ISPADMIN - zkušenosti, nasazení, problémy

[george.tu]

1) Počet otevřených souborů dle statistik serveru + počet běžících procesů se zničeho nic zvedl z původních 100 na cca 500.
po dnešním rebootu to spadlo na původní hodnotu.

toto se mi stane (používám ispadmin i jako smtp), když někdo přes můj server spamuje, poradili mi, že stačí napsat v příkazové řádce "mailq" a pokud jsou tam desítky tisíc mailů čekající na odeslání a různé nesmyslné adresy, je to jasné. Celá fronta lze vymazat příkazem "postsuper -d ALL" ale s rizikem, že se smažou z fronty i "nespamové" emaily

[roman.wifi@post.sk]

S podporou ta samá zkušenost, 4.6.2010 zaslán e-mail na hepldesk, dodnes se k němu nikdo nevyjádřil. Rozhodně si nechci platit VIP podporu když mám zaplacenou technickou podporu, navíc jejich helpdesk využívám pouze k reportování problémů s novejma verzema, rozhodně je neotravuju s ničím jiným, vše ostatní si najdu ve wiki případně v changelogu. Možná by nebyla marná věc, které se říká "downgrade"

poslední reportovaná chyba:
používám výhradně API komunikaci, verze mikrotik 3.30, ispadmin 3.44
chybné mazání položek firewall/filter při zapnutém mac filteru.
Když mě klient požádá, že si chce změnit mac adresu z důvodů výměny PC, v aktivní službě smáznu mac adresu, aby se načetla nová (novou nevím protože klient nemá např. puštěný PC). ISPadmin udělá to, že propíše do firewall/filter nové pravidlo bez vyplněné mac adresy a poté co vyčte novou mac adresu zapíše ještě další řádek s novou mac adresou, tzn. v mikrotiku jsou výsledně 3 řádky (stará mac, bez mac a nová mac) tím se stane IP použitelná pro kohokoliv, protože řádek "bez mac" to dovoluje. Staré řádky se navymaží, jediná šance jak docílit aktuálního stavu, je ručně v mikrotiku vymazat celej firewall/filter a dát reload configuration v ispadminu.

Druhý problém při nasazení ver. 4.5, 4.6, 4.9, 4.10 na mikrotiku, zůstavají system->users->active users otevřená připojení (např 2000 aktivních připojení), dále se u těchto verzí zasekává vyčítání grafů z interface (třeba 2 dny nekreslí grafy)

Dnes telefonicky sděleno, že až se k tomu dostanou, tak to budou řešit )
ještě že doby, kdy mi ISPadmin sestřelil celou síť postupným zasekáváním routerů jsou pryč, naštěstí v té době neměli hepldesk a stále se mi snažil někdo pomoc.

... tak asi tento problem mame vsetci,.. i ja mam v sieti MK 3.30 a skusal som zapnut na 6x routeroch automatiku, MAC, MAC wirelles, firewal. a taktiez mam tieto iste problemi,.. pravidla sa stare nezmazu, robi to "koniny", ak clovek nezada MAC, tak sa na wireles pripoji hocikto,.atd,.. je to hruza a des. Na maile mi nikto neodpoveda, ani po cca mesiaci nic,..a ked si to ak zhrniem,.. kolko tisic som vyhodil za ISPadmina a on dokaze len monitorovat siet a robit fakturky, je mi doplacu a to nehovorim o tom, ze mam CPU Xenon 4x jadrovi, 12MB cachce a 8Gb ramky,.a ISPadmin sa zacina vliect pri 700x klientoch,.ach jo, to sme teda dopadli...

PS: podla tychto zhrnuti, neviem, ci sa mam vratit na manualne zapisovanie klientov na vysielace,.aky je vas nazor,.???
Zatial som dal na test cca 6x vysielacov na automatiku,..a to sa este da vratit,...ale je to smutne,ak sa nadtym zamyslime,..

[roman.wifi@post.sk]

MOJ PROBLEM BOL:

- na centralnom servere som mal MK 3.24 a zapnute SSH a API a mam cca 670x klientov, co by malo byt asi 1340x pravidiel v magle. Mam nastaveny nocny tarif od 00:00 do 8:00 rana. Pri tejto verzii MK 3.24 mi to v mangle neviem ako, ale spravilo 5000x pravidiel. Vcera som skusil podla ISPadmina nasadit stable verziu, co je MK 3.26, 3.30 a nad 4.5., ja som dal MK 3.26 a tento problem sa zda byt vyrieseny a pocet pravidiel uz odpoveda 2x nasobku klientov.

PS: Co mate zapnute MAC,MAC wirelles, firewall na routeeroch, skuste niekto vyskusat, ci to robi i u verzii MK 3.26. Mne sa 3.26 zda byt stabilnejsia a menej blbne nez 3.30, ale je to len moj dohad. Skuste to niekto vyskusat a hodit sem info,..

[george.tu]

a to nehovorim o tom, ze mam CPU Xenon 4x jadrovi, 12MB cachce a 8Gb ramky,.a ISPadmin sa zacina vliect pri 700x klientoch,.ach jo, to sme teda dopadli.....

hm mám podobnou konfiguraci stroje, necelých 1000 Klientů a občas (ne vždy) čekám třeba 10s, než se načte např. stránka s informacemi o klientovi :-/ toto jsem též reportoval a bylo mi sděleno, že na vině jsou HDD, že 7200 otáček SATA je pomalé, že mám použít SAS disky 15000 otáček a bude po problému. Jenže to by pro mne znamenalo koupit 2 disky + řadič (na desce nemám SAS konektor, nepočítal jsem, že bude potřeba) navíc kde je jistota, když nacpu do stroje další desetitisíce, že pak bude načítání stránek bezproblémové?

[roman.wifi@post.sk]

..uplne s tebou suhlasim. Taktiez som sa dopocul, ci docital, ze treba nad 700x klientov mat SAS disky, ale ked si to spocitam, co ma vysiel server, ISPadmin + rozsirenia, NETflow, a ked mi este niekto napise po chode servera 6xmesiacov, ze treba dalsich niekolko tisic, tak sa mi zacina v kapse otvarat nozik .

Skor by som sa zamyslel nad danym problemom a z rozumom ho riesil. Moj nazor je asi, tento: mam v servere osadene 2ks 640Gb disky do Raidu,.a na tych bezi vsetko, ISPadmin + NETFlow. Predtym, nez som si objednal NETFlow, tak som si kupil dalsie 2ks 320GB diskou, ciste len pre netflow. HM,.. a nakoniec, to dopadlo, ze pan Sys mi ho spustil na tie hlavne 640Gb disky. Myslim, ze ak by sa to prehodilo na tie vedlasie 320Gb disky, tak system na 640GB diskoch musi bezat rychlejsie tak do 1500x klientov a potom sa nebudem branit tomu, kupit dalsiu masinu, alebo nasadit SAS disky,..ale teraz to urcite nespravim, lebo niesom tak bohaty, aby som masiny menil kazdeho pol roka...

PS: skuste sa tomuto vyjadrit a ci toto riesenie by malo vobec zmysel,.. Myslim, ze tento problem ma uz vecsina z nas...

[roman.wifi@post.sk]

Nastavenia/Sys.nastavenia/Mikrotik/mikrotik_default_fw
Popis: Zákaldne nastevenie firewallu pre routre Mikrotik

Chcem sa spytat, ake maju byt povodne nastavenia? Ja mam teraz:
/ip firewall filter add chain=forward protocol=tcp dst-port=135-139 action=drop comment="netbios"
/ip firewall filter add chain=forward protocol=udp dst-port=135-139 action=drop comment="netbios"
/ip firewall filter add chain=forward protocol=tcp dst-port=445 action=drop comment="netbios"
/ip firewall filter add chain=forward protocol=udp dst-port=445 action=drop comment="netbios"

V zlozke routeru v extra firewall: ak si zadam pravidlo napr:
/ip firewall filter add action=accept chain=forward comment="KV_vysielac_ZS_cely_rozsah_192.168.51.0/24" disabled=no src-address=192.168.51.0/24
... pricom nieco podobne na inom routry mi ide. Kde by mohla byt chyba??? (pravidlo treba inak napisat, alebo je v nom chyba???)

PS: ak tam dam dve pravidla, tak prve zapise, ak tam dam tri, tak prve dve zapise...atd. Nerozumiem tomu...
/ip firewall filter add action=accept chain=forward comment="KV_vysielac_ZS_cely_rozsah_192.168.51.0/24" disabled=no src-address=192.168.51.0/24
/ip firewall filter add action=accept chain=forward comment="KV_vysielac_ZS_192.168.50.2" disabled=no src-address=192.168.50.2

Ide o verziu ISPadmin 3.44 a MK 3.30

[dantasik]

..uplne s tebou suhlasim. Taktiez som sa dopocul, ci docital, ze treba nad 700x klientov mat SAS disky, ale ked si to spocitam, co ma vysiel server, ISPadmin + rozsirenia, NETflow, a ked mi este niekto napise po chode servera 6xmesiacov, ze treba dalsich niekolko tisic, tak sa mi zacina v kapse otvarat nozik .

Skor by som sa zamyslel nad danym problemom a z rozumom ho riesil. Moj nazor je asi, tento: mam v servere osadene 2ks 640Gb disky do Raidu,.a na tych bezi vsetko, ISPadmin + NETFlow. Predtym, nez som si objednal NETFlow, tak som si kupil dalsie 2ks 320GB diskou, ciste len pre netflow. HM,.. a nakoniec, to dopadlo, ze pan Sys mi ho spustil na tie hlavne 640Gb disky. Myslim, ze ak by sa to prehodilo na tie vedlasie 320Gb disky, tak system na 640GB diskoch musi bezat rychlejsie tak do 1500x klientov a potom sa nebudem branit tomu, kupit dalsiu masinu, alebo nasadit SAS disky,..ale teraz to urcite nespravim, lebo niesom tak bohaty, aby som masiny menil kazdeho pol roka...

PS: skuste sa tomuto vyjadrit a ci toto riesenie by malo vobec zmysel,.. Myslim, ze tento problem ma uz vecsina z nas...

Ja teda nevim, my mame klientu vic SAS nemame, dulezite je si najit kde je ten problem kde je uzke hrdlo...SATA disky v poho staci....a to nam na serveru bezi plno veci dalsich jako hosting tam je skoro 100domen, email ke vsem domenam a pod. a v poho stihame s Q6600 a 2x500GB SATA....


Mozna staci overit system jestli mate vsecko zapnute a pod...ale neverim tomu ze by to neustihalo

[LaCosta]

Staci vacsi pocet mensich zapisov a skoncis vies kde ... Ak ide o linux tak nieco sa da ziskat zmenou FS napr. XFS pripadne u ext3 nastavit noatime . Ideal by bol nejaky proliant s HW radicom 0 + 1 a 6x raptor. Sa cudujem, ze pani s ISPadminu sa nedohodli s nejakou firmou HP, DELL .. na nejakych lepsich cenach na toto riesenie.

[Pintero]

Tusite nekdo jakym zpusobem pridat dalsi SNMP data k jiz existujicimu routeru?
Napriklad mam v IPSADM. vlozen router, ktery ma cidlo teploty (RB450G, RB800....) a umoznuje tuto teplotu pomoci SNMP zobrazit v grafu. ISP admin zobrazuje o routeru jen nekolik malo udaju a ja bych chtel pridat dalsi. Jenze jsem narazil na problem a to ten, ze podle vseho kdyz chci pouzit funkci SNMP OID, ktera je v systemu implementovana, tak musim jit do Nastaveni - Ciselniky - Koncova zarizeni - Pridat zarizeni.
Zde pridam zarizeni a k nemu priradim SNMP templates, kterou jsem si predtim vytvoril. Tady nastava problem, ze to zarizeni musi mit jinou IP adresu, nez ten stavajici router, ktery jiz v systemu mam.
Ja tedy nechci pridavat dalsi router s jinou IP, ale chci jen ke stavajicimu routeru pridat dalsi SNMP templates - jak na to ??

[roman.wifi@post.sk]

Tusite nekdo jakym zpusobem pridat dalsi SNMP data k jiz existujicimu routeru?
Napriklad mam v IPSADM. vlozen router, ktery ma cidlo teploty (RB450G, RB800....) a umoznuje tuto teplotu pomoci SNMP zobrazit v grafu. ISP admin zobrazuje o routeru jen nekolik malo udaju a ja bych chtel pridat dalsi. Jenze jsem narazil na problem a to ten, ze podle vseho kdyz chci pouzit funkci SNMP OID, ktera je v systemu implementovana, tak musim jit do Nastaveni - Ciselniky - Koncova zarizeni - Pridat zarizeni.
Zde pridam zarizeni a k nemu priradim SNMP templates, kterou jsem si predtim vytvoril. Tady nastava problem, ze to zarizeni musi mit jinou IP adresu, nez ten stavajici router, ktery jiz v systemu mam.
Ja tedy nechci pridavat dalsi router s jinou IP, ale chci jen ke stavajicimu routeru pridat dalsi SNMP templates - jak na to ??

Nato som ani ja este neprisiel,.taktiez som si chcel dat ku kazdemu routeru nejake grafy naviac, ako je signal spojov, kvalita spojov, odozva, priepustnost,.atd,..ale nejako som nedosiel na logiku vyvojarov, ako a kde a ci vobec toto ide,.. Takze, ak niekto vie, ako spravit, nahodit, tiez by ma to zaujimalo,..

[homer]

Mohu požádat někoho kdo používá ispadmin, aby mi objasnil, jak do centralniho routeru, kde se provadi shaping, zapne NAT pro daneho klienta?
Pokousel jsem pridat pravidlo v nastaveni isp admina do:
mikrotik_mangle_add_down
puvodne:
/ip firewall mangle add chain=$CHAIN$ dst-address="$IP_ADDR$" action=mark-packet new-packet-mark=$PM$ispadmin_$SERVICEID$_down$/PM$ passthrough=no comment="$USERNAME$___$SERVICEID$_down" disabled=no

po zmene:
/ip firewall mangle add chain=$CHAIN$ dst-address="$IP_ADDR$" action=mark-packet new-packet-mark=$PM$ispadmin_$SERVICEID$_down$/PM$ passthrough=no comment="$USERNAME$___$SERVICEID$_down" disabled=no
/ip firewall nat add chain=srcnat src-address="$IP_ADDR$" dst-address=!10.0.0.0/8 action=masquerade comment="$USERNAME$___$SERVICEID$_NAT" disabled=no

bohuzel toto nefunguje, pokud by se to nekomu podarilo rozjet, bylo by to super.
Ani v dokumentaci ISP admina jsem na toto neprisel. (Mimo možnost rucne zapnout maskaradu pro vsechny a firewallem omezit usery).

[roman.wifi@post.sk]

homer : Ahoj, ja som sa tak daleko este nedostal,.. stale neplaticov odpajam na centrale v NAT manualne . ALE, ked som sa o to v minulosti zaujimal, tak som prisiel nato, ze pravidlo/pravidla sa nezapisuju na central, ale do vysielacu. Z coho vypliva, ze klient ktory neplati,.atd,.. sa pravidla zapisu na AP, na ktory je napojeny a az potom, vlasne klientovy skoci, ze je neplatic,.. proste ten vysielac to presmerovava.

Ked som sa to dozvedel, tak som nechapal, ako take dakto moze vymysliet, ale, takaje pravda,.. Dufam, ze som ti aspon troska pomohol... Uz rok mam ISP admina a stalee vsetky vysielace nemam na automatike,.. je to pracna a zdlhava cesta.. aby som siet prisposobil ISPadminovi...

PS: teraz som to i vyskusal,.a je to tak, ako pisem,.. tak to ide,..
PS2: staci, ak mas na routeri zapnute: API, pripadne nastavene SSH a router je aktivny. Potom to ide... Nesmies mat zakliknute policko "Len monitorovanie routera" potom ti to nepojde. Pravidla sa zapisu az ked na tom routery bude nejaky klien, ktoremu pozastavis sluzbu,..a ak klientovy zrusis pozastavenie, tak zase pravidla v NAT sa vymazu a nebude tam nic,..
Teraz si si to i ja uz konecne nastavim ,..ake jednoduchce, len toho casu je stale malo a malo,..ako keby sa ten 24hodinovy den skracoval,.. Mozno, som jediny,..ale mne sa tak zda,.

[homer]

Mozna jsme si nerozumeli, mne nejde o odpojovani klienta, ale o to, aby se na centralnim shaperu,kde se dela i NAT, aby se zapnula maskarada pro neho.
Mam zapnutou plnou komunikaci, zapnute API rozhrani atd. Vzdy udelam nejakou zmenu, dam aktualizovat a sleduji na MK co tam ispadmin zapisuje atd.

Jde o to, ze pri pridani klienta a jeho sluzby, nastavim ip adresu klienta atd. Zapisi se MANGLE s jeho ip adresou, vytvori queues, pakety se znackuji, to vse funguje. Ale sakra kde se mu zapne vubec internet?
Jde jen o zapnuti pravidla v NAT, aby na jeho IP byla aplikovana MASQUERADE.

NEchapu logiku ispadmina v tomto, hledal jsem to na wiki a nic nenasel. Slo by to velmi lehce resit upravou pravidla, jak jsem popsal, bohuzel asi pro to, ze jsou to dva ruzne prikazy, tak nezpracuje isp admin ani jeden.Pokud to tam clovek prida, nefunguje ani jedno

[michal.siman]

Jde o to, ze pri pridani klienta a jeho sluzby, nastavim ip adresu klienta atd. Zapisi se MANGLE s jeho ip adresou, vytvori queues, pakety se znackuji, to vse funguje. Ale sakra kde se mu zapne vubec internet?

Na kazdem routeru mas v ispadminu nastavene ROUTOVANE SITE, jakmile se ispadmin s danym routerem spoji, tak zapise jako prvni pravidlo do firewallu ze vsechno z daneho roozsahu (tedy ROUTOVANE SITE) se ma blokovat (dropnout). jakmile pridas prvniho klienta, tak se pred toto drop pravidlo dopise "ip adresa klienta povolit" a pak opet vse ostatni v danem rozsahu drop. a takhle se tam propise treba 50 klientu a na konci bude vzdy drop. pokud na danem routeru mas nastaveno vice rozsahu (siti) tak se to takhle udela pro vsechny rozsahy. nevim jestli to je ta informace co hledas ...

[homer]

Jde o to, ze pri pridani klienta a jeho sluzby, nastavim ip adresu klienta atd. Zapisi se MANGLE s jeho ip adresou, vytvori queues, pakety se znackuji, to vse funguje. Ale sakra kde se mu zapne vubec internet?

Na kazdem routeru mas v ispadminu nastavene ROUTOVANE SITE, jakmile se ispadmin s danym routerem spoji, tak zapise jako prvni pravidlo do firewallu ze vsechno z daneho roozsahu (tedy ROUTOVANE SITE) se ma blokovat (dropnout). jakmile pridas prvniho klienta, tak se pred toto drop pravidlo dopise "ip adresa klienta povolit" a pak opet vse ostatni v danem rozsahu drop. a takhle se tam propise treba 50 klientu a na konci bude vzdy drop. pokud na danem routeru mas nastaveno vice rozsahu (siti) tak se to takhle udela pro vsechny rozsahy. nevim jestli to je ta informace co hledas ...

ne ne, toto je jasne, jde o preklad adres, na cetralnim routeru, ktery ma verejnou ip adresu, tzn. aby se zapnula maskarada pro daneho klienta (cela sit pak vystupuje pod jednou verejnou ip adresou)
To co jsi popsal, je reseni firewallu, to je jasne, omezi se jen na povolene ip adresy, ale ja potrebuji ty povolene ip adresy (tech klientu) z NATovat. doufam, ze jsem to aspon trochu vysvetlil...