Добрый день
Имеется два микротика RB952Ui (А и Б). Между ними GRE-туннель. Маршруты есть, пинги ходят и т.п. В локалке за одним из них (А) крутится FTP сервер и есть общий ресурс на винде.
Проблема:
При попытке копирования через туннель с Б на А больших (больше 10 мб) файлов что по SMB, что по FTP - Б виснет наглухо через пару секунд после начала копирования. Вебморда снаружи не открывается, ресурсы за ним становятся недоступны, при этом файлы копироваться перестают. Помогает только разрывание GRE-туннеля на А.
То же самое происходит, если на А опубликовать в интернете FTP сервер и подключаться из локалки за Б к опубликованному адресу.
Маленькие файлы пролетают нормально что через туннель, что через внешний адрес.
Очередей нет ни на том, ни на другом.
При подключении к FTP на А снаружи из другого места - все работает без проблем.
Прошивки на обоих микротиках обновили, не помогло.
Куда копать - не знаем.
Заранее спасибо.
Клинит при передаче больших файлов (FTP, SMB)
-
Illinory
- Сообщения: 102
- Зарегистрирован: 23 окт 2019, 15:08
MSS на всякий случай фиксить уже пробовали?
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp
Можно интерфейсы указать в команде.
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp
Можно интерфейсы указать в команде.
-
osr_79
- Сообщения: 7
- Зарегистрирован: 20 май 2023, 09:44
Попробовали. Результат тот же(
Сейчас попробовали качнуть что-нибудь большое с сервера за Б. Виснет, файл не качается.
Сейчас попробовали качнуть что-нибудь большое с сервера за Б. Виснет, файл не качается.
-
Illinory
- Сообщения: 102
- Зарегистрирован: 23 окт 2019, 15:08
Не знаю насколько вам поможет, но опишу тут:
Однажды сталкивался с некорректным отрабатываем опции TCP SACK от маршрутизатора с NAT.
Передача файлов с сервера больше 100-200 Кб давала сбой.
Помогло отключение опции на стороне сервера.
На Windows отключение в реестре, после чего надо ребутать сервер.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SackOpts"=dword:00000000
А для диагностики снимите дамп с оконечного устройства и транзитных микротиков, может что-то станет ясно.
Однажды сталкивался с некорректным отрабатываем опции TCP SACK от маршрутизатора с NAT.
Передача файлов с сервера больше 100-200 Кб давала сбой.
Помогло отключение опции на стороне сервера.
На Windows отключение в реестре, после чего надо ребутать сервер.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SackOpts"=dword:00000000
А для диагностики снимите дамп с оконечного устройства и транзитных микротиков, может что-то станет ясно.
-
osr_79
- Сообщения: 7
- Зарегистрирован: 20 май 2023, 09:44
С реестром попробуем, спасибо, но вряд ли поможет, поскольку виндовый глюк не объясняет повисания маршрутизатора и недоступности его на внешнем интерфейсе.
Придется снимать дамп, судя по всему, вы правы.
Придется снимать дамп, судя по всему, вы правы.
-
Illinory
- Сообщения: 102
- Зарегистрирован: 23 окт 2019, 15:08
Если маршрутизатор недоступен (упустил этот момент), то явно что-то идет не так.
Пробовали отключать fasttrack/connection tracker или его функционал необходим?
Пробовали отключать fasttrack/connection tracker или его функционал необходим?
-
gmx
- Модератор
- Сообщения: 3416
- Зарегистрирован: 01 окт 2012, 14:48
Очень похоже, что во время передачи оба микротика уходят в даун. hap ac lite очень слабые железки для VPN. Во время передачи больших файлов процессор загружается под 100% и микротик перестает отвечать и происходит "отказ в обслуживании".
Можно попытаться поглядеть во время передачи больших файлов в Tools-Profile нагрузку, но, скорее всего, DoS изнутри и winbox отвалится и ничего уже не посмотришь.
Надо менять hap ac lite на намного более мощные микротики.
Можно попытаться поглядеть во время передачи больших файлов в Tools-Profile нагрузку, но, скорее всего, DoS изнутри и winbox отвалится и ничего уже не посмотришь.
Надо менять hap ac lite на намного более мощные микротики.
-
osr_79
- Сообщения: 7
- Зарегистрирован: 20 май 2023, 09:44
-
osr_79
- Сообщения: 7
- Зарегистрирован: 20 май 2023, 09:44
Посмотреть ничего не получится, верно, поскольку микротик, из сети котрого передают, виснет наглухо. Второй при этом живой и зависший получается оживить разрыванием туннеля именно на втором, который жив.gmx писал(а): ↑22 май 2023, 09:19 Очень похоже, что во время передачи оба микротика уходят в даун. hap ac lite очень слабые железки для VPN. Во время передачи больших файлов процессор загружается под 100% и микротик перестает отвечать и происходит "отказ в обслуживании".
Можно попытаться поглядеть во время передачи больших файлов в Tools-Profile нагрузку, но, скорее всего, DoS изнутри и winbox отвалится и ничего уже не посмотришь.
Надо менять hap ac lite на намного более мощные микротики.
О замене думаем)
-
gmx
- Модератор
- Сообщения: 3416
- Зарегистрирован: 01 окт 2012, 14:48
Попробуйте другой тип туннеля. Вполне возможно, что жизнь наладится.
Оно, конечно, бы, попробовать wireguard, но это надо на ros 7 переходить, а именно hap ac lite, я ни одного на 7 не пробовал. У меня есть переведенные на 7 в продакшине hap ac 2 и 4011, но это совсем другой класс устройств, они мощнее в разы. Там сейчас все просто отлично. Посветовать по поводу hap ac lite толком ничего не могу.
Я бы попробовал и pptp и l2tp и ip-ip... Скорость в туннеле точно упадет, но и зависания могут пройти. Тут только пробовать, вам ведь никто не запрещает.
Оно, конечно, бы, попробовать wireguard, но это надо на ros 7 переходить, а именно hap ac lite, я ни одного на 7 не пробовал. У меня есть переведенные на 7 в продакшине hap ac 2 и 4011, но это совсем другой класс устройств, они мощнее в разы. Там сейчас все просто отлично. Посветовать по поводу hap ac lite толком ничего не могу.
Я бы попробовал и pptp и l2tp и ip-ip... Скорость в туннеле точно упадет, но и зависания могут пройти. Тут только пробовать, вам ведь никто не запрещает.