SOLUCIONAR NAT EN B5_1027/ B.11 / B.12 en 660hw-d1 con P2P

Hola a tod@s, soy nuevo en este foro y aprobecho para presentarme al mismo tiempo que formulo mis dudas.

He actualizado el firmware del Zyxel P660HW-D1 a la b12 (hasta ahi ningún problema). El problema a venido después, cuando me a dado por hacer ping´s a diversas IP´S.
Para muestra un botón:

Haciendo ping a 216.239.59.99 con 32 bytes de datos (google):

Tiempo de espera agotado para esta solicitud.
Respuesta desde 216.239.59.99: bytes=32 tiempo=50ms TTL=244
Respuesta desde 216.239.59.99: bytes=32 tiempo=97ms TTL=244
Respuesta desde 216.239.59.99: bytes=32 tiempo=3ms TTL=244

Estadísticas de ping para 216.239.59.99:
Paquetes: enviados = 4, recibidos = 3, perdidos = 1
(25% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 3ms, Máximo = 97ms, Media = 50ms

¿Veis normal la perdida de un paquete?
 
WOPR dijo:
Hola a tod@s, soy nuevo en este foro y aprobecho para presentarme al mismo tiempo que formulo mis dudas.

He actualizado el firmware del Zyxel P660HW-D1 a la b12 (hasta ahi ningún problema). El problema a venido después, cuando me a dado por hacer ping´s a diversas IP´S.
Para muestra un botón:

Haciendo ping a 216.239.59.99 con 32 bytes de datos (google):

Tiempo de espera agotado para esta solicitud.
Respuesta desde 216.239.59.99: bytes=32 tiempo=50ms TTL=244
Respuesta desde 216.239.59.99: bytes=32 tiempo=97ms TTL=244
Respuesta desde 216.239.59.99: bytes=32 tiempo=3ms TTL=244

Estadísticas de ping para 216.239.59.99:
Paquetes: enviados = 4, recibidos = 3, perdidos = 1
(25% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 3ms, Máximo = 97ms, Media = 50ms

¿Veis normal la perdida de un paquete?

Si no tienes problemas de ningun tipo olvidate, puede ser porque goggle tenga muchas peticiones.

De todas maneras yo haria el ping asi:

ping www.google.es
 
Solución saturación sesiones/conexiones Tabla NAT en Zyxel

Hola gente.

Ya que hablan de sesiones de NAT, les quería comentar algo que pienso que puede ser útil para mucha gente con modelos viejos. Supongo que no está posteado, si no, disculpen.

Sabemos que los routers saturan sus Tablas de NAT con una cantidad excesiva de conexiones simultáneas. He visto en este hilo recomendaciones sobre dos de las tres formas de evitar la saturación de la Tabla, que son agrandar la Tabla y no abrir tantas sesiones.
Hay una tercera y muy efectiva manera de evitar esa saturación y es hacer que las sesiones abiertas se cierren al mismo ritmo al que se abren, o casi. De esta forma se evita saturar la tabla o al menos, liberarla de una forma mucho más rápida.
Para empezar, entramos por Telnet, vamos al menú 24.8, o sea, CLI o Modo Línea de Comandos.
usamos el comando:
ip nat if wanif0 (wanif0 es el nombre de la interface WAN, que también podría ser wanif1 o enif1 para los que tengan un router no ADSL)
Vemos esta imágen:



Está resaltado "Table size", que obviamente es el tamaño de la Tabla de NAT. Cuando se usa "ip nat session xxx" para limitar la cantidad de sesiones que un solo host puede usar, xxx no puede ser mayor que el valor que figura como Table size.
También está resaltado otro valor llamado Full. No es muy descriptivo, pero se refiere a la cantidad de conexiones que no se pudieron abrir debido a que en ese momento la tabla estaba llena. Este es el indicador de que tenemos un problema de cantidad de conexiones excedida. Si este valor está en 0 (cero) Ud. está en el thread equivocado.
En la cabecera de la tabla hay otros datos útiles, como por ejemplo la diferencia entre Allocated y Freed, que es la cantidad actual de sesiones vigentes en la Tabla que pueden verse detalladas en el cuerpo de la misma. Cuando esta diferencia sube hasta Size, las nuevas peticiones se suman a Full.

Bien, vamos al grano:
Vamos a modificar los timeouts de las sesiones abiertas, o sea el tiempo que las sesiones pueden estar abiertas e inactivas desde su última actividad.
Acá convendría saber un poco de protocolos, pero no me voy a extender demasiado. La idea principal, es que las conexiones bajo el protocolo TCP se cierran por el mismo protocolo, que se encarga de todo, ya que tiene previstas las formas de abrirlas, usarlas, cerrarlas, etc.; muy eventualmente se cierran por timeout. En cambio las sesiones abiertas con el protocolo UDP solamente se cierran por timeout, ya que no existe en UDP el concepto de conexión como en TCP, por eso no uso la palabra "conexión" sino "sesión".
Como ya podrán estar sospechando, todos los P2P usan UDP, especialmente para contactar inicialmente a las potenciales fuentes. Se usa mucho UDP en las redes DHT, Ares, Kad y BT, también se usa mucho cuando un cliente de un juego online trata de descubrir qué servidores están on line. El timeout de UDP que tienen configurados los routers en general no se condice con el uso que hacen los P2P de ese protocolo, ya que los routers no están diseñados específicamente para P2P, así que lo que vamos a hacer es adaptar esos timeouts al tipo de uso que le da un P2P.
En ZyNOS, el sistema operativo de los Zyxel, hay un comando
ip nat timeout disp
que nos muestra los timeouts seteados actualmente. Según las versiones cambia la información que nos da. Yo lo estoy probando con un P660R-61C y con un P661H y tengo los timeouts configurados de otra forma, pero sirve como referencia:

ras> ip nat timeout disp
TCP opened: 150 (minute)
TCP reset: 10 (second)
TCP wait: 2 MSL (second)
TCP other: 270 (second)
UDP: 2 (minute)
UDP specific port -1: 180 (second)
ICMP: 2 (minute)
ESP: 150 (minute)
GRE: 150 (minute)
Others: 2 (minute)
Iamt: 151 (minute)

Nos interesa principalmente el timeout UDP. Este valor en particular se cambia con la opción "generic" del comando, o sea
ip nat timeout generic 10
Aquí el valor de 10 es en segundos, a pesar de que en la información que nos da el otro comando está en minutos, por lo que posteriormente, cuando usemos el comando ip nat timeout disp, nos va a mostrar 0. Lo podemos verificar viendo la Tabla de NAT con el comando que puse antes, y vamos a ver que en la última columna de la tabla, llamada IDLE, nos indica el timpo de inactividad que lleva esa conexión. Verificamos que en una línea que sea UDP, ese valor no va a pasar nunca de lo que acabamos de configurar, ya que en ese momento la sesión se cierra y esa entrada se libera, que es justamente lo que queremos lograr.

Para los que tienen modelos sin firewall incorporado, esto es todo.

Para algunos que tienen modelos con firewall, la cosa sigue. Por algún motivo que desconozco, algunos modelos con firewall SPI tienen una tabla paralela para control del firewall que se llama TOS (Temporary open sessions), que tiene sus propios timeouts pero la misma capacidad que la Tabla de NAT. Se controla con unos comandos similares que hacen la misma cosa:
sys tos timeout disp para ver los valores y
sys tos timeout udp 10 para cambiar a 10 segundos el timeout UDP.


Creo que esto sería todo. Espero que les sirva. Si lo prueban, comenten.

Slds.
 
OGalati, prodrias ser mas explicito en el rresto de los comandos del timeout, le he dado el "ip nat timeout generic 10" y el numero de conexiones ha bajado considerablemente.
Tengo Duo de telefonica con el b12 del 660HW-D1.

Salu2
 
Simbita, no entiendo tu pedido :?:
Si el número de conexiones bajó, entonces está perfecto, aunque si el número total de conexiones igualmente no llegaba a saturar la Tabla, no vas a notar diferencia.
Slds.
 
Gracias OGalati , solo era cuestion de prpfundizar en el conocimiento. Desde que lo use, el timeout, me va bastante bien. No sabia que tuviera firewall, probe el sys tos y funciono tambien.
Como veras no tengo ni idea, no se ingles y cuando veo a alguien generoso en sus conocimientos, quisiera mas.
Sol es eso, profundizar y conocer mas mi ZyXEL.
Salu2
 
Gracias OGalati, solo pretendo pofundizar en el conocimiento del router. El personal de Zyxel me dice que no puedo tener mas de 512 coneiones y que el aparato esta preparado para p2p e internet. Es evidente que en vez de aportarte soluciones te toman por imbecil. Gracias a ti se que el comando del firewal tambien me lo admite y nadie dice que mi router tenga firewal.
Pues eso Ogalati, solo quiero aprovechar que eres generoso en conocimientos, tu post no tiene nada que ver con los anteriorres, y me gustariar comocer mas sobre el touter.

Salu2
 
Simbita:

Lamentablemente hay poca información en español, pero como guía sirve la lista de comandos que viene en los firmwares del sitio de Zyxel, aunque siempre hay que tener algún conocimiento sobre redes y protocolos.

Por otra parte, veo que Zyxel está muy difundido en España, pero con firmwares customizados para Telefónica, por lo que las funcionalidades de los routers difieren a veces mucho de los originales. Igualmente ahora veo que en este foro hay mucho conocimiento sobre estos firmwares así que te recomiendo que vayas recorriendo el foro, ya que hay mucha información.

Sobre el tema de las sesiones también hay info en el foro, especialmente sobre que no en todos los firmwares funciona el comando ip nat session, que es el que determina cuántas sesiones puede usar cada host. Deberías probarlo y confrontarlo con el valor Size de la cabecera de la Tabla de NAT.

Slds.
 
Me explico con el 660hw-d1 se pueden tener las siguientes conexiones:

b5_1027 -----> 6000 pero tiene peores valores de ruido y atenuacion con lo que en el futuro a partir de unos 6 MB / 10 MB dependiendo del caso os ira muy justo. Eso dependera de cada linea y alguno puede que no le afecte pero a la mayoria sí.
b12------------> 512

En cuanto a los comandos que pone OGalati puede ser una opcion pero no recomiendo tocarlos sin al menos apuntar los valores originales.

Otra cosa si el router no es original, es decir de Telefonica, sin los guardas en el autoexec.net creo que se pierden. Con el 660hw-61 pasaba eso con el d1 no estoy seguro al 100 %.
 
A raiz de la confirmación de Resident sobre la cantidad de sesiones, edité un comentario en el post anterior, ya que no tengo gran experiencia con firmwares de Telefónica. El punto es que me llamaba la atención que pueda haber tanta diferencia en el tamaño de las tablas por una cuestión solamente atribuible al firmware. La duda es si ese salto de 512 a 6000 no requeriría un cambio de hardware (memoria). También, pensando en que b12 es posterior a b5 (creo), esto implicaría que se "degradó" la performance?

Coincido en que los valores de timeout se perderían al reiniciar, por lo que habría que guardarlos en el autoexec.net.

Slds.
 
Solo como aportacion a los que conocen del tema.
Partimos que el mio es el de telefonica, el D1 Blanco.
Le puse el firm. b5, con ip nat session a 6000 y trago, pero el navegar elra casi imposible y cambien al de telefonica que en contre en en el primer post de este hilo del compañero RESIDENT que lo citaba como "http://www.telefonica.net/web2/jaurena/imagenio/ZyxelP660-D1_V3.40(AHF.0)b12.bin"
en ese momento el tamaño de la tabla pasa a"2048".
De los camandos del amigo Ogalati e, " ip nat if wanif0" no me funciona, en tonces no meda el Table Size.
Sobre los "ip nat timeout" si me los da y modifico el ya citado en un post anterior, con la mejora en la estabilidad, Pero lo curioso de todo, que no sabia lo del Firewall y a mi tambien me responde a esos comandos y se trago el que cita OGaleti "sys tos timeout udp 10 "
Datos Actuales:

---------------------------------------
Menu 24.2.1 - System Maintenance - Information

Name:
Routing: IP
ZyNOS F/W Version: V3.40(AHF.0)b12 | 7/30/2007
ADSL Chipset Vendor: TI AR7 06.02.00.7b
Standard: ANSI T1.413/ADSL2+

LAN
Ethernet Address: 00:02:cf:b5:ea:d8
IP Address: 192.168.0.1
IP Mask: 255.255.255.0


Copyright (c) 1994 - 2006 ZyXEL Communications Corp.
ras> sys tos timeout disp

TCP connection timeout (s): 270
TCP idle timeout (s): 9000
TCP FIN-wait timeout (s): 270
UDP idle timeout (s): 10
ICMP idle timeout (s): 180
GRE idle timeout (s): 9000
ESP idle timeout (s): 9000
AH idle timeout (s): 180
IGMP idle timeout (s): 180
Other IP idle timeout (s): 180
ras>
ras> ip nat timeout disp

TCP opened: 150 (minute)
TCP reset: 10 (second)
TCP wait: 2 MSL (second)
TCP other: 270 (second)
UDP: 0 (minute)
UDP specific port -1: 300 (second)
ICMP: 0 (minute)
ESP: 150 (minute)
GRE: 150 (minute)
Others: 0 (minute)
Iamt: 151 (minute)
ras>

ras> ip nat if wanif0
hashTable server service resetport
incikeport addrmap AOL-version9
ras>
ras> ip nat hashTable wanif0

2028 TCP 192.168.0.2 :3865 xx.xx.xxx.xx :10803 79.147.94.154 :40236 182
2034 UDP 192.168.0.2 :8889 xx.xx.xxx.xx :8889 190.48.0.167 :12511 2
2038 UDP 192.168.0.2 :8889 xx.xx.xxx.xx :8889 189.68.7.24 :13732 5
2040 TCP 192.168.0.2 :3892 xx.xx.xxx.xx :10827 80.26.4.87 :48941 12
2042 TCP 192.168.0.2 :4134 xx.xx.xxx.xx :11056 85.60.128.94 :55055 83
2045 TCP 192.168.0.2 :4132 xx.xx.xxx.xx :11054 81.203.33.25 :59750 83

================================Summary information=============================

Used: 790, Total: 2048

ras>
-------------------------------------------
Antes de modificar los timeout los User llegaban a los 2048.

Salu2
 
Simbita201 dijo:
===Summary information=============================

Used: 790, Total: 2048

ras>
-------------------------------------------

Antes de modificar los timeout los User llegaban a los 2048.

Salu2

Gracias por la aclaración.
Lástima que sacaron la posibilidad de ver la cabecera de la tabla, ya que había información muy útil. Alguna info sale de otro lado como ese Total:2048, pero la variable Full, para saber las sesiones que no se pudieron abrir por falta de espacio era útil. Igualmente si Used llegaba a 2048, evidentemente saturabas la tabla, así que te el ajustar el timeout te ha servido.
No deja de asombrarme el firmware de 6000 conexiones simultáneas.
Slds.
 
Os voy a comentar una cosa sobre el b.12. No se si tiene 2048 conexiones maximas, que parece que por lo comentais es asi.

1º) Pero una cosa tengo clara no vais a poder usar mas de 512. ¿Y por que? Pues muy sencillo porque las han dejado fijas. Me explico existe un comando el ip nat session +nº conexiones para poner las que quieras hasta el tope que aguante. Es el limite maximo de conexiones que puede alcanzar un PC y aprovechar, aunque hubiera mas el resto solo la podrian usar otros PCs. Lo malo es que este comando lo han quitado.

2º) ¿Para que sirve ip nat session? Pues para distribuir el nº de conexiones maximas que tendra cada PC. Caso contrario uno se podria quedar con casi todas y al resto dejarle con muy pocas. En ese caso hasta podria costarle navegar por internet.

3º) ¿Por que ha quitado ip nat session Telefonica? Recordad que es un router que reciben los de Imagenio y alguno ocasionalmente. Para evitar cuelges en este servicio lo ha quitado y asi se asegura el buen funcionamiento del mismo, por eso han debido tomar esa decision. Asi es mas dificil que se sature la tabla NAT del router.
 
Simbita201 dijo:
Solo como aportacion a los que conocen del tema.
Partimos que el mio es el de telefonica, el D1 Blanco.
Le puse el firm. b5, con ip nat session a 6000 y trago, pero el navegar elra casi imposible y cambien al de telefonica que en contre en en el primer post de este hilo del compañero RESIDENT que lo citaba como "http://www.telefonica.net/web2/jaurena/imagenio/ZyxelP660-D1_V3.40(AHF.0)b12.bin"
en ese momento el tamaño de la tabla pasa a"2048".
De los camandos del amigo Ogalati e, " ip nat if wanif0" no me funciona, en tonces no meda el Table Size.
Sobre los "ip nat timeout" si me los da y modifico el ya citado en un post anterior, con la mejora en la estabilidad, Pero lo curioso de todo, que no sabia lo del Firewall y a mi tambien me responde a esos comandos y se trago el que cita OGaleti "sys tos timeout udp 10 "
/quote]

Esto que significa , ????? que en el router hay algun firewall oculto que no se puede ver ni via Telnet , ni via WEB ???
Como puede ser que trago un comando (sys tos timeout udp 10) de firewall (si es un comando de firewall) si no existe un firewall instalado en el router ??

Lo pregunto porqaue yo tambien tengo un Zyxel P660 HW D1 de Tfnica con el b12 (modificado) ..... y posiblemente tenga el mismo problema.

Greacias
 
Anonimo dijo:
Esto que significa , ????? que en el router hay algun firewall oculto que no se puede ver ni via Telnet , ni via WEB ???
Como puede ser que trago un comando (sys tos timeout udp 10) de firewall (si es un comando de firewall) si no existe un firewall instalado en el router ??

Lo pregunto porqaue yo tambien tengo un Zyxel P660 HW D1 de Tfnica con el b12 (modificado) ..... y posiblemente tenga el mismo problema.

Greacias

No, firewall oculto no puede ser. Es muy posible que el programa "trague" comandos correspondientes a funciones que en esa versión específicamente no está, sino que está recortada, por ejemplo. Otras veces da error. La depuración de este tipo de cosas por parte de Zyxel es deplorable.
Parecería que en España se manejan muchas versiones modificadas o customizadas de los firmwares originales, pero en general, los modelos "H" traen firewall independiente. En la consola web se tiene que ver la opción "Firewall". Los que no lo traen, los he visto con la opción "Security" que no es otra cosa que la aplicación del viejo sistema de filtros del Zynos.

Slds.
 
@OGalati:

Unas preguntas OGalati,

Ambas bajo el supuesto que usamos ip nat timeout generic 10

1) Seria correcto entender que no haria falta apagar y encender el router para que tenga efecto ??

2) Como afectaría este cambio (ip nat timeout generic 10) a los P2P con KAD ??? Perderian los fuentes mas rapido ?? Volverian establecer contacto cada 10 secs con el mismo nodo , etc....

3) Una vez que hemos cambiado a ip nat timeout generic 10 , como volvemos a los valores iniciales ??
ej: ip nat timeout generic 180 (seria 3 min) ???

Muchas gracias por tu ayuda.
 
theatis dijo:
@OGalati:

Unas preguntas OGalati,

Ambas bajo el supuesto que usamos ip nat timeout generic 10

1) Seria correcto entender que no haria falta apagar y encender el router para que tenga efecto ??

La idea detrás de reiniciar el router es vaciar la Tabla de NAT de forma violenta para obtener disponibilidad de nuevas sesiones de NAT. Sin embargo, hay routers que directamente se plantan (se "cuelgan" o dejan de funcionar) y acá el problema de navegación no es directamente la falta de espacio en la Tabla. Cuando es problema de espacio, puede hacerse lugar a nuevas sesiones con un desagote más suave de la Tabla si:
a- Generamos sesiones a menor ritmo: Muchos P2P permiten cierto control sobre este valor. No usar el parche del TCPIP de Lvllord también ayuda.
b- Hacemos que las sesiones generadas se liberen más rápido, especialmente las UDP, que solamente se liberan por timeout y son ampliamente usadas en P2P. Aquel comando se encuadra en este punto b, pero la liberación efectiva de espacio en la Tabla no depende solamente del ritmo de liberación sino también del ritmo de creación de sesiones, o sea de la combinación de ambos factores.
O sea que si liberamos espacio a un ritmo mayor al que lo ocupamos, siempre va a haber espacio para navegar y no va a ser necesario reiniciar el router, salvo que el router ser cuelgue.


2) Como afectaría este cambio (ip nat timeout generic 10) a los P2P con KAD ??? Perderian los fuentes mas rapido ?? Volverian establecer contacto cada 10 secs con el mismo nodo , etc....

Este es un comando que se ejecuta en el router, y el P2P no tiene idea de lo que está ocurriendo realmente. Simplemente ve que no obtiene respuesta. O sea, desde el punto de vista del P2P que corre en la PC, da lo mismo que no haya espacio en la Tabla, o que el router haya bloqueado el retorno al cerrar demasiado pronto la sesión, o que la PC remota que figura como fuente esté en realidad apagada (aunque no sé qué medidas toma el protocolo Kademlia en estos casos). El valor de 10 es meramente indicativo y hay que verificarlo, pero yo interpreto que por la función que tiene y la forma en que se usa el protocolo UDP en las redes P2P, 10 segundos es más que suficiente, y he visto gente usando 5 segundos. Creo que si no recibo respuesta de un nodo remoto dentro de los 10 segundos después de haber tratado de verificar su existencia, debo asumir que no está on line, en cuyo caso no tiene sentido seguir esperando con una sesión abierta en el router.

3) Una vez que hemos cambiado a ip nat timeout generic 10 , como volvemos a los valores iniciales ??
ej: ip nat timeout generic 180 (seria 3 min) ???

Exactamente. Igualmente, creo que el seteo del timeout de las sesiones no sobrevive a los reinicios, así que reiniciando se vuelve a los valores por default, salvo que tengamos grabado los seteos en el archivo autoexec.net


Espero que sirva y aclare algo.

Slds.
 
Gracias OGalati ,

Lo probare a ver como va.
Por lo menos quizas me alivia (aunque no lo solucionara) un poco el problema que tengo con eMule y el UDP
http://www.adslzone.net/postt171354.html


Update: Bueno , lo he probado y funciona .... por lo menos los comandos.
Hay que hacerlo en orden:
1) sys tos timeout disp (lo mio indica 300 secs en UDP)
2) sys tos timeout udp 15
3) sys tos timeout disp (lo ha cambiado a 15)
4) ip nat timeout disp (sigue indicando 3 min)
5) ip nat generic 15
6) ip nat timeout disp (indicando 0 min)

..... a ver como va la KAD en la mula ahora.
 
HOLA!

vamos a ver, tengo el firmware 340AHF0b12_20080409 en mi zyxel 660HW-d1 Blanco de telefónica. Línea 10 Mb. Creo que he conseguido arreglar lo de la tabla NAT al instalar este firmware porque ya me acepta el comando ip nat session 2048. Lo que pasa esque no entiendo por qué no me abre los puertos correctamente. Me explico:

Quiero abrir un puerto para el bittorrent 6.1.2 y lo hago con una ip fija en mi ordenador por cable y le redirijo el puerto que quiero a esa ip. Cuando abro el bittorrent me dice que ese puerto esta cerrado y que no me llegan bien las conexiones (?¿?¿). He probado un escáner de puertos desde www.internautas.org y me da el mismo error. No tengo firewall instalado (ni tampoco el de windows xp). ¿Qué puede ser?

GRacias!!
andreselsuave

edito: Los puertos del emule los tengo abiertos sin problemas (ID alta, UDP abierto, tests TCP y UDP correctos)
 
Problema solucionado. Parece ser que cambiando el puerto de bit torrent funciona bien. He mantenido el nuevo firm. Ahora a ver si configuro bien el bit torrent para que me baje a mas de 30kb con mi linea de 10 megas :S:S:S
 
Arriba