Всем добрый вечер.
Столкнулся с очень странной проблемой, уже неделю ломаю голову.
Есть небольшой офис - около 100 человек. Стоит роутер mikrotik rb2011, один IP от провайдера. Все сидят за NAT.
По работе - все ходят на один сайт. И вот проблема в том, что время от времени - он недоступен у одного человека в офисе. У всех остальных - работает.
Причем может быть недоступен несколько часов, а может - несколько дней. При этом сервер пингуется, трассировки проходят, но tcp-порты не отвечают. Если у этого человека настроить прокси/ВПН, то все начинает работать.
Снял дамп трафика на сервере, сопоставил по портам, вижу что от клиента приходит 3 запроса:

10:15:18.753889 IP 193.110.x.x.22151 > 146.120.x.x.80: Flags [S], seq 3615090478, win 8192, options [mss 1360,sackOK,TS val 730037 ecr 0], length 0
10:15:18.758933 IP 193.110.x.x.22150 > 146.120.x.x.80: Flags [S], seq 4125907689, win 8192, options [mss 1360,sackOK,TS val 730037 ecr 0], length 0
10:15:19.010400 IP 193.110.x.x.22152 > 146.120.x.x.80: Flags [S], seq 385791909, win 8192, options [mss 1360,sackOK,TS val 730062 ecr 0], length 0

При этом сервер ничего не отвечает. Думаю, копать в сторону mss, но как то не очень сходится.
Прошу помощи, может у кого-то была такая ситуация?

• NAT, у одного из клиентов не работает сайт,ALex_hha, 00:35 , 19-Авг-17
  • NAT, у одного из клиентов не работает сайт,masters, 10:40 , 19-Авг-17
    • NAT, у одного из клиентов не работает сайт,Andrey, 11:55 , 19-Авг-17
      • NAT, у одного из клиентов не работает сайт,Anasis, 16:44 , 19-Авг-17
        • NAT, у одного из клиентов не работает сайт,Anasis, 20:46 , 20-Авг-17
      • NAT, у одного из клиентов не работает сайт,ЫЫ, 16:10 , 21-Авг-17
• NAT, у одного из клиентов не работает сайт,ЫЫ, 16:03 , 21-Авг-17
  • NAT, у одного из клиентов не работает сайт,masters, 09:45 , 22-Янв-18
    • NAT, у одного из клиентов не работает сайт,fantom, 11:32 , 22-Янв-18

Попробуйте в момент проблемы подключить на проблемный кабель ноутбук и проверить

> Попробуйте в момент проблемы подключить на проблемный кабель ноутбук и проверить

Подключали - проблемы не наблюдается. Это бывает и у клиентов, подключенных по Wi-Fi.
Если выткнуть у проблемного клиента кабель и воткнуть назад, то первые секунд 15 все работает, потом отваливается.
Самое интересное: клиенты все время разные.

>> Попробуйте в момент проблемы подключить на проблемный кабель ноутбук и проверить
> Подключали - проблемы не наблюдается. Это бывает и у клиентов, подключенных по
> Wi-Fi.
> Если выткнуть у проблемного клиента кабель и воткнуть назад, то первые секунд
> 15 все работает, потом отваливается.
> Самое интересное: клиенты все время разные.

Коммутационное оборудование какое? Похоже на переполнение ARP либо CAM таблиц на коммутаторе. Возможно proxy-arp где-то включено.
Если на маршрутизаторе на одном интерфейсе есть 2 IP из разных подсетей - разнести по разным интерфейсам. Proxy-arp отключить.
Возможно кто-то нечаяно или специально делает arp-spoofing. Проверить на всем коммутационном оборудовании соответсвие данных ARP и MAC.

У нас кстати стоит Керио, и такая же проблема. Сеть без вланов с двумя подсетями - пк и телефон.
Спасибо  за совет.

А vlan,ы могут помочь при данной ситуации?

>[оверквотинг удален]
>> Wi-Fi.
>> Если выткнуть у проблемного клиента кабель и воткнуть назад, то первые секунд
>> 15 все работает, потом отваливается.
>> Самое интересное: клиенты все время разные.
> Коммутационное оборудование какое? Похоже на переполнение ARP либо CAM таблиц на коммутаторе.
> Возможно proxy-arp где-то включено.
> Если на маршрутизаторе на одном интерфейсе есть 2 IP из разных подсетей
> - разнести по разным интерфейсам. Proxy-arp отключить.
> Возможно кто-то нечаяно или специально делает arp-spoofing. Проверить на всем коммутационном
> оборудовании соответсвие данных ARP и MAC.

на коммутаторе в каком месте? между провайдером и роутером?
три пакета которые показал топикстартер - это пакеты исходящие с NAT и на них нет ответа от хоста в интернет со стороны провадйра. Никакие  проблемы внутри сети не имеют отношения к ответному пакету который должен прийти со стороны провайдера. а их - ответных то, по утверждению топикстартера- и нет. но почемуто их нет только для одного хоста внутри сети.

>[оверквотинг удален]
> приходит 3 запроса:
> 10:15:18.753889 IP 193.110.x.x.22151 > 146.120.x.x.80: Flags [S], seq 3615090478, win
> 8192, options [mss 1360,sackOK,TS val 730037 ecr 0], length 0
> 10:15:18.758933 IP 193.110.x.x.22150 > 146.120.x.x.80: Flags [S], seq 4125907689, win
> 8192, options [mss 1360,sackOK,TS val 730037 ecr 0], length 0
> 10:15:19.010400 IP 193.110.x.x.22152 > 146.120.x.x.80: Flags [S], seq 385791909, win 8192,
> options [mss 1360,sackOK,TS val 730062 ecr 0], length 0
> При этом сервер ничего не отвечает. Думаю, копать в сторону mss, но
> как то не очень сходится.
> Прошу помощи, может у кого-то была такая ситуация?

Вам нужно пройтись по чеклисту:

снять дамп протокола связи с проблемный сайтом на самом клиенте.

в момент недоступности сайта- другие сайты с этого хоста открываются корректно?

резолв ДНС работает корректно? - в действительности ли обращение идет на нужный Ip адрес?

воспроизводится ли поведение если проверку доступности  делать не браузером а другой программой- а имено telnet на порт 80 на этот адрес, раздельно по имени и по ip

фраза "Самое интересное: клиенты все время разные." непонятна.
Что значит другие клиенты? Вы же выше написали что если подключаетесь ноутбуком к тому же порту- проблемы нет. что это за "другие клиенты" ?

приведенный вами набор из трех запросов- вызывает сомнения.
откуда вы его взяли?
это исходящие пакеты на роутере? или между роутером и провайдером?
вы уверены что от провайдера не пришло ответного пакета и вы его не зарубили на NAT?

>[оверквотинг удален]
> по имени и по ip
> фраза "Самое интересное: клиенты все время разные." непонятна.
> Что значит другие клиенты? Вы же выше написали что если подключаетесь ноутбуком
> к тому же порту- проблемы нет. что это за "другие клиенты"
> ?
> приведенный вами набор из трех запросов- вызывает сомнения.
> откуда вы его взяли?
> это исходящие пакеты на роутере? или между роутером и провайдером?
> вы уверены что от провайдера не пришло ответного пакета и вы его
> не зарубили на NAT?

Извиняюсь за долгий ответ, но проблема со временем пропала сама, так же, как и появилась.

Лог снят с роутера, который стоит в ДЦ, перед сервером (на нем поднять только BGP, файрвол чистый). Поэтому НАТ не мог ничего зарубить.

Есть подозрения - что проблема была связана с провайдером, к которому подключены клиенты. Как удалось узнать, они как раз внедряли фильтрацию трафика (для закона о блокировке нежелательных сайтов).

>[оверквотинг удален]
>> это исходящие пакеты на роутере? или между роутером и провайдером?
>> вы уверены что от провайдера не пришло ответного пакета и вы его
>> не зарубили на NAT?
> Извиняюсь за долгий ответ, но проблема со временем пропала сама, так же,
> как и появилась.
> Лог снят с роутера, который стоит в ДЦ, перед сервером (на нем
> поднять только BGP, файрвол чистый). Поэтому НАТ не мог ничего зарубить.
> Есть подозрения - что проблема была связана с провайдером, к которому подключены
> клиенты. Как удалось узнать, они как раз внедряли фильтрацию трафика (для
> закона о блокировке нежелательных сайтов).

По симптомам похоже на ограничение tcp сессий или conntrack.