Биллинговая система Nodeny

Доброго времени суток, помогоите пожалуйста разобратся с данной проблемой, начали отваливатся абоненты, в логах олта ничего не происходит, а вот на микротике лист удаляется потом через сек 30 добавляется и инет у абонов восстанавлевается. В чем может быть проблема, почему программа принимает решение удалить? и что может быть с радиусом? Скрины во вложении

Тут все прозрачно - не отвечает радиус сервер. Авторизации отваливаются по таймауту и тут же, при ответе радиуса авторизация происходит вновь.
Почему отваливается радиус? Ну в угадайки играть тут сложно - начиная от простой стетевой доступности, до его черезмерной загрузки. Ну сам радиус прегрузить сложно, а вот базу данных - длинными запросами запросто.
У меня были такие ситуации, и я очень долго искал способ как это победить настройками производительности базы данных и радиус-сервера. НО они ни к чему не привели по причине того, что в сети находилось куча микротиков с "левыми" макадресами и по умолчанию настроенными дхцп клиентами которые просто задрачивали базу холостыми запросами на получение адресов.
Выход нашелся довольно просто. Я создал "левый" динамический ip пул в биллинге, подготовил дхцп сервер на микротике для выдачи всего чего нужно для этой сети, но интерфейсный адрес для шлюза не стал навешивать чтобы у этих адресов ни при каких обстоятельствах небыло возможности выхода в интернет. Все.
Все эти "левые" устройства получают от радиуса "левые" адреса из "левого" динамического пула - и курят кеды, оставляя в покое наш многострадальный радиус.

Да только то что вы описываете актуально больше когда ip выдают статикой

Таже проблема. Началась гдето недели две назад.
Помогает:

Вроде началось в то время,когда появилось сообщение при обновлении:
Но могу ошибаться.
----------------------
У меня два сервера(билинг+репликация БД+радиус). Mikrotik не получив ответ от основного сервера, получает с резервного. Вот так пока живем.

вы это читали?
http://forum.nodeny.com.ua/index.php?topic=3034.0
что выдает?
show engine innodb status

Когда актуально выдача динамикой и упертый админ зациклился на этом - он получает вот такой вот неразрешимый пиздец.
Одновременно на радиус поступает херова туча холостых запросов, которые он по идее должен реджектить, но вызовы процедур происходят все медленнее и медленнее, в результате дело доходит до таймаута.
Выходов собственно два, либо делать как я говорю, либо бороться с "странными" девайсами в сети, которые очень часто запрашивают дхцп сервер чем его ддосят.
Кстати динамические пулы на микротиках хреновско работают еще и потому, что доступ включается не мгновенно, а может пройти и пару минут пока АПИ прочухается, что само по себе не але. Поэтому только  статитка и "всегда онлайн" - наше все.

Давайте вы маты оставите при себе, и начнем с того что если сеть работает черти как тогда появляются те или иные проблемы.

Ну так давай, помогай человеку.
Выдай хотя бы пару советов.

2 Call: то есть, все зарегистрированные в билинге адреса, получают нужный IP, а "левые"(не зарегистрированные) получают адреса из другого пула(со шлюзом не назначенным на интерфейс)?

Подскажите пожалуйста, "туча холостых запросов" сколько это примерно запросов в секунду +- в цифрах ?

Угу. Все именно так.

Я тебе скажу так.... 10 дхцп клиентов на микротиках положат тебе твое хозяйство в течении 10-20 минут.
У меня сначала даже идея была позаходить на них при помощи телнета и поотключать, но во-первых пароли.... во вторых штука не благодарная т.к. все равно в сети ушлепки появляются и нужно решать проблему кардинально.
Я не в одном месте так сделал. В хороших сетях "левые" почти не появляются.... Там где все напофиг - до двух десятков "левых" адресов в лизинге висит постоянно.

Т.е. 20 абонентов в сети, не зарегистрированных в биллинге, положат радиус или что ? Периодически 20 "левых" запросов в секунду и приплыли ?
Опустим пока дизайн построения сетей.   

Немножко не так.
Обычный клиент не ддосит дхцп сервер а делает 2-3  запроса и выставляет себе зерроайпи на сутки )
Ну так делают порядочные дхцп клиенты.
Но есть не порядочные ))) к ним относится дхцп клиент микротика, например, который запрашивает адрес по несколько раз в секунду до того момента пока не получит его.
Так вот определенное количество таких мудоковатых дхцп клиентов... да, могут положить

Так может просто ограничить количество таких запросов в единицу времени с одного адреса?

Не могу понять, а почему "непорядочному" не выдается айпи адрес ?
По логике, непорядочный должен получить айпи и на страницу "активацию оборудования" отправлен. У меня так, у Вас не так ?
В крайнем случае, Ваш вариант выше, выдать ему айпи в подсети, с не поднятым шлюзом на интерфейсе.)))

пробуйте, как раз расскажите что из этого получилось

Ничего смешного не вижу. Речь идет об случае со статическими адресами. У вас динамические? Ну когда победите - расскажите нам как. Ждем с нетерпением.

Мне тоже не смешно, особенно после Ваших рекомендаций в соседних темах использовать для абонентов статику вместо динамики. Оказывается есть вот такие интересные моменты со статикой.
По динамике, что Вас на текущий момент не устраивает ? Про дедлоки и дубликаты есть тема, указанное в ней решение, работает на достаточно высоких нагрузках, не все запросы от дхцп, но суть с запросами та же, несколько тысяч абонентов авторизуются и "переподключаются" на одном насе за секунды. Есть и "посторонние" запросы в которых отказывается в авторизации абонентам.
Или речь о динамике где в качестве наса только дхцп сервер микротик ?

Необходимо отделить мух от котлет.
Активация оборудования и какие то "странные" абоненты.
В случае со статикой, не вижу препятствий, выдавать неизвестным абонентам айпи адреса из динамического пула. На этом этапе абонентский микротик получит айпи адрес, "успокоится" и не будет создавать проблем в дальнейшем.
У Вас этот момент как реализован ? Вы никак не регистрируете в биллинге оборудование абонента, никакой привязки к учетной записи клиента ?

Думается мне, что на Mikrotik надо использовать HotSpot. + ко всему тому, что мы уже имеем в связке NoDeny+Mikrotik, получим полностью рабочую заглушку в не зависимо от http или https.

Я пробовал. Да, работает нормально. Подкупает то, что все рулится через радиус. Помню только что отладка  заняла очень много времени - это раз и хотспот генерирует кучу правил файрвола, которые негативно отражаются на производительности. Когда речь идет о 2-3-4 Гбит/с это уже имеет большое значение.

Мне хотелось бы посмотреть на редирект Https без воплей браузера что сертификат не безопасен и прочее)

Круто. Микротик взломал весь интернет. Крупные корпорации бьются головой об стенку, ведь оказывается https который еп твою налево и разрабатывался именно для защиты от перехвата, оказывается нихрена не работает. Можно подсунуть страничку якобы гугимайла ИлонуМаску и перехватить его логин и пароль. Потом слить все его письма в инет или вообще начудить. Бля это ж мир в опасности! И тока потому что кому то показали как на комп можно добавить левый сертификат, который вопервых добавит тока спец, во вторых все в мире сертификаты?

Исходя из начало тему. Резюмируем человеку помогли, проблему решили.

проблема выше пропала, точнее отдалились после увеличения кеша в Zabbix, что установлен на машине с билингом.
Раньше ошибки сыпались раз в 2-5 суток, сейчас появляются примерно через месяц.

2 Maksim: как Вы решили данную проблему?