[info] wupper2 am 2015-10-22 unbenutzbar [gelöst] nf_conntrack_max zu niedrig

Hallo zusammen

ich komme heute Abend nach Hause, überprüfe Freifunk und stelle fest: Läuft nicht … alle Checks auf dem Server ergaben: es muss laufen. Spontan dmesg ausgeführt ergab aber Horrormeldungen am laufenden Band:

[…]
[365729.805121] nf_conntrack: table full, dropping packet
[…]

also ist es so weit, 32008 für net.nf_conntrack_max ist zu wenig … auf allen NATenden GWs wurde

sysctl -w net.nf_conntrack_max=64016

ausgeführt. Mal sehen, wie lange es ausreicht. Speicher (RAM) ist noch genug da:

free -m
             total       used       free     shared    buffers     cached
Mem:          1000        921         78         24        150        550
-/+ buffers/cache:        220        779
Swap:          300          1        299

Ich hoffe, es ist niemanden aufgefallen :scream:


kann ich davon ausgehen, dass da ein/mehrere Tor-Exit-Node(s) im Freifunk gefahren werden, dass da auf ein mal spontan der Höchstwert von 1850 fast verdoppelt wurde?:

0
conntrack v1.4.2 (conntrack-tools): 17213 flow entries have been shown.
1
conntrack v1.4.2 (conntrack-tools): 11735 flow entries have been shown.
2
conntrack v1.4.2 (conntrack-tools): 35018 flow entries have been shown.
3
conntrack v1.4.2 (conntrack-tools): 17109 flow entries have been shown.

Ja, Horrormeldungen ab ca. 18 Uhr aus mehreren Domains des ffrl.
Freifunk-Nordwest (auch angebunden über den FFRL-Backbon) auch akut betroffen (lt. Mumble.)

Backbone-Anbindungen „flappy“, kaum Connectivität.
Nun geht’s wieder seit etwa einer Stunde.

habe den „Fehler“ (aka. exzessivste Nutzung) eigentlich vor 35 min behoben.

ps. die Zahl steigt weiter:

0
conntrack v1.4.2 (conntrack-tools): 16731 flow entries have been shown.
1
conntrack v1.4.2 (conntrack-tools): 11954 flow entries have been shown.
2
conntrack v1.4.2 (conntrack-tools): 35603 flow entries have been shown.
3
conntrack v1.4.2 (conntrack-tools): 16551 flow entries have been shown.

ich werde w2 vorsorglich als GW deaktivieren und mich mit dem „Problem“ bei nächster Gelegenheit befassen.

O.k. dann sind es mehrere Szenarien, die gleichzeitig zugeschlagen haben.
Denn auch aus Domains „jenseits von Wupper“ hab es heute abend wiederholt Jubelmeldungen wie „Hurra, die Whatsapp-Nachricht ist endlich erfolgreich rausgegangen via FF“
Und das von Leuten, die volle Sichtbarkeit auf ihren Supernodes haben.

Wobei gerade der Wurm allgemein drin zu sein scheint, in Frankfurt wird mit Rogue-BatmanGWs/Domain-Kurzschlüssen gekämpft. Die Sache mit umgeflashten Routern und unterschiedlich benamsten Peergroups bleibt ein quell ewigen Ärgernisses.

Ein Beitrag wurde in ein neues Thema verschoben: Tor über Freifunk

Kurze Frage an alle in Wupper: was ist bei Euch vor Ort neues los? Man konnte vor 2 Tagen noch mit 15 Tausend geöffneten Sitzungen rechnen, also maximal um die 60 tausend in gesamt Wupper; nun sieht die Laage so aus:

~ $ for i in 0 1 2 3; do
        echo ${i}
        ssh ${i} "conntrack -L --src-nat > /dev/null"
    done

0
conntrack v1.4.2 (conntrack-tools): 45970 flow entries have been shown.
1
conntrack v1.4.2 (conntrack-tools): 1559 flow entries have been shown.
2
conntrack v1.4.2 (conntrack-tools): 28507 flow entries have been shown.
3
conntrack v1.4.2 (conntrack-tools): 48412 flow entries have been shown.

also 124 tausend. Insgesamt mehr als das Doppelte – und das ist noch nicht mal die Primetime. So wie es aussieht wirft da jemand in Wupper den Traffic seiner Nutzer ab oder Troisdorf nutzt ihren Schweden-GW nicht mehr, dies würde es aber auch nur geringfügig ansteigen lassen.

Bitte beantwortet mir kurz, wie es vorgestern zum Verdoppeln/Verdreifachen der Nutzersitzungen kommen konnte?

1 Like

Nein der ist immernoch da…

Mehr nutzer/traffic als sonst kann ich hier auch nicht sehen…

Da wir unser 2. Standbein haben kannst du Troisdorf auch gerne mal kurz „Rauswerfen“ … dann sehen wir schonmal ob es von uns kommt.

Danke für die Information. Damit ist Troisdorfs Nutzerverhalten so wie immer.

Rausgeworfen wird hier nicht. Es gibt eine auffällige Anomalie und dafür gibt es eine Erklärung und eine Lösung. Bin gespannt auf die anderen Rückmeldungen.

Darum ging es ja nicht … Aber wenn die Sitzungen dann wieder normal sind sehen wir ob es unser Netz ist :wink:

dies kann ich auch überprüfen ohne die Verbindung zu Euch oder einer anderen Broadcastdomäne zu trennen. Ich warte vorerst die Antworten ab, bevor ich es tue.

1 Like

Seitens GEK und DUS ist mir nichts bekannt, was das erklären könnte.

ich habe mich ein wenig umgeschaut und stelle fest, dass in jeder Broadcast-Domäne in Wupper die Anzahl der Sitzungen seit dem o. g. Tag sprunghaft angestiegen ist (oder ich habe vorher nie richtig geschaut). Ich nehme an, es wurde am Lieblingsdienst der Freifunk-Nutzer etwas geändert, was mehr Sitzungen pro Nutzer benötigt.

Interessant: es ist mutmaßlich mehr als das zwei-/dreifache an Sitzungen. Ich sollte wohl in Zukunft mehr Statistiken aufzeichnen und auswerten.

Abgesehen davon hat diese erhöhte Anzahl an Sitzungen keine weiteren Auswirkungen. nf_conntrack_max wurde auf allen GWs auf 128000 erhöht.

Frohes Freifunken

OT: hier die Zahlen von 20151026T022800 zum Vergleich

__0__________
conntrack v1.4.2 (conntrack-tools): 58897 flow entries have been shown.
305 10.188.0.0/16
825 10.155.0.0/16
1549 10.111.0.0/16
4407 10.19.0.0/16
7304 10.28.0.0/16
7413 10.57.0.0/16
7834 10.186.0.0/16
11759 10.156.0.0/16
17440 10.3.0.0/16

__1__________
conntrack v1.4.2 (conntrack-tools): 1933 flow entries have been shown.
34 10.28.0.0/16
44 10.188.0.0/16
49 10.156.0.0/16
53 10.57.0.0/16
89 10.155.0.0/16
110 10.186.0.0/16
395 10.19.0.0/16
1150 10.3.0.0/16

__2__________
conntrack v1.4.2 (conntrack-tools): 24965 flow entries have been shown.
193 10.57.0.0/16
516 10.111.0.0/16
1097 10.156.0.0/16
1924 10.28.0.0/16
2723 10.19.0.0/16
3830 10.186.0.0/16
4474 10.3.0.0/16
4697 10.155.0.0/16
5514 10.188.0.0/16

__3__________
conntrack v1.4.2 (conntrack-tools): 67538 flow entries have been shown.
109 10.57.0.0/16
472 10.111.0.0/16
4291 10.19.0.0/16
4842 10.188.0.0/16
6591 10.28.0.0/16
8612 10.186.0.0/16
10228 10.156.0.0/16
14772 10.3.0.0/16
17588 10.155.0.0/16

Die Anzahl der Sitzungen steigt weiter … ich habe den Wert vorsorglich auf 256 k Erhöht, damit FF immer noch läuft, auch wenn ich mal zu Tisch bin …

__0__________
conntrack v1.4.2 (conntrack-tools): 76923 flow entries have been shown.
378 10.188.0.0/16
956 10.155.0.0/16
1988 10.111.0.0/16
5411 10.19.0.0/16
8894 10.57.0.0/16
9767 10.28.0.0/16
10607 10.186.0.0/16
15209 10.156.0.0/16
23692 10.3.0.0/16

__1__________
conntrack v1.4.2 (conntrack-tools): 5465 flow entries have been shown.
118 10.111.0.0/16
232 10.28.0.0/16
236 10.57.0.0/16
238 10.186.0.0/16
287 10.156.0.0/16
350 10.155.0.0/16
399 10.19.0.0/16
407 10.188.0.0/16
3186 10.3.0.0/16

__2__________
conntrack v1.4.2 (conntrack-tools): 23104 flow entries have been shown.
194 10.57.0.0/16
487 10.111.0.0/16
1048 10.156.0.0/16
1787 10.28.0.0/16
2376 10.19.0.0/16
3603 10.186.0.0/16
4183 10.3.0.0/16
4219 10.155.0.0/16
5213 10.188.0.0/16

__3__________
conntrack v1.4.2 (conntrack-tools): 86007 flow entries have been shown.
111 10.57.0.0/16
680 10.111.0.0/16
4771 10.19.0.0/16
5659 10.188.0.0/16
8456 10.28.0.0/16
11324 10.186.0.0/16
13044 10.156.0.0/16
17806 10.3.0.0/16
24130 10.155.0.0/16
1 Like