Нехорошие PPPoE провайдеры и Ethernet флуд

в 18:10, , рубрики: PPPoE, акадо, ит-инфраструктура, Телекомы, метки: ,

Вступление, отступление или просто жалоба на судьбу злодейку и провайдера

Пишу этот хабрапост в надежде сделать жизнь московским абонентам Акадо, сидящим через роутеры на дорогих тарифах, чуточку понятнее и, может быть, легче…
(Сразу оговорюсь — я пока что эникейщик или продвинутый пользователь, так что пост не претендует на профессионализм, зато может оказаться доступным, понятым и по делу)
Приблизительная хронология событий такова:
Весна 2012 — покупка роутера MikroTik RB751G-2HnD с целью получить полную стабильную скорость интернета(50Mbit/s в обоих направлениях)
Лето — как-то работает, но вай-фай почему-то периодически выдаёт пинги 200мс до роутера, а нагрузка на ЦП при ообычном веб-сёрфинге ~40%
Начало ноября — ситуация обостряется, пропускная способность в вечернее время падает до 20мбит в лучшем случае(обычно не больше 5), замечаю что ночью проблема отпадает сама собой, возникают смутные подозрения…
Вторая половина ноября — вызов аварийщиков, звонки во все колокола и вселенский ахтунг.
28 ноября решение проблемы.

Начало конца

Итак, жил я себе кое-как с интернетом Акадо до ноября этого года, радовался жизни, втихаря выдавал себе приоритет по трафику перед соседями, как вдруг стал интернет совсем плохим, таким, что я уже подумывал о переходе на браузеры, которые имеют под себя плагин P2P YouTube, чтоб можно было на прекрасном FHD экране смотреть хотя бы 720р(торренты почему-то до сих пор могли выкачивать в среднем по 15Mbit/s)…
В итоге опера, под которую удалось найти сей плагин, категорически отказалась его скачаивать: просто выдавала сетевую ошибку на середине загрузки. Я решил «Хватит ЭТО терпеть!», начал терроризировать службу поддержки, позже и аварийщиков вызвал(ладно хоть ложный вызов не вменили) — бестолку, «Напрямую скорость есть» был мне ответ с самого начала… Начал грешить на микротик и играться с прошивками, а к вызову спецов ещё и роутер заменил(на ту же модель) — так, на всякий случай. В общем не смог мне никто из акадо даже помочь понять «где свинья-то зарыта»… Стоит сказать, что перед последними обращениями в ТП я всё же заметил, что на физический интерфейс трафика приходит по вечерам много больше, чем идёт в локальную сеть через соединение PPPoE. В общем толку от поддержки ноль, даже моральной и той со стороны провайдера не ощутил.

Аварийщики

О эти славные парни в спецовках и с нетбуком на перевес, ну как о таких не рассказать?
В общем заявка составлена, в ней отдельно отмечено(как меня заверили в ТП), что звонить стоит мне на сотовый, что домашним я не пользуюсь(хотя он и включен), но нет, у нас ведь не принято искать лёгких путей!
Будит меня звонок по домашнему телефону(и чёрт меня дёрнул трубку снять?) примерно в 3 часа дня(спасибо хабру, ночью было вкусно) — «Это из Акадо, будете через час дома?», — ок, буду, куда денусь если припекло ещё вчера?
Приходят два спеца(сенсей и стажёр, обычная практика, текучка кадров, как я понимаю, там похлеще чем макдональдсах(сенсею, кстати как раз при мне позвонили на предмет предложения о новой работе)), смотрят, показывают, что скорость-то есть(показывают с моего ноута, нетбук незахотел со спидтестом дружить) и что, мол, я от них хочу… минуты 3 объясняю, что заранье в ТП сказал, что нужно помочь понять что это за флуд идёт на интерфейс даже с выключенным PPPoE… оказалось, что в поле у них работают вполне себе адекваты и мой «месседж» до них дошёл, старший, поняв что я в общем тоже не имею лишней хромосомы, жалобно спросил «А может к корбине подключитесь?», я отвечаю, что уже имел счастье сидеть на корбине и не хочу даже связываться с ними, но вот на онлайм переключусь обязательно, когда он до Жулебино доберётся, а сейчас будьте любезны…
В общем созвонился аварийщик с админом, вполне так себе вменяемо объяснил ситуацию, вежливо увеличил количество заменённых мной роутеров с 1го до 5 и в общем понятно что и помочь хотел и понимал, что заявку составили криво, что он вообще тут ни к чему, что ему пора уходить… в общем ладно, поругались они с админом, админ заметил какие-то, для меня совершенно необъяснимые потери пакетов, начал копать…
В общем ушли от меня аварийщики, а через пару часов у меня линк пропал… ну, думаю, всё, сгорела свича, в ней трабла была, но нет: звоню в ТП, там уверяют, что остальной дом на связи и что спеца завтра пришлют. Я не возражаю, всё вроде правильно говорят, вот только на следующий день(буквально полчаса назад сосед(на него договор) звонил) оказалось, что это нас банили, что это мы такие нехорошие DHCP сервер на WAN интерфес подняли… Тут я пожалуй начну возмущаться: какой к чертям DHCP Сервер? Да, я поднимал DHCP на WAN, но это был Клиент, чтобы можно было с роутера гейт попинговать во время визита аварийщиков… в итоге сегодня у нас снова появился нормальный интернет, только вот роутер у меня всё ещё висит с теми же настройками DHCP. но сегодня нас почему-то не банят… В общем чем глубже в лес тем толще п… артизаны.

Добрые люди

На моё везение у меня просто замечательный, во всех отношениях, отец, да ещё и, мягко говоря, «в теме»(на столько, что до квартиры в Ижевске у нас оптика, а о каких-либо ограничениях по трафику и тарифах я узнал ровно потому, что всегда интересовался чем это папа на работе занимается...), так что на мои мольбы о помощи откликнулся быстро и в ситуацию врубился сразу: сказал, что это обычный для PPPoE расколбас и надо либо провайдеру плешь проедать на предмет «Не даёте услугу локальной сети? Ок. А почему у меня тогда PPPoE запросы со всего сегмента на входящий интерфейс идут, а давайте тогда наоборот, с локальной сетью, но без этого мусора?»(конечно было сказано проще, что этот провайдер просто очень ленивый и жадный, но очень уж у меня щас эмоций за край, так что уж прошу «Понять и простить»), ну или настроить на роутере access листы и не давать роутеру всякой фигнёй страдать.
В общем тем вечером, после ухода аварийщиков и включения 3g-роутера на телефоне(хорошо что хоть моб.связь у билайна приличная и анлим не дорогой(эх, попал бы на бабки без анлима, 1.5 гб за ночь с соседями натащили(то что я воюю с провайдером не значит что должны страдать соседи))), я сел искать где же мне чего покрутить в роутере(оптимистом меня назвать сложно, в провайдера веры особой не было) и вот тут начинается колдунство и полезная нагрузка сего поста.

Бубним и шаманим

Сразу оговорюсь, что хоть у микротика и есть терминальный режим и терминал в конфигурационной утилите, но, как я уже написал, я в этом плане разве только продвинутый пользователь, словом мне удобнее было «кнопочки понажимать».
Как оказалось, даже найти в мануале к RouterOS упоминания о ACL и access листах проблемно, и я на самом деле не знаю, а «это оно так называется» или это что-то другое, в общем отрезать лишний трафик по маку до обработки основным процессором можно в разделе Switch>>Rule:
Нехорошие PPPoE провайдеры и Ethernet флуд
так выглядит окно опций создаваемого правила, обязательные поля — switch(из списка, в нашем случае свич только 1) и ports(физические интерфейсы свича):
Нехорошие PPPoE провайдеры и Ethernet флуд
а так вот выглядит окно действий, стоит отметить, что здесь нет как такогого действия Drop, зато можно просто не передавать пакет на обработку CPU:
Нехорошие PPPoE провайдеры и Ethernet флуд
Отдельно стоит отметить, что у правил свича нет последовательности — они выполняются все, так что и последовательность создания правил роли не играет.
Теперь нам нужно узнать, а от какого мака нам нужно обрабатывать пакеты? Для этого у нас есть замечательная тулза в самом конфигураторе(в веб админке тоже есть) PPP>>PPPoE Scan:
Нехорошие PPPoE провайдеры и Ethernet флуд
-собственно отсюда берём Src MAC Address, наличие в моём правиле Dst адреса скорее излишество, его можно посмотреть в окне предполагаемого входного интерфейса, но это не обязательно Interfaces>>Interface>>Интересующий порт:
Нехорошие PPPoE провайдеры и Ethernet флуд
Далее просто создаём «пустое» правило без опции редиректа и копирования в ЦП(мак протокол, в данном случае, просто излишество):
Нехорошие PPPoE провайдеры и Ethernet флуд
Всё, теперь оно будет работать, но мы это сможем только ощутить — WAN всё ещё будет показывать лишний трафик(ну свич же его получил).

Занавес, титры, постскриптум

Здесь будет только дальнейшее развитие событий с провайдером(если события будут), ничего технически любопытного вы тут не найдёте(впрочем я изначально предупредил, что статья будет любопытна скорее пользователям акадо, которые проникнутся отношением акадо к клиенту и поймут, что царит там в общем бардак).
Собственно всё: я сижу со своими мегабитами, а Акадо собирается 2 месяца вдумчиво изучать мою претензию по поводу того, что даже вытянуть из них критически важные для настройки данные крайне сложно, а загаживать локальную сеть(которой для клиента как бы и нет) просто некрасиво… К слову сказать, они даже не могут сейчас разместить мою инструкцию по устранению проблемы на сайте в разделе вопросов и ответов(хотя бы) да и сами проблемы для многих их пользователей ещё долгое время, скорее всего, останутся необъяснимыми глюками, с которыми им не поможет ни техподдержка, ни пришедший аварийщик. Примерно из таких соображений я написал этот пост и ссылка на него(если он когда-нибудь увидит свет открытой статьи) появится на форуме микротика, где мне не смогли сходу помочь, и на форуме моего любимого провайдера, где я за 3 дня не видел ни одного ответа.

Небольшой ЗЫ: люди(в том числе и хабра), будьте добрее и проще и не надо, пожалуйста, ещё больше портить мне карму

Автор: ekerlostw

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js