NAT, у одного из клиентов не работает сайт, masters, 18-Авг-17, 22:19 [смотреть все]Всем добрый вечер. Столкнулся с очень странной проблемой, уже неделю ломаю голову. Есть небольшой офис - около 100 человек. Стоит роутер mikrotik rb2011, один IP от провайдера. Все сидят за NAT. По работе - все ходят на один сайт. И вот проблема в том, что время от времени - он недоступен у одного человека в офисе. У всех остальных - работает. Причем может быть недоступен несколько часов, а может - несколько дней. При этом сервер пингуется, трассировки проходят, но tcp-порты не отвечают. Если у этого человека настроить прокси/ВПН, то все начинает работать. Снял дамп трафика на сервере, сопоставил по портам, вижу что от клиента приходит 3 запроса:10:15:18.753889 IP 193.110.x.x.22151 > 146.120.x.x.80: Flags [S], seq 3615090478, win 8192, options [mss 1360,sackOK,TS val 730037 ecr 0], length 0 10:15:18.758933 IP 193.110.x.x.22150 > 146.120.x.x.80: Flags [S], seq 4125907689, win 8192, options [mss 1360,sackOK,TS val 730037 ecr 0], length 0 10:15:19.010400 IP 193.110.x.x.22152 > 146.120.x.x.80: Flags [S], seq 385791909, win 8192, options [mss 1360,sackOK,TS val 730062 ecr 0], length 0 При этом сервер ничего не отвечает. Думаю, копать в сторону mss, но как то не очень сходится. Прошу помощи, может у кого-то была такая ситуация?
|
- NAT, у одного из клиентов не работает сайт, ALex_hha, 00:35 , 19-Авг-17 (1)
Попробуйте в момент проблемы подключить на проблемный кабель ноутбук и проверить
- NAT, у одного из клиентов не работает сайт, masters, 10:40 , 19-Авг-17 (2)
> Попробуйте в момент проблемы подключить на проблемный кабель ноутбук и проверить Подключали - проблемы не наблюдается. Это бывает и у клиентов, подключенных по Wi-Fi. Если выткнуть у проблемного клиента кабель и воткнуть назад, то первые секунд 15 все работает, потом отваливается. Самое интересное: клиенты все время разные.
- NAT, у одного из клиентов не работает сайт, Andrey, 11:55 , 19-Авг-17 (3)
>> Попробуйте в момент проблемы подключить на проблемный кабель ноутбук и проверить > Подключали - проблемы не наблюдается. Это бывает и у клиентов, подключенных по > Wi-Fi. > Если выткнуть у проблемного клиента кабель и воткнуть назад, то первые секунд > 15 все работает, потом отваливается. > Самое интересное: клиенты все время разные.Коммутационное оборудование какое? Похоже на переполнение ARP либо CAM таблиц на коммутаторе. Возможно proxy-arp где-то включено. Если на маршрутизаторе на одном интерфейсе есть 2 IP из разных подсетей - разнести по разным интерфейсам. Proxy-arp отключить. Возможно кто-то нечаяно или специально делает arp-spoofing. Проверить на всем коммутационном оборудовании соответсвие данных ARP и MAC.
- NAT, у одного из клиентов не работает сайт, Anasis, 16:44 , 19-Авг-17 (4)
У нас кстати стоит Керио, и такая же проблема. Сеть без вланов с двумя подсетями - пк и телефон. Спасибо за совет.
- NAT, у одного из клиентов не работает сайт, ЫЫ, 16:10 , 21-Авг-17 (7)
>[оверквотинг удален] >> Wi-Fi. >> Если выткнуть у проблемного клиента кабель и воткнуть назад, то первые секунд >> 15 все работает, потом отваливается. >> Самое интересное: клиенты все время разные. > Коммутационное оборудование какое? Похоже на переполнение ARP либо CAM таблиц на коммутаторе. > Возможно proxy-arp где-то включено. > Если на маршрутизаторе на одном интерфейсе есть 2 IP из разных подсетей > - разнести по разным интерфейсам. Proxy-arp отключить. > Возможно кто-то нечаяно или специально делает arp-spoofing. Проверить на всем коммутационном > оборудовании соответсвие данных ARP и MAC.на коммутаторе в каком месте? между провайдером и роутером? три пакета которые показал топикстартер - это пакеты исходящие с NAT и на них нет ответа от хоста в интернет со стороны провадйра. Никакие проблемы внутри сети не имеют отношения к ответному пакету который должен прийти со стороны провайдера. а их - ответных то, по утверждению топикстартера- и нет. но почемуто их нет только для одного хоста внутри сети.
- NAT, у одного из клиентов не работает сайт, ЫЫ, 16:03 , 21-Авг-17 (6)
>[оверквотинг удален] > приходит 3 запроса: > 10:15:18.753889 IP 193.110.x.x.22151 > 146.120.x.x.80: Flags [S], seq 3615090478, win > 8192, options [mss 1360,sackOK,TS val 730037 ecr 0], length 0 > 10:15:18.758933 IP 193.110.x.x.22150 > 146.120.x.x.80: Flags [S], seq 4125907689, win > 8192, options [mss 1360,sackOK,TS val 730037 ecr 0], length 0 > 10:15:19.010400 IP 193.110.x.x.22152 > 146.120.x.x.80: Flags [S], seq 385791909, win 8192, > options [mss 1360,sackOK,TS val 730062 ecr 0], length 0 > При этом сервер ничего не отвечает. Думаю, копать в сторону mss, но > как то не очень сходится. > Прошу помощи, может у кого-то была такая ситуация?Вам нужно пройтись по чеклисту: снять дамп протокола связи с проблемный сайтом на самом клиенте. в момент недоступности сайта- другие сайты с этого хоста открываются корректно? резолв ДНС работает корректно? - в действительности ли обращение идет на нужный Ip адрес? воспроизводится ли поведение если проверку доступности делать не браузером а другой программой- а имено telnet на порт 80 на этот адрес, раздельно по имени и по ip фраза "Самое интересное: клиенты все время разные." непонятна. Что значит другие клиенты? Вы же выше написали что если подключаетесь ноутбуком к тому же порту- проблемы нет. что это за "другие клиенты" ?
приведенный вами набор из трех запросов- вызывает сомнения. откуда вы его взяли? это исходящие пакеты на роутере? или между роутером и провайдером? вы уверены что от провайдера не пришло ответного пакета и вы его не зарубили на NAT?
- NAT, у одного из клиентов не работает сайт, masters, 09:45 , 22-Янв-18 (8)
>[оверквотинг удален] > по имени и по ip > фраза "Самое интересное: клиенты все время разные." непонятна. > Что значит другие клиенты? Вы же выше написали что если подключаетесь ноутбуком > к тому же порту- проблемы нет. что это за "другие клиенты" > ? > приведенный вами набор из трех запросов- вызывает сомнения. > откуда вы его взяли? > это исходящие пакеты на роутере? или между роутером и провайдером? > вы уверены что от провайдера не пришло ответного пакета и вы его > не зарубили на NAT?Извиняюсь за долгий ответ, но проблема со временем пропала сама, так же, как и появилась. Лог снят с роутера, который стоит в ДЦ, перед сервером (на нем поднять только BGP, файрвол чистый). Поэтому НАТ не мог ничего зарубить. Есть подозрения - что проблема была связана с провайдером, к которому подключены клиенты. Как удалось узнать, они как раз внедряли фильтрацию трафика (для закона о блокировке нежелательных сайтов).
- NAT, у одного из клиентов не работает сайт, fantom, 11:32 , 22-Янв-18 (9)
>[оверквотинг удален] >> это исходящие пакеты на роутере? или между роутером и провайдером? >> вы уверены что от провайдера не пришло ответного пакета и вы его >> не зарубили на NAT? > Извиняюсь за долгий ответ, но проблема со временем пропала сама, так же, > как и появилась. > Лог снят с роутера, который стоит в ДЦ, перед сервером (на нем > поднять только BGP, файрвол чистый). Поэтому НАТ не мог ничего зарубить. > Есть подозрения - что проблема была связана с провайдером, к которому подключены > клиенты. Как удалось узнать, они как раз внедряли фильтрацию трафика (для > закона о блокировке нежелательных сайтов).По симптомам похоже на ограничение tcp сессий или conntrack.
|