https://opennet.me/openforum/vsluhforumID1/96972.html Всем добрый вечер.<br>Столкнулся с очень странной проблемой, уже неделю ломаю голову.<br>Есть небольшой офис - около 100 человек. Стоит роутер mikrotik rb2011, один IP от провайдера. Все сидят за NAT.<br>По работе - все ходят на один сайт. И вот проблема в том, что время от времени - он недоступен у одного человека в офисе. У всех остальных - работает.<br>Причем может быть недоступен несколько часов, а может - несколько дней. При этом сервер пингуется, трассировки проходят, но tcp-порты не отвечают. Если у этого человека настроить прокси/ВПН, то все начинает работать.<br>Снял дамп трафика на сервере, сопоставил по портам, вижу что от клиента приходит 3 запроса:<br><br>10:15:18.753889 IP 193.110.x.x.22151 &gt; 146.120.x.x.80: Flags [S], seq 3615090478, win 8192, options [mss 1360,sackOK,TS val 730037 ecr 0], length 0<br>10:15:18.758933 IP 193.110.x.x.22150 &gt; 146.120.x.x.80: Flags [S], seq 4125907689, win 8192, options [mss 1360,sackOK,TS val 730037 ecr 0], length 0<br>10:15:19.010400 IP 193.110.x.x.22152 &gt; 146.120.x.x.80: Flags [S https://opennet.me/openforum/vsluhforumID1/96972.html#9 Mon, 22 Jan 2018 08:32:14 GMT &gt;[оверквотинг удален]<br>&gt;&gt; это исходящие пакеты на роутере? или между роутером и провайдером?<br>&gt;&gt; вы уверены что от провайдера не пришло ответного пакета и вы его <br>&gt;&gt; не зарубили на NAT?<br>&gt; Извиняюсь за долгий ответ, но проблема со временем пропала сама, так же, <br>&gt; как и появилась.<br>&gt; Лог снят с роутера, который стоит в ДЦ, перед сервером (на нем <br>&gt; поднять только BGP, файрвол чистый). Поэтому НАТ не мог ничего зарубить. <br>&gt; Есть подозрения - что проблема была связана с провайдером, к которому подключены <br>&gt; клиенты. Как удалось узнать, они как раз внедряли фильтрацию трафика (для <br>&gt; закона о блокировке нежелательных сайтов).<br><br>По симптомам похоже на ограничение tcp сессий или conntrack.<br><br> https://opennet.me/openforum/vsluhforumID1/96972.html#8 Mon, 22 Jan 2018 06:45:02 GMT &gt;[оверквотинг удален]<br>&gt; по имени и по ip <br>&gt; фраза "Самое интересное: клиенты все время разные." непонятна.<br>&gt; Что значит другие клиенты? Вы же выше написали что если подключаетесь ноутбуком <br>&gt; к тому же порту- проблемы нет. что это за "другие клиенты" <br>&gt; ?<br>&gt; приведенный вами набор из трех запросов- вызывает сомнения.<br>&gt; откуда вы его взяли?<br>&gt; это исходящие пакеты на роутере? или между роутером и провайдером?<br>&gt; вы уверены что от провайдера не пришло ответного пакета и вы его <br>&gt; не зарубили на NAT?<br><br>Извиняюсь за долгий ответ, но проблема со временем пропала сама, так же, как и появилась.<br><br>Лог снят с роутера, который стоит в ДЦ, перед сервером (на нем поднять только BGP, файрвол чистый). Поэтому НАТ не мог ничего зарубить.<br><br>Есть подозрения - что проблема была связана с провайдером, к которому подключены клиенты. Как удалось узнать, они как раз внедряли фильтрацию трафика (для закона о блокировке нежелательных сайтов).<br> https://opennet.me/openforum/vsluhforumID1/96972.html#7 Mon, 21 Aug 2017 13:10:48 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Wi-Fi.<br>&gt;&gt; Если выткнуть у проблемного клиента кабель и воткнуть назад, то первые секунд <br>&gt;&gt; 15 все работает, потом отваливается.<br>&gt;&gt; Самое интересное: клиенты все время разные.<br>&gt; Коммутационное оборудование какое? Похоже на переполнение ARP либо CAM таблиц на коммутаторе. <br>&gt; Возможно proxy-arp где-то включено.<br>&gt; Если на маршрутизаторе на одном интерфейсе есть 2 IP из разных подсетей <br>&gt; - разнести по разным интерфейсам. Proxy-arp отключить.<br>&gt; Возможно кто-то нечаяно или специально делает arp-spoofing. Проверить на всем коммутационном <br>&gt; оборудовании соответсвие данных ARP и MAC.<br><br>на коммутаторе в каком месте? между провайдером и роутером?<br>три пакета которые показал топикстартер - это пакеты исходящие с NAT и на них нет ответа от хоста в интернет со стороны провадйра. Никакие проблемы внутри сети не имеют отношения к ответному пакету который должен прийти со стороны провайдера. а их - ответных то, по утверждению топикстартера- и нет. но почемуто их нет только для одного хо https://opennet.me/openforum/vsluhforumID1/96972.html#6 Mon, 21 Aug 2017 13:03:54 GMT &gt;[оверквотинг удален]<br>&gt; приходит 3 запроса: <br>&gt; 10:15:18.753889 IP 193.110.x.x.22151 &gt; 146.120.x.x.80: Flags [S], seq 3615090478, win <br>&gt; 8192, options [mss 1360,sackOK,TS val 730037 ecr 0], length 0 <br>&gt; 10:15:18.758933 IP 193.110.x.x.22150 &gt; 146.120.x.x.80: Flags [S], seq 4125907689, win <br>&gt; 8192, options [mss 1360,sackOK,TS val 730037 ecr 0], length 0 <br>&gt; 10:15:19.010400 IP 193.110.x.x.22152 &gt; 146.120.x.x.80: Flags [S], seq 385791909, win 8192, <br>&gt; options [mss 1360,sackOK,TS val 730062 ecr 0], length 0 <br>&gt; При этом сервер ничего не отвечает. Думаю, копать в сторону mss, но <br>&gt; как то не очень сходится.<br>&gt; Прошу помощи, может у кого-то была такая ситуация?<br><br>Вам нужно пройтись по чеклисту:<br><br>снять дамп протокола связи с проблемный сайтом на самом клиенте.<br><br>в момент недоступности сайта- другие сайты с этого хоста открываются корректно?<br><br>резолв ДНС работает корректно? - в действительности ли обращение идет на нужный Ip адрес?<br><br>воспроизводится ли поведение если проверку доступности делать не браузер https://opennet.me/openforum/vsluhforumID1/96972.html#5 Sun, 20 Aug 2017 17:46:55 GMT А vlan,ы могут помочь при данной ситуации? <br> https://opennet.me/openforum/vsluhforumID1/96972.html#4 Sat, 19 Aug 2017 13:44:59 GMT У нас кстати стоит Керио, и такая же проблема. Сеть без вланов с двумя подсетями - пк и телефон. <br>Спасибо за совет. <br> https://opennet.me/openforum/vsluhforumID1/96972.html#3 Sat, 19 Aug 2017 08:55:45 GMT &gt;&gt; Попробуйте в момент проблемы подключить на проблемный кабель ноутбук и проверить <br>&gt; Подключали - проблемы не наблюдается. Это бывает и у клиентов, подключенных по <br>&gt; Wi-Fi.<br>&gt; Если выткнуть у проблемного клиента кабель и воткнуть назад, то первые секунд <br>&gt; 15 все работает, потом отваливается.<br>&gt; Самое интересное: клиенты все время разные.<br><br>Коммутационное оборудование какое? Похоже на переполнение ARP либо CAM таблиц на коммутаторе. Возможно proxy-arp где-то включено. <br>Если на маршрутизаторе на одном интерфейсе есть 2 IP из разных подсетей - разнести по разным интерфейсам. Proxy-arp отключить. <br>Возможно кто-то нечаяно или специально делает arp-spoofing. Проверить на всем коммутационном оборудовании соответсвие данных ARP и MAC.<br> https://opennet.me/openforum/vsluhforumID1/96972.html#2 Sat, 19 Aug 2017 07:40:26 GMT &gt; Попробуйте в момент проблемы подключить на проблемный кабель ноутбук и проверить <br><br>Подключали - проблемы не наблюдается. Это бывает и у клиентов, подключенных по Wi-Fi.<br>Если выткнуть у проблемного клиента кабель и воткнуть назад, то первые секунд 15 все работает, потом отваливается.<br>Самое интересное: клиенты все время разные.<br> https://opennet.me/openforum/vsluhforumID1/96972.html#1 Fri, 18 Aug 2017 21:35:13 GMT Попробуйте в момент проблемы подключить на проблемный кабель ноутбук и проверить<br>