|
Maksim
|
 |
« : 03 Февраля 2018, 13:43:05 » |
|
Доброго времени суток, помогоите пожалуйста разобратся с данной проблемой, начали отваливатся абоненты, в логах олта ничего не происходит, а вот на микротике лист удаляется потом через сек 30 добавляется и инет у абонов восстанавлевается. В чем может быть проблема, почему программа принимает решение удалить? и что может быть с радиусом? Скрины во вложении
|
|
|
|
|
Записан
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
 Offline
Сообщений: 1407
|
 |
« Ответ #1 : 04 Февраля 2018, 10:28:58 » |
|
Тут все прозрачно - не отвечает радиус сервер. Авторизации отваливаются по таймауту и тут же, при ответе радиуса авторизация происходит вновь.
Почему отваливается радиус? Ну в угадайки играть тут сложно - начиная от простой стетевой доступности, до его черезмерной загрузки. Ну сам радиус прегрузить сложно, а вот базу данных - длинными запросами запросто.
У меня были такие ситуации, и я очень долго искал способ как это победить настройками производительности базы данных и радиус-сервера. НО они ни к чему не привели по причине того, что в сети находилось куча микротиков с "левыми" макадресами и по умолчанию настроенными дхцп клиентами которые просто задрачивали базу холостыми запросами на получение адресов.
Выход нашелся довольно просто. Я создал "левый" динамический ip пул в биллинге, подготовил дхцп сервер на микротике для выдачи всего чего нужно для этой сети, но интерфейсный адрес для шлюза не стал навешивать чтобы у этих адресов ни при каких обстоятельствах небыло возможности выхода в интернет. Все.
Все эти "левые" устройства получают от радиуса "левые" адреса из "левого" динамического пула - и курят кеды, оставляя в покое наш многострадальный радиус.
|
|
|
|
|
Записан
|
|
|
|
gudwin
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 85
|
|
« Ответ #2 : 04 Февраля 2018, 21:43:56 » |
|
Да только то что вы описываете актуально больше когда ip выдают статикой
|
|
|
|
|
Записан
|
|
|
|
|
k291
|
|
« Ответ #3 : 04 Февраля 2018, 22:24:58 » |
|
Таже проблема. Началась гдето недели две назад. Помогает: /etc/init.d/freeradius restart Вроде началось в то время,когда появилось сообщение при обновлении: You need to create function normalize_ippool!
Execute in mysql:
Но могу ошибаться. ---------------------- У меня два сервера(билинг+репликация БД+радиус). Mikrotik не получив ответ от основного сервера, получает с резервного. Вот так пока живем. |
|
|
|
|
Записан
|
|
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1407
|
|
« Ответ #5 : 04 Февраля 2018, 22:56:23 » |
|
Да только то что вы описываете актуально больше когда ip выдают статикой
Когда актуально выдача динамикой и упертый админ зациклился на этом - он получает вот такой вот неразрешимый пиздец. Одновременно на радиус поступает херова туча холостых запросов, которые он по идее должен реджектить, но вызовы процедур происходят все медленнее и медленнее, в результате дело доходит до таймаута. Выходов собственно два, либо делать как я говорю, либо бороться с "странными" девайсами в сети, которые очень часто запрашивают дхцп сервер чем его ддосят. Кстати динамические пулы на микротиках хреновско работают еще и потому, что доступ включается не мгновенно, а может пройти и пару минут пока АПИ прочухается, что само по себе не але. Поэтому только статитка и "всегда онлайн" - наше все. |
|
|
|
|
Записан
|
|
|
|
gudwin
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 85
|
|
« Ответ #6 : 04 Февраля 2018, 23:00:49 » |
|
Давайте вы маты оставите при себе, и начнем с того что если сеть работает черти как тогда появляются те или иные проблемы.
|
|
|
|
|
Записан
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1407
|
|
« Ответ #7 : 04 Февраля 2018, 23:03:00 » |
|
Давайте вы маты оставите при себе, и начнем с того что если сеть работает черти как тогда появляются те или иные проблемы.
Ну так давай, помогай человеку. Выдай хотя бы пару советов. |
|
|
|
|
Записан
|
|
|
|
|
k291
|
|
« Ответ #8 : 05 Февраля 2018, 01:31:32 » |
|
2 Call: то есть, все зарегистрированные в билинге адреса, получают нужный IP, а "левые"(не зарегистрированные) получают адреса из другого пула(со шлюзом не назначенным на интерфейс)?
|
|
|
|
|
Записан
|
|
|
|
kosmich
Пользователь
Карма: 1
Offline
Сообщений: 90
|
|
« Ответ #9 : 05 Февраля 2018, 01:41:58 » |
|
Одновременно на радиус поступает херова туча холостых запросов, которые он по идее должен реджектить, но вызовы процедур происходят все медленнее и медленнее, в результате дело доходит до таймаута.
Подскажите пожалуйста, "туча холостых запросов" сколько это примерно запросов в секунду +- в цифрах ? |
|
|
|
|
Записан
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1407
|
|
« Ответ #10 : 05 Февраля 2018, 09:40:02 » |
|
2 Call: то есть, все зарегистрированные в билинге адреса, получают нужный IP, а "левые"(не зарегистрированные) получают адреса из другого пула(со шлюзом не назначенным на интерфейс)?
Угу. Все именно так. |
|
|
|
|
Записан
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1407
|
|
« Ответ #11 : 05 Февраля 2018, 09:44:31 » |
|
Одновременно на радиус поступает херова туча холостых запросов, которые он по идее должен реджектить, но вызовы процедур происходят все медленнее и медленнее, в результате дело доходит до таймаута.
Подскажите пожалуйста, "туча холостых запросов" сколько это примерно запросов в секунду +- в цифрах ? Я тебе скажу так.... 10 дхцп клиентов на микротиках положат тебе твое хозяйство в течении 10-20 минут. У меня сначала даже идея была позаходить на них при помощи телнета и поотключать, но во-первых пароли.... во вторых штука не благодарная т.к. все равно в сети ушлепки появляются и нужно решать проблему кардинально. Я не в одном месте так сделал. В хороших сетях "левые" почти не появляются.... Там где все напофиг - до двух десятков "левых" адресов в лизинге висит постоянно. |
|
|
|
|
Записан
|
|
|
|
kosmich
Пользователь
Карма: 1
Offline
Сообщений: 90
|
|
« Ответ #12 : 05 Февраля 2018, 11:22:11 » |
|
Одновременно на радиус поступает херова туча холостых запросов, которые он по идее должен реджектить, но вызовы процедур происходят все медленнее и медленнее, в результате дело доходит до таймаута.
Подскажите пожалуйста, "туча холостых запросов" сколько это примерно запросов в секунду +- в цифрах ? Я тебе скажу так.... 10 дхцп клиентов на микротиках положат тебе твое хозяйство в течении 10-20 минут. У меня сначала даже идея была позаходить на них при помощи телнета и поотключать, но во-первых пароли.... во вторых штука не благодарная т.к. все равно в сети ушлепки появляются и нужно решать проблему кардинально. Я не в одном месте так сделал. В хороших сетях "левые" почти не появляются.... Там где все напофиг - до двух десятков "левых" адресов в лизинге висит постоянно. Т.е. 20 абонентов в сети, не зарегистрированных в биллинге, положат радиус или что ? Периодически 20 "левых" запросов в секунду и приплыли ? Опустим пока дизайн построения сетей. |
|
|
|
|
Записан
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1407
|
|
« Ответ #13 : 05 Февраля 2018, 11:28:35 » |
|
Немножко не так.
Обычный клиент не ддосит дхцп сервер а делает 2-3 запроса и выставляет себе зерроайпи на сутки )
Ну так делают порядочные дхцп клиенты.
Но есть не порядочные ))) к ним относится дхцп клиент микротика, например, который запрашивает адрес по несколько раз в секунду до того момента пока не получит его.
Так вот определенное количество таких мудоковатых дхцп клиентов... да, могут положить
|
|
|
|
|
Записан
|
|
|
|
|
fet4
|
|
« Ответ #14 : 05 Февраля 2018, 11:35:08 » |
|
Так может просто ограничить количество таких запросов в единицу времени с одного адреса?
|
|
|
|
|
Записан
|
|
|
|
|
