Клинит при передаче больших файлов (FTP, SMB)

Обсуждение ПО и его настройки
osr_79
Сообщения: 7
Зарегистрирован: 20 май 2023, 09:44

Добрый день
Имеется два микротика RB952Ui (А и Б). Между ними GRE-туннель. Маршруты есть, пинги ходят и т.п. В локалке за одним из них (А) крутится FTP сервер и есть общий ресурс на винде.
Проблема:
При попытке копирования через туннель с Б на А больших (больше 10 мб) файлов что по SMB, что по FTP - Б виснет наглухо через пару секунд после начала копирования. Вебморда снаружи не открывается, ресурсы за ним становятся недоступны, при этом файлы копироваться перестают. Помогает только разрывание GRE-туннеля на А.
То же самое происходит, если на А опубликовать в интернете FTP сервер и подключаться из локалки за Б к опубликованному адресу.
Маленькие файлы пролетают нормально что через туннель, что через внешний адрес.
Очередей нет ни на том, ни на другом.
При подключении к FTP на А снаружи из другого места - все работает без проблем.
Прошивки на обоих микротиках обновили, не помогло.
Куда копать - не знаем.
Заранее спасибо.


Illinory
Сообщения: 98
Зарегистрирован: 23 окт 2019, 15:08

MSS на всякий случай фиксить уже пробовали?

/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp

Можно интерфейсы указать в команде.


osr_79
Сообщения: 7
Зарегистрирован: 20 май 2023, 09:44

Попробовали. Результат тот же(
Сейчас попробовали качнуть что-нибудь большое с сервера за Б. Виснет, файл не качается.


Illinory
Сообщения: 98
Зарегистрирован: 23 окт 2019, 15:08

Не знаю насколько вам поможет, но опишу тут:
Однажды сталкивался с некорректным отрабатываем опции TCP SACK от маршрутизатора с NAT.
Передача файлов с сервера больше 100-200 Кб давала сбой.
Помогло отключение опции на стороне сервера.

На Windows отключение в реестре, после чего надо ребутать сервер.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SackOpts"=dword:00000000

А для диагностики снимите дамп с оконечного устройства и транзитных микротиков, может что-то станет ясно.


osr_79
Сообщения: 7
Зарегистрирован: 20 май 2023, 09:44

С реестром попробуем, спасибо, но вряд ли поможет, поскольку виндовый глюк не объясняет повисания маршрутизатора и недоступности его на внешнем интерфейсе.
Придется снимать дамп, судя по всему, вы правы.


Illinory
Сообщения: 98
Зарегистрирован: 23 окт 2019, 15:08

Если маршрутизатор недоступен (упустил этот момент), то явно что-то идет не так.
Пробовали отключать fasttrack/connection tracker или его функционал необходим?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Очень похоже, что во время передачи оба микротика уходят в даун. hap ac lite очень слабые железки для VPN. Во время передачи больших файлов процессор загружается под 100% и микротик перестает отвечать и происходит "отказ в обслуживании".

Можно попытаться поглядеть во время передачи больших файлов в Tools-Profile нагрузку, но, скорее всего, DoS изнутри и winbox отвалится и ничего уже не посмотришь.


Надо менять hap ac lite на намного более мощные микротики.


osr_79
Сообщения: 7
Зарегистрирован: 20 май 2023, 09:44

Illinory писал(а): 21 май 2023, 18:04 Если маршрутизатор недоступен (упустил этот момент), то явно что-то идет не так.
Пробовали отключать fasttrack/connection tracker или его функционал необходим?
Отключили, не помогло(


osr_79
Сообщения: 7
Зарегистрирован: 20 май 2023, 09:44

gmx писал(а): 22 май 2023, 09:19 Очень похоже, что во время передачи оба микротика уходят в даун. hap ac lite очень слабые железки для VPN. Во время передачи больших файлов процессор загружается под 100% и микротик перестает отвечать и происходит "отказ в обслуживании".

Можно попытаться поглядеть во время передачи больших файлов в Tools-Profile нагрузку, но, скорее всего, DoS изнутри и winbox отвалится и ничего уже не посмотришь.


Надо менять hap ac lite на намного более мощные микротики.
Посмотреть ничего не получится, верно, поскольку микротик, из сети котрого передают, виснет наглухо. Второй при этом живой и зависший получается оживить разрыванием туннеля именно на втором, который жив.
О замене думаем)


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Попробуйте другой тип туннеля. Вполне возможно, что жизнь наладится.

Оно, конечно, бы, попробовать wireguard, но это надо на ros 7 переходить, а именно hap ac lite, я ни одного на 7 не пробовал. У меня есть переведенные на 7 в продакшине hap ac 2 и 4011, но это совсем другой класс устройств, они мощнее в разы. Там сейчас все просто отлично. Посветовать по поводу hap ac lite толком ничего не могу.

Я бы попробовал и pptp и l2tp и ip-ip... Скорость в туннеле точно упадет, но и зависания могут пройти. Тут только пробовать, вам ведь никто не запрещает.


Ответить