Jump to content

Потеря пакетов

HMSPNS
 Share

Recommended Posts

HMSPNS

HMSPNS

Posted
Posted

Добрый день!

Есть два удаленных офиса, подключены через 2 HW1000, в каждом стоит сервак с контролером домена. Координаторы имеют белые IP, являются пограничными устройствами и настроены на прямую видимость друг друга.

Админы говорят что есть потери пакетов при репликации домена.

Системный журнал удаленного координатора показывает следующее:

Screenshot_12.thumb.jpg.cfee496019d21d60fdc1341b4952c077.jpg

Link to comment
Share on other sites
HMSPNS

HMSPNS

Posted
  • Author
Posted
15 часов назад, Заикающийся сказал:

Версии прошивок, доменов, схема? Телепату звонить лень, он на удаленке и ругается.

Версия прошивки VN:   4.2.1-2081;

Версия прошивки SPB: 4.3.2-3421;

AD на WS 2012 R2

Контроллеры доменов туннелируются координаторами.

Логи на на первом скрине это Coordinator VN.

Схема сети: (Москву пока не учитываем, еще не установлена железка)

Screenshot_3.jpg

Link to comment
Share on other sites
HMSPNS

HMSPNS

Posted
  • Author
Posted
9 часов назад, R.Sheyn сказал:

ну и от админов надо бы получить доказательство потерь, а то админы, они такие, с три короба наврут, недорого возьмут, всегда ИБ виноваты.

Да я и сам видел что примерно 25% пакетов пропали и к тому же логи что я скинул на первом скрине явно указывают на какие-то траблы с сетью.

Link to comment
Share on other sites
HMSPNS

HMSPNS

Posted
  • Author
Posted
1 час назад, KostiK2011IT сказал:

Доброго дня!

Включите логирование пакетов на координаторах и посмотрите, что в журнале пакетов. Может в нем какие-либо интересные события)

Приветствую!

К сожалению не могу включить registerall, так как координатор в другом городе (Великий Новгород) и его там админить некому.

Если смотреть журнал с дефолтными настройками то он не показывает ни одного пропущенного пакета, якобы все блокирует(коды событий 22 и 3, иногда проскакивает 30), но на самом деле для локальной сети в В. Новгороде доступны все наши сетевые ресурсы, находящиеся в Питере и пинги проходят в обе стороны.

В журнале Coordinator SPB всё ок, странностей не замечено. Могу скрины запилить если нужно.

Link to comment
Share on other sites
KostiK2011IT

KostiK2011IT

Posted
Posted
27 минут назад, HMSPNS сказал:

К сожалению не могу включить registerall, так как координатор в другом городе (Великий Новгород) и его там админить некому.

явок паролей нет от координатора Новгорода? по ssh с координатора Петербуга подключиться не получается?

 

30 минут назад, HMSPNS сказал:

Если смотреть журнал с дефолтными настройками то он не показывает ни одного пропущенного пакета, якобы все блокирует(коды событий 22 и 3, иногда проскакивает 30), но на самом деле для локальной сети в В. Новгороде доступны все наши сетевые ресурсы, находящиеся в Питере и пинги проходят в обе стороны.

3 - IP-пакет блокирован фильтром защищенной сети -  Согласно настройкам фильтров входящий зашифрованный пакет или исходящий предназначенный для шифрования открытый пакет был заблокирован - надо проверять фильтры

22 - Незашифрованный IP-пакет от сетевого узла - От защищённого адресата пришел открытый пакет - это событие показывает, что возможно проблемы с маршрутизацией

30 - Локальный IP-пакет блокирован фильтром открытой сети -  Пакет блокируется локальным фильтром открытой сети или для пакета не удалось найти подходящий фильтр - надо проверить фильтры для открытойсети, либо пакет не подпадает под правила и дропается, я так понимаю

Без указания сорс и дест адресов, особо не понятно.

Во время синхронизации контроллеров в журналах координаторов нет ли еще каких-либо блокированных?

Link to comment
Share on other sites
KostiK2011IT

KostiK2011IT

Posted
Posted
7 минут назад, HMSPNS сказал:

Пароли то есть и по ssh можно подключиться, но вроде как для включения registerall нужно глушить iplir. Или нет?

надо, но связь не оборвется

Link to comment
Share on other sites
KostiK2011IT

KostiK2011IT

Posted
Posted

можно попробовать iperf-ом померить скорость и потери прям с кд до кд с разными параметрами... может на пути следования пакетов есть оборудование с нестандартным MTU... но такое, поидеи, по журналу было бы видно...

Link to comment
Share on other sites
HMSPNS

HMSPNS

Posted
  • Author
Posted

Поговорил с админами и выяснилось что 25%  TSL (Tombstone-Lifetime) это не потери пакетов при репликации AD, а счетчик времени,  оповещающий о том что последний процесс репликации производился очень давно.

Возможно проблема с AD никак и не связана с VPN и сетью вообще. Но всё же логи на Coordinator VN меня смущают.

Во первых их слишком много. За сутки генерится больше тысячи. Во вторых непонятно зачем например интерфейсы дважды добавляются в группу или запускаются демоны DHCP. Групп на интерфейсе в действительности нет, DHCP не задействован. Непонятно...

Link to comment
Share on other sites
KostiK2011IT

KostiK2011IT

Posted
Posted

про системный журнал логов особо не могу ничего сказать, но про его размер, думаю, беспокоится не стоит, там есть авто ратирование - файлы логов на гиговые куски бьются, на сколько я знаю, и хранятся на hdd...

Link to comment
Share on other sites
HMSPNS

HMSPNS

Posted
  • Author
Posted
2 минуты назад, KostiK2011IT сказал:

про системный журнал логов особо не могу ничего сказать, но про его размер, думаю, беспокоится не стоит, там есть авто ратирование - файлы логов на гиговые куски бьются, на сколько я знаю, и хранятся на hdd...

Хорошо, спасибо за помощь)

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.

  I accept