Ubiquiti hálózati eszközök - Hálózat, szolgáltatók fórum

üzenetek

hozzászólások


Timer
(addikt)

Sziasztok!

Egy EdgeRouter Pro-t kellene beállítanom holnap éles üzembe. Két net van, egy 20/20-as DIGI, illetve egy backup ADSL, 8/2 talán. A PPPoE-t választottam az ADSL-hez, remélem, így jó lesz. Az MTU-ról tudtok valamit, hogy melyik az az érték, amit "szeret" a Telekom hálózatán? Az elődben (Cisco) 1452 volt belőve, így ehhez is ezt állítottam a default 1500 helyett.

Lenne egy rakat port nyitás is, de kissé elkavarodtam az Ubiquiti terminológiájában. Az előzetes konfigurálás során úgy oldottam meg, hogy source NAT-ként masquarade-t állítottam be a két WAN interfészre, DNAT-ként pedig felvettem azokat a gépeket és portjaikat, amelyeket kintről el kell majd érnem (RDP szolgáltaatással, például). Translated IP-nek beállítottam a lokális IP-ket, destination IP-nek pedig a router külső lábának FIX IP-jét.Minden eszközhöz két DNAT rule-t hoztam létre, egyet az elsődleges netkapcsolat címére, egyet pedig a backup vonal IP-jéhez.

A kérdés, hogy így jól működik-e majd élesben is? Esetleg az egészet port forward-dal kellett volna, és nem NAT-tal?

Az ADSL is fix IP-vel fut, de a wizard nem kérte be ezt az adatot, csak a username/pass kombót. ENnek megfelelően az intefészekl között létrejött egy "pppoe1", ami 1452-es MTU-val megy, de nincs opció, hogy beírjam a külső fix IP-t. Wan egy eth1 is, (internet WAN 2), itt az MTU értéke 1500, és itt sem szerepel IP, ellenben beírható.

Olvaastam valahol a neten, hogy a hardveres csomagfeldolgozót külön kell bekapcsolni, egyéb esetelben csak szoftveresen NAT-ol. 1.7-es firmware mellett ez az állítás megállja a helyét? A forrás a "set system offload XXX enable" formulát javasolja CLI-ben kiadni.

Köszi a válaszokat!

[ Szerkesztve ]


pbalintka
(csendes tag)

Szia!

PPPoE keret 8 byte, ez jön le az Ethernet 1500 byte-jából. Tehát a max MTU 1492. Ezt nem mindegyik szolgáltató támogatja. Ebben az esetben menj 1480-ig vagy 1452-ig.
Viszont van, hogy a datagram nem fér el ennyiben, ekkor kell az MSS (Maximum Segment Size) clamping. Ennek kell 40 byte TCP címzéshez ami szintén az MTU-ból jön le. Azaz 1500-8-40=1452. Erre az 1.7-ben van wizard. Hogy jó-e a beállítás azt pl google.com pingeléssel tesztelheted.

Valóban kell az offload ha HW NAT-ot akarsz. Lehet CLI-ben is, ahogy írtad "set system offload pppoe enable", vagy a ConfigTree/system/offload menüpontban is megtalálod. A megfelelő mezőbe beírod: enable.

PPPoE típusát a Dashboard-on tudod váltani. A PPPoE sor végén van az "action" -> config. Nyomd static-ra és írd be az IP-t.

Remélem segítettem


Timer
(addikt)

Szia!

Köszönöm a leírtakat! Az a helyzet, hogy végül 1452-őn hagytam, és így teljesen jól is megy, nem bántottam, ahogyan IP-t se írtam be a PPPoE-be, mégis rendben van. Lehet gond utóbbiból, tehát, hogy nem adtam meg neki kézzel a külső IP-t? DNAT szabályok, tűzfal szabályok is működnek, így nem bántanám a jelenlegi konfigot, de ha valahol visszanyalhat ez a hiányosság, inkább módosítom, még most.

Egyébként, a "pppoe1" sor végénél lévő configban nem lehet IP-t beírni, csak az "Internet WAN 2" sornál,ami gyakorlatilag az eth1 interfészt jeleni. Ez most jelen állapotban default beállításokkal fut, azaz 1500 MTU, "no address", és enable állapot. Mindezek ellenére connect státuszt jelez, és működik is a WAN failover vele.

Az említett "pppoe1"-nél username/password van beütve, és a 1452-es MTU, a külső fix IP-t már önmaga vette fel. Az állapot szintén connected.

A HW NAT bekapcsolásának van értelme 20/20-nál? Rádobtam a host szintű traffic monitoringot, és még ezzel együtt sem éri el a CPU terhelés a 2-3%-ot átlagban, és a memória foglaltság sem volt még több, mint 3%. ezt az admin felületen néztem ki, de snmp-vel monitorozom, és ott is hasonló értékeket látok. A HW NAt-nak max akkor van értelme jelen formában, ha esetleg gigabites netre váltunk egyszer?

[ Szerkesztve ]


#19617792
(veterán)

akarok majd venni egy routert 15-25k között, ami (több mint) elég a 120 mbites UPC netemhez (1 PC, néhány laptop és telefon, utóbbikhoz van külön AP-m), és nem hal le a torrentezéstől (nem üveghangon). vajon a legkisebb, EdgeRouter X elegendő hozzá? remélem igen, mert ezzel a promo videóval kilóra megvettek. :DDD
nem számít, ha nem képes Gbit-et NAT-olni, mert igazából már a 120 mbites netem is alig van kihasználva.

[ Szerkesztve ]


Timer
(addikt)

Sziasztok!

Szenvedek 4 napja egy problémával, és nem tudok rájönni a megoldásra. Adott egy frissen beépített Ubiquiti EdgeRouter Pro, fail-over load balance-szal, 20/20-as DIGI-vel, és 8/1-es backup vonallal. A dolgozók úgy érzékelik, és én is úgy látom, hogy a kliensgépeken egy szabvány https oldal megjelenítése rettentően lassú, néha időtúllépéssel elszáll, miközben a 80-as porton keresztül zajló forgalom villámgyors. Esetenként az Outlook is csinál furcsaságokat, például megáll levélfogadás közben, pedig ott szabvány pop3 / smtp protokollon megy a kommunikáció. A https:// oldalhoz kapcsolódó információ még, hogy az oldal meghívása böngészőn keresztül zajlik, de a folyamatot egy szerveren lévő szoftver indítja, amely egy parancsikonra történő kattintást követően megnyitja a kliensgépen az alapértelmezett böngészőt.

Mi lehet a gond? Csomagszűrés miatt akadhatnak el a 443-as port csomagjai? Ki lehet valahogy kapcsolni a csomagszűrést, deklaráltan a https protokollra? Hogy lehetne kitesztelni, hogy ez-e a gond?

A konfigurációt a varázslóval vittem végig, majd a szükséges NAT szabályokat kézzel csináltam meg, a kapcsolódik tűzfal szabályokkal együtt.

[ Szerkesztve ]


pbalintka
(csendes tag)

Feljebb írtam, hogy kapcsold be az MSS clampinget és jó lesz.


Timer
(addikt)

Szia!

Köszönöm a választ! A DIGI ügyfélszolgálata szerint az MTU 1500, így azon hagytam, mert a lejjebb vett érték sem oldotta meg a gondot. Az MSS clamping-et a config tree résznél kell bevigyem? DIGI szerint erre sincs szükség, de inkább Neked hiszek! ;) Az értéke 1452 legyen a leírtaknak megfelelően?

Nagyon szépen köszönöm!


Multibit
(veterán)

Digi PPPoE esetén 1492 a helyes MTU érték.


Timer
(addikt)

Köszönöm! Most már úgy megzavartak, hogy azt sem tudom, ez pppoe a mi eszközünk felől nézve, vagy sem. Van egy DLINK switchük, ami optikát fogad, és dobja tovább cat5e-n az Edge Pro felé. Erre a szitura ők 1500-as MTU-t írtak le. Az MSS clamping-et is bekapcsoltam, 1500-40-8 értékkel, de nem hogy jobb, rosszabb lett a helyzet, a ping is elakadt a google.com irányába periodikusan, 20-25 másodpercenként. Péntek este már nem volt mit tenni, mint egy régi, az akkori rendszergazdi által felkonfigolt RV082-est raktam be, és várom a csodát, hogy ezzel hogyan alakul majd a https forgalom.
A kollégák szerint úgy megy az adott https oldal, hogy ha az egyiküknél jó, akkor amásiknál éppen nem, illetve van, amikor fordul a helyzet. Olyan, hogy egyszere mindenkinál rendben fusson az a sz@r site, nem létezik. Tökön lövöm már magam, egyszerűen nem is sejtem, mi lehet a gond. NAT szabályból kettő van, amit a varázsló készített, mindkettő masqurade, a különbség, hogy az egyik WAN_In, a másik WAN_Local irányba mutat. Az egyéni NAT szabályokat letakarítottam, amit nagyon kellett, portforwarddal csináltam meg. ezek után mi lehet a gond? Tűzfalszabályból is gyakorlatilag a gyáriak vannak fent, minden elfogadással, kifelé-befelé egyaránt, és mégsem jó.

Bármilyen vad ötlet van, jöhet! Esetleg, ha valaki bevállalná, hogy átnézi velem együtt a konfigot, arról is lehet szó, ha megtalálja a hibát, fizetek is a megoldásért...

[ Szerkesztve ]


gerokrisz
(tag)

Szia! Nálam Digi 1000-hez a pppoe0 interfész 1492-esMTU val megy hibátlanul. Semmit nem kellett állítanom hozzá. A 2 masq natnak is okésnak kellene lennie. Nem routing résznél lesz a hiba? A backup vonal nincs véletlenül használva menet közben? Mert a dupla alapértelmezett átjáró is okozhat gondot, ha nem csak fail-over alatt aktív a másodlagos route. Én először mindenképp azt nézném meg hogy megfelelő irányba mennek e ki a csomagok illetve megfelelő helyen várja e a választ. Emellett próbálgatnám hogy ha lekapcsolod az egyiket majd a másikat esetleg valamelyik megoldha e ahibát, mert akkor biztosan konfig hiba lesz.


Timer
(addikt)

A backup vonalra gyanakodtam én is, ezért lehúztam egy napra, ugyanúgy ment a sírás. Egyébként fail-over-re állítottam, elméletileg csak az ébrentartás miatt bonyolít rajta valamekkora forgalmat az eszköz. Én is routingra gyanakszom már, de akkor a varázslóval van a gond, mert - pontosan azért, hogy ne legyen szopó - azzal vittem végig az alapbeállításokat, majd ezeket szabtam valamelyest testre, ami ebben az esetben néhány portforward szabály megalkotását jelentette. Az egyetlen dolog, amire még tudok gondolni, hogy a varázslót előre futtattam le, tehát nem volt élő egyik kapcsolat sem, amikor végigvittem a konfigurálást, sem WAN, sem LAN oldalon.

A tűzfalszabályoknál jór értem, hogy azalapbeállításnál is enged milyen kommunikációt LAN-ból a WAN-ba, fordított irányból viszont csak olyat, amit LAN-ból kezdeményeztek?

Ami még érdek, hogy az RV082-est böngészve működési módként gateway-t látok beállítva, nem routert.

[ Szerkesztve ]


gerokrisz
(tag)

Elvieg az RV082 úgy jó, viszont így látatlanban még annyit megpróbálnék hogy a backupot lehúzni róla, elmenteni minden mostani beállítást és újra konfigurálni default (reset) konfiggal, csak a digire. Megnézni úgy megy e :) Ha úgy is szakadozik, akkor viszont már más gond lesz, viszont ha úgy szépen megy akkor szépen kigyűjteni minden infót majd mehet a fail-over és keresni az eltéréseket ami okozhatja. Én jelenleg így esnék neki :)


Timer
(addikt)

Köszönöm a segítséget és a tanácsot, nekem is ez a vészforgatókönyv jutott eszembe. A megvalósítás lesz kissé nehéz, mert főállásban nem vagyok ott, így napközben ezzel a problémával nem tudok foglalkozni, így pedig minden egyes megoldási kísérletemért 1 teljes napnyi oboázással fizetnek a kollégák. Nyilván nem is boldogok emiatt! :) Mindenesetre, valamelyik napot még beáldozom a tudomány érdekében, msot néhány napig elvannak az RV082-vel. Ha tudok pontosabb diagnózist, írni fogok.

Még valami: azt írod, hogy a PPPOE Nálad 1492 MTU-val teljesen jól megy. Akkor Neked van felhasználónév/jelszó párosod, nem? Nekem csak 2 IP-m van, amivel operálhatok, meg egy netmaszkom, így én nem pppoe kapcsolatként állítottam be az eszközt. Ide is jó lehet az 1492?

[ Szerkesztve ]


gerokrisz
(tag)

Igen, nekem a felhasználó neves cucc van. Tervezem venni fix ip-t de lakossági "csomagban" szerintem az is pppoe lesz.
Viszont egy próbát megérhet a 1492, ha az alap 1500 nem jó :D


Timer
(addikt)

Sajnos már próbáltam.


Multibit
(veterán)

Ja, hogy nálad a PPPoE-t nem az Edge Pro intézi? Akkor az Edge Pro-ban 1500-as MTU-t állíts be! Csak akkor kéne 1492, ha az Edge Pro kezelné a PPPoE-t (akkor is csak WAN oldalon kellene 1492-t beállítani).


Timer
(addikt)

Emberek, én eldobtam a kanalat. Ha valaki üzemeltet EdgeMax-ot vállalati szinten, és előre egyeztetett óradíj fejében átnézné a beállításaimat, azt nagyon megköszönném. Problémát lásd feljebb.


gerokrisz
(tag)

Ha távolról el lehet érni valahogy (vagy teamviewer) rá tudok neked nézni, délután meg átolvasom kompletten amiket írtál hátha meglesz a hiba. Mert kipróbáltam a hétvégén egy "házi" dual-wan-t és ment szépen. Így nem nagyon értem mi lehet a hiba.


Timer
(addikt)

Hát, megtettem mindent, amit megkövetelt a haza. Sajnos szimpla, varázslóval végigfuttatott, nulla port forward-ot és egyéb úri huncutságot tartalmazó, single WAN konfigurációban is akad az adott oldal, míg másik https vígan megy, ezzel egyidőben. Szimpla source NAT-tal belőve csak egy gép tud bejelentkezni a szolgáltatásba, a többivel be sem tölt. NAT Masq-kal több eszközön is megy a bejelentkezés, de az oldal működése már akadozik, time out, és egyéb finomságok színesítik az életet. Ami még plusz infó, hogy az oldalt meghívó alkalmazás szerveren fut, egy megosztott mappából futtatják az exe-jét, de próbaként lemásoltam az exe-t helybe is, így elvileg onnan indul a kliens, és így sem hozott előrelépést.

Mi a jó büdös francot próbáljak még meg? Lassan ott tartok, hogy kifizethetem zsebből az EdgePro-t, az ideg meg szétb@sz, mert egy nyomorult 50 ezres cuccon meg vidáman fut minden. Vettem volna MikroTik-et...


Timer
(addikt)

Köszi, nagyon jó lenne, ha egyszer ezt meg tudnánk ejteni, de most visszakötöttem a Linksys-re mindent. Megpróbálok nekimenni a szoftver gyártó cégnek, és infót gyűjteni portokról, hitelesítés módjáról, mert valami itt lesz elásva. Jövő héten az egyik este megint átszerelek mindent, ha akkor ránéznél, azt tényleg megköszönném, és ha sikerül megtalálni a hibát, imába fogom foglalni a neved! :)

üzenetek