m9ic Posted April 8, 2013 Posted April 8, 2013 Есть старенький inpro archer с двумя двухъядерными xeon'ами, двумя встроенными сетевухами и одной двухпортовой ( в тике обозначены как 82541GI Gigabit Ethernet Controller (rev: 5) и 82571EB Gigabit Ethernet Controller (rev: 6)). На каждой сетевухе висит по влану - внутренние сервера+влан управления, пользовательский+офисный, интернет и влан для юриков. Версия тика 5.17. Сервер роутит остатки локального трафика (200-300 мбит в пике), раздает интернет посредством pptp ну и шейпит (HTB) порядка 250 пользователей в пике. Нагрузка собственно копеешная. И вот, после 150 дней счастливого аптайма появляется первый глюк. Отваливается пользовательский vlan: pptp рвется, локальные ресурсы не пингуются. 5 минут и все взлетает как ни в чем не бывало. Где-то через неделю происходит такая же ерунда (всегда утром), накидываю куртку, бегу в офис, благо он в минутной доступности. Сажусь за рабочий комп и понимаю, что все работает...интернет, локалка, винбокс подключается, смотрю в активные PPP и вижу только два рабочих компа, еще через пару минут начинают подключаться пользюки и все опять довольны (напомню, что офисный вилан висит на одной сетевухе с пользовательским). Вобщем в целях профилактики обновил микротик до 5.24, перевесил все виланы на две встроенных сетевушки. Что имею теперь...локалка работает, pptp подключается - интернета нет. Оно и понятно ip'шка не добавилась в адрес лист, начал грешить на биллинг, который этим тиком управляет, хотя в логах тика вижу, что биллинг логинется и логаутиться при подключении пользователя, только команды почему-то не приходят, ребучу биллинг - ситуация не меняется, захожу по ssh на биллинг и пробую подключиться к тику, минут 15 он думал, потом разродился и отобразил мне текстовую заставку микротик, на этом все, терпение кончилось...ребучу тик и все становится хорошо, ровно на два дня. Сегодня опять таже проблема. Процессор загружен на 20-30 процентов, оперативки свободно 950 из гига, дропов на сетевухах нет. Доступ к тику открыт с нескольких серых адресов. Вставить ник Quote
rmika Posted April 9, 2013 Posted April 9, 2013 А как вы мониторите, если юзер займет адрес сервера? Вставить ник Quote
m9ic Posted April 9, 2013 Author Posted April 9, 2013 А как вы мониторите, если юзер займет адрес сервера? Никак, на доброй половине домов уже стоят управляшки и настроен dhcp snooping. Похоже на конфликт ip? А каким образом такие вещи мониторить в неуправляемой сети? Вставить ник Quote
rmika Posted April 9, 2013 Posted April 9, 2013 На самой железке по-моему ни как. Если в клиентской сети, есть еще один микротик то там скриптом можно отслеживать мак-адрес шлюза и записывать его в адрес лист в коментариях к этом ip указывает мак. Вставить ник Quote
m9ic Posted May 14, 2013 Author Posted May 14, 2013 Подниму тему. Сегодня собрали железку на ASUS P8Z77-V LX, core i3 3.4 ггц. Вытащил флешку с routeros со старого сервера, вставил в новый. Запустил, патчкорды переткнул, начали подключаться абоны, вроде все нормально, через 15 минут комп колом, на клавиатуру не реагирует. Обновил до 5.25, сейчас стабильно каждые 2-3 часа получаю трупак... Перевожу личные вещи в офис... ***последние новости с фронта*** Сейчас вывалился kernel panic, сфотографировать не догадался с перепугу... Но точно видел, что внизу было написано про прерывания. Выручите, пожалуйста. Вставить ник Quote
nuclearcat Posted May 14, 2013 Posted May 14, 2013 Если kernel panic - то соболезную, это закрытая система, имхо только писать в их саппорт с дампами. И скорее всего по английски. Вставить ник Quote
inettel Posted May 14, 2013 Posted May 14, 2013 (edited) Вобщем в целях профилактики обновил микротик до 5.24 в логах тика вижу, что биллинг логинется и логаутиться при подключении пользователя, только команды почему-то не приходят захожу по ssh на биллинг и пробую подключиться к тику, минут 15 он думал, потом разродился и отобразил мне текстовую заставку микротик, на этом все, терпение кончилось...ребучу тик и все становится хорошо, ровно на два дня. Сегодня опять таже проблема. Процессор загружен на 20-30 процентов, оперативки свободно 950 из гига, дропов на сетевухах нет. Доступ к тику открыт с нескольких серых адресов. А как билинг у вас отдает команды микротику ? если по ssh, то так и будет виснуть в самые различные моменты, на данной прошивке, последняя рабочая версия 5.17 Edited May 14, 2013 by inettel Вставить ник Quote
m9ic Posted May 14, 2013 Author Posted May 14, 2013 А как билинг у вас отдает команды микротику ? если по ssh, то так и будет виснуть в самые различные моменты, на данной прошивке, последняя рабочая версия 5.17 Да, по ssh. У меня в пике 200 pptp пользователей, неужеле биллинг генерит такую нагрузку командами по ssh? Вообще, до смены железки отваливалось сначала именно ssh, потом полностью пропадала связь, минут через 5 все заводилось. Сейчас железо встает колом. С telnet'ом таких проблем не наблюдается? Вставить ник Quote
inettel Posted May 14, 2013 Posted May 14, 2013 (edited) Дело не в нагрузке командами, может и на второй команде отданой подряд загнуться, а в баге, тема на микротиковском форуме уже почти год висит http://forum.mikrotik.com/viewtopic.php?f=2&t=65239 Насчет телнета - не пробовали, авторизацию придется довольно костыльно городить, какой ни будь expect, или еще что. Решили для себя, что проще сидеть на 5.17, и ждать когда великие разработчики микротика чего ни будь уже сделают. п.с. в ветка 6.xx баг тоже присутствует (последняя опробаванная 6.12) Edited May 14, 2013 by inettel Вставить ник Quote
Saab95 Posted May 14, 2013 Posted May 14, 2013 Дело тут не в прошивке а видимо в настройках или самой организации сети. Нужно было со старого сервера вытащить конфиг через export compact, сбросить конфиг на флэшке, далее залить текстовый конфиг. Сейчас же у вас может там быть что угодно. По SSH все авторизуется без проблем, если нормально настроена связка с биллингом. Но тут скорее всего проблема во флуде от клиентов, либо где-то происходит заворот трафика. Версия 5.24 нормально работает в качестве PPPoE сервера. Ну и естественно в биосе нужно поотключать все лишнее. Что бы обезопасить себя от всех проблем с биллингом, нужно сделать так, что бы все работало и без него. И вместо запрещения всего и разрешения конкретных пользователей нужно делать наоборот - разрешено все что не запрещено. Вставить ник Quote
m9ic Posted May 14, 2013 Author Posted May 14, 2013 Дело тут не в прошивке а видимо в настройках или самой организации сети. Организация сети конечно не комильфо, но мы стремимся к лучшему. Сейчас на 40 из 60 домов стоят управляшки, делаем из одной кучи влан на дом. На свичах агрегации настроен шторм контрол, скоро переедет на доступ. Штормов не видно. Нужно было со старого сервера вытащить конфиг через export compact, сбросить конфиг на флэшке, далее залить текстовый конфиг. Сейчас же у вас может там быть что угодно. В конфиге сейчас всё тоже самое, что и на старом железе, не вижу смысла в подобных телодвижениях. Вставить ник Quote
m9ic Posted May 14, 2013 Author Posted May 14, 2013 Дело не в нагрузке командами, может и на второй команде отданой подряд загнуться, а в баге, тема на микротиковском форуме уже почти год висит http://forum.mikrotik.com/viewtopic.php?f=2&t=65239 Насчет телнета - не пробовали, авторизацию придется довольно костыльно городить, какой ни будь expect, или еще что. Решили для себя, что проще сидеть на 5.17, и ждать когда великие разработчики микротика чего ни будь уже сделают. п.с. в ветка 6.xx баг тоже присутствует (последняя опробаванная 6.12) Спасибо за подсказку, действительно очень похоже на мой случай. Хорошо, что костыли с expect придумали до меня :) Вставить ник Quote
Saab95 Posted May 14, 2013 Posted May 14, 2013 Дело тут не в прошивке а видимо в настройках или самой организации сети. Организация сети конечно не комильфо, но мы стремимся к лучшему. Сейчас на 40 из 60 домов стоят управляшки, делаем из одной кучи влан на дом. На свичах агрегации настроен шторм контрол, скоро переедет на доступ. Штормов не видно. Тут дело не в контроле, а в маках и флуде. Что вам мешает сменить PPTP на PPPoE? Сейчас любой может указать адрес вашего сервера или его мак и парализует работу сети. В моем ведении есть сеть на PPPoE вообще сделаны чуть ли не полностью на не управляемом железе, однако на управляемых коммутаторах и иных устройствах, куда все эти не управляемые сегменты сходятся, стоит блокировка всего трафика, кроме PPPoE и никаких проблем вообще нет. Ни с зависаниями, ни с отвалами ресурсов, ни с доступом биллинга. Искать проблему нужно в сети, поставьте в разрыв что-то для фильтрации. Микротик например позволяет через Torch посмотреть что в сети бегает, поставьте там все галочки и запустите на входном интерфейсе, увидите что там гуляет. Нужно было со старого сервера вытащить конфиг через export compact, сбросить конфиг на флэшке, далее залить текстовый конфиг. Сейчас же у вас может там быть что угодно. В конфиге сейчас всё тоже самое, что и на старом железе, не вижу смысла в подобных телодвижениях. В конфиге есть специфичные настройки, например маки сетевых адаптеров и т.п. Которые после переноса конфига остаются такими же. Вообще этот файл с конфигом можно переносить только в пределах одной железки, например для бэкапа. То есть сломалась железка, купили такую же на замену и влили обратно. Получили точную копию. Во всех других случаях переносят через текстовый конфиг. И вообще проверьте превильность настроек PPP сервера, сравните с этой статьей - http://www.lanmart.ru/blogs/how-to-become-isp/ - т.к. не правильная установка галочек в профиле PPP может приводить к очень серьезным глюкам. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.