Непонятный конфликт в сети

Разговоры на любые темы: вы можете обсудить здесь какой-либо сайт, найти единомышленников или просто пообщаться...
Proxy
Профессор VB наук
Профессор VB наук
Аватара пользователя
 
Сообщения: 2941
Зарегистрирован: 31.08.2007 (Пт) 4:41

Непонятный конфликт в сети

Сообщение Proxy » 06.12.2013 (Пт) 5:07

Доброго времени суток.

Возникла интересная ситуация:
Были приобретены два D-link DAP-1360, подключены в интегрированный коммутатор в DIR-615 (в роли шлюза).
Оба устройства в режиме AP, обоим прописаны статические IP (192.168.1.4 и 192.168.1.5, оба до этого свободные, не из диапазона арендуемых, пробовал резервировать; по DHCP они получать адрес не могут на заводской прошивке), MAC адреса не совпадают (паранойя, но всё же проверил в отчаянии что-либо сделать). DHCP серверы выключены на обоих (Relay тоже не помогает).
По wifi: находятся на расстоянии порядка 30м, имеют разные SSID, работают на разных каналах (вручную заданы; сам DIR-615 так же), WPA AES.

Всё работает до тех пор, пока к одной точке не подключился кто-либо (не важно к какой), после чего вторая точка начинает тупить (может: а) перестать отвечать на ping, б) перестать работать web-интерфейс; после перезагрузки исправляется до нового конфликта, иногда достаточно просто отключить второе устройство; обязательно либо не пускает по WiFi (с любого устройства висит на аутентификации), либо пускает, но не идут пакеты с DIR-615, в т.ч. устройство не получает IP от ). Явно возникает какой-то конфликт, но не ясно что именно происходит, т.к. MAC уникальны (да оно бы вообще не работало), IP уникальны, по беспроводной сети тоже никаких явных предпосылок к конфликту, это простые точки доступа, нет никаких radius или чего-либо ещё из подобного взаимодействия.

На объекте нет возможности (а скорее желания) мониторить пакеты в сети, использовать другие устройства и т.п (не связано ни с работой, ни с каким-либо заработком, что-то вроде безвозмездной помощи).

Была ещё глупая мысль насчёт кабелей (просто от безысходности), но по одиночке обе точки доступа работают идеально, независимо от того, на какой кабель их повесить.

Нашёл в сети схожие ситуации, но: а) решение не подходит, б) всё же хочется понять механизм, как это происходит, а не просто воспользоваться шаблоном (если бы оно вообще работало).

Пока временно оставил одну, сегодня после работы поеду "добивать".
Follow the white rabbit.

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Re: Непонятный конфликт в сети

Сообщение alibek » 06.12.2013 (Пт) 11:09

Во-первых, уточни в каком режиме работают точки доступа, в AP или AP-WDS. Если точка доступа умеет работать в WDS, используй его.
Во-вторых, настройки оборудования должны быть такими:

1. Маршрутизатор DIR-615: включен DHCP-сервер, настроен пул адресов для DHCP (например 192.168.1.100-192.168.1.200). Если маршрутизатор умеет делать статические привязки для DHCP, то прописать для точек доступа задать статические записи в DHCP с привязкой по MAC-адресу. Если маршрутизатор умеет блокировать трафик между LAN-портами, желательно заблокировать прохождение трафика между теми портами, куда включены точки доступа.

2. На точках доступа должно быть включено получение IP-адреса по DHCP. Если они этого не умеют, прописать IP-адреса вручную, задав правильную маску и шлюз (такие же, как на DIR-615). Если точки доступа позволяют блокировать обмен трафика между беспроводными клиентами, включить эту блокировку.
Если планируется использовать одинаковый SSID, то одинаковы должны быть все параметры (имя сети, тип шифрования, ключ шифрования), они должны совпадать с параметрами на DIR-615. Разнести по разным каналам (например каналы 1, 6, 11).
DHCP-сервер нужно выключить, релей включать не нужно.

3. Обновить прошивки на всех устройствах. DIR-615 вообще железка глючная, нужную версию прошивки нужно выбирать по результатам чтения форумов и отзывов. DAP-1360 более-менее стабильная, там можно использовать последнюю версию.

4. Попробовать выключить шифрование вообще.
Lasciate ogni speranza, voi ch'entrate.

Proxy
Профессор VB наук
Профессор VB наук
Аватара пользователя
 
Сообщения: 2941
Зарегистрирован: 31.08.2007 (Пт) 4:41

Re: Непонятный конфликт в сети

Сообщение Proxy » 07.12.2013 (Сб) 4:17

Так и было настроено.
И да, SSID разные, каналы разные.
DHCP поднят на DIR-615, на остальных выключен соответственно (не релей).
Пул выдаваемых в аренду адресов настроен, с адресами точек доступа не пересекается.
Обмен пакетами между клиентами на данной прошивке 615 запретить можно (но не использовал). Можно эти порты ввести в гостевую зону емнип, будет отдельная сеть (с другим адресом т.е.), в которой клиентам доступен только шлюз. И это решило бы проблему.
Насчёт глючности 615: сталкивался, но это какая-то новая ревизия 615-го. Плоский корпус, структура WebUI не характерная для этой линейки (похоже по железу и софту оно мало общего имеет с прежними 615, но не копал глубже).
Шифрование выключить не пробовал, как-то бессмысленно это в такой конфигурации.
Прошивки обновлены везде, везде заводские последние.

Решил, напишу попозже как именно.
Follow the white rabbit.

Proxy
Профессор VB наук
Профессор VB наук
Аватара пользователя
 
Сообщения: 2941
Зарегистрирован: 31.08.2007 (Пт) 4:41

Re: Непонятный конфликт в сети

Сообщение Proxy » 07.12.2013 (Сб) 9:37

В общем DAP-1360 не такие простые, как кажутся.

Они могут работать как WiFi клиент и как репитер и ещё куча конфигураций поддерживается, но настроек минимум (очень самостоятельная железка, будет работать как репитер как только в зоне видимости появится сеть со схожим SSID и настройками безопасности, насколько я понял, т.к. отдельно заявленных режимов в настройках нет, только роутер (устанавливает PPPoE и маршрутизирует между WAN и LAN+WLAN) и AP (всё остальное) ), оно же клиент (и одновременно как репитер*).

Видимо всё же несколько точек для чего-то ищут схожие устройства в сети и самостоятельно кооперируются как-то. И да, WDS на них в настройках нет (но видимо оно всё же при определённых условиях используется, т.к. наличие заявлено).

Повторил манипуляцию с переключением портов, в этот раз вышло. Видимо в прошлый раз я делал всё последовательно и ни в один момент времени оба устройства одновременно не были отключены. Воткнул обе точки доступа портами LAN, обе выключил, включил — работает (во всяком случае пока).

Предназначение портов WAN из документации вообще не до конца ясно. В случае использования PPPoE можно бы было использовать только его (но в моём случае он подключался к DIR-615, так что в режиме роутера необходимости не было. К тому же и провайдер не использует PPPoE, а роутер работает только и только с PPPoE, так что был бесполезен в любой конфигурации, режима "DHCP клиент" здесь нет). Я наивно полагал, что ввиду отсутствия вариантов в режиме AP порт WAN работает как второй порт интегрированного коммутатора, но это было ошибкой.
И я подозреваю, что достаточно было бы в самом деле
заблокировать прохождение трафика между теми портами, куда включены точки доступа.
Видеть друг-друга в данном случае им было не к чему (это не офисная сеть, каждому клиенту достаточно иметь доступ только к шлюзу; это как в пределах одной AP, так и во всей сети).

Полагаю происходит следующее:
При включении точка ищет в сети аналогичные устройства (либо для идентификации непрерывно шлёт широковещательные с каким-то интервалом и непрерывно слушает, поведение повторяется и на той точке, которая была включена портом LAN на момент, когда другая ещё через WAN). После обнаружения совместимого устройства образуют пару и объединяют настройки беспроводной связи (один SSID соответственно пропадает как только по другому было осуществлено хотя бы одно соединение). Что характерно, фича работает только на WAN порту.
Если это действительно так, то это объясняет подобное поведение в полной мере.

Резюме: устройства довольно бестолковые. Веб-интерфейс позволяет настроить устройство через стандартное меню (там нет вообще ничего, по-сути можно только указать IP, SSID, задать пароль администратора и WPA и посмотреть статус интерфейсов) и расширенное меню (немного больше настроек, но большая часть так необходимого функционала отсутствует и там, очень самостоятельное устройство само принимает решения в большинстве вопросов).
Отсутствие DHCP клиента тоже немного удивляет. В режиме AP адрес можно назначить только вручную на самом устройстве.
Данное же поведение устройства — это либо какой-то баг (что в продукции D-Link скорее правило, нежели исключение), либо не очень хорошо реализованная фича (2 Ethernet порта на этих устройствах появились совсем недавно, в документации не добавлено практически ничего про это). Этим портам в режиме AP вообще логично было бы вести себя одинаково (или в противном случае WAN вообще должен отключаться). В документации вообще не обозначены такие моменты никак.
Было бы проще выявить проблемы на стороне Ethernet, если бы это был просто флуд. Первым же делом поднял глаза на индикаторы — ни на одном устройстве не наблюдалось аномальной активности ни на одном интерфейсе.

*схожий режим в терминологии DD-WRT звучит как "repeater", что в их случае предполагает и маршрутизацию с узлами на интегрированном Ethernet коммутаторе. К "клиенту" же подключается по WiFi нельзя, он только сам устанавливает соединение и только с одним устройством (при отсутствии беспроводных клиентов выигрыш только в том, что канал выходит стабильней, когда роутер по 802.11 подключений не ожидает). И емнип в DD-WRT ещё был "бридж" — на нём можно было организовать любую из вышеперечисленных конфигураций, но всё вручную (таблица маршрутизации изначально пустая в данном режиме). Ну и здесь же режим схожий с repeater`ом из DD-WRT, только включается самопроизвольно, когда посчитает необходимым. Чистого "клиента" как такового нет.
Follow the white rabbit.


Вернуться в Народный треп

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 12

    TopList