Mikrotik RB941-2nD - PPPOE zahlcovani systemu

[milbar]

Dobry den, rad bych poprosil o radu
mam na chalupe VDSL internet (poskytovatel Cesky bezdrat 70/7), reseny jako modem VMG 3312-T20A (jen Bridge) a Mikrotik RB941-2nD Router - a PPPOE prihlaseni.

Bohuzel se mi stava, ze internet prestane reagovat (je mozne, ze zrovna v pripade vetsiho vytizeni) a na Mikrotik se neda ani prihlasit (winbox ho vidi, ale nepripojim se) (a ping 3 x timeout ze 4 pokusu). Po restartu Mikrotiku to zase zacne behat v poradku.

(podobne zahlceni systemu jsem mel i v pripade, kdyz modem byl v nastaveni router. Chtel jsem mu tudiz odlehcit nakupem Mikrotika).

Nevite prosim, v cem by to melo byt? Pripadne na co se zamerit? (Ten samy router mam doma, kde je pripojeni pres neuron a slape naprosto bez problemu.)

Selskym rozumem mam hypotezu, ze v pripade, kdy nahodne stoupne pocet chyb na lince mezi DSlamem a modemem, tak pak router musi drzet hodne packetu/dat, na ktere ceka na odezvu a to ho zahlti. (nejsem sitovy expert)

Nicmene nevim, jak z toho ven (pokusy resit problem pres posktovatele a potazmu CETIN selhaly, z jejich strany je vse OK, a zvat si technika, ktery prijede a trefi se do doby, kdy to bude vse behat jak z praku, mi prijde zbytecne).

Nevim, jestli by slo nejak nastavavit, aby se v pripade takoveho zaseku pustil script, ktery by router rebootoval, pripadne promazal. (ted zrovna mam pustene ve winboxu resources a zatim vse funguje OK - free memory 6.5 - 7 , CPU load 7-8% , Interface PPPOE-OUT tx/rx Drops and errors 0.
Problem je, ze v pripade zahlceni, se uz pres winbox nepripojim, abych overil status)

PS: - omlouvam se predem za laickou terminologii.

[CrazyApe]

Nemyslím si ze rozpadly ppoe by měl způsobit to, ze se do nej zevnitř nedostanes prez Winbox. Tam bude ještě jiná chyba.

Můj tip je ze prez ppoe dostávas "plovoucí" verejku a proste ti to sestřelí něco z netu a nebo špatný konfig..

[milbar]

Diky za podnet. Konfiguraci mam defaultni v ramci Home AP v quick set. Mam zapnuty Firewall Router, NAT i UPnP. (stejnou mam i v druhe lokaci, kde zatim zadny vypadek nenastal). IP adresu nemam pevnou, jestli bych si za ni mel priplatit? (jinak ji nepotrebuji)

Zkusim dneska vecer simulovat velkou zatez, jestli se to projevi. Snad kdybych zjistil nejaky bottle neck, tak by snad podle toho sel napsat script - (napr jestli ping na vlastni IP je vetsi nez X millisekund, proved reboot nebo neco takoveho).
Uznavam, ze to neni reseni problemu, ale nasledku, ale jako docasne reseni, aby se clovek vyhnul manualnimu restartu, by to pomohlo.

[milbar]

Ted se mi to treba stalo pri streamovani videa z csfd - stream se zacal cukat, pak se cely zasek jako kdyz nejsou data - a Mikrotik se odpojil od winboxu - podarilo se mi na nej prihlasit a v Resources byla vsude 0 - jako kdyby to nestihalo delat load dat. (pak znova nekolikrat session lost)

Po Zavreni okna s videem se Mikrotik "rozdychal" a zase jede OK. Nicmene nikde nebyl videt zadny priznak, ze by se neco pretizilo - az do killnute session vsechno bezelo OK.
Ted znova zkousim streamovat, a vsechno bezi naprosto OK. Nechapu to.. Nebo jestli je chyba na modemu, nestiha a tim padem zasekne i Mikrotik..

[placek.milan]

Ted se mi to treba stalo pri streamovani videa z csfd - stream se zacal cukat, pak se cely zasek jako kdyz nejsou data - a Mikrotik se odpojil od winboxu - podarilo se mi na nej prihlasit a v Resources byla vsude 0 - jako kdyby to nestihalo delat load dat. (pak znova nekolikrat session lost)

Po Zavreni okna s videem se Mikrotik "rozdychal" a zase jede OK. Nicmene nikde nebyl videt zadny priznak, ze by se neco pretizilo - az do killnute session vsechno bezelo OK.
Ted znova zkousim streamovat, a vsechno bezi naprosto OK. Nechapu to.. Nebo jestli je chyba na modemu, nestiha a tim padem zasekne i Mikrotik..

Nějaké screeny konfigurace, nebo export by pomohl. Bude tam chyba v konfiguraci, jinde bych problém nehledal.

[milbar]

Rozumim

udelal jsem export configurace (jen jsem zamaskoval ID a hesla) - jen nevim, jestli to staci, nebo jestli se ma exportovat jeste neco dalsiho.

# oct/25/2019 18:42:27 by RouterOS 6.42.12
# software id = D7IQ-GFGH
#
# model = RB941-2nD
# serial number = A1C30A058157
/interface bridge
add admin-mac=74:4D:28:CE:09:3A auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=bar \
wireless-protocol=802.11
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
password=xxxxx service-name=848 use-peer-dns=yes user=xxxxxxx
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=xxxxxxxxxxxx \
wpa2-pre-shared-key=xxxxxxxxxxxxxx
/ip pool
add name=dhcp ranges=192.168.123.150-192.168.123.200
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.123.254/24 comment=defconf interface=ether2 network=\
192.168.123.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.123.0/24 comment=defconf gateway=192.168.123.254 netmask=\
24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.123.254 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
#interrupted

[hapi]

nemáš používat soho wifi a ještě tu nejslabší pro PPOE a nat. Málo ramky. A taky samozřejmě prehistorickou verzi tam máš.

[placek.milan]

Jak píše hapi... Aktualizuj na poslední RouterOS+firmware. Každopádně ten router by měl sloužit jen jako ap a na ppoe a nat by měl být jiný, výkonnější. Já mám rb750G r3 a vytížení při 100Mbitu je pod 20%, mám tam ale 41 pravidel ve firewallu, několik natů a vlan.
Jeden mám i navíc na prodej, měl jsem ho jako rezervní, ale asi nebude nikdy potřeba...

[milbar]

Diky za podnety. Aktualizovano, ted se budu divat po silnejsim HW

(hold metoda pokus/omyl - podle navodu na netu jsem koupil toto - jiste ze i cena na to mela vliv, ted vim, ze to byla chyba, mel jsem koupit silnejsi stroj , clovek neni tak bohaty, aby si kupoval levne veci...)

[Sidi]

Diky za podnety. Aktualizovano, ted se budu divat po silnejsim HW

(hold metoda pokus/omyl - podle navodu na netu jsem koupil toto - jiste ze i cena na to mela vliv, ted vim, ze to byla chyba, mel jsem koupit silnejsi stroj , clovek neni tak bohaty, aby si kupoval levne veci...)

Kód: Vybrat vše

/ip dnsset allow-remote-requests=yes

Není třeba měnit router, stačí vypnout otevřený DNS (nastavit allow-remote-requests na "no") díky kterému se stáváš cílem útoků a tím pádem se zahlcuje router. To bude s největší pravděpodobností celý problém...

[milbar]

Diky za tip, nastaveno.
Tak uvidime.

M.

[Noxus28]

Není třeba měnit router, stačí vypnout otevřený DNS (nastavit allow-remote-requests na "no") díky kterému se stáváš cílem útoků a tím pádem se zahlcuje router. To bude s největší pravděpodobností celý problém...

To si nemyslím nakoľko firewall na inpute je !LAN takže aj všetko čo nie je estabilished, related z PPPOE bude zahodené

[placek.milan]

Diky za podnety. Aktualizovano, ted se budu divat po silnejsim HW

(hold metoda pokus/omyl - podle navodu na netu jsem koupil toto - jiste ze i cena na to mela vliv, ted vim, ze to byla chyba, mel jsem koupit silnejsi stroj , clovek neni tak bohaty, aby si kupoval levne veci...)

Jako router použij něco silnějšího, například hEx a 941 dáš jen jako AP. Mám na prodej i nějaké lepší: https://ispforum.cz/viewtopic.php?f=2&t=29298

[milbar]

Tak to vypadá, ze jsem nasel primarni pricinu (taky mne to mohlo trknout driv, jsem hnup) - nastala zase situace, ze se net sekl, a session se odpojila, jenomze v tomto pripade jsem mel zrovna v ruce mobil a tam net vesele frcel dal.. Takze logicky muj pohled padl na obyc switch (Tenda) , ktery lezi na trase mezi pc a routerem.. Prohodil jsem ho za stary edimax, ktery se mi valel v supliku a ejhle, hned se to rozjelo jak z praku.
Timto se omlouvam vsem pritomnym za zasekavani fora.. (i kdyz jeste nebudu uplne jasat, uvidime nasledujici tydny...)