Замена роутера TL-ER6120 V1 на V2

Гигабитный VPN маршрутизатор на базе технологии SafeStream™ с поддержкой нескольких WAN
Rolis
Сообщения: 544
Зарегистрирован: 25 фев 2014, 20:02
Страна: Россия
Откуда: Moscow
Контактная информация:

Замена роутера TL-ER6120 V1 на V2

Сообщение Rolis » 14 июн 2018, 16:45

Название темы: Замена роутера TL-ER6120 V1 на V2
Аппаратная версия устройства: 2.0
Провайдер: ТрансТелеком
Тип подключения: Static IP
Описание проблемы: Около 1 месяца назад долгожданно произвели замену роутера роутера TL-ER6120 V1 на V2. Ожидалось значительное улучшение работы и повышение стабильности. В целом, все так и произошло, за исключением небольших проблем, о которых чуть ниже. В связи с наличием в роутере более быстрого процессора и большего объема памяти устройство реально работает значительно быстрее своей 1-й версии. Основные функции роутера VPN, RDP, DNS для внешних клиентов работают стабильно. Роутер не приходится часто перезагружать как это было с 1-й версии. IPSec LAN-to-LAN работает стабильнее. К сожалению, пропала возможность настройки DMZ-подсети (публичной/частной), что конечно большой минус. Также обнаружилась странная проблема с ICMP, которая выражается в том, что если пинговать внешний IP-адрес роутера, то первые 1-2 запроса не проходят (хост недоступен), но все остальные запросы идут без проблем и задержек. В связи с этой "особенностью" иногда внешний пользователь VPN/RDP при обращении извне сначала получает сообщение, что хост недоступен, но потом подключение происходит без проблем и работает стабильно. Складывается ощущение, что таким образом работает файрволл роутера. Все это происходит при выключенных опциях Attack Defense: Block Large Ping, Block Ping from WAN и Block packets with specified IP options. Подобных проблем на роутере 1-й версии не наблюдалось. В логах все чисто, только информационные сообщения.
TL-ER6120 | TL-ER6020 | TL-R600VPN | TL-ER604W | TL-WA5210G | TL-WA5110G | TL-WR941ND | TL-WR842ND | TL-WA750RE | TL-WA901ND | TL-MR3420 | TL-MR3020 | TL-SG3210 | TL-SG1024DE | TL-SL5428E | TL-SL3428 | TL-WA860RE | TL-WA855RE

Rolis
Сообщения: 544
Зарегистрирован: 25 фев 2014, 20:02
Страна: Россия
Откуда: Moscow
Контактная информация:

Re: Замена роутера TL-ER6120 V1 на V2

Сообщение Rolis » 21 мар 2019, 00:09

reaper писал(а):
20 мар 2019, 22:12
отключите все в фаерволле и анти арп спуфинге, затем проверьте, возникнет ли снова проблема
Хорошо, попробую, если снова повториться. Хочу опытным путем выявить хост(ы) в локальной сети, которые могут вызывать данную ситуацию. Для этого ограничил количество соединений (сессий) для хостов в локальной сети. В файрволле практически все выключено, кроме того, что не отключается на системном уровне (серые опции) и "Block TCP packets with SYN and FIN Bits set" + "Block TCP packets with FIN Bit set but no ACK Bit set".
TL-ER6120 | TL-ER6020 | TL-R600VPN | TL-ER604W | TL-WA5210G | TL-WA5110G | TL-WR941ND | TL-WR842ND | TL-WA750RE | TL-WA901ND | TL-MR3420 | TL-MR3020 | TL-SG3210 | TL-SG1024DE | TL-SL5428E | TL-SL3428 | TL-WA860RE | TL-WA855RE

Rolis
Сообщения: 544
Зарегистрирован: 25 фев 2014, 20:02
Страна: Россия
Откуда: Moscow
Контактная информация:

Re: Замена роутера TL-ER6120 V1 на V2

Сообщение Rolis » 29 мар 2019, 11:38

Проблема 100% загрузки CPU остается даже после выключения ARP контроля и Attack Defense. Роутер постепенно отказывает принимать новые соединения, потом падают VPN-туннели. После перезагрузки роутера CPU 100% держится 20 минут. В это время не могут нормально подняться VPN-туннели IPSec и отбрасываются часть соединений. Повторю, что это при выключенных опциях Attack Defense. Скорее всего будем менять роутер. Так работать невозможно. Даже не предыдущей прошивке не было столько косяков.
TL-ER6120 | TL-ER6020 | TL-R600VPN | TL-ER604W | TL-WA5210G | TL-WA5110G | TL-WR941ND | TL-WR842ND | TL-WA750RE | TL-WA901ND | TL-MR3420 | TL-MR3020 | TL-SG3210 | TL-SG1024DE | TL-SL5428E | TL-SL3428 | TL-WA860RE | TL-WA855RE

Rolis
Сообщения: 544
Зарегистрирован: 25 фев 2014, 20:02
Страна: Россия
Откуда: Moscow
Контактная информация:

Re: Замена роутера TL-ER6120 V1 на V2

Сообщение Rolis » 05 апр 2019, 09:34

В итоге, по факту проблему 100% загрузки CPU и падения VPN-каналов (IPSec LAN-to-LAN) на роутере во время работы удалось практически полностью решить путем замены прошивок на удаленных роутерах TL-ER604W V1 (5 шт.) и TL-ER6020 V1 (2 шт.) на бета-версии прошивок для этих роутеров 1.1.1 Build 20160622 Rel.37338s и 1.1.1 Build 20160628 Rel.58934. Сейчас "аномалия" в процессе работы роутера выглядит (см. рисунок) примерно так и она прекращается сама примерно через 20-30 минут. Есть предположение, что 100% загрузка CPU связана с некорректной работой VPN IPSec в процессе переподключения туннелей, причем как локально, так и удаленно.

Изображение
TL-ER6120 | TL-ER6020 | TL-R600VPN | TL-ER604W | TL-WA5210G | TL-WA5110G | TL-WR941ND | TL-WR842ND | TL-WA750RE | TL-WA901ND | TL-MR3420 | TL-MR3020 | TL-SG3210 | TL-SG1024DE | TL-SL5428E | TL-SL3428 | TL-WA860RE | TL-WA855RE

sclll
Модератор
Модератор
Сообщения: 200
Зарегистрирован: 19 май 2015, 11:26
Страна: Россия

Re: Замена роутера TL-ER6120 V1 на V2

Сообщение sclll » 05 апр 2019, 11:06

Приветствую,
Сколько туннелей поднято на корневом 6120? После обновления прошивок на беты, отключения прекратились? Загруженность процессора так же зависит от того, какое именно шифрование используется в туннеле.

Rolis
Сообщения: 544
Зарегистрирован: 25 фев 2014, 20:02
Страна: Россия
Откуда: Moscow
Контактная информация:

Re: Замена роутера TL-ER6120 V1 на V2

Сообщение Rolis » 06 апр 2019, 00:52

sclll писал(а):
05 апр 2019, 11:06
Приветствую,
Сколько туннелей поднято на корневом 6120? После обновления прошивок на беты, отключения прекратились? Загруженность процессора так же зависит от того, какое именно шифрование используется в туннеле.
Всего 7 VPN IPSec LAN-to-LAN. После обновления на бета-прошивки стало работать лучше, непрерывная загрузка CPU до 100% больше не наблюдается. Шифрование: 3DES (md5-3des-dh2/esp-md5-3des).
TL-ER6120 | TL-ER6020 | TL-R600VPN | TL-ER604W | TL-WA5210G | TL-WA5110G | TL-WR941ND | TL-WR842ND | TL-WA750RE | TL-WA901ND | TL-MR3420 | TL-MR3020 | TL-SG3210 | TL-SG1024DE | TL-SL5428E | TL-SL3428 | TL-WA860RE | TL-WA855RE

Rolis
Сообщения: 544
Зарегистрирован: 25 фев 2014, 20:02
Страна: Россия
Откуда: Moscow
Контактная информация:

Re: Замена роутера TL-ER6120 V1 на V2

Сообщение Rolis » 20 апр 2019, 00:31

Роутер TL-ER6120 V2 проработал 2 недели и снова 100% загрузка CPU без признаков возврата к норме и отвал всех VPN-туннелей.
TL-ER6120 | TL-ER6020 | TL-R600VPN | TL-ER604W | TL-WA5210G | TL-WA5110G | TL-WR941ND | TL-WR842ND | TL-WA750RE | TL-WA901ND | TL-MR3420 | TL-MR3020 | TL-SG3210 | TL-SG1024DE | TL-SL5428E | TL-SL3428 | TL-WA860RE | TL-WA855RE

reaper
Модератор
Модератор
Сообщения: 319
Зарегистрирован: 03 июн 2017, 20:11
Страна: Россия

Re: Замена роутера TL-ER6120 V1 на V2

Сообщение reaper » 20 апр 2019, 11:02

Не могли бы Вы проверить, какой будет ситуация на первой прошивке для 6120v2(build 170609)?

Rolis
Сообщения: 544
Зарегистрирован: 25 фев 2014, 20:02
Страна: Россия
Откуда: Moscow
Контактная информация:

Re: Замена роутера TL-ER6120 V1 на V2

Сообщение Rolis » 22 апр 2019, 08:57

reaper писал(а):
20 апр 2019, 11:02
Не могли бы Вы проверить, какой будет ситуация на первой прошивке для 6120v2(build 170609)?
Проверите можно, НО не будет ли ухудшения? Все таки изменений и улучшений в последующих релизах прошивки достаточно много.
TL-ER6120 | TL-ER6020 | TL-R600VPN | TL-ER604W | TL-WA5210G | TL-WA5110G | TL-WR941ND | TL-WR842ND | TL-WA750RE | TL-WA901ND | TL-MR3420 | TL-MR3020 | TL-SG3210 | TL-SG1024DE | TL-SL5428E | TL-SL3428 | TL-WA860RE | TL-WA855RE

artemova
Сообщения: 985
Зарегистрирован: 08 дек 2017, 11:58
Страна: Россия

Re: Замена роутера TL-ER6120 V1 на V2

Сообщение artemova » 24 апр 2019, 10:53

Rolis писал(а):
22 апр 2019, 08:57
reaper писал(а):
20 апр 2019, 11:02
Не могли бы Вы проверить, какой будет ситуация на первой прошивке для 6120v2(build 170609)?
Проверите можно, НО не будет ли ухудшения? Все таки изменений и улучшений в последующих релизах прошивки достаточно много.
Сможете потом вернуться на последнюю

Rolis
Сообщения: 544
Зарегистрирован: 25 фев 2014, 20:02
Страна: Россия
Откуда: Moscow
Контактная информация:

Re: Замена роутера TL-ER6120 V1 на V2

Сообщение Rolis » 24 апр 2019, 12:57

Честно говоря, все это уже порядком надоело. Думаю взять роутер из серии Zyxel ZyWALL USG.
TL-ER6120 | TL-ER6020 | TL-R600VPN | TL-ER604W | TL-WA5210G | TL-WA5110G | TL-WR941ND | TL-WR842ND | TL-WA750RE | TL-WA901ND | TL-MR3420 | TL-MR3020 | TL-SG3210 | TL-SG1024DE | TL-SL5428E | TL-SL3428 | TL-WA860RE | TL-WA855RE

Ответить

Вернуться в «TL-ER6120»