Пропадает интернет Keenetic Extra

[artemsreda]

Всем доброго времени суток. Прошу помощи. В компании имеется роутер Keenetic Extra, провайдер Ростелеком, канал от провайдера выделенный, т.е статический IP. Компания занимается удаленной поддержкой пользователей, около 80 компов в офисе(штук 10 основных, остальные так, для обработки данных, ресурса инета почти не потребляют). Постоянно отлетает интернет, раз 10 в день, причем на сайты никакие зайти нельзя, но приложения типа Hamachi, RADMIN VPN, AnyDesk работают в штатном режиме. На роутер в момент вылета попасть нельзя. Помогает полный ребут роутера. Вызывали провайдера, проверяли линию, все ок, проблем не видят. Проблема решалась на дня 3 только если провайдер у себя на коммутаторе менял порт. Сейчас провайдер отказывается помогать, говорит что с их стороны все ок, отстаньте. Пробовал на замену ставить старенький Zyxel Keenetic II, ситуация та же. В настройках PPoE соединения ставил статические DNS (гугловские, яндексовские, провайдерские), не дало результатов, сейчас стоит автополучение DNS от провайдера. Прошу помощи куда копать.

[Migel]

Купить более производительный Keenetic. На такое кол-по пользователей экстра слабовата.

[mrGhotius]

6 часов назад, artemsreda сказал:

На роутер в момент вылета попасть нельзя.

Попасть откуда снаружи или изнутри? Если изнутри, то ищите проблему в своей ЛВС. Как вариант, физически отключать по одиночке сегмент/устройства из портов коммутатора/роутера, и проверять доступность Extra.

Изменено 17 апреля пользователем mrGhotius

[VVS]

Торренты никто там случаем не качает?

[artemsreda]

14 часов назад, mrGhotius сказал:

Попасть откуда снаружи или изнутри? Если изнутри, то ищите проблему в своей ЛВС. Как вариант, физически отключать по одиночке сегмент/устройства из портов коммутатора/роутера, и проверять доступность Extra.

Попасть нельзя из локальной сети. Пробовал даже провод напрямую от роутера к компьютеру переключить(не через свитч), тоже самое.

[artemsreda]

14 часов назад, VVS сказал:

Торренты никто там случаем не качает?

Бывает что качаем, образы всякие и тд, но не 24/7 же, а инэт падает в любое время суток.

[artemsreda]

14 часов назад, Migel сказал:

Купить более производительный Keenetic. На такое кол-по пользователей экстра слабовата.

Годами работали на этой экстре, проблем не было. Ну и на всякий посоветуйте модель за адекватный прайс, если не сложно.

[artemsreda]

Есть кусок лога с роутера, в момент отвала, мб поможет

Апр 17 19:50:57
dhcpd
send_packet6: Operation not permitted
Апр 17 19:50:57
dhcpd
dhcpv6: send_packet6() sent -1 of 73 bytes
Апр 17 19:50:57
ndnproxy
[7F2D] unable to send request to 212.122.1.2 [0] from 60437: operation not permitted.
Апр 17 19:50:57
kernel
net_ratelimit: 189 callbacks suppressed
Апр 17 19:50:57
kernel
nf_conntrack: nf_conntrack: table full, dropping packet
Апр 17 19:50:57
kernel
Core::Syslog: last message repeated 9 times.
Апр 17 19:50:58
ndnproxy
[4090] unable to send request to 212.122.1.2 [0] from 56568: operation not permitted.
Апр 17 19:51:00
ndnproxy
[BB27] unable to send request to 212.122.1.2 [0] from 60437: operation not permitted.
Апр 17 19:51:01
ndnproxy
[90E0] unable to send request to 212.122.1.2 [0] from 58674: operation not permitted.
Апр 17 19:51:02
kernel
net_ratelimit: 148 callbacks suppressed
Апр 17 19:51:02
kernel
nf_conntrack: nf_conntrack: table full, dropping packet
Апр 17 19:51:02
kernel
Core::Syslog: last message repeated 7 times.
Апр 17 19:51:02
ndnproxy
[F935] unable to send request to 87.225.16.243 [0] from 56568: operation not permitted.
Апр 17 19:51:02
kernel
nf_conntrack: nf_conntrack: table full, dropping packet
Апр 17 19:51:02
kernel
nf_conntrack: nf_conntrack: table full, dropping packet
Апр 17 19:51:04
ndnproxy
[CF66] unable to send request to 212.122.1.2 [0] from 60437: operation not permitted.
Апр 17 19:51:05
ndnproxy
[1A47] unable to send request to 212.122.1.2 [0] from 60437: operation not permitted.
Апр 17 19:51:07
kernel
net_ratelimit: 328 callbacks suppressed
Апр 17 19:51:07
kernel
nf_conntrack: nf_conntrack: table full, dropping packet
Апр 17 19:51:08
kernel
Core::Syslog: last message repeated 9 times.
Апр 17 19:51:10
ndnproxy
[B2B7] unable to send request to 212.122.1.2 [0] from 60437: operation not permitted.
Апр 17 19:51:12
kernel
net_ratelimit: 602 callbacks suppressed
Апр 17 19:51:12
kernel
nf_conntrack: nf_conntrack: table full, dropping packet
Апр 17 19:51:12
kernel
Core::Syslog: last message repeated 9 times.
Апр 17 19:51:14
dhcpd
Information-request message from fe80::487d:3637:8598:514d port 546, transaction ID 0x7BD05400
Апр 17 19:51:14
dhcpd
Sending Reply to fe80::487d:3637:8598:514d port 546

[project_fcc]

4 часа назад, artemsreda сказал:

nf_conntrack: nf_conntrack: table full, dropping packet

Похоже превышено максимальное количество активных соединений.

У Extra вроде бы 16384, в "Системном мониторе" можно посмотреть или self-test.

В разделе "Диагностика"-"Активные соединения" посмотрите, какие устройства создают большое количество подключений.

[VVS]

26 минут назад, project_fcc сказал:

Похоже превышено максимальное количество активных соединений.

У Extra вроде бы 16384, в "Системном мониторе" можно посмотреть или self-test.

В разделе "Диагностика"-"Активные соединения" посмотрите, какие устройства создают большое количество подключений.

Я поэтому про торренты и спрашивал - DHT делает такое легко.

Но вот при обычной работе, что может такое создать...%)

[artemsreda]

56 минут назад, project_fcc сказал:

В разделе "Диагностика"-"Активные соединения" посмотрите, какие устройства создают большое количество подключений.

Открыл, есть машина на которой в районе 1000 подключений, на ней уставлен хамачи, и радмин с кучей сетей, могут они вызывать? Хотя у нас машин с установленным radmin vpn и hamachi в офисе в районе 5, и на них нет такого количества активных соединений. Мб виря, хотя стабильно раз в квартал проходим все машины cureit и KVRT.

[mrGhotius]

Какая версия прошивки? В 4.3 заявлена защита от переполнения:

Цитата

• IP: реализована защита от переполнения таблицы подключений [NDM-3362]:
  • ip conntrack max-entries {max-entries} — установить размер таблицы conntrack
  • ip conntrack lockout disable — отключить защиту таблицы conntrack (включено по умолчанию)
  • ip conntrack lockout threshold public {public} — установить максимальное количество подключений со стороны публичных интерфейсов (в процентах от размера таблицы conntrack, от 50 до 99, значение по умолчанию: 80)
  • ip conntrack lockout duration {duration} — установить продолжительность блокировки в секундах (от 60 до 3600, значение по умолчанию: 600)
  • ip conntrack sweep threshold {threshold} — установить порог срабатывания очистки ожидающих сессий (процент от размера таблицы conntrack, от 50 до 99, значение по умолчанию: 70)
  • show ip conntrack lockout — просмотр статуса блокировки

 

[artemsreda]

 

Версия ОС4.2.6.3

[Le ecureuil]

8 часов назад, mrGhotius сказал:

Какая версия прошивки? В 4.3 заявлена защита от переполнения:

 

Это работает только когда снаружи атака.

[Le ecureuil]

У вас слишком много соединений в conntrack, ищите в self-test откуда оно. Если из Интернета, то 4.3 вам поможет, если из локалки - нужно прибить разбираться с хостом, который такое делает.

[artemsreda]

Отчитываюсь, на 2 машинах где было больше всего активных соединений, на одной достигало 3500, на другой в районе 2000, произвел чистку вирусов через KRD, после через KVRT и Сureit  - вторые сутки полет нормальный. Были несколько троянов и тройка DPH Process. Думаю что проблема решена, всем огромное спасибо! И всех с Пасхой)