[Решено] miredo кладёт сеть (как бороться?)

Модератор: /dev/random

Ответить
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

[Решено] miredo кладёт сеть

Сообщение Bizdelnick »

Последнее время часто начинала тупить сеть дома. Сейчас наконец докопался до причины. На роутере (openwrt) было

Shell

# dmesg | tail nf_conntrack: table full, dropping packet. nf_conntrack: table full, dropping packet. nf_conntrack: table full, dropping packet. nf_conntrack: table full, dropping packet. nf_conntrack: table full, dropping packet. nf_conntrack: table full, dropping packet. nf_conntrack: table full, dropping packet. nf_conntrack: table full, dropping packet. nf_conntrack: table full, dropping packet. nf_conntrack: table full, dropping packet.

Таблица забита примерно таким:

Код: Выделить всё

udp      17 77 src=192.168.1.128 dst=95.133.238.156 sport=33560 dport=28037 packets=4 bytes=1736 src=95.133.238.156 dst=91.215.122.229 sport=28037 dport=33560 packets=3 bytes=508 [ASSURED] mark=0 use=2
udp      17 133 src=192.168.1.128 dst=95.139.19.51 sport=33560 dport=55054 packets=44 bytes=21663 src=95.139.19.51 dst=91.215.122.229 sport=55054 dport=33560 packets=41 bytes=6953 [ASSURED] mark=0 use=2
udp      17 69 src=192.168.1.128 dst=91.78.51.198 sport=33560 dport=54619 packets=18 bytes=10118 src=91.78.51.198 dst=91.215.122.229 sport=54619 dport=33560 packets=13 bytes=1966 [ASSURED] mark=0 use=2
udp      17 48 src=192.168.1.128 dst=37.78.113.60 sport=33560 dport=58363 packets=14 bytes=6474 src=37.78.113.60 dst=91.215.122.229 sport=58363 dport=33560 packets=9 bytes=1474 [ASSURED] mark=0 use=2
udp      17 176 src=192.168.1.128 dst=94.232.16.145 sport=33560 dport=60474 packets=2 bytes=524 src=94.232.16.145 dst=91.215.122.229 sport=60474 dport=33560 packets=1 bytes=214 [ASSURED] mark=0 use=2
udp      17 93 src=192.168.1.128 dst=91.103.79.211 sport=33560 dport=54507 packets=2 bytes=507 src=91.103.79.211 dst=91.215.122.229 sport=54507 dport=33560 packets=1 bytes=189 [ASSURED] mark=0 use=2
udp      17 124 src=192.168.1.128 dst=89.39.242.23 sport=33560 dport=65125 packets=17 bytes=7881 src=89.39.242.23 dst=91.215.122.229 sport=65125 dport=33560 packets=15 bytes=2672 [ASSURED] mark=0 use=2
udp      17 124 src=192.168.1.128 dst=89.39.242.23 sport=33560 dport=65125 packets=17 bytes=7881 src=89.39.242.23 dst=91.215.122.229 sport=65125 dport=33560 packets=15 bytes=2672 [ASSURED] mark=0 use=2
udp      17 32 src=192.168.1.128 dst=178.137.106.90 sport=33560 dport=65189 packets=2 bytes=507 src=178.137.106.90 dst=91.215.122.229 sport=65189 dport=33560 packets=1 bytes=189 [ASSURED] mark=0 use=2
udp      17 146 src=192.168.1.128 dst=213.87.131.133 sport=33560 dport=44415 packets=3 bytes=575 src=213.87.131.133 dst=91.215.122.229 sport=44415 dport=33560 packets=3 bytes=483 [ASSURED] mark=0 use=2
На порту 33560 машины с адресом 192.168.1.128 висел miredo. Пока я его просто прибил, но хотелось бы найти адекватное решение проблемы. Подскажите, люди умные, как правильнее всего действовать в такой ситуации?
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
MrClon
Сообщения: 838
ОС: Ubuntu 10.04, Debian 7 и 6

Re: [Решено] miredo кладёт сеть

Сообщение MrClon »

Например отключить conntrack (и сказать «пока» NAT-у, да) или отдать ему больше памяти под ту таблицу (если есть что отдавать).
Или отказаться от miredo и ждеть нормального IPv6 от провайдера.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [Решено] miredo кладёт сеть

Сообщение Bizdelnick »

MrClon писал(а):
21.04.2014 21:41
Например отключить conntrack (и сказать «пока» NAT-у, да)

Не вариант.

MrClon писал(а):
21.04.2014 21:41
или отдать ему больше памяти под ту таблицу

Есть подозрение, что переполняться она не перестанет, просто на это будет уходить больше времени.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
MrClon
Сообщения: 838
ОС: Ubuntu 10.04, Debian 7 и 6

Re: [Решено] miredo кладёт сеть

Сообщение MrClon »

Тогда тюнить контрак, смотри sysctl -a | grep conntrack, или тюнить эту мереду (не в курсе как она работает, может и не нужно ей так контрак нагружать для нормальной работы).
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [Решено] miredo кладёт сеть

Сообщение Bizdelnick »

MrClon писал(а):
22.04.2014 16:17
Тогда тюнить контрак, смотри sysctl -a | grep conntrack

Если бы я понимал, как его тюнить, я бы не создавал эту тему.
Upd. Впрочем, спасибо за наводку. Появились кое-какие мысли, вечером проверю.

MrClon писал(а):
22.04.2014 16:17
или тюнить эту мереду (не в курсе как она работает, может и не нужно ей так контрак нагружать для нормальной работы).

Судя по документации и виду конфига, тюнить там особо нечего. Может я, конечно, что-то упустил.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
MrClon
Сообщения: 838
ОС: Ubuntu 10.04, Debian 7 и 6

Re: [Решено] miredo кладёт сеть

Сообщение MrClon »

Bizdelnick писал(а):
22.04.2014 16:25
Если бы я понимал, как его тюнить, я бы не создавал эту тему.
Upd. Впрочем, спасибо за наводку. Появились кое-какие мысли, вечером проверю.

Готовый рецепт не подскажу, но как вариант: больше места под хранение инфы о конекциях и меньшее время хранение для UDPшных «соединений».
Думаю как-то можно пустить трафик miredo мимо conntrack и изобразить какой-то костыль жёстко направляющий весь трафик предположительно предназначающийся miredo на нужную машину…
Но более оптимальным мне представляется тюнинг miredo путём его полного выпиливания. Все эти IPv6 через IPv4 сугубо несерьёзны.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [Решено] miredo кладёт сеть

Сообщение Bizdelnick »

MrClon писал(а):
22.04.2014 19:33
как вариант: больше места под хранение инфы о конекциях и меньшее время хранение для UDPшных «соединений».

Да, сейчас как раз экспериментирую с этим.

MrClon писал(а):
22.04.2014 19:33
Все эти IPv6 через IPv4 сугубо несерьёзны.

Ну пока провайдер честного IPv6 не даёт, приходится извращаться.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
MrClon
Сообщения: 838
ОС: Ubuntu 10.04, Debian 7 и 6

Re: [Решено] miredo кладёт сеть

Сообщение MrClon »

Bizdelnick писал(а):
22.04.2014 19:42
Ну пока провайдер честного IPv6 не даёт, приходится извращаться.

Тебе действительно сейчас нужен IPv6? IPv6 через IPv4 годен что-бы потыкать палочкой, протестировать что-то и так далее. Это ни разу не альтернатива нормальной IPv6 связанности.

Кстати какой у тебя провайдер? Многие провайдеры запускают тестирование IPv6 по тихому, есть смысл пошукать по сайту провайдера, форуму и прочим подобным ресурсам.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [Решено] miredo кладёт сеть

Сообщение Bizdelnick »

MrClon писал(а):
22.04.2014 20:36
Тебе действительно сейчас нужен IPv6?

Да. Торренты, I2P и всё такое намного лучше себя чувствуют с IPv6. И, главное, вот здесь я пока не вижу ничего похожего на адреса IPv6, что вселяет.

MrClon писал(а):
22.04.2014 20:36
Кстати какой у тебя провайдер? Многие провайдеры запускают тестирование IPv6 по тихому, есть смысл пошукать по сайту провайдера, форуму и прочим подобным ресурсам.

http://forum.unetcom.ru/forum/index.php?showtopic=16626
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
MrClon
Сообщения: 838
ОС: Ubuntu 10.04, Debian 7 и 6

Re: [Решено] miredo кладёт сеть

Сообщение MrClon »

Bizdelnick писал(а):
23.04.2014 11:37
MrClon писал(а):
22.04.2014 20:36
Тебе действительно сейчас нужен IPv6?

Да. Торренты, I2P и всё такое намного лучше себя чувствуют с IPv6. И, главное, вот здесь я пока не вижу ничего похожего на адреса IPv6, что вселяет.

Это натурные наблюдения, или теоретические заключения?

Как успехи в напилинге контрака?
Спасибо сказали:
MrClon
Сообщения: 838
ОС: Ubuntu 10.04, Debian 7 и 6

Re: [Решено] miredo кладёт сеть

Сообщение MrClon »

Так какие успехи? Интересно-же.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [Решено] miredo кладёт сеть

Сообщение Bizdelnick »

Пока работает. Через недельку-другую станет ясно окончательно, помогло или нет.
Конкретно я уменьшил net.netfilter.nf_conntrack_udp_timeout с 60 до 30 и увеличил net.netfilter.nf_conntrack_max с 16384 до 65536.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [Решено] miredo кладёт сеть

Сообщение Bizdelnick »

Ну что, пока полёт нормальный. Один раз заметил более 20000 записей в таблице conntrack, но в среднем держится на уровне около 2000. Вопрос можно считать решённым, пожалуй.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Ответить