Jump to content
  • 0

Мониторинг потребления трафика резервным соединением


i3v
 Share

Question

У моего KN-1810 (прошивка 3.5.2) два подключения от двух различных провайдеров. Основной и резервный. На резервном тариф с оплатой только за дни "в случае превышения входящего трафика 5 Мбайт в сутки".  И сначала всё было нормально, т.е. за резервный канал я не платил ничего. Но месяца 3 назад:

  • "резервный" провайдер стал стабильно выставлять счёт, из суммы которого получается, что я его услугами пользовался 20+ (октябрь 20, ноябрь 27, декабрь 20) дней в месяце.
    • При этом узнать у них конкретные дни и объёмы трафика можно только пешком сходив к ним куда-то там в офис (что, конечно, лень...). 
  • возникли баги с существенной потерей пакетов у основного провайдера, и я сначала грешил ещё и на это. Но их уже точно больше месяца как починили.
  • я обновил прошивку. Кажется, именно до 3.5.2 (не помню какая была до этого)

Сегодня:

  1. я заметил очередной счёт, за декабрь...
  2. аптайм KN-1810 составляет 45 дней. Syslog не настроен, но по клику на "Системный журнал -> сохранить на компьютер" видно лог с 10 декабря.
    • ОК, допустим первые 10 дней декабря я каждый день юзал резервный канал, остаётся вопрос про оставшиеся 10 дней...
  3. выдернул из KN-1810 Ethernet кабель основного провайдера (теста ради) и увидел в логе:
    [I] Jan  3 06:38:57 ndm: Network::Interface::Rtx::SfpEthernet: "GigabitEthernet1": link down.
    [W] Jan  3 06:38:57 ndm: Dhcp::Client: DHCP server is not responding.
    [I] Jan  3 06:38:57 ndm: Network::Interface::Ip: "GigabitEthernet1": IP address cleared.
    [I] Jan  3 06:38:57 nimproxy: NDM IGMP/Multicast proxy stopped (exit status: 0).
    [W] Jan  3 06:38:57 ndhcpc: GigabitEthernet1: interrupted by a stop signal.
    [I] Jan  3 06:38:57 ndhcpc: GigabitEthernet1: NDM DHCP client stopped (exit status 0).
    [I] Jan  3 06:38:58 ndm: Network::InterfaceFlusher: flushed GigabitEthernet1 conntrack and route cache.
    [I] Jan  3 06:38:58 upnp: shutting down MiniUPnPd
    [I] Jan  3 06:38:58 ndm: Core::Session: client disconnected.
    [I] Jan  3 06:38:58 ndm: Http::Nginx: loaded SSL certificate for "c944b0bcf0c50a0f4085a85e.keenetic.io".
    [I] Jan  3 06:38:58 ndm: Http::Nginx: loaded SSL certificate for "i3vi3v.keenetic.link".
    [I] Jan  3 06:38:58 ndm: Core::Server: started Session /var/run/ndm.core.socket.
    [I] Jan  3 06:38:58 ndm: Core::Session: client disconnected.
    [I] Jan  3 06:38:59 ndm: Http::Manager: updated configuration.
    [I] Jan  3 06:38:59 ndm: Core::Server: started Session /var/run/ndm.core.socket.
    [I] Jan  3 06:38:59 ndm: Core::Session: client disconnected.
    [I] Jan  3 06:38:59 nimproxy: NDM IGMP/Multicast Proxy, v0.0.34.
    [I] Jan  3 06:39:00 ndm: Core::Server: started Session /var/run/ndm.core.socket.
    [I] Jan  3 06:39:00 upnp: HTTP listening on port 54141
    [I] Jan  3 06:39:00 upnp: Listening for NAT-PMP/PCP traffic on port 5351
    [I] Jan  3 06:40:18 ndm: Network::Interface::Rtx::SfpEthernet: "GigabitEthernet1": link up.
    [I] Jan  3 06:40:20 ndhcpc: GigabitEthernet1: NDM DHCP Client, v3.2.43.
    [I] Jan  3 06:40:20 ndhcpc: GigabitEthernet1: created PID file "/var/run/ndhcpc-eth3.pid".
    [I] Jan  3 06:40:22 ndhcpc: GigabitEthernet1: received OFFER for xx.xx.xx.xx from 10.182.64.1.
    [I] Jan  3 06:40:22 ndhcpc: GigabitEthernet1: received ACK for xx.xx.xx.xx from 10.182.64.1 lease 2983 sec.
    [I] Jan  3 06:40:22 ndm: Dhcp::Client: configuring interface ISP.
    [I] Jan  3 06:40:22 ndm: Network::Interface::Ip: "GigabitEthernet1": IP address is xx.xx.xx.xx/20.
    [I] Jan  3 06:40:22 ndm: Dhcp::Client: obtained IP address xx.xx.xx.xx/20.
    [I] Jan  3 06:40:22 ndm: Dhcp::Client: interface "ISP" is global, priority 700.
    [I] Jan  3 06:40:22 ndm: Dhcp::Client: adding a default route via xx.xx.xx.1.
    [I] Jan  3 06:40:22 ndm: Dhcp::Client: adding a host route to name server 213.85.204.190.
    [I] Jan  3 06:40:22 ndm: Dhcp::Client: adding name server 213.85.204.190.
    [I] Jan  3 06:40:22 ndm: Dns::Manager: name server 213.85.204.190 added, domain (default).
    [I] Jan  3 06:40:22 ndm: Dhcp::Client: adding a host route to name server 213.85.204.220.
    [I] Jan  3 06:40:22 ndm: Dhcp::Client: adding name server 213.85.204.220.
    [I] Jan  3 06:40:22 ndm: Dns::Manager: name server 213.85.204.220 added, domain (default).
    [I] Jan  3 06:40:22 nimproxy: NDM IGMP/Multicast proxy stopped (exit status: 0).
    [I] Jan  3 06:40:23 ndm: Network::InterfaceFlusher: flushed GigabitEthernet0/Vlan4 conntrack and route cache.
    [I] Jan  3 06:40:23 upnp: shutting down MiniUPnPd
    [I] Jan  3 06:40:23 ndm: Core::Session: client disconnected.

    стал искать похожие строчки в имеющемся логе в целом. Что-то нашлось, но это больше похоже на 2 дня использования, чем на 10: 

    • 2 вхождения Network::InternetChecker: Internet access lost":

      • [E] Dec 15 13:28:47 ndm: Io::UdpSocket: unable to write data: operation not permitted.
        [I] Dec 15 13:33:32 ndhcpc: GigabitEthernet1: received ACK for xx.xx.xx.xx from 10.182.64.1 lease 5400 sec.
        [I] Dec 15 13:45:44 ndm: Network::InternetChecker: Internet access lost (status: 0x0000).
        [I] Dec 15 13:46:30 ndm: PingCheck::Profile: interface ISP connection check failed.
        [I] Dec 15 13:46:31 ndm: Network::InterfaceFlusher: flushed GigabitEthernet1 conntrack and route cache.
        [I] Dec 15 13:46:31 upnp: shutting down MiniUPnPd
        [I] Dec 15 13:46:31 ndm: Core::Session: client disconnected.
        [I] Dec 15 13:46:33 ndm: Core::Server: started Session /var/run/ndm.core.socket.
        [I] Dec 15 13:46:33 upnp: HTTP listening on port 52859
        [I] Dec 15 13:46:33 upnp: Listening for NAT-PMP/PCP traffic on port 5351
        [I] Dec 15 13:46:35 ndm: Network::InternetChecker: Internet access detected.
        [I] Dec 15 13:47:36 ndm: PingCheck::Profile: interface ISP connection recovered.
        [I] Dec 15 13:47:36 ndm: Network::InterfaceFlusher: flushed GigabitEthernet0/Vlan4 conntrack and route cache.
        [I] Dec 15 13:47:36 upnp: shutting down MiniUPnPd
        [I] Dec 15 13:47:36 ndm: Core::Session: client disconnected.
        [I] Dec 15 13:47:38 ndm: Core::Server: started Session /var/run/ndm.core.socket.
        [I] Dec 15 13:47:38 upnp: HTTP listening on port 54387
        [I] Dec 15 13:47:38 upnp: Listening for NAT-PMP/PCP traffic on port 5351

         

      • [I] Dec 28 13:50:11 ndhcpc: GigabitEthernet1: received ACK for xx.xx.xx.xx from 10.182.64.1 lease 5400 sec.
        [I] Dec 28 14:15:52 ndm: Network::InternetChecker: Internet access lost (status: 0x0000).
        [I] Dec 28 14:16:53 ndm: PingCheck::Profile: interface ISP connection check failed.
        [I] Dec 28 14:16:53 ndm: Network::InterfaceFlusher: flushed GigabitEthernet1 conntrack and route cache.
        [I] Dec 28 14:16:53 upnp: shutting down MiniUPnPd
        [I] Dec 28 14:16:53 ndm: Core::Session: client disconnected.
        [I] Dec 28 14:16:55 ndm: Network::InternetChecker: Internet access detected.
        [I] Dec 28 14:16:55 ndm: Core::Server: started Session /var/run/ndm.core.socket.
        [I] Dec 28 14:16:55 upnp: HTTP listening on port 50079
        [I] Dec 28 14:16:55 upnp: Listening for NAT-PMP/PCP traffic on port 5351
        [I] Dec 28 14:22:07 ndhcps: DHCPREQUEST received (STATE_RENEWING) for 192.168.166.33 from 00:15:00:5c:86:84.
        [I] Dec 28 14:22:07 ndhcps: sending ACK of 192.168.166.33 to 00:15:00:5c:86:84.
        [I] Dec 28 14:30:33 ndm: PingCheck::Profile: interface ISP connection recovered.
        [I] Dec 28 14:30:34 ndm: Network::InterfaceFlusher: flushed GigabitEthernet0/Vlan4 conntrack and route cache.
        [I] Dec 28 14:30:34 upnp: shutting down MiniUPnPd
        [I] Dec 28 14:30:34 ndm: Core::Session: client disconnected.
        [I] Dec 28 14:30:36 ndm: Core::Server: started Session /var/run/ndm.core.socket.
        [I] Dec 28 14:30:36 upnp: HTTP listening on port 54035
        [I] Dec 28 14:30:36 upnp: Listening for NAT-PMP/PCP traffic on port 5351
        [I] Dec 28 14:35:12 ndhcpc: GigabitEthernet1: received ACK for xx.xx.xx.xx from 10.182.64.1 lease 5400 sec.

         

    • 3 вхождения "flushed GigabitEthernet1 conntrack" (все уже упомянуты)
    • 3 вхождения "flushed GigabitEthernet0/Vlan4 conntrack" (все уже упомянуты)
    • Больше не знаю на что обратить внимание....
    • Ну, ещё "GigabitEthernet0" встречается только в DHCP лизах, которые происходили раз в 36 часов, типа такого. Но если это и порождало внешний трафик, то вряд ли это мой трафик.
      • [I] Dec 20 06:54:34 ndhcpc: GigabitEthernet0/Vlan4: received ACK for 192.168.167.101 from 192.168.167.1 lease 259200 sec.

         

  4. На вкладке "Системный монитор" для основного провайдера, до эксперимента с отключением кабеля, было указано "Подключено 31дн". 
    • Разве не логичнее было бы сбрасывать аптайм соединения, если ping check считает соединение сломанным? (В логе ведь описано отсутствие коннекта 2020-12-28, более чем 10 минут.)
  5. Проверил, что Ping Check на резервном канале выключен.
  6. Заметил, что для резервного соединения указано "Принято 5,16 Гбайт, Отправлено 1,13 Гбайт" (см. вложенный скриншот). Не понятно за какое время... Но это как-то многовато...
    • На счётчиках основного канала указано "Принято: 152 Гбайт, Отправлено: 43,2 Гбайт" всего-то... И вот теперь я даже уже не так уверен, что это резервный провайдер меня дурит.
  7. Примерно с 50% скважностью, у резервного соединения показывает какую-то скорость приёма и передачи больше 0 и меньше 1 кбит/с, хотя вроде там нечему ходить. В диагностике, в "Активные соединения" висит только: 
    Источник Адрес назначения Служба
    Keenetic_Ultra (MGTS)
    192.168.167.101
     
     
    :55662
    192.168.167.1
    UDP/53

 

Хочется всё-таки разобраться... Но не очень понятно куда дальше копать дабы чётко понимать в какие дни (и, желательно, сколько) трафика шло через резервный канал...
Понятно что надо бы обновиться до 3.5.6 и настроить syslog.... 
И... Ковыряться с netflow?
При этом готовых скриптов/гаидов тоже что-то не нашёл сходу... Странно как-то... Разве вопрос "а когда резервный канал собственно использовался?" не появляется автоматически у всех кто сделал себе резервный канал?

 

Ещё общие соображения:

  • Конфиг роутера резервного провайдера (точнее - оптического терминала) я практически не трогал. Только выключил WiFi и прописал KN-1810 в таблицу Static DHCP.
  • К роутеру резервного провайдера подключён только KN-1810 (Ethernet кабелем, напрямую), больше ничего.
  • В конфиге Keenetic я тоже почти ничего не трогал, всё "из коробки". Даже по telnet/ssh только сегодня зашёл первый раз.
  • Понятно, что можно грешить на резервного провайдера как такового, на то что роутер их давно хакнут и что-то там майнит и т.п. и Keenetic в этом случае может в принципе быть не при чём и ничего не видеть. Но в этом случае всё равно хотелось бы понять, что это за 5Гбайт такие...

 

Сорри за объём.

MGTS use.PNG

MGTS setup.PNG

Link to comment
Share on other sites

1 answer to this question

Recommended Posts

  • 0

https://help.keenetic.com/hc/ru/articles/360002426860-Служебный-трафик изучите для начала это для понимания, какой трафик может идти с кинетика в резерв при обрыве основного соединения (оно у вас есть между логами про PingChecker - не путать с InternetChecker'ом!). Кстати судя по логам этим проблемы с потерей пакетов у основного провайдера у вас все же присутствуют.

53 порт - это DNS, они могут опрашиваться на всех доступных подключениях (используются самые шустрые), но весьма сомнительно, чтобы нагенерили гигабайты трафика за месяц.

Из прочего, при рабочем основном канале в резерв может идти только тот трафик, что явно туда маршрутизируется. Если сами не прописывали маршрутов, могут быть какие-нибудь торренты с локальными пирами.

Для понимания по дням лучше все же заявку провайдеру оставить. МГТС достаточно продвинуты, чтобы это можно было сделать онлайн, давите на техподдержку.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...