Замена роутера TL-ER6120 V1 на V2

[Rolis]

Название темы: Замена роутера TL-ER6120 V1 на V2
Аппаратная версия устройства: 2.0
Провайдер: ТрансТелеком
Тип подключения: Static IP
Описание проблемы: Около 1 месяца назад долгожданно произвели замену роутера роутера TL-ER6120 V1 на V2. Ожидалось значительное улучшение работы и повышение стабильности. В целом, все так и произошло, за исключением небольших проблем, о которых чуть ниже. В связи с наличием в роутере более быстрого процессора и большего объема памяти устройство реально работает значительно быстрее своей 1-й версии. Основные функции роутера VPN, RDP, DNS для внешних клиентов работают стабильно. Роутер не приходится часто перезагружать как это было с 1-й версии. IPSec LAN-to-LAN работает стабильнее. К сожалению, пропала возможность настройки DMZ-подсети (публичной/частной), что конечно большой минус. Также обнаружилась странная проблема с ICMP, которая выражается в том, что если пинговать внешний IP-адрес роутера, то первые 1-2 запроса не проходят (хост недоступен), но все остальные запросы идут без проблем и задержек. В связи с этой "особенностью" иногда внешний пользователь VPN/RDP при обращении извне сначала получает сообщение, что хост недоступен, но потом подключение происходит без проблем и работает стабильно. Складывается ощущение, что таким образом работает файрволл роутера. Все это происходит при выключенных опциях Attack Defense: Block Large Ping, Block Ping from WAN и Block packets with specified IP options. Подобных проблем на роутере 1-й версии не наблюдалось. В логах все чисто, только информационные сообщения.

[Rolis]

отключите все в фаерволле и анти арп спуфинге, затем проверьте, возникнет ли снова проблема

Хорошо, попробую, если снова повториться. Хочу опытным путем выявить хост(ы) в локальной сети, которые могут вызывать данную ситуацию. Для этого ограничил количество соединений (сессий) для хостов в локальной сети. В файрволле практически все выключено, кроме того, что не отключается на системном уровне (серые опции) и "Block TCP packets with SYN and FIN Bits set" + "Block TCP packets with FIN Bit set but no ACK Bit set".

[Rolis]

Проблема 100% загрузки CPU остается даже после выключения ARP контроля и Attack Defense. Роутер постепенно отказывает принимать новые соединения, потом падают VPN-туннели. После перезагрузки роутера CPU 100% держится 20 минут. В это время не могут нормально подняться VPN-туннели IPSec и отбрасываются часть соединений. Повторю, что это при выключенных опциях Attack Defense. Скорее всего будем менять роутер. Так работать невозможно. Даже не предыдущей прошивке не было столько косяков.

[Rolis]

В итоге, по факту проблему 100% загрузки CPU и падения VPN-каналов (IPSec LAN-to-LAN) на роутере во время работы удалось практически полностью решить путем замены прошивок на удаленных роутерах TL-ER604W V1 (5 шт.) и TL-ER6020 V1 (2 шт.) на бета-версии прошивок для этих роутеров 1.1.1 Build 20160622 Rel.37338s и 1.1.1 Build 20160628 Rel.58934. Сейчас "аномалия" в процессе работы роутера выглядит (см. рисунок) примерно так и она прекращается сама примерно через 20-30 минут. Есть предположение, что 100% загрузка CPU связана с некорректной работой VPN IPSec в процессе переподключения туннелей, причем как локально, так и удаленно.

[sclll]

Приветствую,
Сколько туннелей поднято на корневом 6120? После обновления прошивок на беты, отключения прекратились? Загруженность процессора так же зависит от того, какое именно шифрование используется в туннеле.

[Rolis]

Приветствую,
Сколько туннелей поднято на корневом 6120? После обновления прошивок на беты, отключения прекратились? Загруженность процессора так же зависит от того, какое именно шифрование используется в туннеле.

Всего 7 VPN IPSec LAN-to-LAN. После обновления на бета-прошивки стало работать лучше, непрерывная загрузка CPU до 100% больше не наблюдается. Шифрование: 3DES (md5-3des-dh2/esp-md5-3des).

[Rolis]

Роутер TL-ER6120 V2 проработал 2 недели и снова 100% загрузка CPU без признаков возврата к норме и отвал всех VPN-туннелей.

[reaper]

Не могли бы Вы проверить, какой будет ситуация на первой прошивке для 6120v2(build 170609)?

[Rolis]

Не могли бы Вы проверить, какой будет ситуация на первой прошивке для 6120v2(build 170609)?

Проверите можно, НО не будет ли ухудшения? Все таки изменений и улучшений в последующих релизах прошивки достаточно много.

[artemova]

Не могли бы Вы проверить, какой будет ситуация на первой прошивке для 6120v2(build 170609)?

Проверите можно, НО не будет ли ухудшения? Все таки изменений и улучшений в последующих релизах прошивки достаточно много.

Сможете потом вернуться на последнюю

[Rolis]

Честно говоря, все это уже порядком надоело. Думаю взять роутер из серии Zyxel ZyWALL USG.