Роутеры, точки доступа, машрутизаторы

[Эйб]

А вот нефиг всё в одну кучу валить.

[oleg29]

Вот я сейчас косяк словил на Микротике.

Звонит одна буха, типа впн (л2тп) подлючила из дома, а доступа до сервака с 1С нет. Я пока еду, думаю, что за траблы могут быть. Сервак вижу доступен и в онлайне.
Бац, звонит вторая бух через 5 мин и говорит, я в офисе с ноутом, к ви-фи цепанулась, а интернета нет.

Я приехал, давай разбираться с ноутом, ничего понять не могу, пинги через раз и тут случайно в Винбоксе вижу, что и впн-клиент первого буха и ноут второго получили ОДИН И ТОТ ЖЕ адрес 192.168.6.81 из дхцп-пула .

Причем ноутовский адрес статикой по мак-адресу привязан и из пула выдается постоянно один и тот же. Ареса впн-клиентов также настроены на выдачу из этого же дхцп-пула.
Ниразу не было проблем, а тут я аж прямо офигел от такого косяка.

ИМХО, моветон статику мешать с ДХЦП-пулом, вот оно и вылезло...

[light_gray]

ИМХО, моветон статику мешать с ДХЦП-пулом, вот оно и вылезло...

В смысле? Обычная схема - есть ДХЦП пул, просто некоторые адреса в нем привязаны к макам. В Микротике это назывется make static
Обычная схема, десятилетиями используемая

[kas]

В смысле? Обычная схема - есть ДХЦП пул, просто некоторые адреса в нем привязаны к макам. В Микротике это назывется make static
Обычная схема, десятилетиями используемая

ЕМНИП isc-dhcp-server, который я настраивал лет эдак 16-17 назад ругался, если к маку привязать IP из "динамического диапазона". Давно было, уже всех нюансов не помню.

[Эйб]

ЕМНИП isc-dhcp-server, который я настраивал лет эдак 16-17 назад ругался, если к маку привязать IP из "динамического диапазона". Давно было, уже всех нюансов не помню.

Всё верно! Некоторые ругаются явным образом, ещё на этапе конфигурирования или при рестарте. Некоторые не ругаются, оставляя столь мудрое решение на волю Великого Сисадмина -- но тогда Великому и нефиг пенять на некоего производителя, когда руки торчат из карманов брюк..

[light_gray]

ЕМНИП isc-dhcp-server, который я настраивал лет эдак 16-17 назад ругался, если к маку привязать IP из "динамического диапазона".

Стоп. Что значит из динамического диапазона? А како диапазон еще есть? Есть пул адресов, некоторые из них выдаются только определенным макам. Какая тут может быть ругань?
Это обычное допустимое действие биндинг мака+ип в пуле адресов. Оно есть в любой реализации дхцп любой ОС.

В виндовом ДХЦП эти адреса идут с пометкой excluded, собственно их и видно в отдельном месте. Они имеют адреса из общего пула, просто дхцп эти адреса выдает только зареганым макам и никаким другим макам эти адреа не выдаются. В Микротике для таких адресов, когда их маркируешь make static - убирется признак D и сервис дхцп НЕ ДОЛЖЕН никому эти адреса выдавать.

Ладно, хрен с привязкой, как таковой - это дело десятое, я не пойму, ноут получил адрс 6.81, какого хрена впн-клиент, подключаясь ПОСЛЕ ноута, получает ТОЧНО такой же адрес из пула? Это как вообще? Адрес ВЫДАН, пометка, что он активен должна быть у службы дхцп. Да, я знаю механизм выдачи дхцп. Клиент в запросе хочет получить адрес, который у него был и спрашивает у дхцп: чувак, можно мне такой? Дхцп должен отвечать положительно только в одном случае, если он этот адрес чуть ранее не выдал кому-то еще и срок аренды не истек. Некоторые реализации дхцп в и еще пингают адрес перед выдачей клиенту, чтобы осуществить еще хоть какую-то проверку (хотя и, разумеется не со 100% вероятностью) что выдаваемый адрес вот прямо щас не занят.

А тут, ска, банальный косяк. Адрес выдан, время лизинга дефаултное - 10 мин, т.е. выданный ноуту адрес донельзя свежий и его никак нельзя выдавать другому клиенту. Однако, дхцп микротика берет его и выдает впн-клиенту. Это косяк, причем я так думаю, косяк именно в том, что где-то сбой в передаче инфы при запросе именно впн-клиентом, что адрес занят.

Потому, что у меня далеко не один микротик, десятки дхцп-клиентов, в том числе привязанных к макам и ниразу такого не было. Если адрес занят, он ЗАНЯТ. Собственно, у меня в одной конторе штук 20-25 медных клиентов, включая принтеры так жестко привязаны к макам, а остальные клиенты - динамика (ви-фи). И ниразу такого косяка не было за все годы.

А сейчас вот первый раз вылез такой косяк именно с впн-клиентами, получающими адреса из этого же пула.

Мож тикет на Микротике открыть? Ну не должно такого быть. Служба дхцп в микротике одна и пофиг, кто и откуда запрашивает адрес.
Если он тока шо выдан - его нельзя выдавать еще раз, пусть даже и клиент из Домру

[zaratustra]

Некоторые реализации дхцп в и еще пингают адрес перед выдачей клиенту, чтобы осуществить еще хоть какую-то проверку

А если на компе с тем адресом ответ на пинг отключен, всё, адрес можно выдавать?

[light_gray]

А если на компе с тем адресом ответ на пинг отключен, всё, адрес можно выдавать?

Это я встречал в дхцп-службе какого-то Линуха. Там в конфиг-файле было, что осуществлять пинг адреса перед выдачей. Нафуа так делать? Ну ХЗ, как доп. проверка - возможно. Вдруг кто статикой прописал на интерфейсе какого-то девайса в сети? ИМХО - метод имеет право на существование - хоть какая-то защита от дурака.

[kas]

Стоп. Что значит из динамического диапазона? А како диапазон еще есть? Есть пул адресов, некоторые из них выдаются только определенным макам. Какая тут может быть ругань?

Под "динамическим диапазоном" я имел ввиду IP адреса которые не привязаны к маку. Я лет Nдцать назад я привязанные к маку IP я исключал из "динамического диапазона".

какого хрена впн-клиент, подключаясь ПОСЛЕ ноута, получает ТОЧНО такой же адрес из пула

разица во времени между выдачами одного и того же адреса какая?

[Lirix]

Под "динамическим диапазоном" я имел ввиду IP адреса которые не привязаны к маку. Я лет Nдцать назад я привязанные к маку IP я исключал из "динамического диапазона".

сколько не работаю с сетями, но ни разу не видел, что бы выделяли отдельный пул под статику

[light_gray]

Я лет Nдцать назад я привязанные к маку IP я исключал из "динамического диапазона".

Так они автоматом исключаются из выдачи. Есть биндинг мак-ип. Он в любом случае не должен выдаваться никому, если мак не совпадает.
Зачем делать отдельный динапический пул для забинденых адресов?

разица во времени между выдачами одного и того же адреса какая?

13 минут. Юзер залогинился ,получил этот ип, потом ноут с маком из привязки запросил этот адрес себе заново(т.е. он уже получал этот адрес) и ему его выдали.




Такое ощущение, что при выдаче адреса впн-клиенту, дхцп чхать хотел на привязки. Походу он при выдаче впн-клиенту не смотрит на привязки. А ДОЛЖЕН.
И так несколько раз в течение дня.

К вечеру я для впн-клиентов фиксированную выдачу адресов сделал - каждому свой жестко прописанный в свойствах впн-юзера и все встало на свои места.

Так что вот ХЗ, что такое было

[kas]

light_gray, а "IP -> DHCP server -> Leases" не смотрел?
Точно опять не скажу, но свербит что ppp из своего пула адреса раздает, но это не точно.

[Эйб]

Свербит, что пулы выдачи пересекаются. Ну-ну, давайте всё валить в одну кучу...

[light_gray]

Точно опять не скажу, но свербит что ppp из своего пула адреса раздает, но это не точно.

[admin@MikroTik] /ip pool> print
# NAME RANGES
0 default-dhcp 192.168.6.33-192.168.6.100


Все, других пулов нет.
В настройках л2тп-профиля, который применяется для клиента указано, что адреса брать из этого пула




И вот какого хера он берет занятый адрес? Единственно, что у меня предположение, что ппп-служба берет адреса из пула БЕЗ ВЕДОМА дхцп-службы.
Но, это, простите, крысятничество

[kas]

И вот какого хера он берет занятый адрес? Единственно, что у меня предположение, что ппп-служба берет адреса из пула БЕЗ ВЕДОМА дхцп-службы.
Но, это, простите, крысятничество

я конечно не читал, не могу утверждать, но вот сомневаюсь, что л2тп спрашивает что-то у дхцп. Если в "IP -> DHCP server -> Leases" нет следов от л2тп, то вероятно л2тп не спрашивает ничего у дхцп, а работать могло из-за разного использования диапазона, например дхцп со старших адресов начинает раздавать, а л2тп с младших, и работало до того момента, пока пересечения не пошли. Но все это мои фантазии, не подкрепленные ни чтением док, ни настройкой железа.

[Big]

Как хорошо что на адресацию забил .... IPX/SPX и все что знаю об адресации и в Вашей мутной хрени и знать не знаю и знать не хочу. Вырвалось, извините

[zaratustra]

Big, у тебя на работе сисадмины в твоём подчинении? Или нет?

[Big]

zaratustra, Не я низшее звено

[light_gray]

Если в "IP -> DHCP server -> Leases" нет следов от л2тп, то вероятно л2тп не спрашивает ничего у дхцп, а работать могло из-за разного использования диапазона, например дхцп со старших адресов начинает раздавать, а л2тп с младших, и работало до того момента, пока пересечения не пошли.

Сейчас проверил. Подключился к впн. Действительно, я дрес получил 6.78, но дхцп микротика от этом не в курсе - в leases - пусто
Вы как хотите, но я считаю это писец, каким косяком. Выделение адресов должно быть ЦЕНТРАЛИЗОВАНО и служба дхцп должна быть в курсе, кто берет адреса из ее пула и это должно быть зафиксировано в ее таблицах, что адрес выдан такой-то другой службе.

Скажем, у дхцп винды это именно так. Если там RRAS(служба удаленного доступа) выдает адреса, он это делает через службу дхцп и служба в курсе, какие адреса выданы.

А в микротике, получается, некая служба юзает возможности и настройки пула дхцп, берет из этого пула адреса, но "делает это без уважения" (с)

[zaratustra]

Big, тыж вроде кандидат технических наук. И не понимаешь во всей этой херне. Значит должен работать начальником.