Jump to content

Recommended Posts

Висит на одном адресе принтер (китайский). На этот адрес разрешены все пакеты в любую сторону. В журнале на входящий пакет от этого адреса:

84 - несовпадение контрольной суммы IP

И так на всех машинах, даже в 4м режиме.

Единственная машина, на которой печатает принтер - это на которой стоит VipNet Administrator, в журнале все нормально у нее.

Share this post


Link to post
Share on other sites

Первый раз наблюдаю это событие вот с такими глазами О-О.

А в пятом режиме все норм? Это даст понять в драйвере IpLir дело или нет...

Share this post


Link to post
Share on other sites

Еще раз обдумал и пришел к следующему:

1. Это событие на входящем пакете.

2. Это открытый трафик, который подвергается фильтрации и не изменяется драйвером IpLir.

3. Драйвер в свою очередь проверяет "crc" ip заголовка (поэтому можем наблюдать событие в журнале).

4. Эти пакеты генерятся на "принтере", который и формирует контрольную сумму.

Соответственно, предполагаю, что "устройство" генерит не корректное значение контрольной суммы IP (не в соответствии с RFC 1071). Если при пятом режиме (а лучше перезагрузить рабочую станцию и отказаться от загрузки vipnet) не заработает "принтер", то vipnet тут не при чем.

Надо будет рыть в настройках сетевой карты (или стека tcp/ip) на предмет проверки контрольной суммы ip заголовка.

Share this post


Link to post
Share on other sites

Хм.... В 5м режиме тоже самое (кроме отсутствия каких-либо записей в журнале)...

Share this post


Link to post
Share on other sites

А в 5 режиме отключается все, в том числе и логирование.

Еще как вариант - изменение пакета при передаче (какое-то устройство карежит пакет).

Еще пришло в голову. Посмотрите с каким mtu работает принтер.

Share this post


Link to post
Share on other sites

Ни один компьютер с випнетом не печатает на этом принтере - у всех 84 ошибка, а которые без випнета - сразу.

Share this post


Link to post
Share on other sites

Снимите дампы трафика с/без vipnet'а и сравните их при обращении на принтер.

Если сложно, то пришлите мне.

Интересная проблема...

Share this post


Link to post
Share on other sites

Дамп с того, который печатает:


10:14:49.818276 arp who-has 10.86.0.211 tell infosec.it.lan
10:14:49.818889 IP infosec.it.lan.51713 > 10.86.0.211.9100: S 1623926156:1623926156(0) win 8192 <nop,wscale 8,nop,nop,sa
ckOK>
10:14:49.819649 IP infosec.it.lan.51713 > 10.86.0.211.9100: . ack 189438349 win 65392
10:14:49.842205 IP infosec.it.lan.51713 > 10.86.0.211.9100: P 0:12(12) ack 1 win 65392
10:14:49.843355 IP infosec.it.lan.51713 > 10.86.0.211.9100: . 12:548(536) ack 1 win 65392
10:14:49.843409 IP infosec.it.lan.51713 > 10.86.0.211.9100: . 548:1084(536) ack 1 win 65392
10:14:49.846208 IP infosec.it.lan.51713 > 10.86.0.211.9100: P 1084:1402(318) ack 1 win 65392
10:14:50.147726 IP infosec.it.lan.51713 > 10.86.0.211.9100: . 548:1084(536) ack 1 win 65392
10:14:50.153836 IP infosec.it.lan.51713 > 10.86.0.211.9100: P 1084:1402(318) ack 1 win 65392
10:14:50.165520 IP infosec.it.lan.51713 > 10.86.0.211.9100: F 1402:1402(0) ack 1 win 65392
10:14:50.166294 IP infosec.it.lan.51713 > 10.86.0.211.9100: . ack 2 win 65392

И с которого не печатает (4 режим):


10:51:30.891811 IP SERGIO.it.lan.49251 > 10.86.0.211.9100: S 3573046694:3573046694(0) win 8192 <nop,wscale 8,nop,nop,sackOK>
10:51:31.718912 IP SERGIO.it.lan.137 > 10.86.0.211.137: UDP, length 50
10:51:32.823943 arp reply SERGIO.it.lan is-at 38:60:77:c8:31:6d (oui Unknown)
10:51:33.218352 IP SERGIO.it.lan.137 > 10.86.0.211.137: UDP, length 50
10:51:33.891551 IP SERGIO.it.lan.49251 > 10.86.0.211.9100: S 3573046694:3573046694(0) win 8192 <nop,wscale 8,nop,nop,sackOK>
10:51:34.718413 IP SERGIO.it.lan.137 > 10.86.0.211.137: UDP, length 50
10:51:38.734031 arp reply SERGIO.it.lan is-at 38:60:77:c8:31:6d (oui Unknown)
10:51:39.893735 IP SERGIO.it.lan.49251 > 10.86.0.211.9100: S 3573046694:3573046694(0) win 8192 <nop,nop,sackOK>
10:51:43.659167 arp reply SERGIO.it.lan is-at 38:60:77:c8:31:6d (oui Unknown)
10:51:44.503880 arp who-has 10.86.0.211 (00:ca:00:ca:1b:45 (oui Unknown)) tell SERGIO.it.lan

Share this post


Link to post
Share on other sites

Пришлите дамп в pcap. Мне нужны для диагностики все заголовки.

10.86.0.211 открытый ресурс? в списки туннелируемых не входит?

Share this post


Link to post
Share on other sites

AnTonN©, дампы отправил в ЛС, 10.86.0.211 - это принтер (китайский), т.е. кроме базовых настроек (адрес) больше ничего поменять нельзя, собственно даже информации о нем маловато на просторах сети...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.