Здравствуйте. CHR Router os 7.15.2 на esxi. Он же OVPNServer. Ovpn client-ы (11шт) все на hap ac2, так же на 7.15.2
Проблема тянется начиная с седьмой версии. А именно в абсолютно рандомный момент, если верить /tools profile, одно ядро из шести загружается в 100% по SSL. И не падает без ребута. Причем если дропнуть клиентов + конекшены, всех, загрузка так и останется.
Трафика гуляет где-то 100-120Mbps . По 10.2 Mbps на одного клиента. Все клиенты гоняют rtsp трафик с камер на трассир сервер.
В последнем конфиге, при котором готов уже сдаться, сейчас без излишек.(сркины ниже) сстп отключен (встречал где-то на форумах что может быть связанно с сстп, отключил). Сертификаты перевыпускать пробовал. С шифрованием от 1024 до 4096, Возможно как-то не правильно их выпускаю, уже не знаю.... Выписывал их на доменное имя... Само подписанные.
CHR Одно ядро временами по ssl "прыгает" в "шишку"
-
- Сообщения: 6
- Зарегистрирован: 10 июл 2024, 20:39
CHR Одно ядро временами по ssl "прыгает" в "шишку"
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 6
- Зарегистрирован: 10 июл 2024, 20:39
Re: CHR Одно ядро временами по ssl "прыгает" в "шишку"
upd... Скринами могу ввести в заблуждения. Подумалось мне убрать опенвпнсервер на хапы. И сейчас chr цепляется к hap ac2 . Фактически сейчас CHR является клиентом. а хап АС Серверами. Коих 11 штук. Но при всём при этом. Один хрен не помогло. Начинают закрадываться мысли что дело совсем не в сертификатах и Openvpn. Что еще может вызывать логи с worning по ovpn и загрузкой ssl?
-
- Сообщения: 4048
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: CHR Одно ядро временами по ssl "прыгает" в "шишку"
В IP - Services у вас, может, включен какой-нибудь неиспользуемый -ssl и можно попробовать выключить его для проверки?..
Ещё бы сделать supout.rif и отправить в техподдержку - может, они что-нибудь увидят, что недоступно нашему взгляду.
Ещё бы сделать supout.rif и отправить в техподдержку - может, они что-нибудь увидят, что недоступно нашему взгляду.
-
- Сообщения: 4048
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: CHR Одно ядро временами по ssl "прыгает" в "шишку"
А на сервере сейчас ovpn-сервер совсем выключен?
-
- Сообщения: 6
- Зарегистрирован: 10 июл 2024, 20:39
Re: CHR Одно ядро временами по ssl "прыгает" в "шишку"
Конкретно сейчас нет,как служба включена. Но не одного клиента активного нет
-
- Сообщения: 4048
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: CHR Одно ядро временами по ssl "прыгает" в "шишку"
Ну, вот выключить бы всё ненужное
-
- Сообщения: 6
- Зарегистрирован: 10 июл 2024, 20:39
Re: CHR Одно ядро временами по ssl "прыгает" в "шишку"
В сервисе всё выключено кроме winbox. Так же выключал ovpnserver как службу. Конкретно сегодня не выключен. Ранее выключал. Правда вешал тогда всё на л2тп. И в принципе пока на л2тп, все работает, вроде как стабильно.
Опять же повторюсь. Это не панацея. Хотелось бы разобраться с проблемой...
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 4048
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
-
- Сообщения: 6
- Зарегистрирован: 10 июл 2024, 20:39
-
- Сообщения: 4048
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
-
- Сообщения: 6
- Зарегистрирован: 10 июл 2024, 20:39
Re: CHR Одно ядро временами по ssl "прыгает" в "шишку"
Спасибо всем тем кто пытался помочь. Тему думаю можно закрывать.
В общем я не нашел решения. А Т.П микротик молчит.
Мною было замечено что при использовании пароля выше 193 бит. Не важно СНР выступает в качестве сервера или клиента овпн. ССЛ загрузкой на ядро прыгает до 100% в течении первых часов. Если же использовать пароль более короткий, допустим до шести символов, то загрузка ЦП могла не подниматься несколько дней спокойно. Но это был вопрос времени. В данном конкретном случае, я сдался и перевёл всё на wireguard. Загрузка ЦП уже как неделю выше 10% не поднимается. Склоняюсь, к тому что у меня что-то с железом. Есть у меня съемный ВПС с СНР, там опенвпн клиентов в разы больше чем здесь. Настройка одинаковая что на проблемном, что на съемном. Правда разница есть. Трафика на съемном гуляет в разы меньше.... В общем всем спасибо за внимание.
В общем я не нашел решения. А Т.П микротик молчит.
Мною было замечено что при использовании пароля выше 193 бит. Не важно СНР выступает в качестве сервера или клиента овпн. ССЛ загрузкой на ядро прыгает до 100% в течении первых часов. Если же использовать пароль более короткий, допустим до шести символов, то загрузка ЦП могла не подниматься несколько дней спокойно. Но это был вопрос времени. В данном конкретном случае, я сдался и перевёл всё на wireguard. Загрузка ЦП уже как неделю выше 10% не поднимается. Склоняюсь, к тому что у меня что-то с железом. Есть у меня съемный ВПС с СНР, там опенвпн клиентов в разы больше чем здесь. Настройка одинаковая что на проблемном, что на съемном. Правда разница есть. Трафика на съемном гуляет в разы меньше.... В общем всем спасибо за внимание.