0
Отвечен

Оптимальные настройки HotSpot Микротик для работы с MikBill, при IPoE MAC авторизации

Александр 4 года назад обновлен 9 месяцев назад 19

Подскажите оптимальные настройки хот спота и его профиля, особенно поля Idle timeout и kepalive timeout.

Появились жалобы клиентов на отключение интернета каждые 1-5 минут.

http://joxi.ru/LmGeqjwIRyk5qA

http://joxi.ru/v29PdNgSGEblXm

Может ли быть это связано с этими скриптами? http://joxi.ru/GrqXdyRsN1MqGA

Вот живой пример http://joxi.ru/D2PYV8wSdMbonA

оба таймера не использую вообще

простаивающих клиентов кикаю раз в 5 минут скриптом

/system logging disable 0
:foreach i in [ /ip hotspot host find where idle-time>00:01:00 ] do={
/ip hotspot host remove $i
}
:foreach i in [ /ip hotspot host find where authorized =no ] do={
/ip hotspot host remove $i
}
/system logging enable 0

ну у вас они на два скрипта разбиты

То есть таймеры можно выключить? Они дублируются моими скриптами?

Из а того что Idle timeout дублируется скриптом, может отваливаться доступ в интернет?

У нас скриптов нет. Keepalive сделал сутки. Иначе убоненты так же по таймауту отваливались и была куча звонков от них с проблемой, что не могут нажать кнопку ОК. Толи роутеры глючат, толи абоненты. Сейчас шквал звонков прекратился.

Скрипты все же немного помогают https://wiki.mikbill.ru/billing/nas_access_server/mikrotik_hosts

А вот Keepalive у нас не установлен совсем, есть смысл попробовать 24 часа поставить?

От чего вообще зависит Idle time, если от клиента нет трафика то таймер растет?

Вообще оба этих таймаута по истечении выкидывают пользователя из хотспота и освобождают адрес выданный ему.


Как они друг с другом взаимодействуют сейчас сказать не могу. У меня стоит только keepalive на сутки.

Поставил Keepalive timeout на 24 часа, Idle timeout убрал. ну и скрипты оставил. Посмотрю что выйдет.

Эти таймауты важны, если у юзера закончились деньги и должен заблокироваться интернет, он(интернет) заблокируется у него только при следующем логине, а аптайм у клиентских роутеров бывает у нас до 40 а то и 60 дней.

У вас Radius выкинет с хотспота клиента при отрицательном балансе.

Даже если пользователь активен постоянно? Сразу после окончания оплаченого периода (в 23:59) сразу выкинет? Тогда да, смысла в таймерах нет.

Вы путаете смысл таймеров с контролем за сессией. Биллинг смотрит на какие то параметры типа баланса и принимает решение должен ли абонент быть активен или нет. Если нет, то биллинг посылает команду радиусу отключить абонента. Радиус посылает эту команду на микротик, а микротик уже сбрасывает авторизацию и абонент видит условно "да бабла".


А таймеры следят за абонентом на самом микротике, биллинг про них ничего не знает. Таймеры по сути сделаны для того, чтобы не было зависших сессий и прочего. Не активен абонент в течении какого то времени -> удаляем сеесию и обнуляем счетчики.


Само собой это все примерно и условно.

Снова поступила жалоба на отваливание на небольшие промежутки времени от 30 сек до минуты(по железу аптайм 6 дней).

Idle timeout выключен, kepalive timeout установлен в 1 день. А в хот споте у пользователей Idle timeout и kepalive timeout стоит 1 минута, почему так и что делать?

http://joxi.ru/YmEa1NwS0ZWRXm

Отключите у пользователей таймеры. Может поможет.

Я извиняюсь за такой вопрос), какие таймеры выключать и как это сделать?

Отвечен

Затронем первоисточник проблемы.

Попробую объяснить простыми словами что вообще может быть и откуда.


он (первоисточник проблем) находиться в L2 уровне, когда пары mac + port в основной таблице комутаторов fdb хранятся в буефере для комутации L2 . При вмешательстве в работу этих буферов,а без защит включенных, это может сделать любой ваш абонент, и даже не намеренно и это происходит регулярно и у каждого .


Как правило причины бывают следующие:

- Вирус у клиентов, флудит на уровне мак.

1. Вирус с атакой схемы man in middle ( редко встречается в последние годы)

2. Вирус класса 'убийца сетей' - где каждый зараженный формирует на своем порту все маки что знает в итоге железо "сходит с ума".


- ситуация с "глючными" прошивками роутеров - когда они кидают на wan порту вместо своего ip + mac - адреса внешних сайтов в связке со своим маком ( помогает обновить прошивку либо поставить dd-wrt) , редко подобное встречалось на встроенных сетевых.



Что можно сделать чтобы это не происходило:

включите и настройте у себя описаные ниже функционал на последней миле:

- "isolation" вариации названий функционала у вендров AP isoletion, client isoletoion - по сути запрет трафика между клиентами хотя они в одном vlan;

- Полностью включить всю подсистему "option 82" на свиче

1 Указать trusted port для аплинков

2 включить option 82

3 включить dinamyc arp inspector

4 включить ip source guard


Без функционала защит оборудования любой клиент может положить весь vlan и от этого нет альтернативного метода борьбы.

Эти мероприятия сводят проблему на 0.


Как альтернативу можно использовать QinQ - по сути более простым методом настройки получаем тот же функциональный результат , однако при работе с микротик этот метод не практичен. Для Qinq правильнее использовать Juniper/Cisco ASR/Erricson/Accel


Надеюсь это поможет

Спасибо, направление понятно.

У нас сеть поделена на сегменты (Vlan на сегмент), беспроводной доступ, БС изолирует трафик клиентов друг от друга, клиентская CPE в режиме роутера с NATом.

Проблема наблюдается только на 1 сегменте, и видимо теперь только у 1 клиента. До того как выключил таймеры, в этом же сегменте были жалобы от других клиентов.

таймеры, могут что то не то делать , но вы их отключили уже..

Доброго времени суток. ПО какой причине могут не срабатывать скрипты из "Чистка hosts на RouterOS" ? http://joxi.ru/vAWKRyBHgEld6A Кто нибудь сталкивался с таким?

Сервис поддержки клиентов работает на платформе UserEcho