OT: Doručování UDP paketů v síti O2

Pavel Troller patrol na sinus.cz
Sobota Květen 5 06:31:53 CEST 2012


Zdravím,
  byl jsem včera požádán o pomoc s problémy v jedné z lokalit, kde běží mnou
před lety instalovaný VoIP systém (Asterisk), že se prakticky nemohou nikam
dovolat.
  Dotyčná lokalita je připojena k síti prostřednictvím ADSL O2. Modem je v
režimu bridge, tj. pppoe mám pod kontrolou já. Toto je normálně nahozeno
a funkční. Konec konců, jinak bych se do stroje nemohl vzdáleně přihlásit
pomocí ssh.
  Poměrně zdlouhavou a podrobnou analýzou jsem nakonec došel k názoru, že 
něco v síti blokuje většinu UDP provozu. Jak známo, VoIP protokoly (SIP, 
IAX2) jedou povětšinou přes UDP, a právě s tím byl problém. Pomocí utility
netcat s volbou -u (UDP) jsem zkoušel navazovat spojení z dotyčného serveru
do různých serverů umístěných jinde v síti a zpět. Zjistil jsem velmi
zajímavé závislosti:
  1) Provoz na UDP výborně prochází, pokud je druhý server rovněž v síti O2
(konkrétně doména broadband<xx>.iol.cz).
  2) Do/ze sítí jiných providerů prochází UDP provoz na některých portech,
např. 53 (DNS), ale na většině jiných ne - to se díky absenci handshake u UDP
projeví jen tak, že data poslaná z jednoho netcatu se na druhém neobjeví a
opačně. Několikrát jsem měl situaci, že z jednoho netcatu na druhý se data
neobjevovala, ale zpětně ano, neboli pakety byly filtrovány jednosměrně.
  Ačkoliv jsem to považoval za zbytečné, rebootovali jsme server i modem. Úplně
zbytečné to nebylo - zjistili jsme, že krátce poté prošlo několik paketů do
všech směrů - ústředna uviděla své peery, ale do minuty se spojení opět 
přervalo.
  Za nějakou dobu se samo, bez našeho zásahu, obnovilo spojení na portu 5060
(SIP) do některých směrů, konkrétně k operátorům T-Mobile a vox (802.cz) a do
zahraničí (Freecall). Rovněž se připojili někteří klienti z jiných sítí,
jmenovitě grapesc. Do některých směrů (např. GTS nebo pe3ny.net) však spojení
stále nefunguje, klienti se nepřipojují a peerové nejsou vidět. Ping či tcp
spojení do nich však funguje skvěle.
  Na portu 4569, kde komunikuje IAX2, je situace obdobná - ústředna vidí jen
jednoho peera ze 4, a ten je v síti IOL. S ostatními se prostě vzájemně nevidí,
zatímco ti mezi sebou samozřejmě normálně komunikují.
  Celé to na mě působí tak, že v síti IOL byl nasazen na hraně sítě nějaký
prvek, který provoz blokuje. Proti tomu ale hovoří, že v jiných lokalitách
mi běží obdobné ústředny a ty (zatím ?) problém nemají. Tento kokrétní systém
je umístěn ve středních Čechách, avšak nikoliv v Praze.
  Říkal jsem si, zda třeba přes noc se situace nezlepší, ale bohužel ne. Brzy
to bude 24 hodin v tomto stavu.
  Co o tom soudíte ? Není tu nějaký insider, který by věděl více ? Když tak
prosím alespoň o soukromou odpověď. Na helpdesk O2 patrně majitel ústředny 
volal, ale o výsledku bohužel nejsem informován. Jelikož závada setrvává, řekl
bych, že moc úspěšný asi nebyl.
  
  Hezký víkend přeje Pavel.


Další informace o konferenci Hw-list