Κολληματα σε zyxel 660 hw d3 οταν "τρεχουν" servers στο lan - λυση

[Reb0rn]

υπηρχε ενα παλιο μυνημα που αξιζει νομιζω προσοχης

Νομίζω ότι υπάρχει μια λύση για τα κολλήματα του P-660HW-D3 όταν χρησιμοποιείται μουλάρι ή άλλο πρόγραμμα με πολλά και ταυτόχρονα UDP connections.

Συγκεκριμένα, το 660 ενός γνωστού μου μετά από μία ώρα (περίπου) μουλαριού κολλούσε και έχανε τη σύνδεσή του. Δεν μπορούσε να μπει ούτε στο web interface ούτε στο CLI.

Μετά από ψάξιμο βρήκα τα ακόλουθα :

Το πρόβλημα εντοπίζεται στο ότι με το μουλάρι γεμίζει ο πίνακας NAT, όσο μεγάλος και αν γίνει, ακόμη και όταν του δώσουμε το μέγιστο μήκος 2048. Ο λόγος που γεμίζει είναι ο χρόνος που το 660 κρατά μια σύνδεση UDP στο NAT table ως IDLE πριν τη σβήσει και ελευθερώσει το χώρο για νέα χρήση. Ο χρόνος αυτός είναι 300 sec (= 5 min) !!! Έτσι μία σύνδεση UDP που έγινε και χρησιμοποιήθηκε πχ για 10 sec παραμένει στο NAT table ακόμη 300 sec μήπως και ξαναχρησιμοποιηθεί !!!

Το μουλάρι στο k a d κάνει άπειρες ταυτόχρονες τέτοιες συνδέσεις!! Όσο και αν περιορίσουμε την παράμετρο max. Connections στο μουλάρι, περιορίζουμε μόνο τις εξερχόμενες UDP συνδέσεις και όχι φυσικά τις UDP συνδέσεις που έρχονται από άλλους χρήστες k a d προς εμάς!!!!

Έτσι μετά από λίγο και αρκετά μηνύματα λάθους για το ότι γέμισε το NAT table, το 660 γίνεται ασταθές και με το παραμικρό κολλάει με μόνη διέξοδο το σβήσιμο (από την εμπειρία του 660 του γνωστού μου).

Η λύση είναι μια εντολή η οποία καθορίζει το timeout των συνδέσεων UDP στο NAT table δηλ αλλάζει αυτό το 300 sec. Η εντολή δίνεται από το CLI:

Σε Win XP
• START – RUN πληκτρολογούμε “cmd” και πατάμε enter
• Πληκτρολογούμε “telnet 192.168.1.1» και πατάμε enter (όπου 192.168.1.1 βάζουμε τη IP διεύθυνση του 660.)
• Πληκτρολογούμε το password που έχουμε ορίσει στο 660.
• Στο «ras>» πληκτρολογούμε «ip nat timeout udp 4672 30». Αυτή η εντολή λέει στο 660 ότι μια idle UDP σύνδεση που έγινε στο port 4672 του PC μας θα παραμείνει στο NAT table για 30 sec. Η απάντηση του 660 είναι «UDP port: 4672; idle timeout value: 10 seconds». Αν έχουμε στο k a d του μουλαριού άλλη UDP πόρτα αντικαθιστούμε το 4672 με αυτό που έχουμε βάλει στο setup του μουλαριού (options – connection – client port - UDP). Το 30 μπορεί να γίνει ότι μας ταιριάζει, χρειάζεται να πειραματιστούμε !!
• Πληκτρολογούμε exit και κλείνουμε το παράθυρο DOS.

Τα ανωτέρω τα δοκίμασα στο V3.40(AGM.2) firmware του 660 και όχι στο τελευταίο (αυτό ήταν εγκατεστημένο στο 660 τη στιγμή που βρήκα τι τρέχει και δεν τολμώ να το αναβαθμίσω!!). Επίσης, το firewall και το ασύρματο είναι κλειστά. Αν κάποιο φίλος κάνει κάτι σχετικό στο AGM.3 ή με firewall ας μας το πει.

Η διαφορά φαίνεται αν δούμε στο CLI τον πίνακα NAT. Η εντολή είναι «ip nat hashTable wanif0 display» (προσοχή το Τ κεφαλαίο, πατάμε και λίγα enter όσο βγαίνουν τα αποτελέσματα, δεν ξέρω γιατί αλλά ξεκολλάει τη δημιουργία της λίστας NAT).

Πριν την εντολή για αλλαγή του 300 σε 30 και μετά από 1-3 λεπτά k a d ο πίνακας φτάνει πάνω από 1000 entries και αυξάνεται συνεχώς, ενώ μετά την εντολή παραμένει σε φυσιολογικά επίπεδα με σκαμπανεβάσματα αλλά χωρίς τάση υπέρμετρης αύξησης !! Η αλλαγή ισχύει για όσες συνδέσεις γίνουν μετά που θα τη δώσουμε οπότε το αποτέλεσμα αρχίζει να φαίνεται μετά από 5 λεπτά.

Το θέμα είναι ότι η εντολή αυτή («ip nat timeout udp 4672 30») αλλάζει ένα μόνο UDP port κάθε φορά στο 660 (AGM.2 πάντα) και όχι πολλά ports ταυτόχρονα. Δηλ αν αλλάξουμε και το timeout του port 12345 σε 40, τότε το timeout του port 4672 ξαναπάει στα 300 sec. Δεν ξέρω γιατί !!

Επίσης, δεν βρήκα το αντίστοιχο (εντολή μεταβολής) για το NAT timeout των TCP connections τα οποία φαίνεται ότι παραμένουν στο NAT table ως idle για 9000 sec !!!! Κάθε βοήθεια ευπρόσδεκτη !! (οι εντολές sys tos timeout, δεν φαίνεται να έχουν αποτέλεσμα αν και τις άλλαξα και αυτές σε 30).

Τα πιο πάνω τα διάβασα εδώ :
http://www.dslreports.com/forum/remark,14517811 ή http://www.broadbandreports.com/forum/remark,14517811
και http://www.dsl-webseiten.de/forum/sh...ad.php?t=17495

και είπα να τα γράψω και στο forum μας γιατί δεν τα βρήκα σε κάποιο post.

Επίσης εδώ, http://global.zyxel.com/support/supp...#Configuration λίστα με εντολές του CLI που όμως δεν ισχύουν για όλα τα zyxel !!

Το μουλάρι του γνωστού μου, μετά την αλλαγή κάνει απανωτά ρεκορ συνεχούς downloading. Από τη μία ώρα με το ζόρι, έχει σήμερα πεντέμιση ώρες !! (ίσως το νούμερο να φαίνεται μικρό αλλά στο 660 έχει σημασία !!). Επίσης, επειδή το NAT table δεν γεμίζει, το browsing δεν κολλάει αδικαιολόγητα όταν είναι μαζί με το μουλάρι. Βέβαια αργεί λίγο επειδή το bandwidth πάει στο μουλάρι αλλά δεν κολλάει !!

Αναμένω feedback, διορθώσεις σε λάθη που ίσως έκανα και νέα για το AGM.3 !!

πολυ καλη η αναφορα σου , και νομιζω σου εχω την λυση για τιs γενικες αλλαγες στα tcp,udp,icmp

-TCP timeout handshake(default TCP other Timeout: 270 sec)

ras>ip nat timeout tcpother 300

-TCP timeout connected(default TCP Timeout: 9000 sec)

ras>ip nat timeout tcp 5000

-timeout RST packets (default Reset Timeout: 10 sec)

ras>ip nat timeout reset 5

-timeout GRE PPTP (default GRE Timeout: 9000 sec)

ras>ip nat timeout gre 5000

-timeout UDP,ICMP , αυτο εψαχνες !!!! (default Generic Timeout: 180 sec)

ras>ip nat timeout generic 30


sto telos

sys edit autoexec.net ( kai patame [x] )

ειμαι πλεον της αποψης οτι μετα το σεταρισμα του router μεσω web browser να μην ξανανοιχτει το συγκεκριμενο μοντελο με browser παρα μονο με telnet για διορθωσεις.
ειναι πραγματικα απογοητευτικο το ποσες δυνατοτητες εχει και ποσο φτωχο ειναι το web application του.

ολες οι εντολες μπορουν να βρεθουν απο την zyxel στην παρακατω url

http://www.zyxel.com/web/support_dow...20060816160116

[drhouse]

Νομίζω πως ο μηχανισμός ΝΑΤ είναι αναγκαίος μόνο στην περίπτωση που το εσωτερικό δίκτυο έχει περισσότερες της μίας δικτυακές συσκευές οι οποίες χρησιμοποιούν την μια και μοναδική public IP του router για επικοινωνία με το διαδίκτυο.

Στην περίπτωση του μοναδικού καβαλάρη, δηλαδή στην περίπτωση που το τοπικό δίκτυο έχει μόνο ένα υπολογιστή, μήπως είναι καλύτερα να απενεργοποιούμε τον μηχανισμό ΝΑΤΤing;

Νο ΝΑΤ -> Νο Natting Table.

Web interface:
Main menu -> Nat -> None.

[Reb0rn]

το ΝΑΤ ειναι αναγκαιο για να μπορεσει το εσωτερικο δικτυο ( 1 , 2 ,.... ν = hosts καθωρισμενοι απο την netmask ) να περασει στο wan = internet.αλλιως και ενας υπολογιστης να υπαρχει απο πισω θα προσπαθει να να "βγει" με την ι.ρ. του που εχει στο lan , που δεν γινεται.