Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
Проблемы с IPV6 (SLAAC назначает адреса мостам VLAN), UniFi Network
 
#1
02.03.2017 08:19:00
Я уже писал об этом в теме VLAN, но, думаю, проблема всё же скорее связана с IPV6. У меня в сети есть IPV6: одна подсеть для LAN и одна для GUEST. Подсеть для управления — только на IPV4. Точки доступа должны быть только L2-устройствами и иметь IP адрес только для управления.

Моя конфигурация:  
2 UAP AC Lite и 1 UAP AC LR  
VLAN-ы:  
1 — management и radius  
10 — LAN (EAP)  
20 — GUEST (EAP)  
30 — LEGACY DEVICES (WPA2)

Весь транк идет на коммутатор NETGEAR GS716T. С коммутатора все три VLAN-ы идут на порт PFSENSE. VLAN 10 и 30 объединены в бридж для прозрачной фильтрации между ними, при этом оставаясь в одном широковещательном домене, чтобы разрешить multicast и IGMP.

Хосты, находящиеся на объединённых VLAN-ах, постоянно разрывают соединение — примерно каждую секунду. В журнале radius видны успешные логины каждые несколько секунд. На точках доступа в логах постоянно повторяются такие строки:

Mar  1 15:36:41 Basement kern.warn kernel: [ 6178.960000] br0.10: получен пакет на eth0.10 с собственным адресом в качестве исходного
Mar  1 15:36:41 Basement kern.info kernel: [ 6178.960000] br0.10: обнаружен дублирующий IPv6 адрес 2001:470:b6e4:1:822a:a8ff:fe89:960e!
Mar  1 15:36:41 Basement kern.warn kernel: [ 6178.960000] br0.30: получен пакет на eth0.30 с собственным адресом в качестве исходного

Проблема вроде решилась после команды отключения IPV6:  
sysctl -w net.ipv6.conf.all.disable_ipv6=1  

IPv6 адрес был назначен на нескольких br-интерфейсах (и дублировался на br0.10 и br0.30).

br0       Link encap:Ethernet  HWaddr 80:2A:A8:93:F2:BE  
          inet addr:192.168.250.3  Bcast:192.168.250.15  Mask:255.255.255.240  
          inet6 addr: fe80::822a:a8ff:fe93:f2be/64 Scope:Link  
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1  
          RX packets:12689 errors:0 dropped:0 overruns:0 frame:0  
          TX packets:2388 errors:0 dropped:0 overruns:0 carrier:0  
          collisions:0 txqueuelen:0  
          RX bytes:998073 (974.6 KiB)  TX bytes:905104 (883.8 KiB)  

br0.10    Link encap:Ethernet  HWaddr 80:2A:A8:93:F2:BE  
          inet6 addr: 2001:470:b6e4:1:822a:a8ff:fe93:f2be/64 Scope:Global  
          inet6 addr: fe80::822a:a8ff:fe93:f2be/64 Scope:Link  
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1  
          RX packets:7731 errors:0 dropped:0 overruns:0 frame:0  
          TX packets:5 errors:0 dropped:0 overruns:0 carrier:0  
          collisions:0 txqueuelen:0  
          RX bytes:652529 (637.2 KiB)  TX bytes:406 (406.0 B)  

br0.20    Link encap:Ethernet  HWaddr 80:2A:A8:93:F2:BE  
          inet6 addr: 2001:470:b6e4:2:822a:a8ff:fe93:f2be/64 Scope:Global  
          inet6 addr: fe80::822a:a8ff:fe93:f2be/64 Scope:Link  
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1  
          RX packets:1689 errors:0 dropped:0 overruns:0 frame:0  
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0  
          collisions:0 txqueuelen:0  
          RX bytes:261652 (255.5 KiB)  TX bytes:476 (476.0 B)

После отключения IPV6 IP-адрес остался только на интерфейсе управления br0. Значит, где-то был утечка ipv6.

Сейчас конфигурация стабильна, устройства остаются подключенными. Бридж между VLAN10 и VLAN30 работает, как надо.

Есть ли способ отключить ipv6 через config.properties?
 
 
 
#2
29.09.2017 14:04:00
Я только что обновил одну из своих точек доступа. В ближайшие дни протестирую, но пока с IPV6 вроде всё в порядке.
 
 
 
#3
17.10.2017 22:03:00
@Fabio72

Функция add-kicketh-option уже была добавлена в версию 3.9.3, так что пользоваться ей можно без проблем.
 
 
 
#4
17.10.2017 07:54:00
Существуют ли прошивки с исправлением уязвимости KRACK? Нужно ли возвращаться к основной ветке прошивки и снова использовать обходные решения (выключение stamgr и IPV6)?
 
 
 
#5
09.10.2017 08:30:00
@UBNT-jeff

Какие сроки выхода версии 5.7.x? У нас такая же проблема с отключениями по Ethernet, как описано в stamgr-kick-sta-on-00-0b-6b-xx-xx-xx-ath3-reason-On-Ethernet. Какой рекомендуемый план действий, пока 5.7.x не выйдет? Спасибо, Крис.
 
 
 
#6
06.10.2017 15:09:00
@Fabio72: Можешь отметить пост как решение?
 
 
 
#7
29.09.2017 17:18:00
Я обновил все три точки доступа, и теперь всё работает отлично. Единственная функция, которой мне не хватает, — возможность смешивать VLAN, назначенные через RADIUS, с фиксированными. Сейчас, если я пытаюсь использовать статический VLAN, беспроводная сеть не работает.
 
 
 
#8
29.09.2017 17:03:00
@nathan1

Звучит отлично! Да, мы добавим это как продвинутую опцию в интерфейсе, скорее всего в версии 5.7.x.

@Fabio72

Надеюсь, это объясняет, как пользоваться этой опцией: https://help.ubnt.com/hc/en-us/articles/205146040-UniFi-config-properties-File-Explanation
 
 
 
#9
29.09.2017 14:37:00
Мне нужно добавить stamgr.kicketh.status=0 в /usr/lib/unifi/data/sites/default/config.properties?
 
 
 
#10
29.09.2017 13:07:00
@UBNT-jeff

Примерно неделю использую эту прошивку — все отлично, работает как и ожидал, надежно. Надеюсь, в будущих релизах она останется доступной как скрытая настройка.
 
 
 
#11
25.09.2017 08:23:00
LOL, да, я это забыл
 
 
 
#12
23.09.2017 17:14:00
Да, это работает на клиентах. На точках доступа это сломалось в какой-то неизвестный момент и никогда не работало на коммутаторах. (Ну, если только не включить DHCP snooping — тогда получается настоящий бум. Если память не изменяет, с IGMP snooping было то же самое.)
 
 
 
#13
23.09.2017 11:21:00
@UBNT-jeff

Это прошивка отлично работает у меня в прозрачной L2-бриджевой сети. Как только я её поставил, она просто заменяла мои точки доступа другого производителя без проблем. 4xAP-AC-Pro с 30 клиентами. Я вижу, что stamgr отключает клиентов по обычным причинам (на других VAP — низкий RSSI) и клиенты свободно перемещаются без проблем. На самом деле, я не думаю, что мне нужны VLAN-специфичные отключения по Ethernet, полное отключение Ethernet kick достаточно для такой схемы, если это 100% UniFi AP, как ты и говорил. Через неделю примерно обновлю информацию, чтобы подтвердить. Ещё раз спасибо, что признали проблему и очень быстро её исправили.

@Fabio72

Похоже, что эта прошивка может подойти и тебе, по крайней мере по части stamgr. Возможно, сеть в целом немного улучшится, потому что отключения будут происходить по ожидаемым причинам, как выше.
 
 
 
#14
22.09.2017 23:15:00
@UBNT-jeff

Отлично, я полностью перехожу на unifi, так что это работает отлично. Буду держать вас в курсе, как всё будет развиваться в ближайшие пару дней. Спасибо за быструю починку.
 
 
 
#15
22.09.2017 22:52:00
@nathan1

Это отключает только отключение STA, которые, по всей видимости, переключились на Ethernet. Если у вас 100% UniFi AP, таблицы STA всё равно будут обновляться, потому что мы отправляем кадр, чтобы указать, что STA переместился.
 
 
 
#16
22.09.2017 22:14:00
@UBNT-jeff

Извиняюсь за свою медлительность... оно отключает ВСЕ виды отключения или только отключение по Ethernet? В том числе отключение, которое происходит, если одной точке доступа сообщают, что MAC-адрес находится на другой точке? Спасибо.
 
 
 
#17
22.09.2017 22:06:00
@nathan1

Нет, это полностью отключает функцию кика, так как отключение кика на разных VLAN займет больше времени на разработку. Надеюсь, это временное решение для вас, пока мы не реализуем остальные функции.
 
 
 
#18
22.09.2017 22:00:00
@UBNT-jeff

Вариант 2 пока выглядит хорошо, я вижу, что stamgr работает с параметром -K. Какое поведение у этой версии? Она не будет отключать никакие ethernet-устройства или только те, которые видит на соответствующем VLAN?
 
 
 
#19
22.09.2017 21:28:00
@nathan1 Извини за это. Вот, держи: https://dl.ubnt-ut.com/uap2-add-kicketh-option2.bin
 
 
 
#20
22.09.2017 20:43:00
@UBNT-jeff

Спасибо за быструю сборку. Но, кажется, чего-то не хватает: я вижу, что опция -K передается в stamgr, но при запуске она не распознаётся (в справке её нет). init перезапускает процесс. Фактически это сейчас отключает stamgr, что покрывает только половину задачи.

BZ.add-kicketh-option# tail -f /var/log/messages  
22 сен 16:43:30 f09fc233246e daemon.info init: процесс '/bin/stamgr -i 1 -K' (pid 6521) завершился. Запланирован перезапуск.  
22 сен 16:43:30 f09fc233246e daemon.info init: Запуск pid 6525, tty '/dev/null': '/bin/stamgr -i 1 -K'  
22 сен 16:43:31 f09fc233246e daemon.info init: процесс '/bin/stamgr -i 1 -K' (pid 6525) завершился. Запланирован перезапуск.  
22 сен 16:43:31 f09fc233246e daemon.info init: Запуск pid 6526, tty '/dev/null': '/bin/stamgr -i 1 -K'  
22 сен 16:43:32 f09fc233246e daemon.info init: процесс '/bin/stamgr -i 1 -K' (pid 6526) завершился. Запланирован перезапуск.  
22 сен 16:43:32 f09fc233246e daemon.info init: Запуск pid 6528, tty '/dev/null': '/bin/stamgr -i 1 -K'  
22 сен 16:43:33 f09fc233246e daemon.info init: процесс '/bin/stamgr -i 1 -K' (pid 6528) завершился. Запланирован перезапуск.  
22 сен 16:43:33 f09fc233246e daemon.info init: Запуск pid 6529, tty '/dev/null': '/bin/stamgr -i 1 -K'  
22 сен 16:43:34 f09fc233246e daemon.info init: процесс '/bin/stamgr -i 1 -K' (pid 6529) завершился. Запланирован перезапуск.  
22 сен 16:43:34 f09fc233246e daemon.info init: Запуск pid 6530, tty '/dev/null': '/bin/stamgr -i 1 -K'  
22 сен 16:43:35 f09fc233246e daemon.info init: процесс '/bin/stamgr -i 1 -K' (pid 6530) завершился. Запланирован перезапуск.  
22 сен 16:43:35 f09fc233246e daemon.info init: Запуск pid 6532, tty '/dev/null': '/bin/stamgr -i 1 -K'

^C  
BZ.add-kicketh-option# BZ.add-kicketh-option# /bin/stamgr -i 1 -K  
[UAP-AC-Pro-Gen2] Radios = 2
/bin/stamgr: неверная опция -- K  
использование: /bin/stamgr [опции]
 -a          показать всех клиентов (не только активных)  
 -i <сек>    интервал (по умолчанию 1)  
 -B <br>     указать мостовое устройство  
 -b <band>   радио (ng | na)  
 -e <eth0>   указать ethernet-устройство  
 -K          отключить кик клиентов при обнаружении ethernet-присутствия  
 -r <rssi>   кикать клиента, если rssi ниже указанного  
 -n <maxsta> кикать клиента, когда общее число превысит maxsta  
 -v          переключить статистику  
 -s          переключить присутствие bandsteering — дать lbd управлять киками  
 -h          помощь

                      +- радио: b/[n]g/[n]a/ac
                      | +- t(tkip) e(aes или wep)  
                      | |                                               накоплено >------<  
48m[28:37:37:1e:88:e2] npe idle= 0 rssi=60 6/130 ccq= 18 tx/ret= 0/ 0 rx= 7 err=2281/0
                     | |                                   >--------дельта-------<  
                     | +- p(powersave) u(uspad)  
                     +- !(не авторизован) ?(dhcp неведом) 1(dhcp discover) 3(dhcp request) ' '(dhcp done/ack)

BZ.add-kicketh-option#
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)