Rede parando de funcionar no Switch Passivo TL-SG1016D

Matheus Andrei Jankovski · 11 de novembro de 2024

Boa tarde, estou com uma situação estranha, pelo modelo do switch e informações descritas do produto, seria apenas conectar os cabos e utilizar, mas ao tentar usar esse dispositvo a rede não funciona.

Roteador: TL-R600VPN (funcionando normal)

Switch: TL-SG1016D (ao ser conectado não funciona a rede e começa parar de outros dispositivos).

Hoje a rede tem vários switches passivos de 8, 16 e 32 portas, tudo funcionando normal.

* Não existe VLAN configurada,
Obs: quando conecto esse Switch: TL-SG1016D, todos os computadores que precisem renovar o endereço (basta tirar e conectar o cabo de rede), não volta a funcionar a rede.

Obs: quando conecto direto no roteador do provedor de acesso, intelbras básico, funciona normalmente esse switch.
Obs: sem esse roteador a rede tambem está funcionando normal sem problemas

Tentei coletar informações com wireshark, mas o unico retorno que identifico é:

thiago.jj · 12 de novembro de 2024

não vi a descricao desse switch, mas se um switch estiver cascateando tem switch que tem limitacao senao me engano você conecta ate 3 se você tenta ligar um quarto, esse quarto ja não funciona.

o pessoal mais tecnico pode explicar sobre camada, etc... ou você pode dar uma lida sobre isso

se você conseguir

tenha um switch principal e dele distribua para os outros switch e não de switch para switch.

como você mesmo disse ele funciona normalmente ligando no principal....

claudineybm · 12 de novembro de 2024

Verifique se este switch não tem ma chave de "isolation" que isola as conexões da porta 1 a 22. Use as portas 23 e 24 p/ outros switches neste caso. Ou simplesmente desligue esta chave, caso possua. Se não for isso creio que este switch esteja com defeito e tenha que trocá-lo.

Matheus Andrei Jankovski · 12 de novembro de 2024

Boa tarde!

@thiago.jj sobre a questão do switches, não se aplica muito ao meu caso, vou explicar um pouco melhor a situação.

Cenário 1: Roteador Intebras Provedor > TPLink Roteador básico (Modo Access) > Intelbras Roteador básico (Modo Access) > Switch TL-SG1016D, conectando esse aparelho nessa sequencia, computadores que conecto nesse switch funciona normalmente.

* Acesso internet, Acesso LAN entre dois computadores (configuração rapida para teste)

* Cabeamento dispostivo 1 conecta no 2, o dispositivo 2 conecta no 3, e o 3 conecta no Switch TL-SG1016D. (Gerencia da rede nesse caso está com o provedor)

Cenário 2: Roteador TPLink Provedor > TL-R600VPN (rede interna), tenho diversas regras no roteador, porém ao conectar o Switch TL-SG1016D, mesmo que diretamente em uma porta dele, tudo para de funcionar.

* Vale ressaltar que vai parando conforme precisa renovar os endereços dos computadores. (por exemplo se tiro o cabo e coloco, aquele dispositivo não funciona mais).

* Não faz diferença em que ponto da rede coloco, sempre tenho mesmo resultado.

Hoje na infraestrutura existem outros switches de outros modelos na rede, não gera problema. Inclusive tive que trocar esse por 2x de Tplink /1000 para fazer a conexão que eu precisava e funcionou normalemente.

Eu acredito que o switch não está com problema, pois em outra infraestrutura funciona. Tambem acredito que não seja problema na rede da empresa, pois qualquer outro modelo tambem segue funcionando normal dentro da rede que apresenta problema ao conectar o Switch TL-SG1016D. Pode ser compatibilidade, mas não consigo encontrar o motivo. Inclusive já pensei em somente devolver e pegar outro, mas tenho curiosidade de tentar decifrar esse mistério.

* Já resetei o TL-R600VPN para padrão de fábrica para testar e tambem não funciona.

* Caso coloque somente TL-R600VPN com Switch TL-SG1016D tambem não funciona, sendo roteador do provedor > TL-R600VPN e Switch TL-SG1016D para expandir portas.

@claudineybm Tem as chaves, funciona como esperado, fiz testes no cenário 1 e 2.
* Cenário 1 funciona normal
* Cenário 2 não funciona e não tenho nenhuma resposta.

Esqueci de mencionar, levei esse aparelho para testar em casa, seguiu normal, sem problemas.

Linio Alan · 12 de novembro de 2024

16 minutos atrás, Matheus Andrei Jankovski disse:

Cenário 2: Roteador TPLink Provedor > TL-R600VPN (rede interna), tenho diversas regras no roteador, porém ao conectar o Switch TL-SG1016D, mesmo que diretamente em uma porta dele, tudo para de funcionar.

* Vale ressaltar que vai parando conforme precisa renovar os endereços dos computadores. (por exemplo se tiro o cabo e coloco, aquele dispositivo não funciona mais).

* Não faz diferença em que ponto da rede coloco, sempre tenho mesmo resultado.

Hoje na infraestrutura existem outros switches de outros modelos na rede, não gera problema. Inclusive tive que trocar esse por 2x de Tplink /1000 para fazer a conexão que eu precisava e funcionou normalemente.

Em que/quais ponto(s) deste cenário, está localizado do servidor DHCP dessa LAN? E quais exatamente seriam essas "diversas regras" no roteador? Quais os timers definidos para expiração dos endereços, tanto do lising do DHCP e da tabela ARP?

Considere rodar outro dump para captura do handshake dos pacotes DHCP (Discovery, Offer, Request, Ack) e olhar dentro do pacote para ver se esse processo é completado ou interrompido (e em qual etapa).

thiago.jj · 12 de novembro de 2024

Faz um teste da um ipconfig /all na rede atual, liga esse switch e faz a mesma coisa… veja se mudou o gateway

estranho parar so quando renova o ip

qualquer coisa coloca um ip fixo nessa maquina que parou e veja como fica

esse switch você comprou novo?

Matheus Andrei Jankovski · 12 de novembro de 2024

@Linio Alan Boa noite, o DHCP está localizado no TL-R600VPN

Starting IP Address: 192.168.0.100
Ending IP Address: 192.168.0.199
Lease Time: 360 minutes (1-2880. The default value is 120)
Default Gateway: 192.168.0.1
Primary DNS: 192.168.0.50
Secondary DNS: 9.9.9.9

Lease Time na tabela ARP não encontrei.

* Regras de tempo, para bloquear portas.
* Redirecionamento de Porta

* Anti-Arp Spoofing
* Flood Defense

* Packet Anomaly Defense

Block TCP Scan (Stealth FIN/Xmas/Null)
Block Ping of Death
Block Large Ping
Block Ping from WAN
Block WinNuke attack
Block TCP packets with SYN and FIN Bits set
Block TCP packets with FIN Bit set but no ACK Bit set
Block packets with specified IP options
* Filtragem de MAC

* Filtragem de URL

* Configuração de firewall

* Configuração de VPN

* Configuração de envio SNMP de logs

Mas qualquer outro roteador na mesma posição que esse funciona normal, isso que é muito esquisito.

Sobre a questão do handshake, depois de desconectar o cabo e reconectar o PC, tenho recebo o IP normal, o ping contra o gateway trava em 8ms, e não tenho mais acesso a internet e nem a computadores da LAN, porém consigo pingar.

@thiago.jj as configurações de rede ficam todas iguais, sem mudança de gateway.

* mesmo com IP fixo não tenho resposta.
* caso eu desconecte o aparelho da rede, volta a funcionar tudo normal sem a necessidade de renovar o endereço.

Switch novo comprado via mercado livre. Mas como eu disse fora dessa rede em especifico funcionou normal, instalei em outra rede, como na minha casa, funciona ok, quando retorna para esse cenário especifico não funciona.

Hoje eu substitui ele por dois switch de 8 portas passivos tambem no mesmo local e funciona normalmente. Estou pensando em devolver esse switch, mas quero tentar descobrir o que está acontecendo. hehehe

Linio Alan · 13 de novembro de 2024

2 horas atrás, Matheus Andrei Jankovski disse:

@Linio Alan Boa noite, o DHCP está localizado no TL-R600VPN

Starting IP Address: 192.168.0.100
Ending IP Address: 192.168.0.199
Lease Time: 360 minutes (1-2880. The default value is 120)
Default Gateway: 192.168.0.1
Primary DNS: 192.168.0.50
Secondary DNS: 9.9.9.9

Lease Time na tabela ARP não encontrei.

* Regras de tempo, para bloquear portas.
* Redirecionamento de Porta

* Anti-Arp Spoofing
* Flood Defense

* Packet Anomaly Defense

Block TCP Scan (Stealth FIN/Xmas/Null)
Block Ping of Death
Block Large Ping
Block Ping from WAN
Block WinNuke attack
Block TCP packets with SYN and FIN Bits set
Block TCP packets with FIN Bit set but no ACK Bit set
Block packets with specified IP options
* Filtragem de MAC

* Filtragem de URL

* Configuração de firewall

* Configuração de VPN

* Configuração de envio SNMP de logs

Mas qualquer outro roteador na mesma posição que esse funciona normal, isso que é muito esquisito.

Sobre a questão do handshake, depois de desconectar o cabo e reconectar o PC, tenho recebo o IP normal, o ping contra o gateway trava em 8ms, e não tenho mais acesso a internet e nem a computadores da LAN, porém consigo pingar.

Os equipamentos TL-R600VPN e o TL-SG1016D ambos podem estar operando nas mesmas faixas de IP, pelo fato de que, por default o DHCP no TL-SG1016D ser ativo e gateway padrão 0.0.0.0 e a máscara /24 então colidindo com todos os endereços do seu TL-R600VPN.

8 horas atrás, Matheus Andrei Jankovski disse:

Cenário 2: Roteador TPLink Provedor > TL-R600VPN (rede interna), tenho diversas regras no roteador, porém ao conectar o Switch TL-SG1016D, mesmo que diretamente em uma porta dele, tudo para de funcionar.

* Vale ressaltar que vai parando conforme precisa renovar os endereços dos computadores. (por exemplo se tiro o cabo e coloco, aquele dispositivo não funciona mais).

Nesta topologia sua atual -- Roteador TPLink Provedor > TL-R600VPN (rede interna) > Switch TL-SG1016D -- faz os hosts atrás do SG1016D estarem aptos à receber endereço via DHCP do R600VPN e, no pacote DHCP vem informação de DNS do R600VPN.

Os hosts recebendo IP do SG1016D além de provavelmente não terem endereço de DNS válido para resolver nomes, fica isolado dos hosts atrás do R600VPN devido receber endereço de gateway inválido para a LAN (0.0.0.0).

Acesse a interface de configuração do Switch TL-SG1016D e atribua à ele um plano de endereçamento coerente com o restante da sua rede, bem como defina o gateway padrão correto -- Default Gateway: 192.168.0.1 -- caso já não esteja assim.

8 horas atrás, Matheus Andrei Jankovski disse:

* Não faz diferença em que ponto da rede coloco, sempre tenho mesmo resultado.

Isso porque, se "qualquer ponto da rede" significa portas com conectividade com o TL-R600VPN, o conflito descrito acima irá ocorrer da mesma forma.

Por tudo isso o dump/.pcap via Wireshark sniffando os pacotes DHCP e frames Ethernet mostrariam de qual servidor DHCP/interface da rede os pacotes de "DHCP Discovery e Offer" estão sendo divulgados no broadcast e chegando aos hosts, bem como quais informações de gateway/DNS designados.

Matheus Andrei Jankovski · 13 de novembro de 2024

@Linio Alan Unico problema de tudo isso é que esse Switch TL-SG1016D é passivo e não existe nada para ser configurado =\

* Caso tenha como configurar ele me oriente por favor, mas se eu conectar ele somente em um PC com ligação direta, não consigo IP e não tenho acesso, a principio ele é passivo.

Linio Alan · 13 de novembro de 2024

Compreendo, aparentemente a versão "DE" que seria gerenciável, oposto da versão "D".

1 hora atrás, Matheus Andrei Jankovski disse:

@Linio Alan Unico problema de tudo isso é que esse Switch TL-SG1016D é passivo e não existe nada para ser configurado =\

* Caso tenha como configurar ele me oriente por favor, mas se eu conectar ele somente em um PC com ligação direta, não consigo IP e não tenho acesso, a principio ele é passivo.

Como ele não é gerenciável, então teoricamente não faz acréscimos em pacotes e datagramas, apenas frames Ethernet, tráfego Camada 2 puro, então te sugeriria desativar temporariamente as regras do seu roteador R600 que, eventualmente, possam estar interpretando esses quadros do SG1016D como possível ataque:

12 horas atrás, Matheus Andrei Jankovski disse:

* Regras de tempo, para bloquear portas.
* Redirecionamento de Porta

* Anti-Arp Spoofing
* Flood Defense

* Packet Anomaly Defense

Block TCP Scan (Stealth FIN/Xmas/Null)
Block Ping of Death
Block Large Ping
Block Ping from WAN
Block WinNuke attack
Block TCP packets with SYN and FIN Bits set
Block TCP packets with FIN Bit set but no ACK Bit set
Block packets with specified IP options
* Filtragem de MAC

* Filtragem de URL

* Configuração de firewall

* Configuração de VPN

* Configuração de envio SNMP de logs

Matheus Andrei Jankovski · 13 de novembro de 2024

@Linio Alan Boa tarde, desativei, mas o sintoma persiste, porém não reiniciei o roteador após desativar, acredita que seja valido?

Linio Alan · 13 de novembro de 2024

Sim pode. E se for possível, salve um .pcap de quando o tráfego está Ok e de quando ocorre o problema, ali vai com certeza ter qualquer informação que leve à causa-raiz de forma mais assertiva.

Viu se essas regras incrementam as estatisticas quando conecta o switch?

Reveja também todas as regras aplicadas à interface que conectam o switch e os seus contadores nas estatísticas da interface, podem dar uma pista do problema.

Teste o MTU entre eles, aplique configurações de speed e duplex para alem do auto, STP timers, BPDU guard (se ativo) etc etc enfim... certifique-se de que todo o tráfego egress/ingress para o switch está sadio.

Matheus Andrei Jankovski · 18 de novembro de 2024

Bom dia Senhores, comprei outro switch: TL-SG116, tudo funcionou perfeitamente, sobre o outro switch, foi instalado em outro cliente e segue funcionando, porém nesse cenário exposto não funcionou de forma alguma. Estranho ambos serem passivos, unica coisa que observo é os botões.

Linio Alan · 19 de novembro de 2024

Creio que esse seria um caso para, caso os testes com Wireshark não conseguissem mostrar, então o de acionar a própria fabricante TP-Link, para investigação em laboratório de testes mesmo executando inclusive um teste RFC2544 à exaustão, pode ser sim alguma incompatibilidade que eles tenham que resolver lançando correções, aliás algo que passou batido te recomendar era o de checar por novas atualizações no site deles, caso já não o tenha feito claro.

Matheus Andrei Jankovski · 19 de novembro de 2024

@Linio AlanBom dia !, vou fazer a devolução do produto e informar o problema a eles, sobre a atualização do aparalho não acredito que seja possível pois é um aparelho passivo.

Linio Alan · 19 de novembro de 2024

Importante mencionar na devolução de que existia uma incompatibilidade específicamente na interoperação com o TL-R600VPN, para este que me referia sobre a atualização de firmware, embora o cenário ideal mesmo era o de resetá-lo e testar em bancada ambos sozinhos mas desejo que você consiga um bom suporte com a TP-Link para o seu caso. Se tiver novidades e quiser compartilhá-las aqui no seu tópico será muito bom.

Abs