WiFi - пропадает выход в интернет. Проблема с ARP-запросами от роутера | Ubiquiti форум UBNT: инструкции, настройка

WiFi - пропадает выход в интернет. Проблема с ARP-запросами от роутера

AL40K

новичок
21 Июл 2018
4
0
3
Кратко: WiFi-клиенты подключаются, все работает, но через какое-то время отваливается выход в интернет, хотя локалка по wifi доступна.

Дано: главный роутер DLink DFL-870 (4 WAN и т.д.), локальная сеть - штук 10 разных UniFi Switches (48/24/poe/8/10G и т.д.), контроллер на Win64 Server, 4 точки доступа AP AC Lite

Проблема: клиент (не важно, телефон/ноутбук) подключается к WiFi, получает адрес, все работает. Через какое-то время у клиента пропадает выход в интернет, хотя локалка видна, как клиент видит локалку, так и локалка видит/пингует клиента
Но! на главном роутере в логах видно, что роутер не может достучаться ARP-ом до клиента и через какое-то время выкидывает его MAC из таблицы маршрутизации и после этого клиент не может выйти в инет - роутер его игнорит, так как неизвестный ему MAC

Прошивки везде последние, проблема началось примерно полгода-год назад, начиная с какой-то из версий прошивок точек , но увы, точно сказать не могу. Логи вайршарка показали, что роутер периодически опрашивает локалку на предмет живы MAC-и или нет, и если ответ не получает - то по таймауту выкидывает МАК из маршрутизации. После выключения-включения WiFi на телефоне и реконнекта - все тут же начинает работать. Какое-то время, пока роутер не выкинет МАК из таблицы.

Т.е. AP не пропускает ARP-запросы от роутера до wifi-клиента. По кабелю все работает отлично, проблема только с AP. Я нашел на складе старые AP Pro - но там оказалась уже 3.9.3 прошивка и ситуация точно такая же, как на более новых. Само оборудование и конфиг работает у меня уже года 4, и первые 3 все было нормально. Только спустя какое-то время после выхода какой-то из прошивок для AP - начались проблемы.

Такая же проблема на более простом конфиге, DFL-870 в качестве шлюза, Unifi Key + Unifi Switch 8 POE + AP-Pro, прошивки 3.9.ххх - и точно так же, через какое-то время wifi клиенты Вычеркиваются роутером из таблицы и интернета нет.

Аналогичные проблемы описаны и на основном форуме UBNT, те же симптомы, ARP от gw не проходит через AP до wifi-клиента и клиент теряет выход в инет. Проблема явно не новая, сообщений много, официальных ответов никаких нет :(

Может кто-то сталкивался с аналогичными проблемами и знает, как решать?

всякие улучшалки/расширенные функции и прочие свистелки в настройках сетей на проблему не влияют, я на тестовом конфиге врубал-вырубал все, что мог, ничего не помогает. Менял AP на любую не от UBNT - все работает без каких либо проблем, проблема именно с UBNT AP. А нужны именно они, так как хочется и роуминг и прочие управления.

Замена GW c DLink на тот же USG не канает, так как надо держать несколько WAN-ов, десяток IPSEC/PPTP впн, ну и кучу всякого прочего, чего USG делать не может.
 

fAntom

Super Moderator
Команда форума
24 Ноя 2017
1.525
106
5.065
Kharkov
ubnt.ru
Последовательно откатывайте прошивку на одной из точек (например тестовой) и определите на какой версии проблем не будет. Старые прошивки (до некоторого предела) доступны на сайте производителя, там же где и свежая (под спойлером see past firmare).
 
Автор
A

AL40K

новичок
21 Июл 2018
4
0
3
Ага, спасибо, пробую постепенно откатываться
 
Автор
A

AL40K

новичок
21 Июл 2018
4
0
3
Докатился до 3.3, не помогает. Похоже, что дело именно в роутере, который проверяет ARP-таблицу и периодически посылает ARPы всем хостам :( свичи и клиенты на проводах все это нормально отрабатывают, а вот точки доступа в эфир такие АРПы не пропускают

и как только истекает таймаут (по умолчанию - 15 минут), роутер выкидывает МАКи из таблицы и более не принимает от них пакеты, считая их спуфингом
 

Fenek

участник
2 Янв 2018
115
13
20
Ага, такой баг есть.
Насколько знаю, лекарства от него пока не изобрели. Единственный выход, который вижу: поменять время жизни ARP и MAC. Костыль, конечно, но рассмотреть можно.
 
Автор
A

AL40K

новичок
21 Июл 2018
4
0
3
Замените DLink и будет Вам счастье....
увы, не будет. так как проблема есть не только с ДЛинком. Помимо этого, замена центрального маршрутизатора, который держит 5 WANов с почти гигабитом трафика (половина - ipsec) , балансировки, роутинги, десяток-другой впн и прочего, наты-саты-сипы и прочую сетевую инфраструктуру с полутысячей устройств из-за ошибки в вайфай-точке -доступа сродни замене автомобиля, когда у него пепельница забилась.

пока да, помогает увеличение таймаутов. И удивляет молчание официального саппорта (я про главный форум ubnt), где подобные проблемы с разным оборудованием описываются разными клиентами уже более года, но старательно не замечаются техподдержой :(
 

Fenek

участник
2 Янв 2018
115
13
20
увы, не будет. так как проблема есть не только с ДЛинком. Помимо этого, замена центрального маршрутизатора, который держит 5 WANов с почти гигабитом трафика (половина - ipsec) , балансировки, роутинги, десяток-другой впн и прочего, наты-саты-сипы и прочую сетевую инфраструктуру с полутысячей устройств из-за ошибки в вайфай-точке -доступа сродни замене автомобиля, когда у него пепельница забилась.

пока да, помогает увеличение таймаутов. И удивляет молчание официального саппорта (я про главный форум ubnt), где подобные проблемы с разным оборудованием описываются разными клиентами уже более года, но старательно не замечаются техподдержой :(
Вопрос лично для себя на будущее: какой тайм ставили и не было ли побочек от этого?

Ну у Ubiquiti позиция тут простая "между собой наше оборудование работает, а за остальное мы гарантий дать не можем". Не исключаю, что они сами не знают, что эффективного посоветовать таким пользователям. Остается только ждать новых прошивок. Авось в какой-то будет лекарство от этой беды.)
 

gavrila

новичок
14 Июл 2018
22
0
3
увы, не будет. так как проблема есть не только с ДЛинком. Помимо этого, замена центрального маршрутизатора, который держит 5 WANов с почти гигабитом трафика (половина - ipsec) , балансировки, роутинги, десяток-другой впн и прочего, наты-саты-сипы и прочую сетевую инфраструктуру с полутысячей устройств
У DFL-870 всего 6 портов 1000Base-T .. -т.е. у Вас 5 смотрят в мир и 1 в локалку? если есть возможность попробуйте Vigor3900 8портов 1000 - 5 в мир, 3локалка (including up to 100 SSL VPN и т.д.)...
или выведите АР в отдельную подсеть со своим маршрутизатором...