Смена Провайдера

[stormis]

Вобщем начальство решило сменить провайдера отключились от старого ,новый тянул оптику 2е суток,соответственно сеть випнет не работала.

Старый внешний адрес был 78.99.233.12 ,теперь внешний адресс стал 89.234.15.16.

Какие действия необходимо сделать чтоб снова поднять сеть випнет?

Я в цусе в адресной администрации прописал новый адрес ,старый удалил,сформировал все справочники и разослал.

Всем ап сети было отправлено письмо что в защищеной сети выбираем нашкоординато выбираем вкладку межсетевой экран удаляем старый адрес вносим новый,и получилось что половина ап заработало ,а вторая половина нет,выезжал к паре ап на адресс все сделано правильно но ап связи с координатором так и не имеет.

Что посоветуйте?может я что неправильно делаю

[stormis]

еще й вопрос ,сегодня пытался пинговать машины защищенной сети ,пинг не проходит,так и долно быть или что то нетак?все клиенты в 3 режиме и все активны

[AnTonN(c)]

Пуская пинг с проблемных клиентов и ищи их на координаторе. Если не будет, то что-то посередине: firewall скорей всего.

Пинг с защищенной машины был? проверка соединения есть? опять-таки что журнал ip-пакетов говорит?

[slavanchuk]

Пуская пинг с проблемных клиентов и ищи их на координаторе. Если не будет, то что-то посередине: firewall скорей всего.

Пинг с защищенной машины был? проверка соединения есть? опять-таки что журнал ip-пакетов говорит?

Полностью согласен. Обычно проблема в межсетевых экранах. Вторая по частоте проблема - некорректные дата и время. А, вообще, в журнале пакетов всё расписано. Если там пакетов от узлов нет, значит точно межсетевой экран.

[stormis]

в журнале нет от проблемных ап ничего только от тех которые ожили,в сети неизменилось ничего кроме внешнего адреса ,который дал новый провайдер,и половина же сети запустилась а половина нет.

Команда пинг отдельная тема ,пример : координатор и 350 ап в сети ,если проверять через f5 они все активны,но команда пинг не проходит не с ап (на координатор он активен) не с координатора на заведомо активные ап.Команда нужна для скрипта чтоб организовать автопроцесинг сбора баз с расшареных ресурсов на клиентах.

Сечас на всех клиентах прописано в защишенной сети-см координатор один-вкладка ip-адреса 192.168.140.12 (локальный адрес координатора),вкладка межсетевой экран 89.234.15.16 ,на координаторе галка на порт инкапсуляции в udp по умолчанию 55777,галка использовать межсетевой экран, указан адаптер со стороны котороо установлен МЭ 192.168.140.12 ,тип МЭ со статичесок трансляцией,и галка зафиксировать внешний адрес 89.234.15.16

[stormis]

вот принтскрин журнала координатора куча непонятных блокированных пакетов+журнал блокированных адресов обратите внимание на время,сейчас нет компов кроме координатора и клиента в нашей локалке рабочих

http://rusfolder.com/33599111

http://rusfolder.com/33599112

пинг проходит только к ап которые в нашей локалке,а ап которые в других городах и селах нет

[stormis]

пинг пускал с зведомо активных ап и с координатора на заведомо активные ап,пинг не идет,точнее идет только на те ап,которые в моей локалке,а те которые в других городах ,то команда пинг не проходит.

На проблемных ап нет фаерволов,в сети (защищенной) ничего кроме внешнего адреса(и провайдера )координатора ничего не менялось,раньше был ростелеком dsl-2600u подключенный напрямую к координатору ,теперь комстар оптика без модема соответственно,через микротик

[stormis]

http://rusfolder.com/33599828 - журнал ip-пакетов на 2 сетевом интерфейсе (смотрит в нашу локалку)

http://rusfolder.com/33599829 -журнал ip-пакетов на 1 сетевом интерфейсе (смотрит наружу,через микротик)

[slavanchuk]

http://rusfolder.com/33599828 - журнал ip-пакетов на 2 сетевом интерфейсе (смотрит в нашу локалку)

http://rusfolder.com/33599829 -журнал ip-пакетов на 1 сетевом интерфейсе (смотрит наружу,через микротик)

Насколько я понимаю, у Вас блокируются в журналах только транзитные пакеты, которые пытается отправить Ваш компьютер по протоколу IGMP (машрутизация). На работоспособность сети это никак не влияет. В остальном, у Вас всё пропускается.

Под файерволом понималалсь, к примеру, настройка на ADSL-модеме о пропуске трафика по конкретному UDP-порту на конкретный IP-адрес (если таковая имелась).

Каким образом пускаете пинг? Используете ли Вы те адреса, которые высвечиваются напротив имени АП в защищённой сети?

[stormis]

выполнить-cmd-ping адрес беру тот который высвечивается рядом с ап (пробовал пинговать виртуальный он напротив ап )

[stormis]

поможет ли рассылка проблемным ап файла ipliradr.do$ ?

[AnTonN(c)]

Имеет смысл, если пользователи не прописывают руками адрес доступа. Да и вообще перед началом всей этой процедуры надо было в справочниках прописать новый адрес доступа. Но это так....на будущее.

А вообще координатор имеет выход в инет? Пинги идут на 8.8.8.8?

Предлагаю вариант диагностирования:

1. С проблемного АП, на котором точно прописан новый адрес доступа, запускаете пинг на адрес видимости координатора,

2. Залезаем в журнал ip-пакетов, ищем пинги там, видим событие 40 и идем дальше.

3. На координаторе ищем в журнале ip-пакетов пинги от проблемного АП, если есть, то смотрим если echo reply. Есть/нет? Если пынгу не находим, то грешим на все оборудование, что стоит между координатором, включая его самого, и клиентом.

Как я понял изменения коснулись только провайдера и того, что убрали модем. А WAN соединение какое? Если L2TP, PPPoE или PPPTP, то не забыли ли снять галочку блокировать все протоколы кроме...в настройках ПО?Может у провайдера узнать блочат ли они udp:55777 или какой вы там используете порт? ну это так, напоследок...

[stormis]

Да изменения коснулись только провайдера и того что убрали модем.где эту галочку посмотреть можно?выход обычный Ethernet.

Пинг на 8.8.8.8 идет.меня больше интересует почему половина сети заработала ,а половина нет.почему команда пинг выполняется только для клиентов которые у нас в локалке,а которые в других городах,в других зданиях пинг не проходит,так и должно быть или нет?пинг не проходит даже до заведомо активных АП ,которые в других городах.есть пример в 1 филиале 2 клиента 1 ожил ,а 2й нет,все настройки одинаковые

[slavanchuk]

Да изменения коснулись только провайдера и того что убрали модем.где эту галочку посмотреть можно?выход обычный Ethernet.

Пинг на 8.8.8.8 идет.меня больше интересует почему половина сети заработала ,а половина нет.почему команда пинг выполняется только для клиентов которые у нас в локалке,а которые в других городах,в других зданиях пинг не проходит,так и должно быть или нет?пинг не проходит даже до заведомо активных АП ,которые в других городах.есть пример в 1 филиале 2 клиента 1 ожил ,а 2й нет,все настройки одинаковые

Пинг должен ходить, если в правилах защищённой сети не указано иное. Может, дело в версии программного обеспечения? Разные версии - разные глюки. Вы используете сертифицированную версию или какую-то иную?

[stormis]

Объясните пожалуйста почему пинг не проходит не на виртуальные не на реальные адреса,хотя ап доступны,координатор и ап в 3 режиме

[stormis]

Используем самую последнюю версию и клиентов и координаторов(сертифицированные покупали у бизнессофта ) ,пинг ходит только на машины которые в моем здании и в моей локалке,все что в др зданиях и уголках области пинг не ходит,хотя ап активны,где именно посмотреть в правилах защищенной сети?

AnTonN©

Как я понял изменения коснулись только провайдера и того, что убрали модем. А WAN соединение какое? Если L2TP, PPPoE или PPPTP, то не забыли ли снять галочку блокировать все протоколы кроме...в настройках ПО?Может у провайдера узнать блочат ли они udp:55777 или какой вы там используете порт? ну это так, напоследок... Где именно искать эту галочку,все перерыл ненашел такой галки,ткните плз носом)))

• 
  
  

[stormis]

могу даже дать временно доступ к координатору чтоб ктонибудь глянул настройки и попробовал попинговать

[slavanchuk]

могу даже дать временно доступ к координатору чтоб ктонибудь глянул настройки и попробовал попинговать

Если Вы используете vipnet для защиты персональных данных, то напомню о необходимости использования сертифицированной версии, какой бы глючной она ни была (но это так, к слову). И пускать по удалёнке к своим криптографическим ключам тоже не стоит.

Что касается галочки... я точно не помню, но, вроде бы, это непосредственно в настройках PPPoE соединения. Порт вряд ли блочат - провайдеры нынче таким не занимаются (хотя, кто его знает).

Судя по пакетам (хотя, это лишь часть журнала и непонятно пакеты тут видны тех узлов, которые успешно соединяются или безуспешно шлют пакеты в один конец), всё-таки происходит где-то блокировка... скорее, на уровне машрутизирующих устройств. У Вас точно в ряде модемов не прописаны блокирующие правила?

[stormis]

все открыто,сказал сисадмин,попрошу завтра чтоб сделал скрины настроек на модемах и на серваке

[slavanchuk]

все открыто,сказал сисадмин,попрошу завтра чтоб сделал скрины настроек на модемах и на серваке

А у Вас трафик в филиалах идёт не только через модем, но и через сервер? У Вас модем по USB подключен или как отдельное сетевое устройство? Судя по всему, сервак выполняет ещё функцию маршрутизатора и файервола.

[AnTonN(c)]

Эта настройка находится в Сервис - Настройки, Общие - Блокировать все протоколы, кроме IP, ARP, RARP и ее имеет смысл убирать при соединениях L2TP, PPPoE, PPPTP и др.

Я так понял, что отвалились все внешние узлы, а те, что в локалке работают? Мне никак не понятно почему: "... в других городах.есть пример в 1 филиале 2 клиента 1 ожил ,а 2й нет,все настройки одинаковые...". По этой фразе я бы грешил на маршрутизацию...

Предлагаю вариант диагностирования:

1. С проблемного АП, на котором точно прописан новый адрес доступа, запускаете пинг на адрес видимости координатора,

2. Залезаем в журнал ip-пакетов, ищем пинги там, видим событие 40 и идем дальше.

3. На координаторе ищем в журнале ip-пакетов пинги от проблемного АП, если есть, то смотрим если echo reply. Есть/нет? Если пынгу не находим, то грешим на все оборудование, что стоит между координатором, включая его самого, и клиентом

[stormis]

Провайдер Комстар (МТС),затянута оптика ,на входе микротик (как отдельное сетевое устройство)

[slavanchuk]

Провайдер Комстар (МТС),затянута оптика ,на входе микротик (как отдельное сетевое устройство)

А что всё-таки насчёт настроек у клиентов?

[stormis]

Эта настройка находится в Сервис - Настройки, Общие - Блокировать все протоколы, кроме IP, ARP, RARP и ее имеет смысл убирать при соединениях L2TP, PPPoE, PPPTP и др.

Я так понял, что отвалились все внешние узлы, а те, что в локалке работают? Мне никак не понятно почему: "... в других городах.есть пример в 1 филиале 2 клиента 1 ожил ,а 2й нет,все настройки одинаковые...". По этой фразе я бы грешил на маршрутизацию...

Предлагаю вариант диагностирования:

1. С проблемного АП, на котором точно прописан новый адрес доступа, запускаете пинг на адрес видимости координатора,

2. Залезаем в журнал ip-пакетов, ищем пинги там, видим событие 40 и идем дальше.

3. На координаторе ищем в журнале ip-пакетов пинги от проблемного АП, если есть, то смотрим если echo reply. Есть/нет? Если пынгу не находим, то грешим на все оборудование, что стоит между координатором, включая его самого, и клиентом

отвалились хаотично,отвалились несколько клиентов и в локалке ,и внешние ,хотя из 300 внешних почти 200 ожили,в локалке сделал новые дст и клиенты заработали

[stormis]

На клиенте в настройках выбран наш координатор ,выбрана динамическая трансляция адресов,далее заходят в защищенную сеть выбирают координатор и проверяют на вкладках ip-адреса и на вкладке межсетевой экран адреса котороы там прописаны ,все больше ничего на клиентах не делают