[newbiegb]

День добрый!

Появилась странная проблема на паре FreeBSD bras'ов. Сквозь туннели отваливается скачка из интернета (p2p, ftp, wget), сайты открываются вполне нормально, видео до поры до времени грузится и стопорится.

FreeBSD vpn 8.2-RELEASE FreeBSD 8.2-RELEASE #0: Fri Oct 21 19:22:37 UTC 2011     root@vpn:/usr/obj/usr/src/sys/vpn  amd64

MPD5.5

/boot/load.conf

net.graph.maxdata=65536
net.graph.maxalloc=65536
#net.isr
net.isr.bindthreads=1
net.isr.maxthreads=2
net.isr.defaultqlimit=4096
hw.em.rxd=1024
hw.em.txd=1024

sysctl.conf

net.inet.tcp.rfc1323=1
net.inet.tcp.sendbuf_max=16777216
net.inet.tcp.recvbuf_max=16777216
net.inet.tcp.sendbuf_auto=1
net.inet.tcp.sendbuf_inc=16384
net.inet.tcp.recvbuf_auto=1
net.inet.tcp.recvbuf_inc=524288
net.inet.tcp.inflight.enable=0
net.inet.tcp.hostcache.expire=1
kern.ipc.nmbclusters=400000
kern.ipc.maxsockbuf=83886080
net.inet.ip.fw.one_pass=0
net.inet.udp.recvspace=5242880
net.local.dgram.recvspace=5242880
net.inet.udp.maxdgram=100000
net.inet.ip.redirect=0
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
kern.ipc.somaxconn=8192
kern.maxfiles=65536
kern.maxfilesperproc=32768
net.inet.tcp.delayed_ack=0
net.inet.tcp.sendspace=1048576
net.inet.tcp.recvspace=1048576
net.inet.udp.recvspace=1048576 
net.local.stream.recvspace=65535
net.local.stream.sendspace=65535
net.graph.maxdgram=8388608
net.graph.recvspace=8388608
net.link.ether.inet.log_arp_movements=0 
net.link.ether.inet.log_arp_wrong_iface=0
net.isr.direct=0 
net.isr.direct_force=0
net.inet.ip.intr_queue_maxlen=2048
dev.em.0.rx_int_delay=200
dev.em.0.tx_int_delay=200
dev.em.0.rx_abs_int_delay=4000
dev.em.0.tx_abs_int_delay=4000
dev.em.0.rx_processing_limit=4096
dev.em.1.rx_int_delay=200
dev.em.1.tx_int_delay=200
dev.em.1.rx_abs_int_delay=4000
dev.em.1.tx_abs_int_delay=4000
dev.em.1.rx_processing_limit=4096
net.route.netisr_maxqlen=4096

failures в vmstat -z только по этим пунктам

16 Bucket:                152,        0,       82,       18,       82,        0
32 Bucket:                280,        0,       89,        9,       89,        0
64 Bucket:                536,        0,       64,        6,       64,      163

Netgraph вкомпилен в ядро. nata на этой машине нет. Шейпинг через ng_car передачей радиус параметров. В ipfw клиенты в таблице, выпускаем её, остальное блокируем. Также сбор и отправка netflow.

До определенного момента эта машина работала на отлично, ничего из конфигов не менялось, топология включения сервера тоже без изменений. Ошибок на интерфейсе коммутатора, куда воткнут сервер, не имеется.

[roysbike]

было такое. На винде , только замечали, те кто использовали торренты, Тупо отваливался инет и надо было переподключится. Мне кажется проблема бы в дравйере сетевой карты винды или стека винды хз. Вообщем ограничели кол-во соедений , все стало ок. У вас случайно framed-ip не совпадает с другими клиентами? а то мало ли. у вас на каждом брасе нат? или нат бордоре?

[newbiegb]

Нат на следущей железке. Проблема не только на виндах, со своего рабочего под убунтой тоже самое. wget затыкается, скачав 50-100 метров. Заново поставив закачку, качает те же самые 50-100 метров и затык.IP не перескаются, пробовали и серые и белые адреса.

На другом брасе, на котором всё включено (netflow, терминация, нат, шейпинг) работает вполне корректно.

[Ivan_83]

netstat -w1 -h

netstat -idbhWn

[newbiegb]

netstat -w1 бывает проскакивает такая картина

     17213     0     0    9617500      20914     0   23318559     0
    15211     0     0    8384557      18185     0   20178549     0
    10534     0     0    5453680      11994     0   12703929     0
     6624     0     0    3147872       7115     0    5925246     0
     8555     0     0    4719646      10419     0   11157494     0
     7013     0     0    3470845       7708     0    7116866     0
     5002     0     0    2196709       4991     0    3793209     0
     6211     0     0    2936851       6674     0    6132532     0
     7722     0     0    4207593       8824     0    8857380     0
     5904     0     0    3156898       6851     0    6722026     0
     3639     0     0    1500355       3622     0    2390327     0
     6888     0     0    4082195       9023     0    9831925     0
     3828     0     0    1626461       3860     0    2565288     0
     3789     0     0    1635136       4005     0    2947327     0
18446744073709292606     0     0 18446744073698870413 18446744073709056179     0 18446744072990425093     0
     4234     0     0    1796606       4091     0    2549662     0
     3749     0     0    1239065       3385     0    1341422     0

netstat -idbhWn

Name      Mtu Network       Address              Ipkts Ierrs Idrop     Ibytes    Opkts Oerrs     Obytes  Coll Drop
em0      1500 <Link#1>      00:07:e9:5a:74:2d     233M  3.5K     0       257G     183M     0        88G     0    0
em0      1500 10.0.4.0/24   10.0.4.16                0     -     -          0      13K     -       5.1M     -    -
em1      1500 <Link#2>      00:07:e9:0f:b8:df     188M     9     0        93G     231M     0       252G     0    0
em1      1500 10.0.7.0/24   10.0.7.16              33M     -     -        16G      39M     -        37G     -    -
em1      1500 1.1.1.1/ 1.1.1.1          14K     -     -       1.4M      72K     -        10M     -    -
plip0*   1500 <Link#3>                               0     0     0          0        0     0          0     0    0
ipfw0   65536 <Link#4>                               0     0     0          0        0     0          0     0    0
lo0     16384 <Link#5>                            9.1K     0     0       475K     9.1K     0       475K     0    0

дальше куча vlan'ов и ng* интерфейсов

Измерялка на яндеке кажет

скорость скачивания: 1615 Кбит/с, скорость закачки: 50637 Кбит/с 

Изменено 11 января, 2013 пользователем newbiegb

[Ivan_83]

Аппаратные ошибки у вас.Попробуйте для начала аппаратные фичи на интерфейсах повыключать.

У меня интеловая сетёвка хитро погорела и просто дропала tcpack пакеты и никак это не лечилось.

[andryas]

Может имеет смысл обновится до 9.1?

[Илья Дмитриевич]

А Почему mpd5.5 а не 5.6 используете ? он стабильнее?

просто не давно перешел на mpd5 может чего не знаю

[polmax]

А Почему mpd5.5 а не 5.6 используете ? он стабильнее?

просто не давно перешел на mpd5 может чего не знаю

 

Если человек пишет что проблема на пару брасах, значит на других всё ок. И причём тогда тут версии мпд?

 

По делу:

В чём разница между работающими брасами и с проблемами (конф, кол-во абонентов)

Используете ли шифрование?

[newbiegb]

Шифрования нет. На работающих брасах включен нат на самой машине.

На проблемных только шейпинг, терминация, фаерволл, rip. Дальше всё уходит на натящую машину. В такой схеме всё работало до поры до времени, ничего не менялось, а проблемы появилась.

[boco]

На работающих брасах включен нат на самой машине.

На проблемных только шейпинг, терминация, фаерволл, rip. Дальше всё уходит на натящую машину.

так может у вас не в брасах проблема, а в нат? тупо кончаются порты, например.

[polmax]

так может у вас не в брасах проблема, а в нат? тупо кончаются порты, например.

При схеме несколько брасов соединяется в общий маршрутизатор на котором стоит нат, нехватка портов имеет место быть, особенно если клиенты не ограничены количеством сессий, то торренты сожрут все порты в раз, думаю стоит покапать в этом направлении. Думаю в своём ответе вы даже уже написали путь к решению:

На работающих брасах включен нат на самой машине.

На проблемных только шейпинг, терминация, фаерволл, rip

на проблемных брасах, если есть возможность, сделайте так же как на работающих.

[newbiegb]

Перевод на старую схему никаких положительных сдвигов не дал.

Но заметил такую заковырку - на неработающих машинах на сетевых стоит режим 1000baseT. На других брасах 1000baseTX

Сетевые старые интелы, но на одном брасе всё отлично с ровно такими же сетевыми

Gigabit Ethernet Controller (82540EM)

Из фич на включено одинаково на работающем и проблемном

<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>

Принудительно выставляю 1000baseTX

ifconfig em0 media 1000baseTX mediaopt full-duplex

но режим не меняется, всё так же остаётся на 1000baseT

Паткорды менял, без изменений.

Завтра попробуем 9ый релиз, но не думаю, что изменит ситуацию.

Старенький vpn сервер работает еще на 7ой версии freebsd и там всё отлично.

[Giga-Byte]

netstat -w1 бывает проскакивает такая картина

     17213     0     0    9617500      20914     0   23318559     0
     3789     0     0    1635136       4005     0    2947327     0
18446744073709292606     0     0 18446744073698870413 18446744073709056179     0 18446744072990425093     0
     4234     0     0    1796606       4091     0    2549662     0
     3749     0     0    1239065       3385     0    1341422     0

это переменная переполняется в утилите netstat, не обращайте внимание

[terrible]

Какое количество пакетов пропускает через себя сервер?

Какой проц на машине?

Почему сетевушки не оттюнингованы до конца?

[Giga-Byte]

Какое количество пакетов пропускает через себя сервер?

Какой проц на машине?

Почему сетевушки не оттюнингованы до конца?

чего там тюнинговать то :))))) 82540

они даже MSI не умеют

Изменено 6 февраля, 2013 пользователем Giga-Byte

[Giga-Byte]

ну и совет: убрать весь ваш тюнинг к черту, оставив только

net.graph.maxdata=65536

net.graph.maxalloc=65536

net.isr.bindthreads=1

net.isr.maxthreads=2

hw.em.rxd=1024

hw.em.txd=1024

 

net.isr.direct=0

net.isr.direct_force=0

 

 

 

у вас точно хвататет места в NAT таблице?

[Giga-Byte]

nata на этой машине нет.

а где NAT? на другой машине я так понял, какая ОСь

серверы доступа ещё есть? которые через тот же NAT пропускают трафик

 

На другом брасе, на котором всё включено (netflow, терминация, нат, шейпинг) работает вполне корректно.

тоесть у вас есть

проблемный брас -> NAT машина -> аплинк

и

другой брас с NAT -> тотжеаплинк

 

так?