Cisco Новой почты.

[vitalino777 2]

Одно из отделений НП, брало канал, несколько лет на серой ІР. Сейчас перешли на белую. Подключили. Говорят потери до их сервера 60%. Канал 50Мбит. Не загружен.
Связь идет пакетами udp 1520. С другого провайдера, пингую их новую, белую ір, без потерь, пакетами 1520. Они говорят, что из их циско, потери по пингу 60%.
Идем в отделение с ноутом. Стврим их ір. Пинг с ноута, по 1520 до их сервера без потерь. Включаем их циско. С циско на их сервер потери 60%. 
Но из вне до их циско по 1520, без потерь. На циско настроено два провайдера. По каналу второго прова без потерь. Говорю проблема с настройками на циско. 
Отвечают, что конфигурация одинаковая на всех отделениях. Доступ до циско не дают, чтобы посмотреть, говорят, политика компании.
Пробовали вернуть серую ip, тоже говорят потери 60%. 
Может кто, с ними работал, что им посоветовать смотреть в конфиге?

[DVSGROUP 126]

Дефолтный MTU как правило 1500 или меньше. У вас бегают пакеты 1520, которые явно больше и нужно их фрагментировать.

 

Что и как настроено у вас - не понятно, что и как настроено на железе Новой почты - не понятно.

 

Вы провайдер? Ваша задача дать канал и описать параметры подключения. Остальное они должны делать сами.

Ваша задача в предоставлении канала, а не игра в гадалку, когда клиент сам не знает, что у него не работает.

 

 

 

[KaYot 3 605]

Проще всего забить на эти 300грн и передать этот гемор конкурентам.

[NOVALINE 0]

4 часа назад, KaYot сказал:

Проще всего забить на эти 300грн и передать этот гемор конкурентам.

Согласен, решение простое, но сами разберитесь в сети ))) 

Самое простое отдать конкурентам, та же проблема будет у приватов и мегов. Но ниче, оставляйте, разберемся)))

 

Відредаговано 2022-02-17 00:02:24 NOVALINE

[NOVALINE 0]

4 часа назад, DVSGROUP сказал:

Дефолтный MTU как правило 1500 или меньше. У вас бегают пакеты 1520, которые явно больше и нужно их фрагментировать.

 

Что и как настроено у вас - не понятно, что и как настроено на железе Новой почты - не понятно.

 

Вы провайдер? Ваша задача дать канал и описать параметры подключения. Остальное они должны делать сами.

Ваша задача в предоставлении канала, а не игра в гадалку, когда клиент сам не знает, что у него не работает.

 

 

 

 

Удачи

Відредаговано 2022-02-17 00:10:52 NOVALINE

[nedoinet 429]

10 часов назад, vitalino777 сказал:

 
Может кто, с ними работал, что им посоветовать смотреть в конфиге?

требовать тогда доступ к кошке и ковырять ее кишки.

[sanyadnepr 305]

12 часов назад, vitalino777 сказал:

Может кто, с ними работал, что им посоветовать смотреть в конфиге?

Посоветовать посмотреть и найти в конфиге - диагностика показала проблема не на стороне провайдера. 

Возможна проблема на последней миле с патчкордом или например подбитым портом на оборудовании клиента.

2 часа назад, nedoinet сказал:

требовать тогда доступ к кошке и ковырять ее кишки.

Какую только херню не предложат...по глупости или от непонимания границы зоны ответственности.
Ваши абоненты требуют доступ к Вашим узлам для диагностики проблем и Вы его предоставляете?

[nedoinet 429]

12 минут назад, sanyadnepr сказал:

Какую только херню не предложат...по глупости или от непонимания границы зоны ответственности

Ну так человека не устраивает рациональный вариант с зонами ответственности. Вот и приходится фигню морозить. Пусть шишки набивает собственные, если 

13 минут назад, sanyadnepr сказал:

Ваши абоненты требуют доступ к Вашим узлам для диагностики проблем и Вы его предоставляете?

Конечно же болт, а не доступ и это нормально. Ну а у человека ответ "удачи".

[NOVALINE 0]

2 минуты назад, nedoinet сказал:

Ну так человека не устраивает рациональный вариант с зонами ответственности. Вот и приходится фигню морозить. Пусть шишки набивает собственные, если 

Конечно же болт, а не доступ и это нормально. Ну а у человека ответ "удачи".

Реально никто не даст доступ, можно просить до упора, поэтому и пожелание удачи.

[Belirium 6]

Они используют l2tp/ipsec. Если Вы их подключили по технологии xPon, возможно, проблема в ону.

[Dimkers 1 540]

1 час назад, Belirium сказал:

Они используют l2tp/ipsec

Они давно в куче отделений перешли на DMVPN

14 часов назад, vitalino777 сказал:

Связь идет пакетами udp 1520.....Пинг с ноута, по 1520 до их сервера без потерь. Включаем их циско. С циско на их сервер потери 60%. 

Пинг по UDP пробовали по всей трассе? а с DF битом? Как по мне проблема  в фрагментации.

[DVSGROUP 126]

Доступ они не дадут это факт... а если дадут - потом можно еще остаться виноватым.

 

Вот реально, оно вам надо за те 300-500 грн?

[nordstream 1 212]

15 часов назад, KaYot сказал:

Проще всего забить на эти 300грн и передать этот гемор конкурентам.

 

Мы так и сделали, в свое время. После того сколько раз на них пробовали получить ТУ на включение мы каждый раз отвечали - нет у нас технической возможности.  И спасибо Новой поште за науку - иногда клиента проще и дешевле сплавить конкурентам чем иметь гемморой.

1 час назад, Dimkers сказал:

 Как по мне проблема  в фрагментации.

 

Угу.... пробовали им это доказать. В ответ услышали что  мы........ мягко говоря необразованные. 🙂

10 часов назад, NOVALINE сказал:

Самое простое отдать конкурентам, та же проблема будет у приватов и мегов. Но ниче, оставляйте, разберемся)))

 

Ни у Привата, ни у Мегабанка и даже у Укрпочты таких проблем нет. Только с их туннелями на новой поште.

[vitalino777 2]

3 часа назад, Belirium сказал:

Они используют l2tp/ipsec. Если Вы их подключили по технологии xPon, возможно, проблема в ону.

Нет. Медик. По ftth. С их циско они тестируют тоже по icmp, пингом по 1520. И потери 60%, а из вне до них без потерь. Мы ставим ноут в отделении и с ноута без потерь.

Я им и говорю, что вероятно проблема с настройкой работы двух провайдеров на циско. Возможно часть пакетов идет через другой канал.

[Kiano 598]

циско там не при чем. пинговали с флагом don't fragment?

[vitalino777 2]

34 минуты назад, Kiano сказал:

циско там не при чем. пинговали с флагом don't fragment?

С ноута ping -f -l 1520 выдает - требуется фрагментация пакета. но так на любой адрес.

Відредаговано 2022-02-17 11:38:10 vitalino777

[Kiano 598]

3 минуты назад, vitalino777 сказал:

С ноута ping -f -l 1520 выдает - требуется фрагментация пакета. но так на любой адрес.

потому что винда. возьмите любой микротик и через него проверьте - так верняково будет и всё продебажите.

[Dimkers 1 540]

Да не потому что винда! А потому что в основном все каналы 1,5Кб MTU имеют... Хоть ты микротиком пуляй, хоть виндой, хоть линуксами. Да есть разница у вендоров в учете размера заголовков, но это все мелочи. У них пакет 1520 и пздц. а каналы 1500. Если там в тунеле МТУ неверно посчитали по загловкам, или канал вдруг внутри PPPoE(т.е. < 1500) - то ой. А может кто о по пути вооще UDP срезает или рейтлимит стоит на UDP, типа чтоб небыло всяких ddos атак с их сети и пр.... Тут гадать можно долго. ТСу нужно пингать UDP и глядеть размер максимального пакета, что лезет по всей трассе.

Відредаговано 2022-02-17 11:50:37 Dimkers

[Kiano 598]

6 минут назад, Dimkers сказал:

Да не потому что винда! А потому что в основном все каналы 1,5Кб MTU имеют... Хоть ты микротиком пуляй, хоть виндой, хоть линуксами. Да есть разница у вендоров в учете размера заголовков, но это все мелочи. У них пакет 1520 и пздц. а каналы 1500. Если там в тунеле МТУ неверно посчитали по загловкам, или канал вдруг внутри PPPoE(т.е. < 1500) - то ой. А может кто о по пути вооще UDP срезает или рейтлимит стоит на UDP, типа чтоб небыло всяких ddos атак с их сети и пр.... Тут гадать можно долго. ТСу нужно пингать UDP и глядеть размер максимального пакета, что лезет по всей трассе.

каких 1.5кб? травишь? 1500, во-первых, это не 1.5кб (это так, дое*аться если шо)

а во вторых это тупо винда, 1472 в ней и хоть усрись, без танцев с бубном нихера ты ей не докажешь.

пинговать можно огромными пакетами, но если дф не указывать - то до жопы все эти старания.

[vitalino777 2]

[admin@MikroTik] > ping size=1520 91.240.50.250 do-not-fragment 
  SEQ HOST                                     SIZE TTL TIME       STATUS                                                                                                                                                                                                       
    0                                                              packet too large and cannot be fragmented                                                                                                                                                                    
    1                                                              packet too large and cannot be fragmented                                                                                                                                                                    
    2                                                              packet too large and cannot be fragmented                                                                                                                                                                    
    3                                                              packet too large and cannot be fragmented                                                                                                                                                                    
    4                                                              packet too large and cannot be fragmented 

[Kiano 598]

Только что, vitalino777 сказал:

[admin@MikroTik] > ping size=1520 91.240.50.250 do-not-fragment 
  SEQ HOST                                     SIZE TTL TIME       STATUS                                                                                                                                                                                                       
    0                                                              packet too large and cannot be fragmented                                                                                                                                                                    
    1                                                              packet too large and cannot be fragmented                                                                                                                                                                    
    2                                                              packet too large and cannot be fragmented                                                                                                                                                                    
    3                                                              packet too large and cannot be fragmented                                                                                                                                                                    
    4                                                              packet too large and cannot be fragmented 

ну вот и ответ: у вас тупо не хватает MTU, потому и все потери. Пофиксить можно, если на всём участке включить джамбу. Так же, можно MRRU, EoIP и тд

Если нужна консультация - в ЛС.

[Dimkers 1 540]

2 минуты назад, Kiano сказал:

Пофиксить можно, если на всём участке включить джамбу.

Ты дебил? По всему интернету джамбу включать? ))))

[vitalino777 2]

8 минут назад, Kiano сказал:

ну вот и ответ: у вас тупо не хватает MTU, потому и все потери. Пофиксить можно, если на всём участке включить джамбу. Так же, можно MRRU, EoIP и тд

Если нужна консультация - в ЛС.

Но другие их отделения, через тот же канал работают без потерь. Они говорят что у них всюду одинаковые настройки.

И на этом отделении до недавнего времени работало с 1520

Відредаговано 2022-02-17 12:06:37 vitalino777

[Kiano 598]

5 минут назад, Dimkers сказал:

Ты дебил? По всему интернету джамбу включать? ))))

Дебил у тебя в зеркале, во-первых. Во-вторых, ты уже экстрасенсорно решил, на каком этапе фрагментация? Во всём тырнете?

[sanyadnepr 305]

53 минуты назад, Kiano сказал:

а во вторых это тупо винда, 1472 в ней и хоть усрись, без танцев с бубном нихера ты ей не докажешь

В венде легко и непринужденно можно поднять MTU на интерфейсе.
В "интернете" по умолчанию 1500, пропингуй с чего угодно рандомные хосты в "интернете", сомневаюсь что без фрагментации будет больше 1500.
Это у себя в сети возможно поднять MTU >1500, в интернете для этого используют "транспорт" и другие иногда недешевые штуки. 
По моему НП "наваливает" неопытному провайдеру или монтажнику. 
Помню там были вопросы с потерями, больше 5% потерь и канал считается нерабочим, но это не точно. 
Такая ситуация с выборочных нескольких провайдеров и аплинков.

ping size=1500 91.240.50.250 do-not-fragment  
  SEQ HOST                                     SIZE TTL TIME  STATUS                                                        
    0 91.240.50.250                            1500 250 11ms 
    1 91.240.50.250                            1500 250 11ms 
    sent=2 received=2 packet-loss=0% min-rtt=11ms avg-rtt=11ms max-rtt=11ms 

ping size=1501 91.240.50.250 do-not-fragment  
  SEQ HOST                                     SIZE TTL TIME  STATUS                                                        
    0                                                         packet too large and cannot be fragmented                     
    0 *.*.1.2                            576  64 0ms   fragmentation needed and DF set                               
    1                                                         packet too large and cannot be fragmented                     
    1 *.*.1.2                            576  64 0ms   fragmentation needed and DF set                               
    sent=2 received=0 packet-loss=100%