Jump to content

Recommended Posts

Висит на одном адресе принтер (китайский). На этот адрес разрешены все пакеты в любую сторону. В журнале на входящий пакет от этого адреса:

84 - несовпадение контрольной суммы IP

И так на всех машинах, даже в 4м режиме.

Единственная машина, на которой печатает принтер - это на которой стоит VipNet Administrator, в журнале все нормально у нее.

Share this post


Link to post
Share on other sites

Первый раз наблюдаю это событие вот с такими глазами О-О.

А в пятом режиме все норм? Это даст понять в драйвере IpLir дело или нет...

Share this post


Link to post
Share on other sites

Еще раз обдумал и пришел к следующему:

1. Это событие на входящем пакете.

2. Это открытый трафик, который подвергается фильтрации и не изменяется драйвером IpLir.

3. Драйвер в свою очередь проверяет "crc" ip заголовка (поэтому можем наблюдать событие в журнале).

4. Эти пакеты генерятся на "принтере", который и формирует контрольную сумму.

Соответственно, предполагаю, что "устройство" генерит не корректное значение контрольной суммы IP (не в соответствии с RFC 1071). Если при пятом режиме (а лучше перезагрузить рабочую станцию и отказаться от загрузки vipnet) не заработает "принтер", то vipnet тут не при чем.

Надо будет рыть в настройках сетевой карты (или стека tcp/ip) на предмет проверки контрольной суммы ip заголовка.

Share this post


Link to post
Share on other sites

Хм.... В 5м режиме тоже самое (кроме отсутствия каких-либо записей в журнале)...

Share this post


Link to post
Share on other sites

А в 5 режиме отключается все, в том числе и логирование.

Еще как вариант - изменение пакета при передаче (какое-то устройство карежит пакет).

Еще пришло в голову. Посмотрите с каким mtu работает принтер.

Share this post


Link to post
Share on other sites

Ни один компьютер с випнетом не печатает на этом принтере - у всех 84 ошибка, а которые без випнета - сразу.

Share this post


Link to post
Share on other sites

Снимите дампы трафика с/без vipnet'а и сравните их при обращении на принтер.

Если сложно, то пришлите мне.

Интересная проблема...

Share this post


Link to post
Share on other sites

Дамп с того, который печатает:


10:14:49.818276 arp who-has 10.86.0.211 tell infosec.it.lan
10:14:49.818889 IP infosec.it.lan.51713 > 10.86.0.211.9100: S 1623926156:1623926156(0) win 8192 <nop,wscale 8,nop,nop,sa
ckOK>
10:14:49.819649 IP infosec.it.lan.51713 > 10.86.0.211.9100: . ack 189438349 win 65392
10:14:49.842205 IP infosec.it.lan.51713 > 10.86.0.211.9100: P 0:12(12) ack 1 win 65392
10:14:49.843355 IP infosec.it.lan.51713 > 10.86.0.211.9100: . 12:548(536) ack 1 win 65392
10:14:49.843409 IP infosec.it.lan.51713 > 10.86.0.211.9100: . 548:1084(536) ack 1 win 65392
10:14:49.846208 IP infosec.it.lan.51713 > 10.86.0.211.9100: P 1084:1402(318) ack 1 win 65392
10:14:50.147726 IP infosec.it.lan.51713 > 10.86.0.211.9100: . 548:1084(536) ack 1 win 65392
10:14:50.153836 IP infosec.it.lan.51713 > 10.86.0.211.9100: P 1084:1402(318) ack 1 win 65392
10:14:50.165520 IP infosec.it.lan.51713 > 10.86.0.211.9100: F 1402:1402(0) ack 1 win 65392
10:14:50.166294 IP infosec.it.lan.51713 > 10.86.0.211.9100: . ack 2 win 65392

И с которого не печатает (4 режим):


10:51:30.891811 IP SERGIO.it.lan.49251 > 10.86.0.211.9100: S 3573046694:3573046694(0) win 8192 <nop,wscale 8,nop,nop,sackOK>
10:51:31.718912 IP SERGIO.it.lan.137 > 10.86.0.211.137: UDP, length 50
10:51:32.823943 arp reply SERGIO.it.lan is-at 38:60:77:c8:31:6d (oui Unknown)
10:51:33.218352 IP SERGIO.it.lan.137 > 10.86.0.211.137: UDP, length 50
10:51:33.891551 IP SERGIO.it.lan.49251 > 10.86.0.211.9100: S 3573046694:3573046694(0) win 8192 <nop,wscale 8,nop,nop,sackOK>
10:51:34.718413 IP SERGIO.it.lan.137 > 10.86.0.211.137: UDP, length 50
10:51:38.734031 arp reply SERGIO.it.lan is-at 38:60:77:c8:31:6d (oui Unknown)
10:51:39.893735 IP SERGIO.it.lan.49251 > 10.86.0.211.9100: S 3573046694:3573046694(0) win 8192 <nop,nop,sackOK>
10:51:43.659167 arp reply SERGIO.it.lan is-at 38:60:77:c8:31:6d (oui Unknown)
10:51:44.503880 arp who-has 10.86.0.211 (00:ca:00:ca:1b:45 (oui Unknown)) tell SERGIO.it.lan

Share this post


Link to post
Share on other sites

Пришлите дамп в pcap. Мне нужны для диагностики все заголовки.

10.86.0.211 открытый ресурс? в списки туннелируемых не входит?

Share this post


Link to post
Share on other sites

AnTonN©, дампы отправил в ЛС, 10.86.0.211 - это принтер (китайский), т.е. кроме базовых настроек (адрес) больше ничего поменять нельзя, собственно даже информации о нем маловато на просторах сети...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.