CCR 1036 странное поведение

Базовая функциональность RouterOS
Ответить
Аватара пользователя
Sir_Prikol
Сообщения: 281
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

CCR 1036 странное поведение

Сообщение Sir_Prikol » 27 июн 2019, 00:20

Доброго времени суток
Имеем следующую конфигурацию:
6.44.3
Стоит CCR1036, он является сервером авторизации для 600 абонентов.
На нём подняты туннели на другие сервера авторизации
Все туннели выведены в отдельный вилан, абоненты прилетают в своём вилане. Вроде всё хорошо и правильно, но...
Периодичность не выявлена, иногда раз в сутки, иногда раз в двое суток, иногда раз в неделю CCR перестаёт прогонять сквозь себя UDP траффик в сторону абонентов, соответственно у них отваливается DNS, на самом CCR отлетает обращение на радиус сервер, CCR не может получить DNS снаружи. Спасает только ребут самого CCR. При этом UDP траффик бегает в туннелях на другие сервера авторизации, с них спокойно приходят запросы на радиус и всё работает. Затык происходит только в сторону абонентов.

Что было предпринято:
Фильтровался arp spoof, фильтровался мультикаст, фильтровался broadcast, толку никакого. Фаер уже отключён от слова совсем (хотя там стояли правила, которые дропали dns flood извне, и дропались доступы на порты 22,21.
В фаере принудительно открывал проход udp траффика. И всё равно, через какое-то время, udp глохнул и CCR приходилось ребутить

В какую сторону копать?
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 1906
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: CCR 1036 странное поведение

Сообщение Chupaka » 27 июн 2019, 11:35

Доброго.
Sir_Prikol писал(а):
27 июн 2019, 00:20
В какую сторону копать?
В сторону supout.rif в момент возникновения проблемы - и контакта с суппортом, вдруг там чего во внутренних логах накопают.

Дальше - смотреть Torch'ем/Packet Sniffer'ом, прилетают ли вообще пакеты на роутер (а то не совсем понятно, где проблема: то теряются пакеты в сторону абонента, а то уже и сам CCR до радиуса не достукивается, а это ну никак не в сторону абонентов). Мало ли, проблема в стоящем перед CCR'ом коммутаторе, например.

Аватара пользователя
Sir_Prikol
Сообщения: 281
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: CCR 1036 странное поведение

Сообщение Sir_Prikol » 27 июн 2019, 11:43

Я как раз и подозреваю, что проблема именно в коммутаторе перед ccr (или ещё где по дороге), радиус воткнут в отдельный порт на ccr, авторизация с туннелей проходит, не проходит с самого ccr. Такое ощущение, что забивает наглухо очередь соединений и не успевает обработать udp
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 1906
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: CCR 1036 странное поведение

Сообщение Chupaka » 27 июн 2019, 12:16

Я опять в растерянности... Как же проблема в коммутаторе, если радиус не ходит через коммутатор? %) И о какой "очереди соединений" речь?

Аватара пользователя
Sir_Prikol
Сообщения: 281
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: CCR 1036 странное поведение

Сообщение Sir_Prikol » 27 июн 2019, 12:59

Изображение

Через EoIP авторизация работает и всё норм, а на физике - udp пропадает
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 1906
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: CCR 1036 странное поведение

Сообщение Chupaka » 27 июн 2019, 18:54

Занятно... Но пинг на радиус идёт, например?.. Ну, я бы всё же снифером посмотрел...

Аватара пользователя
Sir_Prikol
Сообщения: 281
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: CCR 1036 странное поведение

Сообщение Sir_Prikol » 27 июн 2019, 19:09

Сам в шоке

Пинг идёт, на том-же IP висит биллинг - он работает, http и https - отрабатывает, то-есть TCP живёт и здраствует, не работает только udp

сейчас поднял отдельную машину с wireshark, написал скрипт, который просто включит сниффер в микротике, при возникновении проблемы, сниффер настроен на отправку в шарк данных, просто задизейблен (траффа дохрена летит), будем посмотреть
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Ответить