CCR 1036 странное поведение

Базовая функциональность RouterOS
Ответить
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

CCR 1036 странное поведение

Сообщение Sir_Prikol »

Доброго времени суток
Имеем следующую конфигурацию:
6.44.3
Стоит CCR1036, он является сервером авторизации для 600 абонентов.
На нём подняты туннели на другие сервера авторизации
Все туннели выведены в отдельный вилан, абоненты прилетают в своём вилане. Вроде всё хорошо и правильно, но...
Периодичность не выявлена, иногда раз в сутки, иногда раз в двое суток, иногда раз в неделю CCR перестаёт прогонять сквозь себя UDP траффик в сторону абонентов, соответственно у них отваливается DNS, на самом CCR отлетает обращение на радиус сервер, CCR не может получить DNS снаружи. Спасает только ребут самого CCR. При этом UDP траффик бегает в туннелях на другие сервера авторизации, с них спокойно приходят запросы на радиус и всё работает. Затык происходит только в сторону абонентов.

Что было предпринято:
Фильтровался arp spoof, фильтровался мультикаст, фильтровался broadcast, толку никакого. Фаер уже отключён от слова совсем (хотя там стояли правила, которые дропали dns flood извне, и дропались доступы на порты 22,21.
В фаере принудительно открывал проход udp траффика. И всё равно, через какое-то время, udp глохнул и CCR приходилось ребутить

В какую сторону копать?
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: CCR 1036 странное поведение

Сообщение Chupaka »

Доброго.
Sir_Prikol писал(а): 27 июн 2019, 00:20 В какую сторону копать?
В сторону supout.rif в момент возникновения проблемы - и контакта с суппортом, вдруг там чего во внутренних логах накопают.

Дальше - смотреть Torch'ем/Packet Sniffer'ом, прилетают ли вообще пакеты на роутер (а то не совсем понятно, где проблема: то теряются пакеты в сторону абонента, а то уже и сам CCR до радиуса не достукивается, а это ну никак не в сторону абонентов). Мало ли, проблема в стоящем перед CCR'ом коммутаторе, например.
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: CCR 1036 странное поведение

Сообщение Sir_Prikol »

Я как раз и подозреваю, что проблема именно в коммутаторе перед ccr (или ещё где по дороге), радиус воткнут в отдельный порт на ccr, авторизация с туннелей проходит, не проходит с самого ccr. Такое ощущение, что забивает наглухо очередь соединений и не успевает обработать udp
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: CCR 1036 странное поведение

Сообщение Chupaka »

Я опять в растерянности... Как же проблема в коммутаторе, если радиус не ходит через коммутатор? %) И о какой "очереди соединений" речь?
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: CCR 1036 странное поведение

Сообщение Sir_Prikol »

Изображение

Через EoIP авторизация работает и всё норм, а на физике - udp пропадает
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: CCR 1036 странное поведение

Сообщение Chupaka »

Занятно... Но пинг на радиус идёт, например?.. Ну, я бы всё же снифером посмотрел...
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: CCR 1036 странное поведение

Сообщение Sir_Prikol »

Сам в шоке

Пинг идёт, на том-же IP висит биллинг - он работает, http и https - отрабатывает, то-есть TCP живёт и здраствует, не работает только udp

сейчас поднял отдельную машину с wireshark, написал скрипт, который просто включит сниффер в микротике, при возникновении проблемы, сниффер настроен на отправку в шарк данных, просто задизейблен (траффа дохрена летит), будем посмотреть
Дома: CCR2004 (7-ISP(GPON)белый IP)
Ответить