chetkiyparen Опубликовано 8 января, 2013 · Жалоба Добрый вечер! Столкнулся с такой проблемой: стоит RB1100AH*2, раздает инет через рррое-сервер, к нему подключена одна локалка через линк 2100АР-2100АР. Все работало нормально, но в декабре начались проблемы, а именно кратковременные разрывы линка, т.е. пускаю пинги с кимротика до точки 2100АР удаленной, идет пинг в пределах 1-10мс, ногда доходит до 50-100мс и внезамно пропадает, после примерно 10 провалов все поднимается как ни в чем не бывало и так по кругу. Думал на точки и антенны, поменяли сначала точки, а потом и антенны, но все повторяется, пришел к выводу, что не справляется с нагрузкой. Поменяли линк 2100АР на линк из Sextant 5GHz МИМО 2*2, который поднялся без проблем 130/130, иногда 130/54 CCQ 100%/80-90%. Все работало нормально, но наступили вечерние часы и картина абсолютно аналогичная, пустил пинг с RB1100AH и удаленный Sextant отваливается периодически, причем пинги идут 0-2мс стабильно и вдруг провалы на 10 пингов и снова нормально. RB1100(10.0.2.1) - SXT client(10.0.2.3) - SXT base(10.0.2.2) - локалка Подозрение конечно на локалку, но что может вызывать такие обрывы?? Кстати, если зайти в статус wireless SXT-client, то в графе Last IP постоянно мелькают IP вида 169..... что думаю результат всяких сетевых шар и т.д., но могут ли они так положить полностью линк, при то, что загрузку памяти и проца не повышается сильно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wmdumb Опубликовано 9 января, 2013 · Жалоба chetkiyparen, скрины со вкладки статус беспроводного адаптера выложите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 9 января, 2013 · Жалоба линк на 1,1км, прямая видимость Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 января, 2013 · Жалоба У вас просто кто-то гадит в локалку. Надо зафильтровать все на удаленном устройстве со стороны сетевого порта, кроме PPPoE-Session и PPPoE-Discovery. А так же ограничить все левые маки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 9 января, 2013 · Жалоба Фильтрации по макам нет, подскажите как правила лучше сделать, если рррое-сервер выдает клиента 10.10.2.0/24 и 10.10.3.0/24... т.е. как я понял нужно дропнуть все и потом разрешить ходить только этим адресам? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 января, 2013 · Жалоба /interface bridge filter add chain=forward in-bridge=bridge1 in-interface=ether1 mac-protocol=pppoe out-bridge=bridge1 out-interface=wlan1 add chain=forward in-bridge=bridge1 in-interface=ether1 mac-protocol=pppoe-discovery out-bridge=bridge1 out-interface=wlan1 А перед запрещающее правило поставьте, которое рубит весь трафик со стороны сетевого порта. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 9 января, 2013 · Жалоба т.е. кроме этих фильтров, нужно в ip firewall filter сделать правило дропающее все на ether1 input ? а после него еще добавить правило на input src. address 10.10.2.0/24, 10.10.3.0/24 accept правильно я вас понял? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 января, 2013 · Жалоба Вы с input поосторожнее, а то весь трафик заблокируете придется ехать устройства сбрасывать=) Достаточно forward блокировать. Фильтр бриджа работает на более низком уровне, и если там заблокировано, в файрволе уже ничего не нужно вводить дополнительно. Кстати там же на бридже можно и по IP адресам блочить, попробуйте пооткрывать пункты и посмотреть что там есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 9 января, 2013 · Жалоба /interface bridge filter add chain=forward in-bridge=bridge1 in-interface=ether1 mac-protocol=pppoe out-bridge=bridge1 out-interface=wlan1 add chain=forward in-bridge=bridge1 in-interface=ether1 mac-protocol=pppoe-discovery out-bridge=bridge1 out-interface=wlan1 А перед запрещающее правило поставьте, которое рубит весь трафик со стороны сетевого порта. т.е. правило вида /interface bridge filter add chain=input in-bridge=bridge1 in-interface=ether1 out-bridge=bridge1 out-interface=wlan1 action=drop поставить первым, а после уже два ваших? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 января, 2013 · Жалоба Нет я попутал, сперва разрешающие надо указывать. Вот такое правило разрешит все маки новых микротиков. На его базе можно сделать 3-4 правила с нужными сериями маков, а после запрещающее. Тогда на устройство не будут попадать левые маки от флудящих коммутаторов. add action=accept chain=input in-interface=ether1 src-mac-address=D4:00:00:00:00:00/FF:00:00:00:00:00 В конце маска маков, если нужно не по первой цифре а по первой и второй, то просто напишите FF:FF в конце и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 9 января, 2013 · Жалоба ну по поводу фильтрации маков, то смысла в нем не вижу, т.к. нет никакой систематизации в используемых маках, а ходить и править у всех маки - это не вариант... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zulu_radist Опубликовано 9 января, 2013 · Жалоба у вас wireless protocol стоит nstreme поставьте nv2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 9 января, 2013 · Жалоба а зачем ставить nv2, если он менее стабилен, чем nstream? при том, что на nstream у меня канальные скорости 130/130 или около того, а требуется для канала инета 30Мбит/с максимум, который в настоящее время использется на половину, около 10-15Мбит/с качают. Тест канала выдает 50-75Мбит/с в зависимости от пакетов и т.д. Для чего нужен nv2, если линк даже на половину не грузится и пинги не увеличиваются, они просто пропадают(5-10) пингов...? Я бы поставил nv2, если бы трафик там близкий был бы к 50Мбит на канале, а так зачем включать nv2, который менее стабилен nstream и который просто повысит пинги? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 января, 2013 · Жалоба Кто сказал что NV2 менее стабилен? В версии 5.22 он очень надежен. У меня везде NV2, там где он не работает из-за сильных цикличных помех стоит Nstream. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zulu_radist Опубликовано 9 января, 2013 · Жалоба для N режима рекомендуется ставить именно nv2 а там уже сами думайте я вас переубеждать не собираюсь кто стабилен а кто нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 9 января, 2013 · Жалоба у меня CCQ на прием иногда падает, который впринципе и используется для даунлода, а вот передающий всегда под 100%, т.е. исходящий канал, который загружен по минимуму... думаю поменять местами каналы между поляризациями, как это можно сделать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 января, 2013 · Жалоба Только переключив физически кабель от антенны=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
barabashka.yury Опубликовано 11 января, 2013 · Жалоба Было чтото похожее, могу ошибаться, НО если я правильно понял все, и устройства в БРИДЖЕ, то в настройке бриджа, админ мас надо ставить руками тот, что и на радиокарте. Не знаю почему, но похожий глюк был. Повторяю - могу и ошибиться, но в моем случае помогло... TO Saab95: а ему по ARP никто или ничто не какает???... похоже... если с пингом глюки... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 11 января, 2013 · Жалоба Надо проверить пингом по маку, ему арп не страшен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 12 января, 2013 · Жалоба помогли фильтры на бриджи с forward, т.к. проблема была с тем, что кто-то гадит в сеть. Пинги теперь не рвутся на SXT, но как оказалось проблема не решилась, т.к. эти разрывы в пингах происходили не только на sxt, но также продолжают происходить на тупых свичах в одном сегменте, а именно на нескоко секунд происходит полное замирание(зависание) сетки, любой трафик прерывается, зависают рррое-сессии до сервера(убедился воткнув свой бук в тот сегмент), далее рвутся рррое-сессии, и заново переподключаются, если принудительно подключиться, то 651 ошибку выдает. Но не можем пока найти гавнюка, т.к. никакой систематики в этой проблеме нет, может проявляться каждые 5 минут, а может часами не проявляться, все случае попыток засечь привели лишь к съужению круга свичей, откуда это может идти. Естественно 24 часа нет возможности там сидеть и ждать, думаю найти источник проблемыы через wireshark, но пока не получается поймать момент разрыва, он происходит без систематично и длится не более 5 секунд. Сервака виндозного там нет, чтобы сканить им сеть 24 часа в сутки... а если я подключусь удаленно к микротику через рртр, попав в локалку смогу ли я wireshark что-нибудь накопать или рртр слишком примитивен для этих целей и нужно использовать другие протоколы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 12 января, 2013 · Жалоба если у Вас PPPoE зависает, то и PPtP также зависнет, а скорее разорвётся. Снимать трафик можно попробовать заставить и микротик, или, точно любую железяку на нормальном пингвине, чтоб потом проанализировать его тем-же WireSarkom Какие свитчи используете? Петлей часом никаких нет? ИМХО, переводите Вашу архитектуру на vlan-per-client, есно, заменив свитчи на "умные". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 12 января, 2013 · Жалоба свичи тупые 5-8 портовые от делинка и зюксели... есть возможность поставить пока что des-2108, но помогут ли они в данной ситуации? если бы петля была, то все бы легло сразу или была бы какая-то периодичность... pptp не виснет, т.к. виснут только в локалке свичи, раздающий RB стабилен, от него уже идет линк из sextant, который я зафильтровал и он перестал виснуть. Везде поставить управляемые свичи не представляется возможности, по крайней мере сейчас, т.к. перед этим придется переделывать сетку, закупать и монтировать антивандальные ящики и т.д., а это вопрос не одной недели, а может и месяца. Как вариант думаю поставить на узловых свичах RB750 и зафильтровать весь мусор сетевой, т.к. они подходят по размерам и их можно уже установить в существующие боксы со свичами, а управляемые коммутаторы 16-портовые и более чисто по размерам не полезут туда, где сейчас стоят 8-портовые тупые, как я уже говорил потребуется немало времени для переделки. Вопрос в том как на RB750 лучше организовать фильтрацию? Включить аппаратный свич между eth2-5, воткнуть в него разные сегменты и настроить фильтры на forward между портами, и убивать все, кроме рррое-сессий? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 12 января, 2013 · Жалоба свичи тупые 5-8 портовые от делинка и зюксели... есть возможность поставить пока что des-2108, но помогут ли они в данной ситуации? Не помню их возможностей, если они хотяб умеют блочить порты, то да, могут помочь, можно ещё rb250 как вариант рассмотреть...о Как вариант думаю поставить на узловых свичах RB750 и зафильтровать весь мусор сетевой, т.к. они подходят по размерам и их можно уже установить в существующие боксы со свичами, а управляемые коммутаторы 16-портовые и более чисто по размерам не полезут туда, где сейчас стоят 8-портовые тупые, как я уже говорил потребуется немало времени для переделки. как писал выше, можно рассмотреть вариант 250-ых, но не только в узлах, а всюду. Вопрос в том как на RB750 лучше организовать фильтрацию? Включить аппаратный свич между eth2-5, воткнуть в него разные сегменты и настроить фильтры на forward между портами, и убивать все, кроме рррое-сессий? Может имелось ввиду выключить. В общем, да, идея правильная, но это после того, как найдёте причину. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 12 февраля, 2013 · Жалоба заказал RB/250GS несколько штук, но хотелось бы еще от микротика что-то наподобие, но с большим количеством портов 8 и 16 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 23 февраля, 2013 · Жалоба на 250-х своя типа ОС, ни разу не видел, но по функционалу 250-е как-то уступают в плане коммутатора тем же 750-м? Цена одинаковая у них, может имеет смысл использовать 750? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...