WiFi ARP мобильные устройства аккумулятор, батарея

[Bairamgulov Ramil]

На работе 3 Giga (KN-1010) в отдельной сети первый в режиме роутер, для выхода в интернет, два других в режиме точки доступа, прошивка на всех 3-х версии 2.14.C.0.0-4.

Началось с того что все устройства были прошиты до версии 2.14.C.0.0-4, мобильные устройства в частности смартфоны подключенные к точкам доступа стали быстро разряжаться, проведя анализ Wireshark'ом были удивлены широковещательным ARP запросами, от роутера, в беспроводной сети точек доступа, что по сути и вызывает быструю потерю заряда аккумуляторов мобильных устройств. Команды на роутере: ip hotspot no auto-scan interface Home, ip hotspot no auto-scan interface Bridge0, ip hotspot no auto-scan interface GigabitEthernet0/Vlan1, ни какого результата не дали, флуд как был так и остался разве что интенсивность уменьшилась. Какие есть предложение? И что можно сделать что бы исключить ARP флуд в беспроводной сети.

P.S.

Хотел купить похожую модель домой но воздержусь, дома Асус таких проблем нет, не было и надеюсь не будет.

[Le ecureuil]

1 час назад, KorDen сказал:

Небольшой UPD, дампы с подробностями потом. Роутер - ультра, доп. ТД нет, дамплю на ПК, auto-scan отключен:

 На подключенного клиента прилетает 1 ARP каждые 30 секунд.

 При этом периодически на подключенного по WiFi клиента каждые 30 секунд в LAN начинает прилетать пачка из 4 ARP-пакетов с интервалом в 1 секунду.

Малое поправление.

Раз в 30 секунд трекается "живой" клиент. На флуд это не похоже, просто обычный опрос типа "ты еще жив"?

Если после 30 секунд он не ответил, то его еще 4 раза спрашивают с интервалом в 1 секунду, и после этого выкидывают прочь из "живых". После этого до следующего реконнекта на него запросов уходить не будет.

Так что максимум может быть 5 запросов за 5 секунд и "досвидония".

[Le ecureuil]

А кто хоть запросы-то шлет? mac у них какой?

Выложите self-test и wireshark dump, посмотрим.

Пока похоже на то, что это кто-то сторонний и роутер тут не при чем.

[Bairamgulov Ramil]

On 2/2/2019 at 6:23 PM, Le ecureuil said:

А кто хоть запросы-то шлет? mac у них какой?

Выложите self-test и wireshark dump, посмотрим.

Пока похоже на то, что это кто-то сторонний и роутер тут не при чем.

Насчет "это кто-то сторонний", в wireshark источник бредкастовых ARP запросов совпадает с MAC адресом роутера.

self-test.txt

keenetic.pcapng

[Илья Хрупалов]

А насколько быстро/быстрее разряжаются ваши смартфоны? Приведите, пожалуйста, какие-то сравнительные примеры. Что за модели смартфонов? Какая в них выбрана настройка активности Wi-Fi?

[r13]

10 минут назад, Fandor сказал:

Рамиль, вообще-то на работе  работу работать надо, а не ползать по Инету с помощью личных смартфонов. Разбаловали вы своих сотрудников.

А по сути вопроса есть что добавить?!

[r13]

21 минуту назад, Fandor сказал:

О какой сути идёт речь? О том, что работники нарушают ТК РФ на рабочем месте, используя личные средства связи в рабочее время в личных целях, да ещё и претензии предъявляют? Так здесь такие вопросы не решают.

Например, в моей организации это строжайше запрещено внутренним распорядком дня. У каждого на рабочем месте имеется ПК подключенный в сеть по проводу. Кому-то по должностным обязанностям доступ в глобальную сеть открыт, кому-то закрыт. На работе работу делать надо, а не в инстаграммах, ,фв, ок, вк и прочем сидеть.

Не поверю что смартфоны используются для выполнения работы на рабочем месте.

И зачем эта тирада на техническом форуме?!

[Bairamgulov Ramil]

17 hours ago, Илья Хрупалов said:

А насколько быстро/быстрее разряжаются ваши смартфоны? Приведите, пожалуйста, какие-то сравнительные примеры. Что за модели смартфонов? Какая в них выбрана настройка активности Wi-Fi?

Вопрос уже решили, сделали из ваших устройств точки доступа, роутером выступает другое устройство которое не генерирует ARP запросы. Полазил по форуму смотрю у вас и раньше были проблемы с мобильными устройствами:
Giga II и бешеный жор батарей смартфонов по WiFi

Wi-Fi разряжает смартфон

2.11, Wi-Fi и батарея мобильных устройств

Сделали выводы, решили строить сеть с бесшовным роумингом на устройствах другого производителя.

Покупали ваши устройства для теста.

Спасибо за Ваши ответы и потраченное время.

P.S.

Тему можно закрывать.

Edited February 6, 2019 by Bairamgulov Ramil

[Илья Хрупалов]

1 час назад, Bairamgulov Ramil сказал:

у вас и раньше были проблемы с мобильными устройствами

Три упоминания (и все как-то разрешились) на три поколения и несколько миллионов устройств у пользователей. Причем с тех упоминаний уже, наверное, весь код не раз переписан или обновлен.

Очень жаль, что вы не привели никаких подробностей по самим мобильным устройствам.

 

[KorDen]

В 02.02.2019 в 18:23, Le ecureuil сказал:

А кто хоть запросы-то шлет?

Возможно речь идет о том, что кинетики сейчас при выключенном auto-scan шлют ARP на "известные" адреса, по крайней мере на недавно отключившиеся (3-4 пакета на один IP каждые несколько десятков секунд в течение скольки-то там минут я видел, позже конкретизирую), или еще как-то так.

Тогда делали вроде, чтобы он не рассылал бродкаст auto-scan в WiFi, но проблема в том, что он рассылает простые запросы в LAN и по идее его транслируют AP, подключенные проводом.

 

А, ну и до кучи, может там не только ARP... какой сейчас в итоге-то rekey-interval по-умолчанию?

Edited February 6, 2019 by KorDen

[KorDen]

Небольшой UPD, дампы с подробностями потом. Роутер - ультра, доп. ТД нет, дамплю на ПК, auto-scan отключен:

На подключенного клиента прилетает 1 ARP каждые 30 секунд.

При этом периодически на подключенного по WiFi клиента каждые 30 секунд в LAN начинает прилетать пачка из 4 ARP-пакетов с интервалом в 1 секунду.

[vasek00]

46 минут назад, KorDen сказал:

.. какой сейчас в итоге-то rekey-interval по-умолчанию? 

Согласно конфига

interface WifiMaster0
...
rekey-interval 3600


interface WifiMaster1
...
rekey-interval 3600

 

[vasek00]

15 минут назад, KorDen сказал:

.... auto-scan отключен

на какой интерфейс

no ip hotspot auto-scan interface Home

 

[KorDen]

1 час назад, vasek00 сказал:

Согласно конфига 

О, похоже, это буквально недавно добавили. До этого (буквально на 2.15.A.3.. или около того) в конфиге его не было, и после сброса вроде бы в RT2860AP RekeyInterval=0;0;..,. был

1 час назад, vasek00 сказал:

на какой интерфейс

конечно же на нужный

[KorDen]

25 минут назад, Le ecureuil сказал:

Если после 30 секунд он не ответил, то его еще 4 раза спрашивают с интервалом в 1 секунду

Ага, тогда всё еще яснее. В итоге:

Скрытый текст

111, 69, 72 - смартфоны Android 5/6/7 разных производителей, просто лежащие подключенными к сети с выключенным экраном. 69 на скрине нет, но там такая же картина как и с 72/111. Ну, я еще подампил ra0/ra1 на роутере для уверенности...

Смартфоны похоже периодически игнорируют одиночный ARP-request ради энергосбережения, через 30 секунд роутер начинает долбить 5 запросов, и на какой-то из них (не первый) смартфон таки решается ответить (не всегда). Дальше 30+30 секунд и по новой.

Это у меня всего три смартфона, а если их два десятка, да по проводу пара ТД?

Edited February 6, 2019 by KorDen

[Le ecureuil]

С MWS надо будет пересмотреть лимиты, возможно 5 запросов реально многовато.

По поводу ТД на проводе - тоже посмотрим, есть идеи как это убрать.

 

Особенность ситуации в том, что сейчас на роутере все настраивается по mac-адресу. В итоге нам критически важно поддерживать актуальное состояние mac<>ip связки и состояния устройства.

На этом основан policy routing, shaper, hotspot, nat, да и вообще куча всего.

[KorDen]

34 минуты назад, Le ecureuil сказал:

По поводу ТД на проводе - тоже посмотрим, есть идеи как это убрать.

Только, пожалуйста, без проприетарщины. Достаточно вспомнить про отсутствие у вас потолочных/уличных ТД и PoE.

34 минуты назад, Le ecureuil сказал:

Особенность ситуации в том, что сейчас на роутере все настраивается по mac-адресу

"Мы создадим себе проблемы, а потом героически будем их решать". В итоге любая настройка кинетика начинается с ip hotspot no auto-scan interface Home.

34 минуты назад, Le ecureuil сказал:

С MWS надо будет пересмотреть лимиты, возможно 5 запросов реально многовато.

Wait, MWS=контроллер? Только не надо завязываться на контроллер, речь в первую очередь о летающем в LAN.

Edited February 6, 2019 by KorDen

[Le ecureuil]

44 минуты назад, KorDen сказал:

Только, пожалуйста, без проприетарщины. Достаточно вспомнить про отсутствие у вас потолочных/уличных ТД и PoE.

Что имеется в виду? Проприетарщина если и будет, то только для общения между keenetic-ами, а с конечными устройствами все будет нормально.

[Le ecureuil]

45 минут назад, KorDen сказал:

"Мы создадим себе проблемы, а потом героически будем их решать". В итоге любая настройка кинетика начинается с ip hotspot no auto-scan interface Home.

Я бы не сказал, что это создание проблем.

Устройство только по MAC и можно адресовать, особенно если он не привязан к IP или имеет собственную статическую настройку. Этот адрес у него есть всегда и он не меняется (ситуацию c MAT дорабатываем).

Привязка к IP куда хуже, это было раньше и от этого ушли.

[Le ecureuil]

47 минут назад, KorDen сказал:

Wait, MWS=контроллер? Только не надо завязываться на контроллер, речь в первую очередь о летающем в LAN.

Имелось в виду, что раньше (во времена 2.08, когда делалось сканирование) больше 1-2 рипитеров и десятка устройств в одном L2 было редкостью. Теперь же у нас даже в офисе для теста развернута MWS-сеть на 14 точек доступа, это стало обыденностью. А уж количество хостов в такой сети легко может достичь сотен.

[KorDen]

2 часа назад, Le ecureuil сказал:

Что имеется в виду? Проприетарщина если и будет, то только для общения между keenetic-ами, а с конечными устройствами все будет нормально.

Имеется в виду ситуация, когда кинетик - ядро небольшой офисной сети (NAT+DHCP), а дальше в помещениях установлены свичи/ТД другого вендора. Т.е. навскидку (возможно я не так/не до конца понимаю проблему Hotspot), мы можем уменьшить объемы бродкаста (особенно в беспроводной сети), если будем ориентироваться например на список подключенных к AP, на его основе не слать часть бродкаста. Но этот список - это только проприетарщина между кинетиками по понятным причинам, а клиент, подключенный к ТД другого вендора - это просто проводной клиент для роутера, так что только arping'ом по идее и можно узнавать о хостах.

2 часа назад, Le ecureuil сказал:

Я бы не сказал, что это создание проблем.

Ну это скорее, ворчание на тему "раньше трава была зеленее" - раньше никому дело не было до необходимости знать онлайн ли хост, и никакого постоянного лишнего бродкастового трафика роутер не порождал. Точно так же как со счетчиками например, никто не считал - и все шли через HWNAT, а теперь у нас и по сети по-умолчанию бродкаста куча летает => быстрее мобильные устройства разряжаются, как не колдуй; и при большом количестве хостов мы неявно вываливаемся из HWNAT (но дури сейчас много, так что незаметно), и так далее и тому подобное.

[KorDen]

Чуть отходя от темы - тут недавно проскакивало где-то обсуждение, мол "сеть офиса на пару десятков компов и больше - это уже не уровень SOHO-кинетиков".

Хотя у меня чуть другое мнение - с сожалением сейчас приходится осознавать, что таки да, кинетик для офиса уже не так сильно и отличается от M-k по необходимой настройке, только наоборот - слишком уклон в попсу-простоту по-умолчанию, скажем так..

Ну, серьезно. Сеть на простом SOHO D-k/T-k можно построить и оно как-то вполне будет ворочаться, но надо будет ребутать периодически. Сеть на M-k надо вначале грамотно настроить, зато потом будет работать как часы.

И вот сейчас ситуация в том, что сеть на кинетиках получается тоже приходится настраивать вне рамок вебморды, просто потому что иначе у нас будет ARP-флуд, потому что некоторые фичи для офиса лишние, но фактически отрубаются только через консоль (навскидку UPnP например, хотя через морду можно радикально снести компонент). Преимущество HWNAT сейчас уже теряется, разгрузку IPsec на 7621 не сделали только ленивые. И как-то уже вопрос "M-k vs U-y vs Keenetic на сетку из 15+ устройств с приходящим эникейщиком" уже не стоит с точки зрения "в M-t нет HWNAT и надо знать как настраивать, в U-y для нормальной настройки надо тоже лезть в консоль", потому что у кинетика сейчас тоже надо лезть в консоль. Раньше тоже в некоторых случаях надо было чуть что лезть в консоль и потом не трогать ни в коем случае морду, но как-то ИМХО раньше надо было не всегда лезть, а сейчас - фактически всегда. Знакомые умудрялись вообще поставить Giga II на сетку из нескольких десятков компов (пачка свичей+потолочные ТД), не залезая ни разу в CLI, и оно очень даже безглючно работало. Сейчас по ощущением такая халява не прокатит в том числе по сабжевым причинам, от чего и грустно.

Edited February 6, 2019 by KorDen

[ajs]

11 час назад, KorDen сказал:

Чуть отходя от темы - тут недавно проскакивало где-то обсуждение, мол "сеть офиса на пару десятков компов и больше - это уже не уровень SOHO-кинетиков".

Обычный дом/квартира уже приближен к десятку а то и пару десятков устройств, а SOHO это уже наверно под сотню запросто ...

Взять обычную семью на 3 человека, у всех один или больше смартфонов, явно есть один два планшета, компьютер и возможно не один, ноутбук так же, принтер и всякие ТВ, медиаприставки, ресиверы и тп. А потом начинается то лампа в сети, то бойлер, то кондиционер то еще какой то IoT ... а если это дом, то еще всякая лабуда спокойно добежала до 10 а то и больше устройств

Edited February 7, 2019 by ajs

[Le ecureuil]

@KorDen спасибо за трезвый взгляд со стороны, есть над чем подумать.

[dvg_lab]

В 07.02.2019 в 12:52, Le ecureuil сказал:

@KorDen спасибо за трезвый взгляд со стороны, есть над чем подумать.

Появились ли идеи как пофиксить арп флуд?

[Le ecureuil]

4 часа назад, dvg_lab сказал:

Появились ли идеи как пофиксить арп флуд?

Вы же его можете выключить в любой момент.

[dvg_lab]

3 часа назад, Le ecureuil сказал:

Вы же его можете выключить в любой момент.

Насколько я понял проблема не только в  ip hotspot no auto-scan interface Home, а в том что каждые 30 сек роутер будит телефон и требует ответа на arp запрос, то о чем говорил @KorDen

А по поводу вышеуказанной команды, правильно ли я понимаю, что её нужно давать на все Bridge интерфейсы соответствующие созданным сегментам?

 

ЗЫ: Мне лично не сложно в консоли ввести команду, главное чтоб работало, но с другой стороны я приверженец теории упрощения конфигурирования устройств, поэтому полнофункциональный веб интерфейс был бы плюсом. Можно рассмотреть вопрос basic/advanced режимов, где в basic будут доступны только опции чаще требуемые для домашнего использования, а для advanced режима будет доступен максимум настроек для развертывания больших сетей.