[chetkiyparen]

Добрый вечер!

 

Столкнулся с такой проблемой: стоит RB1100AH*2, раздает инет через рррое-сервер, к нему подключена одна локалка через линк 2100АР-2100АР. Все работало нормально, но в декабре начались проблемы, а именно кратковременные разрывы линка, т.е. пускаю пинги с кимротика до точки 2100АР удаленной, идет пинг в пределах 1-10мс, ногда доходит до 50-100мс и внезамно пропадает, после примерно 10 провалов все поднимается как ни в чем не бывало и так по кругу. Думал на точки и антенны, поменяли сначала точки, а потом и антенны, но все повторяется, пришел к выводу, что не справляется с нагрузкой. Поменяли линк 2100АР на линк из Sextant 5GHz МИМО 2*2, который поднялся без проблем 130/130, иногда 130/54 CCQ 100%/80-90%. Все работало нормально, но наступили вечерние часы и картина абсолютно аналогичная, пустил пинг с RB1100AH и удаленный Sextant отваливается периодически, причем пинги идут 0-2мс стабильно и вдруг провалы на 10 пингов и снова нормально.

 

RB1100(10.0.2.1) - SXT client(10.0.2.3) - SXT base(10.0.2.2) - локалка

 

Подозрение конечно на локалку, но что может вызывать такие обрывы??

 

Кстати, если зайти в статус wireless SXT-client, то в графе Last IP постоянно мелькают IP вида 169..... что думаю результат всяких сетевых шар и т.д., но могут ли они так положить полностью линк, при то, что загрузку памяти и проца не повышается сильно?

[wmdumb]

chetkiyparen, скрины со вкладки статус беспроводного адаптера выложите.

[chetkiyparen]

линк на 1,1км, прямая видимость

[Saab95]

У вас просто кто-то гадит в локалку. Надо зафильтровать все на удаленном устройстве со стороны сетевого порта, кроме PPPoE-Session и PPPoE-Discovery. А так же ограничить все левые маки.

[chetkiyparen]

Фильтрации по макам нет, подскажите как правила лучше сделать, если рррое-сервер выдает клиента 10.10.2.0/24 и 10.10.3.0/24... т.е. как я понял нужно дропнуть все и потом разрешить ходить только этим адресам?

[Saab95]

/interface bridge filter

add chain=forward in-bridge=bridge1 in-interface=ether1 mac-protocol=pppoe out-bridge=bridge1 out-interface=wlan1

add chain=forward in-bridge=bridge1 in-interface=ether1 mac-protocol=pppoe-discovery out-bridge=bridge1 out-interface=wlan1

 

А перед запрещающее правило поставьте, которое рубит весь трафик со стороны сетевого порта.

[chetkiyparen]

т.е. кроме этих фильтров, нужно в ip firewall filter сделать правило дропающее все на ether1 input ?

а после него еще добавить правило на input src. address 10.10.2.0/24, 10.10.3.0/24 accept

 

правильно я вас понял?

[Saab95]

Вы с input поосторожнее, а то весь трафик заблокируете придется ехать устройства сбрасывать=) Достаточно forward блокировать.

 

Фильтр бриджа работает на более низком уровне, и если там заблокировано, в файрволе уже ничего не нужно вводить дополнительно. Кстати там же на бридже можно и по IP адресам блочить, попробуйте пооткрывать пункты и посмотреть что там есть.

[chetkiyparen]

/interface bridge filter

add chain=forward in-bridge=bridge1 in-interface=ether1 mac-protocol=pppoe out-bridge=bridge1 out-interface=wlan1

add chain=forward in-bridge=bridge1 in-interface=ether1 mac-protocol=pppoe-discovery out-bridge=bridge1 out-interface=wlan1

 

А перед запрещающее правило поставьте, которое рубит весь трафик со стороны сетевого порта.

 

т.е. правило вида

/interface bridge filter

add chain=input in-bridge=bridge1 in-interface=ether1 out-bridge=bridge1 out-interface=wlan1 action=drop

 

поставить первым, а после уже два ваших?

[Saab95]

Нет я попутал, сперва разрешающие надо указывать.

 

Вот такое правило разрешит все маки новых микротиков. На его базе можно сделать 3-4 правила с нужными сериями маков, а после запрещающее. Тогда на устройство не будут попадать левые маки от флудящих коммутаторов.

 

add action=accept chain=input in-interface=ether1 src-mac-address=D4:00:00:00:00:00/FF:00:00:00:00:00

 

В конце маска маков, если нужно не по первой цифре а по первой и второй, то просто напишите FF:FF в конце и т.п.

[chetkiyparen]

ну по поводу фильтрации маков, то смысла в нем не вижу, т.к. нет никакой систематизации в используемых маках, а ходить и править у всех маки - это не вариант...

[zulu_radist]

у вас wireless protocol стоит nstreme поставьте nv2

[chetkiyparen]

а зачем ставить nv2, если он менее стабилен, чем nstream? при том, что на nstream у меня канальные скорости 130/130 или около того, а требуется для канала инета 30Мбит/с максимум, который в настоящее время использется на половину, около 10-15Мбит/с качают. Тест канала выдает 50-75Мбит/с в зависимости от пакетов и т.д.

 

Для чего нужен nv2, если линк даже на половину не грузится и пинги не увеличиваются, они просто пропадают(5-10) пингов...?

Я бы поставил nv2, если бы трафик там близкий был бы к 50Мбит на канале, а так зачем включать nv2, который менее стабилен nstream и который просто повысит пинги?

[Saab95]

Кто сказал что NV2 менее стабилен? В версии 5.22 он очень надежен.

 

У меня везде NV2, там где он не работает из-за сильных цикличных помех стоит Nstream.

[zulu_radist]

для N режима рекомендуется ставить именно nv2 а там уже сами думайте я вас переубеждать не собираюсь кто стабилен а кто нет

[chetkiyparen]

у меня CCQ на прием иногда падает, который впринципе и используется для даунлода, а вот передающий всегда под 100%, т.е. исходящий канал, который загружен по минимуму...

думаю поменять местами каналы между поляризациями, как это можно сделать?

[Saab95]

Только переключив физически кабель от антенны=)

[barabashka.yury]

Было чтото похожее, могу ошибаться, НО

 

если я правильно понял все, и устройства в БРИДЖЕ, то в настройке бриджа, админ мас надо ставить руками тот, что и на радиокарте.

Не знаю почему, но похожий глюк был. Повторяю - могу и ошибиться, но в моем случае помогло...

 

TO Saab95: а ему по ARP никто или ничто не какает???... похоже... если с пингом глюки...

[Saab95]

Надо проверить пингом по маку, ему арп не страшен.

[chetkiyparen]

помогли фильтры на бриджи с forward, т.к. проблема была с тем, что кто-то гадит в сеть. Пинги теперь не рвутся на SXT, но как оказалось проблема не решилась, т.к. эти разрывы в пингах происходили не только на sxt, но также продолжают происходить на тупых свичах в одном сегменте, а именно на нескоко секунд происходит полное замирание(зависание) сетки, любой трафик прерывается, зависают рррое-сессии до сервера(убедился воткнув свой бук в тот сегмент), далее рвутся рррое-сессии, и заново переподключаются, если принудительно подключиться, то 651 ошибку выдает.

Но не можем пока найти гавнюка, т.к. никакой систематики в этой проблеме нет, может проявляться каждые 5 минут, а может часами не проявляться, все случае попыток засечь привели лишь к съужению круга свичей, откуда это может идти. Естественно 24 часа нет возможности там сидеть и ждать, думаю найти источник проблемыы через wireshark, но пока не получается поймать момент разрыва, он происходит без систематично и длится не более 5 секунд. Сервака виндозного там нет, чтобы сканить им сеть 24 часа в сутки... а если я подключусь удаленно к микротику через рртр, попав в локалку смогу ли я wireshark что-нибудь накопать или рртр слишком примитивен для этих целей и нужно использовать другие протоколы?

[NewUse]

если у Вас PPPoE зависает, то и PPtP также зависнет, а скорее разорвётся.

 

Снимать трафик можно попробовать заставить и микротик, или, точно любую железяку на нормальном пингвине, чтоб потом проанализировать его тем-же WireSarkom

 

Какие свитчи используете?

 

Петлей часом никаких нет?

 

ИМХО, переводите Вашу архитектуру на vlan-per-client, есно, заменив свитчи на "умные".

[chetkiyparen]

свичи тупые 5-8 портовые от делинка и зюксели... есть возможность поставить пока что des-2108, но помогут ли они в данной ситуации?

если бы петля была, то все бы легло сразу или была бы какая-то периодичность...

 

pptp не виснет, т.к. виснут только в локалке свичи, раздающий RB стабилен, от него уже идет линк из sextant, который я зафильтровал и он перестал виснуть. Везде поставить управляемые свичи не представляется возможности, по крайней мере сейчас, т.к. перед этим придется переделывать сетку, закупать и монтировать антивандальные ящики и т.д., а это вопрос не одной недели, а может и месяца.

 

Как вариант думаю поставить на узловых свичах RB750 и зафильтровать весь мусор сетевой, т.к. они подходят по размерам и их можно уже установить в существующие боксы со свичами, а управляемые коммутаторы 16-портовые и более чисто по размерам не полезут туда, где сейчас стоят 8-портовые тупые, как я уже говорил потребуется немало времени для переделки.

 

Вопрос в том как на RB750 лучше организовать фильтрацию? Включить аппаратный свич между eth2-5, воткнуть в него разные сегменты и настроить фильтры на forward между портами, и убивать все, кроме рррое-сессий?

[NewUse]

свичи тупые 5-8 портовые от делинка и зюксели... есть возможность поставить пока что des-2108, но помогут ли они в данной ситуации?

Не помню их возможностей, если они хотяб умеют блочить порты, то да, могут помочь, можно ещё rb250 как вариант рассмотреть...о

 

Как вариант думаю поставить на узловых свичах RB750 и зафильтровать весь мусор сетевой, т.к. они подходят по размерам и их можно уже установить в существующие боксы со свичами, а управляемые коммутаторы 16-портовые и более чисто по размерам не полезут туда, где сейчас стоят 8-портовые тупые, как я уже говорил потребуется немало времени для переделки.

как писал выше, можно рассмотреть вариант 250-ых, но не только в узлах, а всюду.

 

Вопрос в том как на RB750 лучше организовать фильтрацию? Включить аппаратный свич между eth2-5, воткнуть в него разные сегменты и настроить фильтры на forward между портами, и убивать все, кроме рррое-сессий?

Может имелось ввиду выключить.

В общем, да, идея правильная, но это после того, как найдёте причину.

[chetkiyparen]

заказал RB/250GS несколько штук, но хотелось бы еще от микротика что-то наподобие, но с большим количеством портов 8 и 16

[chetkiyparen]

на 250-х своя типа ОС, ни разу не видел, но по функционалу 250-е как-то уступают в плане коммутатора тем же 750-м?

Цена одинаковая у них, может имеет смысл использовать 750?