w03zd8rc Опубликовано 5 Июля 2013 Жалоба Поделиться Опубликовано 5 Июля 2013 Висит на одном адресе принтер (китайский). На этот адрес разрешены все пакеты в любую сторону. В журнале на входящий пакет от этого адреса:84 - несовпадение контрольной суммы IPИ так на всех машинах, даже в 4м режиме.Единственная машина, на которой печатает принтер - это на которой стоит VipNet Administrator, в журнале все нормально у нее. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 5 Июля 2013 Жалоба Поделиться Опубликовано 5 Июля 2013 Первый раз наблюдаю это событие вот с такими глазами О-О.А в пятом режиме все норм? Это даст понять в драйвере IpLir дело или нет... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 5 Июля 2013 Жалоба Поделиться Опубликовано 5 Июля 2013 Еще раз обдумал и пришел к следующему:1. Это событие на входящем пакете.2. Это открытый трафик, который подвергается фильтрации и не изменяется драйвером IpLir.3. Драйвер в свою очередь проверяет "crc" ip заголовка (поэтому можем наблюдать событие в журнале).4. Эти пакеты генерятся на "принтере", который и формирует контрольную сумму.Соответственно, предполагаю, что "устройство" генерит не корректное значение контрольной суммы IP (не в соответствии с RFC 1071). Если при пятом режиме (а лучше перезагрузить рабочую станцию и отказаться от загрузки vipnet) не заработает "принтер", то vipnet тут не при чем. Надо будет рыть в настройках сетевой карты (или стека tcp/ip) на предмет проверки контрольной суммы ip заголовка. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
w03zd8rc Опубликовано 5 Июля 2013 Автор Жалоба Поделиться Опубликовано 5 Июля 2013 Хм.... В 5м режиме тоже самое (кроме отсутствия каких-либо записей в журнале)... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 5 Июля 2013 Жалоба Поделиться Опубликовано 5 Июля 2013 А в 5 режиме отключается все, в том числе и логирование.Еще как вариант - изменение пакета при передаче (какое-то устройство карежит пакет).Еще пришло в голову. Посмотрите с каким mtu работает принтер. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
w03zd8rc Опубликовано 10 Июля 2013 Автор Жалоба Поделиться Опубликовано 10 Июля 2013 Ни один компьютер с випнетом не печатает на этом принтере - у всех 84 ошибка, а которые без випнета - сразу. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 10 Июля 2013 Жалоба Поделиться Опубликовано 10 Июля 2013 Снимите дампы трафика с/без vipnet'а и сравните их при обращении на принтер.Если сложно, то пришлите мне.Интересная проблема... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
w03zd8rc Опубликовано 11 Июля 2013 Автор Жалоба Поделиться Опубликовано 11 Июля 2013 Дамп с того, который печатает:10:14:49.818276 arp who-has 10.86.0.211 tell infosec.it.lan10:14:49.818889 IP infosec.it.lan.51713 > 10.86.0.211.9100: S 1623926156:1623926156(0) win 8192 <nop,wscale 8,nop,nop,sackOK>10:14:49.819649 IP infosec.it.lan.51713 > 10.86.0.211.9100: . ack 189438349 win 6539210:14:49.842205 IP infosec.it.lan.51713 > 10.86.0.211.9100: P 0:12(12) ack 1 win 6539210:14:49.843355 IP infosec.it.lan.51713 > 10.86.0.211.9100: . 12:548(536) ack 1 win 6539210:14:49.843409 IP infosec.it.lan.51713 > 10.86.0.211.9100: . 548:1084(536) ack 1 win 6539210:14:49.846208 IP infosec.it.lan.51713 > 10.86.0.211.9100: P 1084:1402(318) ack 1 win 6539210:14:50.147726 IP infosec.it.lan.51713 > 10.86.0.211.9100: . 548:1084(536) ack 1 win 6539210:14:50.153836 IP infosec.it.lan.51713 > 10.86.0.211.9100: P 1084:1402(318) ack 1 win 6539210:14:50.165520 IP infosec.it.lan.51713 > 10.86.0.211.9100: F 1402:1402(0) ack 1 win 6539210:14:50.166294 IP infosec.it.lan.51713 > 10.86.0.211.9100: . ack 2 win 65392И с которого не печатает (4 режим):10:51:30.891811 IP SERGIO.it.lan.49251 > 10.86.0.211.9100: S 3573046694:3573046694(0) win 8192 <nop,wscale 8,nop,nop,sackOK>10:51:31.718912 IP SERGIO.it.lan.137 > 10.86.0.211.137: UDP, length 5010:51:32.823943 arp reply SERGIO.it.lan is-at 38:60:77:c8:31:6d (oui Unknown)10:51:33.218352 IP SERGIO.it.lan.137 > 10.86.0.211.137: UDP, length 5010:51:33.891551 IP SERGIO.it.lan.49251 > 10.86.0.211.9100: S 3573046694:3573046694(0) win 8192 <nop,wscale 8,nop,nop,sackOK>10:51:34.718413 IP SERGIO.it.lan.137 > 10.86.0.211.137: UDP, length 5010:51:38.734031 arp reply SERGIO.it.lan is-at 38:60:77:c8:31:6d (oui Unknown)10:51:39.893735 IP SERGIO.it.lan.49251 > 10.86.0.211.9100: S 3573046694:3573046694(0) win 8192 <nop,nop,sackOK>10:51:43.659167 arp reply SERGIO.it.lan is-at 38:60:77:c8:31:6d (oui Unknown)10:51:44.503880 arp who-has 10.86.0.211 (00:ca:00:ca:1b:45 (oui Unknown)) tell SERGIO.it.lan Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 11 Июля 2013 Жалоба Поделиться Опубликовано 11 Июля 2013 Пришлите дамп в pcap. Мне нужны для диагностики все заголовки.10.86.0.211 открытый ресурс? в списки туннелируемых не входит? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
w03zd8rc Опубликовано 11 Июля 2013 Автор Жалоба Поделиться Опубликовано 11 Июля 2013 AnTonN©, дампы отправил в ЛС, 10.86.0.211 - это принтер (китайский), т.е. кроме базовых настроек (адрес) больше ничего поменять нельзя, собственно даже информации о нем маловато на просторах сети... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.