RE: Doručování UDP paketů v síti O2

[Šerých Jakub]

V dobe, kdy provideri masove rusili FUP a O2 zavedlo jednotny pausal ADSL na 8Mbps nehlede na to, komu to kolik skutecne bezi (cca pred 4-5 lety?) jsem se s lidmi z O2 bavil o tom, jak se hodlaji branit proti permanentnim stahovacum, aby jim sit nezahltili. 

Uz tehdy mi lisacky rikali, ze to maji zmaknute tak, ze to stahovacum proste nebude fungovat a nebudou prilis moci prijit na to proc. Detaily sveho know-how rici nechteli, ale z diskuse vyplyvalo, ze proste budou sledovat provoz na netradicnich cislech portu (TCP, ale zejmena UDP), a kdyz nekde podezrele naroste (typicke chovani P2P siti), tak mu proste na danych portech nastavi tak nizke traffic rules se zahazovanim prebytecnych packetu, ze prakticky provoz utnou.

Myslim, ze to presne odpovida Tvemu popisu

Jakub Serych

> -----Original Message-----
> From: hw-list-bounces na list.hw.cz [mailto:hw-list-bounces na list.hw.cz] On
> Behalf Of Pavel Troller
> Sent: Saturday, May 05, 2012 6:32 AM
> To: hw-list na list.hw.cz
> Subject: OT: Doručování UDP paketů v síti O2
> 
> Zdravím,
>   byl jsem včera požádán o pomoc s problémy v jedné z lokalit, kde běží mnou
> před lety instalovaný VoIP systém (Asterisk), že se prakticky nemohou nikam
> dovolat.
>   Dotyčná lokalita je připojena k síti prostřednictvím ADSL O2. Modem je v
> režimu bridge, tj. pppoe mám pod kontrolou já. Toto je normálně nahozeno a
> funkční. Konec konců, jinak bych se do stroje nemohl vzdáleně přihlásit
> pomocí ssh.
>   Poměrně zdlouhavou a podrobnou analýzou jsem nakonec došel k názoru,
> že něco v síti blokuje většinu UDP provozu. Jak známo, VoIP protokoly (SIP,
> IAX2) jedou povětšinou přes UDP, a právě s tím byl problém. Pomocí utility
> netcat s volbou -u (UDP) jsem zkoušel navazovat spojení z dotyčného serveru
> do různých serverů umístěných jinde v síti a zpět. Zjistil jsem velmi zajímavé
> závislosti:
>   1) Provoz na UDP výborně prochází, pokud je druhý server rovněž v síti O2
> (konkrétně doména broadband<xx>.iol.cz).
>   2) Do/ze sítí jiných providerů prochází UDP provoz na některých portech,
> např. 53 (DNS), ale na většině jiných ne - to se díky absenci handshake u UDP
> projeví jen tak, že data poslaná z jednoho netcatu se na druhém neobjeví a
> opačně. Několikrát jsem měl situaci, že z jednoho netcatu na druhý se data
> neobjevovala, ale zpětně ano, neboli pakety byly filtrovány jednosměrně.
>   Ačkoliv jsem to považoval za zbytečné, rebootovali jsme server i modem.
> Úplně zbytečné to nebylo - zjistili jsme, že krátce poté prošlo několik paketů
> do všech směrů - ústředna uviděla své peery, ale do minuty se spojení opět
> přervalo.
>   Za nějakou dobu se samo, bez našeho zásahu, obnovilo spojení na portu
> 5060
> (SIP) do některých směrů, konkrétně k operátorům T-Mobile a vox (802.cz) a
> do zahraničí (Freecall). Rovněž se připojili někteří klienti z jiných sítí,
> jmenovitě grapesc. Do některých směrů (např. GTS nebo pe3ny.net) však
> spojení stále nefunguje, klienti se nepřipojují a peerové nejsou vidět. Ping či
> tcp spojení do nich však funguje skvěle.
>   Na portu 4569, kde komunikuje IAX2, je situace obdobná - ústředna vidí jen
> jednoho peera ze 4, a ten je v síti IOL. S ostatními se prostě vzájemně nevidí,
> zatímco ti mezi sebou samozřejmě normálně komunikují.
>   Celé to na mě působí tak, že v síti IOL byl nasazen na hraně sítě nějaký
> prvek, který provoz blokuje. Proti tomu ale hovoří, že v jiných lokalitách mi
> běží obdobné ústředny a ty (zatím ?) problém nemají. Tento kokrétní systém
> je umístěn ve středních Čechách, avšak nikoliv v Praze.
>   Říkal jsem si, zda třeba přes noc se situace nezlepší, ale bohužel ne. Brzy to
> bude 24 hodin v tomto stavu.
>   Co o tom soudíte ? Není tu nějaký insider, který by věděl více ? Když tak
> prosím alespoň o soukromou odpověď. Na helpdesk O2 patrně majitel
> ústředny volal, ale o výsledku bohužel nejsem informován. Jelikož závada
> setrvává, řekl bych, že moc úspěšný asi nebyl.
> 
>   Hezký víkend přeje Pavel.