CCR 1036 странное поведение
Добавлено: 27 июн 2019, 00:20
Доброго времени суток
Имеем следующую конфигурацию:
6.44.3
Стоит CCR1036, он является сервером авторизации для 600 абонентов.
На нём подняты туннели на другие сервера авторизации
Все туннели выведены в отдельный вилан, абоненты прилетают в своём вилане. Вроде всё хорошо и правильно, но...
Периодичность не выявлена, иногда раз в сутки, иногда раз в двое суток, иногда раз в неделю CCR перестаёт прогонять сквозь себя UDP траффик в сторону абонентов, соответственно у них отваливается DNS, на самом CCR отлетает обращение на радиус сервер, CCR не может получить DNS снаружи. Спасает только ребут самого CCR. При этом UDP траффик бегает в туннелях на другие сервера авторизации, с них спокойно приходят запросы на радиус и всё работает. Затык происходит только в сторону абонентов.
Что было предпринято:
Фильтровался arp spoof, фильтровался мультикаст, фильтровался broadcast, толку никакого. Фаер уже отключён от слова совсем (хотя там стояли правила, которые дропали dns flood извне, и дропались доступы на порты 22,21.
В фаере принудительно открывал проход udp траффика. И всё равно, через какое-то время, udp глохнул и CCR приходилось ребутить
В какую сторону копать?
Имеем следующую конфигурацию:
6.44.3
Стоит CCR1036, он является сервером авторизации для 600 абонентов.
На нём подняты туннели на другие сервера авторизации
Все туннели выведены в отдельный вилан, абоненты прилетают в своём вилане. Вроде всё хорошо и правильно, но...
Периодичность не выявлена, иногда раз в сутки, иногда раз в двое суток, иногда раз в неделю CCR перестаёт прогонять сквозь себя UDP траффик в сторону абонентов, соответственно у них отваливается DNS, на самом CCR отлетает обращение на радиус сервер, CCR не может получить DNS снаружи. Спасает только ребут самого CCR. При этом UDP траффик бегает в туннелях на другие сервера авторизации, с них спокойно приходят запросы на радиус и всё работает. Затык происходит только в сторону абонентов.
Что было предпринято:
Фильтровался arp spoof, фильтровался мультикаст, фильтровался broadcast, толку никакого. Фаер уже отключён от слова совсем (хотя там стояли правила, которые дропали dns flood извне, и дропались доступы на порты 22,21.
В фаере принудительно открывал проход udp траффика. И всё равно, через какое-то время, udp глохнул и CCR приходилось ребутить
В какую сторону копать?