[Lista ArNOG] Saturacion de CPU en Mikrotik CCR

julio en sista.com.ar julio en sista.com.ar
Mie Ene 10 14:44:58 ART 2018 

Muchisimas gracias a todos los que enviaron sus numerosas respuestas, todos
aportaron muy buena data.
Finalmente, como mencionaron, el problema estaba en el NAT. Desactive esas
reglas, que de hecho estaban en desuso, y el problema se soluciono. Una
solución muy simple a un problema grande.

En cuanto a lo que mencionas Pablo F.. Tengo declaradas las rutas a esas ips
de clientes, como “blackhole”, entiendo que es lo que vos me comentas.

Saludos! Y nuevamente mil gracias a todos los que respondieron!

-----Mensaje original-----
De: lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar] En nombre
de lista-request en arnog.com.ar
Enviado el: miércoles, 10 de enero de 2018 12:46
Para: lista en arnog.com.ar
Asunto: Resumen de Lista, Vol 333, Envío 5

Envíe los mensajes para la lista Lista a
	lista en arnog.com.ar

Para subscribirse o anular su subscripción a través de la WEB
	http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista

O por correo electrónico, enviando un mensaje con el texto "help" en el
asunto (subject) o en el cuerpo a:
	lista-request en arnog.com.ar

Puede contactar con el responsable de la lista escribiendo a:
	lista-owner en arnog.com.ar

Si responde a algún contenido de este mensaje, por favor, edite la linea del
asunto (subject) para que el texto sea mas especifico que:
"Re: Contents of Lista digest...". Además, por favor, incluya en la
respuesta sólo aquellas partes del mensaje a las que está respondiendo.


Asuntos del día:

   1. Re:  Saturacion de CPU en Mikrotik CCR (Ing. Mario Clep)
   2. Re:  Saturacion de CPU en Mikrotik CCR (Pablo Fritz)


----------------------------------------------------------------------

Message: 1
Date: Wed, 10 Jan 2018 12:08:10 -0300
From: "Ing. Mario Clep" <marioclep en mkesolutions.net>
To: lista en arnog.com.ar
Subject: Re: [Lista ArNOG] Saturacion de CPU en Mikrotik CCR
Message-ID:
	<CADhfCJrmLjMRb88rsDfr7tCQtT-KkP92PqoXikMh9TgeWi09eg en mail.gmail.com>
Content-Type: text/plain; charset="utf-8"

Julio,

Fijate dentro de "tool > profile" cual es el servicio que se queda al 100%,
para ver por donde viene la mano.

Janis Megis hizo hace tiempo una charla en el MUM de USA, donde la llama "my
holy war against masquerade
<https://mum.mikrotik.com/presentations/EU17/presentation_4058_1490948376.pd
f>"
donde habla sobre las implementaciones que no estan bien hechas o que se
podrían implementar. Entre esas cosas habla sobre la diferencia entre una
acción de Masquerade vs una de SRC-NAT, y básicamente habla de que cuando se
desconectan sesiones PPPoE con entradas almacenadas en el
connection-tracking bajo la acción MASQUERADE, el equipo repasa todo el
listado de entradas y borra automáticamente todas las que estan asociadas a
dicha sesión. Esto mismo no lo hace si en lugar de MASQUERADE le indicas
SRC-NAT a las reglas (siempre que estés nateando, obvio).

Ojalá sirva el dato.

Saludos!
?

Saludos y estamos en contacto!

[image: photo]
*Ing. Mario Clep*
CTO, MKE Solutions
Tel: +54 358 4210029 <Tel:%20+54%20358%204210029> | info en mkesolutions.net |
http://www.mkesolutions.net | http://www.AcademiaDeEntrenamientos.com
<http://www.academiadeentrenamientos.com/> | Paraná 416, Río Cuarto,
Córdoba, Argentina <http://facebook.com/mkesolutions>
<http://twitter.com/mkesolutions> <http://us.linkedin.com/in/mke-solutions>

¿Interesado en *Soporte IT Mensual*? Conozca más sobre nuestro modelo de
OutSourcing. <https://www.mkesolutions.net/soporte/>


2018-01-10 10:55 GMT-03:00 Pablo Fritz <pablo.fritz en nap.cabase.org.ar>:

> Hola,
> Antes de buscar en problemas mikrotik yo  revisaría la configuración.
> Se me ocurre lo siguiente: tenes una ruta estática a null que engloba 
> todos los ips que usas (o como sea que hagas drop en mikrotik)? Si te 
> olvidas de eso, cuando un rango de ip desaparece, el router no tiene 
> una regla buena de a donde mandar el tráfico de ese rango, y muchas 
> veces se forma un loop entre dos equipos que se pasan el tráfico ida y 
> vuelta hasta que expira, lo que puede darte en un enlace 100 veces la 
> cantidad de tráfico que debería estar descartándose.
> Pablo
>
> Sent from my Phone
>
> El 9 ene. 2018, a la(s) 15:03, <julio en sista.com.ar> 
> <julio en sista.com.ar>
> escribió:
>
> Hola gente,  les hago una consulta..
>
> Estoy teniendo un problema importante en mi Mikrotik que se encarga de 
> administrar clientes pppoe.
>
> Tenemos varios nodos con Access Point, q dan servicio inalámbrico a 
> nuestros clientes y lo que sucede es que cuando algún nodo se cae ( 
> por corte de luz, por ejemplo), el CPU del Mikrotik se dispara, 
> saturandose por unos 2 minutos aproximadamente. En esos momentos, el 
> trafico general del mikrotik disminuye, y a veces, también descarta 
> otros clientes pppoe, que no son del nodo caído.
>
> El MK es un CCR1036-12G-4S, y normalmente el CPU no supera el 10 o 15% 
> de consumo. Los clientes totales son unos 1100. Y este problema se 
> hace mas significativo con nodos grandes, de mas de 100 clientes.
>
> Esta situación también sucede si, en lugar de caerse el nodo, yo 
> desactivo, en el mk, servidor pppoe de esa interfaz.
>
> No se si a alguien mas le pasa o es algo que tengo mal configurado..
>
> Desde ya, se agradece cualquier ayuda..
>
> Saludos
>
>
>
> Julio
>
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL:
<http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/2018011
0/12b1d82c/attachment-0001.html>

------------------------------

Message: 2
Date: Wed, 10 Jan 2018 12:41:14 -0300
From: Pablo Fritz <pablo.fritz en nap.cabase.org.ar>
To: lista en arnog.com.ar
Subject: Re: [Lista ArNOG] Saturacion de CPU en Mikrotik CCR
Message-ID: <6ae0ae50-64d3-b6a8-247e-66258aa9c42c en nap.cabase.org.ar>
Content-Type: text/plain; charset="utf-8"; Format="flowed"

Ahora estaria bueno que Julio nos cuente que fue lo que realmente pasaba y
como lo solucionaron, para hacer un registro mental de problemas frecuentes
y como solucionarlos.
Pablo.

On 1/10/2018 12:08 PM, Ing. Mario Clep wrote:
> Julio,
>
> Fijate dentro de "tool > profile" cual es el servicio que se queda al 
> 100%, para ver por donde viene la mano.
>
> Janis Megis hizo hace tiempo una charla en el MUM de USA, donde la 
> llama "my holy war against masquerade 
>
<https://mum.mikrotik.com/presentations/EU17/presentation_4058_1490948376.pd
f>"
> donde habla sobre las implementaciones que no estan bien hechas o que 
> se podrían implementar. Entre esas cosas habla sobre la diferencia 
> entre una acción de Masquerade vs una de SRC-NAT, y básicamente habla 
> de que cuando se desconectan sesiones PPPoE con entradas almacenadas 
> en el connection-tracking bajo la acción MASQUERADE, el equipo repasa 
> todo el listado de entradas y borra automáticamente todas las que 
> estan asociadas a dicha sesión. Esto mismo no lo hace si en lugar de 
> MASQUERADE le indicas SRC-NAT a las reglas (siempre que estés 
> nateando, obvio).
>
> Ojalá sirva el dato.
>
> Saludos!
> ?
>
> Saludos y estamos en contacto!
>
> photo 	
> 	
> *Ing. Mario Clep*
> CTO, MKE Solutions
> Tel: +54 358 4210029 <tel:Tel:%20+54%20358%204210029> | 
> info en mkesolutions.net <mailto:info en mkesolutions.net> | 
> http://www.mkesolutions.net <http://www.mkesolutions.net/> | 
> http://www.AcademiaDeEntrenamientos.com
> <http://www.academiadeentrenamientos.com/> | Paraná 416, Río Cuarto, 
> Córdoba, Argentina <http://facebook.com/mkesolutions> 
> <http://twitter.com/mkesolutions> 
> <http://us.linkedin.com/in/mke-solutions>
>
>
> ¿Interesado en *Soporte IT Mensual*? Conozca más sobre nuestro modelo 
> de OutSourcing. <https://www.mkesolutions.net/soporte/>
>
>
> 2018-01-10 10:55 GMT-03:00 Pablo Fritz <pablo.fritz en nap.cabase.org.ar
> <mailto:pablo.fritz en nap.cabase.org.ar>>:
>
>     Hola,
>     Antes de buscar en problemas mikrotik yo  revisaría la configuración.
>     Se me ocurre lo siguiente: tenes una ruta estática a null que
>     engloba todos los ips que usas (o como sea que hagas drop en
>     mikrotik)? Si te olvidas de eso, cuando un rango de ip desaparece,
>     el router no tiene una regla buena de a donde mandar el tráfico de
>     ese rango, y muchas veces se forma un loop entre dos equipos que
>     se pasan el tráfico ida y vuelta hasta que expira, lo que puede
>     darte en un enlace 100 veces la cantidad de tráfico que debería
>     estar descartándose.
>     Pablo
>
>     Sent from my Phone
>
>     El 9 ene. 2018, a la(s) 15:03, <julio en sista.com.ar
>     <mailto:julio en sista.com.ar>> <julio en sista.com.ar
>     <mailto:julio en sista.com.ar>> escribió:
>
>>     Hola gente,  les hago una consulta..
>>
>>     Estoy teniendo un problema importante en mi Mikrotik que se
>>     encarga de administrar clientes pppoe.
>>
>>     Tenemos varios nodos con Access Point, q dan servicio inalámbrico
>>     a nuestros clientes y lo que sucede es que cuando algún nodo se
>>     cae ( por corte de luz, por ejemplo), el CPU del Mikrotik se
>>     dispara, saturandose por unos 2 minutos aproximadamente. En esos
>>     momentos, el trafico general del mikrotik disminuye, y a veces,
>>     también descarta otros clientes pppoe, que no son del nodo caído.
>>
>>     El MK es un CCR1036-12G-4S, y normalmente el CPU no supera el 10
>>     o 15% de consumo. Los clientes totales son unos 1100. Y este
>>     problema se hace mas significativo con nodos grandes, de mas de
>>     100 clientes.
>>
>>     Esta situación también sucede si, en lugar de caerse el nodo, yo
>>     desactivo, en el mk, servidor pppoe de esa interfaz.
>>
>>     No se si a alguien mas le pasa o es algo que tengo mal configurado..
>>
>>     Desde ya, se agradece cualquier ayuda..
>>
>>     Saludos
>>
>>     Julio
>>
>>     _______________________________________________
>>     Lista mailing list
>>     Lista en arnog.com.ar <mailto:Lista en arnog.com.ar>
>>     http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>     <http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista>
>
>     _______________________________________________
>     Lista mailing list
>     Lista en arnog.com.ar <mailto:Lista en arnog.com.ar>
>     http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>     <http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista>
>
>
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista



---
This email has been checked for viruses by AVG.
http://www.avg.com
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL:
<http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/2018011
0/498baa59/attachment.html>

------------------------------

_______________________________________________
Lista mailing list
Lista en arnog.com.ar
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista


Fin de Resumen de Lista, Vol 333, Envío 5
*****************************************

Más información sobre la lista de distribución Lista