 20:49:47.464959 IP (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto TCP (6), length 48) Выглядит так, как будто vk закрыли 80 порт для направления, через которое получают ваши анонсы. мб какой-то специфичный IX. Попросите кого-нибудь посмотреть на lg.vk.com откуда они видят ваши сети при поднятой сессии с пиром (или сами посмотрите ч/з прокси какой-нить). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morfey1 Опубликовано 6 мая, 2012 · Жалоба traceroute to xxx.xxx.0.1 (xxx.xxx.0.1), 10 hops max, 60 byte packets 3 * * * 4 * * * 5 xx.xx.xxx.190 34.437 ms 34.525 ms 34.509 ms 6 xxx.xxx.0.1 34.402 ms 34.099 ms 34.107 ms Где xxx.xxx.0.1 - мое xx.xx.xxx.190 - это по ходу ип выдан для бжп сессии пиру (т.к. у него другой блок) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 6 мая, 2012 · Жалоба Блин прям все засекречено =) Пообщайтесь со своим пиром, попросите их анонсировать вас только в мир, без всяких IX. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morfey1 Опубликовано 6 мая, 2012 · Жалоба Ну наш пир получает 1 FV от своего аплинка и все.. Я даже хз куда рыть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 6 мая, 2012 · Жалоба а что будет, если оставить только сессию с пиром? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morfey1 Опубликовано 7 мая, 2012 (изменено) · Жалоба Вечером опробую З.Ы. Меня юзера скоро собакам скормят)) Изменено 7 мая, 2012 пользователем morfey1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morfey1 Опубликовано 7 мая, 2012 · Жалоба Спасибо всем, нашел проблему. Нужно было на свои сети поставить препенды в сторону пира тут помогли http://local.com.ua/forum/topic/35718-freebsd-quagga/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 7 мая, 2012 · Жалоба Ну это устраняет ассиметрию, но не объясняет сути проблемы ) Кстати с препендами вам еще в #3 предлагали поэкспериментировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morfey1 Опубликовано 7 мая, 2012 · Жалоба Опять беда Отключаю основной канал - работает, подключаю основной - не работает, передергиваю сессию пира - опять все работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 7 мая, 2012 · Жалоба еще больше препендов! ) при одинаковой длине as-path при прочих равных выбирается более старый маршрут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 7 мая, 2012 (изменено) · Жалоба Попинайте аплинков, чтобы выключили проверку реверс путей (ну у них врядли, скорее дальше).. И чтобы они попинали своих аплинков на туже тему.. ретна в путях туда-оттуда нету ? они в свое время таким баловались. Если они Вас видят через один линк, а трафик от Вас приходит с другого, то опа. Правда у них пинги не ходили тоже. Я с ними долго мучился на эту тему. Но никто не мешает другим тем же заниматься. Препендами вы конечно немного выравниваете маршрут похоже, но при любых изменениях оно становится асимметричным снова.. добавите еще, оно может и стабилизируется в этой позиции, но через какое то время где то что то сменится и снова здорова. По закону подлости будет это вечером в пятницу :) Изменено 8 мая, 2012 пользователем st_re Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morfey1 Опубликовано 8 мая, 2012 · Жалоба Есть ретн! ) Поговорю с аплинком, добавлю еще препендов))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...