WiFi-мост до поселка

[Andrei]

Примерно год работала схема с WiFi-мостом до поселка (клиентов не более десятка) - см. схему.

Клиенты по pptp авторизовались на сервере доступа и все было замечательно.

С сервера имелся доступ на обе WiFi-точки и коммутатор в поселке (telnet или web).

Сетка "плоская", без вланов.

 

На днях вдруг клиенты начали жаловаться на нестабильность - pptp-сессии с клиентских роутеров начали частенько падать. А сейчас и совсем не устанавливаются. При этом с сервера доступ на обе точки есть (т.е. wifi до поселка работает), а вот коммутатор в поселке с сервера даже не пингуется.

Приехал к коммутатору, подключился к нему буком в один из клиентских портов, коммутатор живой, с локальных портов доступ в его управление есть, клиенты с бука пингуются (убрал traffic_segmentation ради эксперимента), но до сервера связи нет (даже пинги не бегают). И точка доступа, которая стоит в поселке, с подключенного к коммутатору бука тоже не пингуется, хотя статусы портов - ОК.

Патчи менял, порты проверял - все живое.

Интересная особенность - на точке доступа, установленной в городе, в списке клиентов видно один из клиентских роутеров (192.168.10.105, хозяин не хакер, практически "ноль" в сетях) - по маку опознал. Как она там оказалась - не понятно, т.к. на точке в городе установлено шифрование с паролями и привязкой по макам.

В чем грабли - не понятно. Есть мысли что еще проверить?

[Saab95]

Грабли наверно в радиоточках D-Link, глючных клиентских роутерах или глючных медиаконвертерах (они иногда начинают флудить маками, т.к. схемотехника дешевая).

 

Нужно убрать точки D-Link, переделать авторизацию на PPPoE, на коммутаторах заблокировать все, кроме PPPoE - тогда и проблем не будет.

[Andrei]

Нужно убрать точки D-Link, переделать авторизацию на PPPoE, на коммутаторах заблокировать все, кроме PPPoE - тогда и проблем не будет.

Убрать точки D-Link пока невозможно. Если только в течение осени удастся кинуть туда оптику.

Переход с pptp на PPPoE не рассматривается.

Глючные клиентские роутеры и конверторы? Роутеры не менялись с момента подключения поселка в августе прошлого года. И ведь все ж работало! :(

[Saab95]

Можно длинки заменить на микротик, у него нормальный режим WDS.

 

Обычно начинают с роутеров, у них бывает сносит настройки так, что получается кольцо в сети, но такое, что сам роутер работает, а вот на сервер, где авторизуются клиенты, летит всякий мусор, который и мешает нормальной работе. Нужно отключать порты и смотреть, при этом необходимо перезагружать или чистить ARP на сервере авторизации.

[tofu]

почему точка в поселке в режиме клиент? она же в этом случае все маки под свой перекрашивает и больше вроде как одного мака через себя не пропускает? Попробуйте на ней поставить также WDS AP или просто WDS

 

Встаньте напрямую ноутом на 2100 в поселке и попробуйте pptp завязать. потом потушите на коммутаторе все порты кроме двух, в один встаньте ноутом, во втором пусть будет ваш ноутбук, опять завяжите pptp, если все ок, попросите кого-нибудь с сервера доступа поковыряться на коммутаторе, в это время попробуйте опять установить сессию, если сессия есть идите дальше, если нет, вот вам режим клиента.

[Andrei]

Можно длинки заменить на микротик, у него нормальный режим WDS.

Да уж думаю повесить 32-волоконник (с запасом на строяшиеся коттеджи) и забыть про WiFi.

Если что - какие модели микротиков порекомендуете под эту задачу? Трафика в этом линке будет не более 50 Мбит.

 

Обычно начинают с роутеров, у них бывает сносит настройки так, что получается кольцо в сети, но такое, что сам роутер работает, а вот на сервер, где авторизуются клиенты, летит всякий мусор, который и мешает нормальной работе. Нужно отключать порты и смотреть, при этом необходимо перезагружать или чистить ARP на сервере авторизации.

Порты клиентов на DGS-3120 отключал поочередно - ни к каким положительным результатам это не привело.

[Andrei]

почему точка в поселке в режиме клиент? она же в этом случае все маки под свой перекрашивает и больше вроде как одного мака через себя не пропускает?

Да всё она пропускает. Я ж говорю - эта схема работала более года.

 

Попробуйте на ней поставить также WDS AP или просто WDS

Удаленно из города смогу поменять? Не потеряю управление над точкой в поселке?

 

Встаньте напрямую ноутом на 2100 в поселке и попробуйте pptp завязать. потом потушите на коммутаторе все порты кроме двух, в один встаньте ноутом, во втором пусть будет ваш ноутбук, опять завяжите pptp, если все ок, попросите кого-нибудь с сервера доступа поковыряться на коммутаторе, в это время попробуйте опять установить сессию, если сессия есть идите дальше, если нет, вот вам режим клиента.

Все так и пробовал. И порты отключал и ноутом прямо в точку включался - не видно сервера через WiFi мост.

Пока вопрос решился заменой точки в поселке на точно такую же с такими же настройками.

"Старую" точку забрал в офис, как говорится "привезли его домой - оказался он живой".

Последняя версия произошедшего - в городской сети доступа перед "городской" WiFi-точкой стоит DES-3026. Не словил ли я известную проблему хэшей? Хотя клиентов в том сегменте городской сети в пределах 50. Как определить - не в хэшах ли проблема?

[tofu]

почему точка в поселке в режиме клиент? она же в этом случае все маки под свой перекрашивает и больше вроде как одного мака через себя не пропускает?

Да всё она пропускает. Я ж говорю - эта схема работала более года.

 

Попробуйте на ней поставить также WDS AP или просто WDS

Удаленно из города смогу поменять? Не потеряю управление над точкой в поселке?

 

Встаньте напрямую ноутом на 2100 в поселке и попробуйте pptp завязать. потом потушите на коммутаторе все порты кроме двух, в один встаньте ноутом, во втором пусть будет ваш ноутбук, опять завяжите pptp, если все ок, попросите кого-нибудь с сервера доступа поковыряться на коммутаторе, в это время попробуйте опять установить сессию, если сессия есть идите дальше, если нет, вот вам режим клиента.

Все так и пробовал. И порты отключал и ноутом прямо в точку включался - не видно сервера через WiFi мост.

Пока вопрос решился заменой точки в поселке на точно такую же с такими же настройками.

"Старую" точку забрал в офис, как говорится "привезли его домой - оказался он живой".

Последняя версия - в городской сети доступа перед "городской" WiFi-точкой стоит DES-3026. Не словил ли я известную проблему хэшей? Хотя клиентов в том сегменте городской сети в пределах 50. Как определить - не проблема ли в хэшах?

у нас 3028 в кольцах стоят из 30 узлов... работают так то. тьфу тьфу. если переведете, управление не потеряете

[Andrei]

А 3028 и 3026 по-моему различаются с т.з. проблемы хэшей. Возможно я не прав.

[Saab95]

Если что - какие модели микротиков порекомендуете под эту задачу? Трафика в этом линке будет не более 50 Мбит.

 

Если расстояния до 2-3км то Mikrotik SXT Lite 2 или 5, если больше то городить джириусы или грувы с параболическими решетками.

[tofu]

Если что - какие модели микротиков порекомендуете под эту задачу? Трафика в этом линке будет не более 50 Мбит.

ubnt nanobridge m2 2шт. Просто тупой мост по сути. Я таким мостом 20FD прокачиваю в полосе 10Mhz на дистанции 700 метров. В ус не дую, без не знаю.

[Andrei]

Последняя версия произошедшего - в городской сети доступа перед "городской" WiFi-точкой стоит DES-3026. Не словил ли я известную проблему хэшей? Хотя клиентов в том сегменте городской сети в пределах 50. Как определить - не в хэшах ли проблема?

Эта версия имеет право на жизнь? Как продиагностировать - не она ли?

 

проблемы есть у всех коммутаторов всех пооизводителей на определённых наборах марвелловских и броадкомовских микросхем. У кого-то потери после 8 тыс. MAC-ов начинаются, у кого-то после 2-4 тыс.. Наличие мультикаста сильно отягощает.

MAC-ов на том коммутаторе всего-то 54.

Эта проблема с хэшами влияет на всех абонентов в сегменте, даже если они не включены в DES-3026?

У меня в том районе на агрегации стоит DGS-3100-24TG, к нему подключены свичи доступа в домах DES-3026 или Planet WGSD-1020 (к одному из таких DES-3026 и подключен WiFi из схемы в начале топика). Так проблемы с нестабильным подключением по pptp есть даже у тех абонентов, у которых нет "по пути" DES-3026, например по схеме: абонент -> Planet WGSD-1020 -> конвертор -> DGS-3100-24TG -> линух сервер. Сервер от клиента даже не пингуется, хотя с сервера до свича доступа проблем нет никаких.

 

Снифером видно вот что:

 21.348747 192.168.11.96 -> Broadcast    ARP Who has 192.168.10.1?  Tell 192.168.11.96
21.348765 192.168.10.1 -> 192.168.11.96 ARP 192.168.10.1 is at 00:0d:61:90:1b:d1
21.348849 192.168.11.96 -> Broadcast    ARP Who has 192.168.10.1?  Tell 192.168.11.96
21.348854 192.168.10.1 -> 192.168.11.96 ARP 192.168.10.1 is at 00:0d:61:90:1b:d1
21.436780 192.168.11.96 -> 192.168.11.255 NBNS Name query NB VPN.prov.RU<00>
21.436903 192.168.11.96 -> 192.168.11.255 NBNS Name query NB VPN.prov.RU<00>
21.437472 192.168.11.96 -> 192.168.11.255 NBNS Name query NB VPN.prov.RU<00>
21.998565 192.168.11.96 -> Broadcast    ARP Who has 192.168.10.1?  Tell 192.168.11.96
21.998579 192.168.10.1 -> 192.168.11.96 ARP 192.168.10.1 is at 00:0d:61:90:1b:d1
22.084943 192.168.11.96 -> 239.255.255.250 SSDP NOTIFY * HTTP/1.1
22.096755 192.168.11.96 -> 192.168.11.255 NBNS Name query NB WPAD<00>
22.096848 192.168.11.96 -> 192.168.11.255 NBNS Name query NB WPAD<00>
22.097460 192.168.11.96 -> 192.168.11.255 NBNS Name query NB WPAD<00>

Здесь

192.168.11.96 - клиент, у него маска 255.255.254.0, шлюз и ДНС - 192.168.10.1

192.168.10.1 - сервер

VPN.prov.RU - NAS Cisco, адрес которой для клиента должен отресолвить сервер, но DNS-запросов с клиента не видно вообще, а

 21.436780 192.168.11.96 -> 192.168.11.255 NBNS Name query NB VPN.prov.RU<00>

это, как я понимаю, клиент для сетей Microsoft флудит.