LINUX.ORG.RU
ФорумAdmin

Beeline L2TP - стал жутко тормозить


0

1

Здравсвуйте! Где то 2 дня назад Beeline internet стал тормозить. Шлюз Centos 5.6 x64. Если выдернуть из шлюза и вставить в комп с XP - все норм работает(тоже по L2TP). При этом резко возрос траффик на сетевой карте которая смотрит с локальную сеть провайдера. Юзеры в интеренет ходят через squid. eth0 - внутрення сеть , eth1 - локальная сеть провайдера, ppp0 - vpn l2tp соединения. Соедиения настроено с помощью демона xl2tpd.

[root@gateway ppp]# /sbin/ifconfig
eth0      Link encap:Ethernet  HWaddr 00:E0:30:95:CB:F2  
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:383909 errors:0 dropped:0 overruns:0 frame:0
          TX packets:461666 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:117617025 (112.1 MiB)  TX bytes:373053692 (355.7 MiB)
          Interrupt:225 Base address:0xa000 

eth1      Link encap:Ethernet  HWaddr 6C:F0:49:07:90:C1  
          inet addr:10.177.113.19  Bcast:10.177.119.255  Mask:255.255.248.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:45963058 errors:0 dropped:0 overruns:0 frame:0
          TX packets:48095336 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:31086543131 (28.9 GiB)  TX bytes:33857989425 (31.5 GiB)
          Interrupt:50 Base address:0xc000 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:28500 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28500 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:4985292 (4.7 MiB)  TX bytes:4985292 (4.7 MiB)

ppp0      Link encap:Point-to-Point Protocol  
          inet addr: не скажу  P-t-P:85.21.0.239    Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1460  Metric:1
          RX packets:15696250 errors:0 dropped:0 overruns:0 frame:0
          TX packets:16387609 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:9783282677 (9.1 GiB)  TX bytes:10485469580 (9.7 GiB)
[root@gateway ppp]# /sbin/route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
vpn239-l0.msk.c 10.177.112.1    255.255.255.255 UGH   0      0        0 eth1
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
10.177.112.0    *               255.255.248.0   U     0      0        0 eth1
169.254.0.0     *               255.255.0.0     U     0      0        0 eth1
default         *               0.0.0.0         U     0      0        0 ppp0
На шлюзе последний раз провывал менять TTL (просто офис будет переезжать , в новом офисе цены драконовские, буду Yota прикручивать, а так как известно они скорость режут не дают расшаривать инет), но сейчас все обратно вернул. Этот паразитный траффик скорее всего забивает канал. Как узнать что это за траффик? Установлено: asterisk + freepbx, squid + sams , webmin ,bind9 , phpmyadmin


Ответ на: комментарий от Pinkbyte

В выводе tcpdump ничего особенного замеченого не было. Кроме пакетов сброшенных ядром. Вывод на проблемном шлюзе

331 packets captured
57220 packets received by filter
56748 packets dropped by kernel
Вывод на не тормозящем шлюзе
595 packets captured
595 packets received by filter
0 packets dropped by kernel
Вот на время что сделал с ip tables
iptables -F
iptables -t nat -F
iptables -t filter -F

lext55
() автор топика
Ответ на: комментарий от Pinkbyte
[root@gateway ssh]# /usr/sbin/tcpdump -i eth1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
15:29:03.867499 IP 10.177.113.19.l2tp > vpn239-l0.msk.corbina.net.l2tp:  l2tp:[](55403/2767) {IP ulogova1.static.corbina.ru.59307 > 68.169.87.76.http: F 3559519466:3559519466(0) ack 2323503455 win 53 <nop,nop,timestamp[|tcp]>}
15:29:03.867513 IP vpn239-l0.msk.corbina.net.l2tp > 10.177.113.19.l2tp:  l2tp:[O](45671/46193) {IP 111-240-54-250.dynamic.hinet.net.42013 > ulogova1.static.corbina.ru.33667: P 2058881429:2058881455(26) ack 3554923038 win 65497 <nop,nop,[|tcp]>}
15:29:03.867646 IP 10.177.113.19.l2tp > vpn239-l0.msk.corbina.net.l2tp:  l2tp:[](55403/2767) {IP ulogova1.static.corbina.ru.squid > h081217004224.dyn.cm.kabsi.at.52219: P 3567627384:3567628007(623) ack 756629185 win 53}
15:29:03.867687 IP 10.177.113.19.l2tp > vpn239-l0.msk.corbina.net.l2tp:  l2tp:[](55403/2767) {IP ulogova1.static.corbina.ru.33667 > 111-240-54-250.dynamic.hinet.net.42013: . ack 26 win 45 <nop,nop,timestamp[|tcp]>}
15:29:03.867726 IP 10.177.113.19.l2tp > vpn239-l0.msk.corbina.net.l2tp:  l2tp:[](55403/2767) {IP ulogova1.static.corbina.ru.squid > h081217004224.dyn.cm.kabsi.at.52219: F 623:623(0) ack 1 win 53}
15:29:03.867765 IP 10.177.113.19.l2tp > vpn239-l0.msk.corbina.net.l2tp:  l2tp:[](55403/2767) {IP ulogova1.static.corbina.ru.squid > 95.154.193.84.45533: P 3558756899:3558756925(26) ack 3934583119 win 44 <nop,nop,timestamp[|tcp]>}
15:29:03.868095 IP 10.177.113.19.l2tp > vpn239-l0.msk.corbina.net.l2tp:  l2tp:[](55403/2767) {IP ulogova1.static.corbina.ru.47951 > 62.117.95.20.51943: P 3394067992:3394068184(192) ack 2735978307 win 11872}
15:29:03.868352 IP vpn239-l0.msk.corbina.net.l2tp > 10.177.113.19.l2tp:  l2tp:[O](45671/46193) {IP pool-108-0-91-173.lsanca.fios.verizon.net.65338 > ulogova1.static.corbina.ru.squid: . ack 3563769291 win 65535}
15:29:03.868530 IP 10.177.113.19.l2tp > vpn239-l0.msk.corbina.net.l2tp:  l2tp:[](55403/2767) {IP ulogova1.static.corbina.ru.squid > pool-108-0-91-173.lsanca.fios.verizon.net.65338: . 2841:4261(1420) ack 0 win 6432}
15:29:03.868575 IP 10.177.113.19.l2tp > vpn239-l0.msk.corbina.net.l2tp:  l2tp:[](55403/2767) {IP ulogova1.static.corbina.ru.squid > pool-108-0-91-173.lsanca.fios.verizon.net.65338: P 4261:4538(277) ack 0 win 6432}
15:29:03.868619 IP 10.177.113.19.39132 > hdns2.corbina.net.domain:  52923+ PTR? 239.0.21.85.in-addr.arpa. (42)
15:29:03.869715 IP vpn239-l0.msk.corbina.net.l2tp > 10.177.113.19.l2tp:  l2tp:[O](45671/46193) {IP 109-227-255-007.nts.su.commonspace > ulogova1.static.corbina.ru.squid: . ack 3568695852 win 64511}
15:29:03.869989 IP vpn239-l0.msk.corbina.net.l2tp > 10.177.113.19.l2tp:  l2tp:[O](45671/46193) {IP 78-159-112-128.local.http > ulogova1.static.corbina.ru.36138: . ack 3557542559 win 54 <nop,nop,[|tcp]>}
15:29:03.870963 IP vpn239-l0.msk.corbina.net.l2tp > 10.177.113.19.l2tp:  l2tp:[O](45671/46193) {IP pool-108-0-91-173.lsanca.fios.verizon.net.65338 > ulogova1.static.corbina.ru.squid: . ack 2841 win 65535}
15:29:03.871292 IP 10.177.113.19.l2tp > vpn239-l0.msk.corbina.net.l2tp:  l2tp:[](55403/2767) {IP ulogova1.static.corbina.ru.squid > pool-108-0-91-173.lsanca.fios.verizon.net.65338: . 4538:5958(1420) ack 0 win 6432}
15:29:03.871347 IP 10.177.113.19.l2tp > vpn239-l0.msk.corbina.net.l2tp:  l2tp:[](55403/2767) {IP ulogova1.static.corbina.ru.squid > pool-108-0-91-173.lsanca.fios.verizon.net.65338: . 5958:7378(1420) ack 0 win 6432}

57 packets captured
16795 packets received by filter
16500 packets dropped by kernel
lext55
() автор топика
Ответ на: комментарий от lext55

Перезагрузил тут комп, в /var/log/messages вышло сообщение

Jun  1 15:29:03 gateway kernel: device eth1 entered promiscuous mode                                                                                                             
Jun  1 15:29:12 gateway kernel: device eth1 left promiscuous mode        
В поиске про эти ошибки пишется в прошивках dd-wrt для роутеров

lext55
() автор топика
Ответ на: комментарий от lext55

это нормально. при использовании tcpdump включается прослушивающий(PROMISC) режим на сетевом устройстве

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Вот куск обращения к DNS серверам

16:08:59.067593 IP 10.177.113.19.54434 > hdns2.corbina.net.domain:  22504+ PTR? 239.0.21.85.in-addr.arpa. (42)
16:10:40.462109 IP 10.177.113.19.32908 > hdns2.corbina.net.domain:  64907+ A? pics.rohrkemper.com. (37)
Первая строчка 85.21.0.239 - это ip L2TP сервера. Тут все нормально? А вот весь код /usr/sbin/tcpdump -i ppp0 http://andrsharov.ya.ru/replies.xml?item_no=39

lext55
() автор топика
Ответ на: комментарий от lext55

вывод команды top

Tasks: 156 total,   1 running, 155 sleeping,   0 stopped,   0 zombie
Cpu(s):  3.1%us,  5.8%sy,  0.0%ni, 85.6%id,  0.4%wa,  0.0%hi,  5.1%si,  0.0%st
Mem:   3521324k total,  1125572k used,  2395752k free,    51772k buffers
Swap:  9020344k total,        0k used,  9020344k free,   779580k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                                                                                                             
 3595 root      15   0 10200  828  672 S 18.9  0.0   9:31.50 xl2tpd                                                                                                              
 2947 root      15   0  3828  424  340 S 13.0  0.0   6:11.98 klogd                                                                                                               
 2944 root      15   0  5932  672  536 S  8.3  0.0   4:03.02 syslogd                                                                                                             
 3765 squid     15   0  110m  40m 2396 S  6.0  1.2   2:51.89 squid                                                                                                               
    6 root      34  19     0    0    0 S  1.0  0.0   0:14.49 ksoftirqd/1                                                                                                         
    9 root      34  19     0    0    0 S  1.0  0.0   0:18.10 ksoftirqd/2                                                                                                         
   12 root      34  19     0    0    0 S  1.0  0.0   0:43.56 ksoftirqd/3                                                                                                         
    3 root      34  19     0    0    0 S  0.7  0.0   0:16.12 ksoftirqd/0                                                                                                         
  540 root      10  -5     0    0    0 S  0.3  0.0   0:01.70 kjournald  
lext55
() автор топика
Ответ на: комментарий от lext55
[root@gateway log]# /usr/sbin/tcpdump -i eth1 | grep 'dns'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
16:29:39.220385 IP 10.177.113.19.40065 > hdns2.corbina.net.domain:  13738+ PTR? 239.0.21.85.in-addr.arpa. (42)
16:29:39.223164 IP hdns2.corbina.net.domain > 10.177.113.19.40065:  13738 1/0/0 PTR[|domain]
16:29:39.223726 IP 10.177.113.19.58504 > hdns2.corbina.net.domain:  37050+ PTR? 19.113.177.10.in-addr.arpa. (44)
16:29:39.227307 IP hdns2.corbina.net.domain > 10.177.113.19.58504:  37050 ServFail 0/0/0 (44)
16:29:39.227672 IP 10.177.113.19.40071 > hdns1.corbina.net.domain:  37050+ PTR? 19.113.177.10.in-addr.arpa. (44)
16:29:39.230475 IP hdns1.corbina.net.domain > 10.177.113.19.40071:  37050 ServFail 0/0/0 (44)
16:29:39.230892 IP 10.177.113.19.50429 > hdns2.corbina.net.domain:  37050+ PTR? 19.113.177.10.in-addr.arpa. (44)
16:29:39.237291 IP hdns2.corbina.net.domain > 10.177.113.19.50429:  37050 ServFail 0/0/0 (44)
16:29:39.237648 IP 10.177.113.19.54605 > hdns1.corbina.net.domain:  37050+ PTR? 19.113.177.10.in-addr.arpa. (44)
16:29:39.240920 IP hdns1.corbina.net.domain > 10.177.113.19.54605:  37050 ServFail 0/0/0 (44)
16:29:39.241442 IP 10.177.113.19.45301 > hdns2.corbina.net.domain:  19858+ PTR? 129.125.100.94.in-addr.arpa. (45)
16:29:39.643323 IP 10.177.113.19.39148 > hdns2.corbina.net.domain:  14033+ PTR? 20.95.117.62.in-addr.arpa. (43)
16:29:39.715862 IP 10.177.113.19.56885 > hdns2.corbina.net.domain:  55247+ PTR? 3.192.21.85.in-addr.arpa. (42)
16:29:39.725388 IP 10.177.113.19.56936 > hdns2.corbina.net.domain:  52991+ PTR? 95.217.65.99.in-addr.arpa. (43)
16:29:39.911589 IP 10.177.113.19.58676 > hdns2.corbina.net.domain:  16750+ PTR? 204.180.178.62.in-addr.arpa. (45)
16:29:39.982473 IP 10.177.113.19.42756 > hdns2.corbina.net.domain:  53438+ PTR? 15.134.122.24.in-addr.arpa. (44)
16:29:40.148285 IP 10.177.113.19.39009 > hdns2.corbina.net.domain:  29681+ PTR? 68.187.121.213.in-addr.arpa. (45)
16:29:40.152120 IP 10.177.113.19.44068 > hdns2.corbina.net.domain:  31864+ PTR? 36.251.188.205.in-addr.arpa. (45)
16:29:40.724564 IP 10.177.113.19.44079 > hdns2.corbina.net.domain:  27501+ PTR? 125.2.124.123.in-addr.arpa. (44)
16:29:41.262106 IP 10.177.113.19.53606 > hdns2.corbina.net.domain:  14684+ PTR? 68.192.207.89.in-addr.arpa. (44)
16:29:41.265684 IP hdns2.corbina.net.domain > 10.177.113.19.53606:  14684 1/0/0 (94)
16:29:41.266204 IP 10.177.113.19.44796 > hdns2.corbina.net.domain:  32155+ PTR? 186.8.67.85.in-addr.arpa. (42)
16:29:41.330084 IP 10.177.113.19.42474 > hdns2.corbina.net.domain:  42495+ PTR? 8.192.234.213.in-addr.arpa. (44)
16:29:41.333158 IP hdns2.corbina.net.domain > 10.177.113.19.42474:  42495 1/0/0 (75)
16:29:41.333513 IP 10.177.113.19.49632 > hdns2.corbina.net.domain:  8798+ PTR? 85.163.129.78.in-addr.arpa. (44)
16:29:41.456835 IP 10.177.113.19.35501 > hdns2.corbina.net.domain:  2950+ PTR? 4.168.6.193.in-addr.arpa. (42)
16:29:41.581313 IP 10.177.113.19.60365 > hdns2.corbina.net.domain:  45511+ PTR? 42.212.93.109.in-addr.arpa. (44)
16:29:41.584834 IP 10.177.113.19.40350 > hdns2.corbina.net.domain:  2263+ PTR? 236.194.81.83.in-addr.arpa. (44)
16:29:41.585379 IP 10.177.113.19.32908 > hdns2.corbina.net.domain:  42014+ A? uploading.com. (31)
16:29:41.647756 IP 10.177.113.19.47572 > hdns2.corbina.net.domain:  59288+ PTR? 165.10.120.74.in-addr.arpa. (44)
16:29:41.653390 IP 10.177.113.19.50445 > hdns2.corbina.net.domain:  59744+ PTR? 40.101.92.78.in-addr.arpa. (43)
16:29:41.658237 IP 10.177.113.19.52660 > hdns2.corbina.net.domain:  21499+ PTR? 212.240.97.97.in-addr.arpa. (44)
16:29:43.287479 IP 10.177.113.19.59093 > hdns2.corbina.net.domain:  52825+ PTR? 229.173.36.115.in-addr.arpa. (45)
16:29:43.665134 IP 10.177.113.19.58096 > hdns2.corbina.net.domain:  63568+ PTR? 172.24.147.59.in-addr.arpa. (44)
16:29:44.048565 IP 10.177.113.19.50147 > hdns2.corbina.net.domain:  22521+ PTR? 176.120.101.87.in-addr.arpa. (45)
16:29:44.179887 IP 10.177.113.19.59258 > hdns2.corbina.net.domain:  19809+ PTR? 37.204.117.87.in-addr.arpa. (44)
16:29:44.302118 IP 10.177.113.19.37153 > hdns2.corbina.net.domain:  28735+ PTR? 48.211.13.211.in-addr.arpa. (44)
16:29:46.139289 IP 10.177.113.19.54813 > hdns2.corbina.net.domain:  40756+ PTR? 115.146.129.78.in-addr.arpa. (45)
16:29:46.262281 IP 10.177.113.19.43426 > hdns2.corbina.net.domain:  10837+ PTR? 45.4.236.178.in-addr.arpa. (43)
16:29:46.367925 IP 10.177.113.19.48063 > hdns2.corbina.net.domain:  25770+ PTR? 249.12.55.65.in-addr.arpa. (43)
16:29:46.492517 IP 10.177.113.19.38420 > hdns2.corbina.net.domain:  10307+ PTR? 67.154.147.92.in-addr.arpa. (44)
16:29:46.495906 IP 10.177.113.19.34239 > hdns2.corbina.net.domain:  60011+ PTR? 238.178.155.92.in-addr.arpa. (45)
16:29:46.622315 IP 10.177.113.19.45822 > hdns2.corbina.net.domain:  34106+ PTR? 168.159.98.94.in-addr.arpa. (44)
16:29:46.770896 IP 10.177.113.19.58826 > hdns2.corbina.net.domain:  63644+ PTR? 191.220.129.78.in-addr.arpa. (45)
16:29:46.891050 IP 10.177.113.19.46666 > hdns2.corbina.net.domain:  26259+ PTR? 39.21.163.217.in-addr.arpa. (44)
16:29:46.959088 IP 10.177.113.19.39304 > hdns2.corbina.net.domain:  4743+ PTR? 65.202.154.95.in-addr.arpa. (44)
16:29:47.203012 IP 10.177.113.19.56911 > hdns2.corbina.net.domain:  55345+ PTR? 27.145.55.95.in-addr.arpa. (43)
16:29:47.329442 IP 10.177.113.19.46886 > hdns2.corbina.net.domain:  17858+ PTR? 224.219.22.121.in-addr.arpa. (45)
16:29:47.750083 IP 10.177.113.19.40544 > hdns2.corbina.net.domain:  5558+ PTR? 38.217.181.94.in-addr.arpa. (44)
16:29:47.848346 IP 10.177.113.19.34594 > hdns2.corbina.net.domain:  29359+ PTR? 147.102.77.91.in-addr.arpa. (44)
16:29:47.855888 IP 10.177.113.19.38127 > hdns2.corbina.net.domain:  59228+ PTR? 38.152.62.195.in-addr.arpa. (44)
16:29:47.971239 IP 10.177.113.19.48167 > hdns2.corbina.net.domain:  37036+ PTR? 243.125.98.94.in-addr.arpa. (44)
16:29:48.115053 IP 10.177.113.19.57277 > hdns2.corbina.net.domain:  15319+ PTR? 153.94.9.194.in-addr.arpa. (43)
16:29:48.118073 IP hdns2.corbina.net.domain > 10.177.113.19.57277:  15319 1/0/0 (71)
16:29:48.118531 IP 10.177.113.19.54055 > hdns2.corbina.net.domain:  2720+ PTR? 123.217.98.87.in-addr.arpa. (44)
16:29:48.121329 IP hdns2.corbina.net.domain > 10.177.113.19.54055:  2720 1/0/0 (77)
16:29:48.121712 IP 10.177.113.19.56531 > hdns2.corbina.net.domain:  2+ PTR? 49.238.158.98.in-addr.arpa. (44)
16:29:48.525211 IP 10.177.113.19.57617 > hdns2.corbina.net.domain:  44403+ PTR? 114.146.129.78.in-addr.arpa. (45)
16:29:50.147002 IP 10.177.113.19.39957 > hdns2.corbina.net.domain:  61669+ PTR? 254.238.6.74.in-addr.arpa. (43)
16:29:50.210481 IP 10.177.113.19.45986 > hdns2.corbina.net.domain:  43653+ PTR? 1.251.188.205.in-addr.arpa. (44)
16:29:50.213240 IP hdns2.corbina.net.domain > 10.177.113.19.45986:  43653 1/0/0 (82)
16:29:50.213691 IP 10.177.113.19.60287 > hdns2.corbina.net.domain:  7303+ PTR? 118.100.187.114.in-addr.arpa. (46)
16:29:50.590931 IP 10.177.113.19.45225 > hdns2.corbina.net.domain:  
437 packets captured
56349 packets received by filter
55662 packets dropped by kernel
lext55
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.