CCR 1036 странное поведение

[Sir_Prikol]

Доброго времени суток
Имеем следующую конфигурацию:
6.44.3
Стоит CCR1036, он является сервером авторизации для 600 абонентов.
На нём подняты туннели на другие сервера авторизации
Все туннели выведены в отдельный вилан, абоненты прилетают в своём вилане. Вроде всё хорошо и правильно, но...
Периодичность не выявлена, иногда раз в сутки, иногда раз в двое суток, иногда раз в неделю CCR перестаёт прогонять сквозь себя UDP траффик в сторону абонентов, соответственно у них отваливается DNS, на самом CCR отлетает обращение на радиус сервер, CCR не может получить DNS снаружи. Спасает только ребут самого CCR. При этом UDP траффик бегает в туннелях на другие сервера авторизации, с них спокойно приходят запросы на радиус и всё работает. Затык происходит только в сторону абонентов.

Что было предпринято:
Фильтровался arp spoof, фильтровался мультикаст, фильтровался broadcast, толку никакого. Фаер уже отключён от слова совсем (хотя там стояли правила, которые дропали dns flood извне, и дропались доступы на порты 22,21.
В фаере принудительно открывал проход udp траффика. И всё равно, через какое-то время, udp глохнул и CCR приходилось ребутить

В какую сторону копать?

[Chupaka]

Доброго.

В какую сторону копать?

В сторону supout.rif в момент возникновения проблемы - и контакта с суппортом, вдруг там чего во внутренних логах накопают.

Дальше - смотреть Torch'ем/Packet Sniffer'ом, прилетают ли вообще пакеты на роутер (а то не совсем понятно, где проблема: то теряются пакеты в сторону абонента, а то уже и сам CCR до радиуса не достукивается, а это ну никак не в сторону абонентов). Мало ли, проблема в стоящем перед CCR'ом коммутаторе, например.

[Sir_Prikol]

Я как раз и подозреваю, что проблема именно в коммутаторе перед ccr (или ещё где по дороге), радиус воткнут в отдельный порт на ccr, авторизация с туннелей проходит, не проходит с самого ccr. Такое ощущение, что забивает наглухо очередь соединений и не успевает обработать udp

[Chupaka]

Я опять в растерянности... Как же проблема в коммутаторе, если радиус не ходит через коммутатор? %) И о какой "очереди соединений" речь?

[Sir_Prikol]

Через EoIP авторизация работает и всё норм, а на физике - udp пропадает

[Chupaka]

Занятно... Но пинг на радиус идёт, например?.. Ну, я бы всё же снифером посмотрел...

[Sir_Prikol]

Сам в шоке

Пинг идёт, на том-же IP висит биллинг - он работает, http и https - отрабатывает, то-есть TCP живёт и здраствует, не работает только udp

сейчас поднял отдельную машину с wireshark, написал скрипт, который просто включит сниффер в микротике, при возникновении проблемы, сниффер настроен на отправку в шарк данных, просто задизейблен (траффа дохрена летит), будем посмотреть