Buenas Halfway
WIFI es otra cuestión siempre independiente, en los problemas WIFI prefiero no entrar por motivos obvios, para mi WIFI nunca es un problema por mal que funcione, prefiero enfocar esfuerzos sinceramente en cosas que tienen en principio solución (la que sea), WIFI...
Respecto a capturar tráfico en Linux?? por descontado, posiblemente la herramienta más extendida en el mundo para ello, famosa y eficaz es tcpdump. Es cierto que un portatil tiene la ventaja que puedes ir conectándolo a los diferentes dispositivos de forma rápida mientras que un NAS por lo general no lo mueves, pero es un buen comienzo claro.
No sé que NAS tienes... si es un equipo propio con ubuntu con software para NAS, es muy posible que tcpdump lo tenga de serie instalado, y si no en cualquier repo está. Si es un NAS de algún fabricante ya dependerá de marca/modelo. Por ejemplo con QNAP es trivial instalar Entware-ng y desde ahí instalar sin problema tcpdump. En Synology no sé bien como tienen los gestores de paquetes externos...
Usar tcpdump es simple, pero eso sí... si dices que puede pasar en 1 hora o en 10 horas, el volcado puede ser grande. Se puede analizar en tiempo real pero sería una locura, con lo que sería mejor guardar el volcado y analizarlo luego:
La sintaxis es simple, sería algo así, aunque dependerá de la interfaz de red y de la versión de tcpdump:
tcpdump -s 0 -n -i eth0 multicast or broadcast -w test.cap
En este caso eth0 sería la interfaz (aunque pude ser diferente en cada caso, se puede consultar antes con ifconfig). -s 0 especifica el tamaño del frame, lo maximiza. -n es para que no resuelva nombres. Después es el filtro, que capture el tráfico multicast y broadcast, y el último parámetro es para que escriba en un archivo.
Podría ser otro tipo de tráfico el dañino, pero por peligrosidad, el tráfico multicast/broadcast siempre es el más propenso a dar problemas, así que es un buen punto de partida. Además el tráfico multicast/broadcast llega en principio a todos los dispositivos
Buenas Theliel
Hecha la prueba con el comando tcpdump durante unos días (4 días aproximadamente) hasta hoy que he tenido primero un bloqueo, reiniciado el router se ha vuelto a bloquear todo lo que cuelga del switch a los 5 minutos.
Acabo de ver el archivo test.cap, ocupa algo más de 300 mb, yo no lo sé interpretar (aparecen líneas ininteligibles y también líneas dónde se ven los dispositivos que están en la red), tampoco sé si es normal que tras 3-4 días grabando ese tipo de tráfico estemos en 300 mb.
Dime si te parece que entonces se confirma tu hipótesis de un problema de IGMP Snooping y por lo tanto entiendo que la solución es cambiar el switch por uno managed que permita gestionar la configuración de esta función, he visto este, ya me dirás si es adecuado:
Gracias como siempre.
Saludos.
Hola Halfway
Ante todo te pedimos disculpas por las molestias ocasionadas. Con las indicaciones que te ha dado Theliel, al que agradecemos enormemente su colaboración, ¿has podido solucionarlo?, ¿ya te funciona correctamente?.
Por otro lado, ¿podemos ayudarte en algo más?
Si consideras que tu consulta está resuelta, te agradeceríamos que en el hilo que has abierto, pulsases en el botón “Aceptar como solución” del post en el que se te ha resuelto tu caso. Es importante para nosotros que vuestras consultas queden resueltas y para otros usuarios es útil utilizar estas respuestas para sus dudas.
Gracias, un saludo,
Ruth
Y tiene que ser conectado por cable, no? Es decir en un ordenador conectado por wifi no puedo ponerlo, o sí valdría?
Otra vez bloqueado todo lo que cuelga del switch.
Nuevo reinicio.
Sabéis en cuánto está el récord de reinicios del HGU? Creo que lo batiré por ir llamando a Guiness.
Y nuevo reinicio del router porque otra vez todo lo que cuelga del switch se queda sin acceso a la red.
Empieza a ser un poco desesperante esto.
Buenas Theliel
Me acaba de volver a pasar, parece que el cambio de los parámetros que me comentaste no ha solucionado el problema.
El tcpdump sigue corriendo, te lo digo por si quieres que te lo actualice, ahora está en los 380 megas, lo que no he hecho todavía es cambiarle de sitio, es decir sigue registrando desde un ordenador conectado al switch.
Buenas Theliel
Ese tcdump está lanzado en un ordenador con Linux conectado al switch, el router Asus lo quité ya que lo culpé en principio de todos los males y compré ese switch, para intentar descartar que fuese el tema del IGMP Snooping compré ese modelo unmanaged pero que en sus características dice que soporta esa función.
Ahora necesitarías lo mismo pero conectado directamente al Router entiendo. A ver cómo lo hago porque por distintas cuestiones tengo ese ordenador en otra habitación (de ahí el tema de poner el router Asus y luego el switch, a esa habitación me llega solo un cable de red y necesitaba enchufar tres dispositivos, el ordenador con Linux, el portátil del curro por todo esto del tema del teletrabajo y la smarttv).
De momento cambio los parámetros que me indicas del HGU y te voy contando.
Buenas Halfway
Ese estaba conectado al Router, al Switch o al Asus?
La captura que me has mandado si es verdad que se podría configurar mucho mejor, es tráfico de fondo que podemos considerar "normal" aunque de alto volumen. En el HGU en la configuración avanzada del Router vete al panel de la izquierda, y en Multicast cambia "Query Interval" que está en 10, a 125. Eso diminuirá de forma importante el tráfico de fondo de IGMP.
Asi mismo y para reducir aun mucho más ese tráfcio que en principio no nos vale, deshabilita el soporte IPV6 en el HGU, en la interfaz avanzada, LAN, tienes las opciones de IPv6, deshabilita todas las opciones que hay en la pestaña de IPV6.
Aun con todo, repito, donde lo hayas conectado para hacer la prueba, y aunque haya un tráfico relativamente alto en protocolos y de fondo, no hay una tormenta de tráfico generalizada, no está recogida. Realizar el par de cambios que te he dicho debería de ayudar, y al menos evitar otros posibles problemas
Si lo habías pinchado en el Router, pínchalo en el Asus/Switch, y si era en el Asus/Swicth, repite en el Router.
Buenas Halfway
Sube la captura a cualquier servicio (Drive, OneDrive..) y me lo pasas por privado, con un vistazo rápido te digo más o menos de forma "fiable" si hay problema específicamente de multicast/broadcast, o se puede descartar como posible causa.
Si es causa, la solución debería de ser sencilla, si no es la causa, habrá que buscar algo más. A veces la primera hipótesis es correcta, a veces no. Pero más vale curarse en salud.
