Problem z łączeniem się z jedną witryną

[vwrafi]

Witam.

 

Mam dosyć duży problem w firmie. Mamy serwer, Windows 2012, który służy głównie jako serwer do Symfonii oraz repozytorium plików. Posiadamy też router TL-ER5120 ( do niego wpięte 4 modemy z internetem ) i do niego wpięte 2 switche T1600G-52TS. Użytkownicy z wszystkich komputerów w firmie mogą wchodzić sobie na internet, przeglądać otoczenie sieciowe i korzystać z programu Symfonia. Niestety, bardzo często występują błędy z połączeniem z serwerem poczty. Serwer poczty mamy na zewnętrznym hostingu. Co jakieś 5 - 10 minut nie można się połączyć z tym serwerem, toteż w programie Thundebird otrzymujemy komunikat o przekroczenie czasu połączenia.

 

W momencie, gdy nie działa poczta, nie można też wejść na hosting, gdzie ona się znajduje, ale tylko z naszej sieci. Serwer poczty to mail.domena.pl a jego adres to 1.1.1.1 ( oczywiście tylko przykładowy ). Gdy próbuję wejść na 1.1.1.1:2222, czyli do DirectAdmin'a, to strona nie odpowiada ( przez około pół minuty ). Adres mail.domena.pl wpisany w przeglądarkę też nie odpowiada. Gdy próbuję pingować w tym czasie mail.domena.pl lub 1.1.1.1 to zawsze pinguje się prawidłowo, ale i tak poczta nie działa i nie można wejść na 1.1.1.1:2222. Gdy już poczta zacznie działać, to po wpisaniu mail.domena.pl w przeglądarce pojawia się komunikat " Apache is functioning normally " oraz można wejść na 1.1.1.1:2222, czyli wszystko wraca do normy.

 

Najpierw myślałem, że to wina hostingu, pisałem więc do admin'a, ale wszystko sprawdził i mówił że działa jak trzeba. I ma rację, bo gdy u nas przestaje działać, to na komórce z internetem GSM mogę normalnie wejść na 1.1.1.1:2222 oraz na mail. domena.pl. Czyli problem tylko po stronie naszej sieci. Nie wiem co to może być. Rozumiem, że gdyby w czasie wystąpienia " awarii " nie można było również pingować adresów mail.domena.pl oraz 1.1.1.1, to miałbym jakiś punkt zaczepienia. A tak jestem w kropce. Czy jest możliwość, że na naszym lokalnym serwerze z Windows Server 2012 jest uruchomiona jakaś usługa, która zaburza działanie sieci ( próbnie wyłączyłem DNS na tym serwerze - nie pomogło, wyłaczyłem też IIS - też nie pomogło ).

 

Czy ma ktoś może jakieś sugestie co do tego, dlaczego w naszej sieci występuje problem z połączeniem się z tylko z tą jedną witryną? Podczas " awarii " można wchodzić normalnie na inne strony. Czy ktoś ma pomysł jak zdiagnozować problem?

Edytowane 5 grudnia 2017 przez vwrafi

[MasterYoghourt]

Wyczyść cache przeglądarki internetowej.

Edytowane 5 grudnia 2017 przez MasterYoghourt

[vwrafi]

Witam. Dziękuję za odpowiedź. Niestety, to dzieje się na kilkunastu komputerach, więc podejrzewam, iż to nie jest problem z przeglądarką. Thunderbird też nie działa.

[MasterYoghourt]

Wyczyściłeś cache przeglądarki ?

To zajęło by ci mniej więcej tyle co napisanie tutaj odpowiedzi.

 

Jak dalej to samo, to być może jest urządzenie u ciebie w sieci, które buforuje wybierane adresy DNS. Urządzenie powiązało domenę z adresem IP, który uległ zmianie i być może to generuje problem ? Albo spróbuj polecenia: ipconfig /flushdns

 

Komunikat apache is functionig normally pojawia się wtedy, kiedy serwer nie może wyświetlić danej strony ale sam w sobie działa prawidłowo.

 

Czemu każdy kto pierwszy raz wpisuje adres domeny poza firmą nie ma problemu ? Bo widocznie pobiera aktualne adresy. Wy natomiast możecie mieć zbuforowane nieaktualne, które wciąż używacie.

Edytowane 6 grudnia 2017 przez MasterYoghourt

[vwrafi]

Dziękuję za odpowiedź. Adres jest taki sam cały czas. Komunikat Apache is functioning normally jest prawidłowym komunikatem, taki powinien być. Gorzej właśnie, jak w ogóle nie chce załadować strony i wyświetla komunikat o upływie czasu żądania. Jeśli strona i zarazem poczta nie działa, to mogę normalnie pingować adres domena.pl oraz 1.1.1.1. Dlatego nie wiem co jest grane.

[MasterYoghourt]

5 godzin temu, MasterYoghourt napisał:

Albo spróbuj polecenia: ipconfig /flushdns

Próbowałeś ?

 

Zaloguj się do routera, sprawdź ustawienia w firewall > attack defense, może blokuje on zbyt duży ruch z jednego źródła ?

Zobacz w system tools > system log, czy jest jakaś informacja o problemie.

Przy okazji sprawdź wykorzystanie cpu/ram w menu Status.

 

Fajnie jakbyś spróbował podłączyć się przed przełącznikami  a następnie przed routerem, by sprawdzić czy to one coś blokują.

Edytowane 6 grudnia 2017 przez MasterYoghourt

[vwrafi]

Witam ponownie. Ale ten ipconfig /flushdns musiałbym zrobić na każdym komputerze, czyli wychodziłoby, że każda stacja robocza ma złe dns. Spróbuję.

 

W Attack Defense mam wszystko powłączane, było tak od początku. Nie było tylko włączone logowanie. Włączyłem teraz logi, tylko w którym miejscu ich szukać? Czy one będą w Maintenance->Logs razem z innymi logami, czy też gdzieś osobno?

 

Teraz w logach pojawiło mi się takie coś, czegoo wcześniej przed włączeniem logów z Attack Defense nie było:

 

2017-12-07 17:00:34 <4> : Detected ip packets with option field, dropped 24 packets.

2017-12-07 17:02:11 <4> : Detected ip packets with option field, dropped 36 packets.

2017-12-07 17:03:54 <4> : Detected ip packets with option field, dropped 39 packets.

2017-12-07 17:04:21 <4> : Detected ip packets with option field, dropped 27 packets.

 

Zrobiłem flushdns u siebie, ale nie pomogło

Edytowane 7 grudnia 2017 przez vwrafi

[MasterYoghourt]

Podejrzewam, że firewall odrzucał pakiety gdyż spełniały one warunki filtrowania. Znajdziesz je w menu firewall > attack defense > attack defense > V Block Packets with specified IP options. Poniżej masz zaznaczone wszystkie opcje dla pakietu IP, a któreś z nich może blokować ruch do twojego hostingu. Metodą prób i błędów, odznaczaj pojedynczą opcje, następnie sprawdź czy działa i czy firewall znów odrzuca pakiety.

Edytowane 7 grudnia 2017 przez MasterYoghourt

[vwrafi]

Wyłączyłem wszystkie zapory i to chyba nie to jednak. Mam pakiety przechwycone przez WireShark, ale ciężko mi coś z tego wywnioskować. Jest tam dużo wpisów ( krótko przed lub w trakcie awarii ) o treści TCP Out Of Order lub TCP Retransmission, ale nie umiem tego w nic połączyć.

[MasterYoghourt]

Próbowałeś połączyć się z ominięciem routera ?

[vwrafi]

Mogę się podpiąć pod któryś z modemów bezpośrednio, tylko że wynik jest mi raczej znany, czyli będzie dobrze, gdyż gdy w chwili awarii łączę się komórką przez LTE to wszystko ładnie śmiga, więc i tutaj powinno być również OK. Także według mnie na 90% to jest problem u mnie w sieci. Tylko teraz jak dojść co powoduje te błędy? Myślałem, że już namierzyłem komputer, który na chwilę przed awarią intensywnie łączył się z adresem 1.1.1.1, gdyż wyszło mi że na 3 z 5 awarii w ciągu 50 minut taki właśnie był scenariusz, ale pozostają te 2 z 5 awarii, gdzie ten komputer nic nie nadawał.

[MasterYoghourt]

Myślę, że jeśli bez routera pójdzie ci dobrze, a będąc podłączony do routera źle, to stawiam na router.

[vwrafi]

Będę musiał zorganizować sobie 1 dzień, kiedy zostanę po godzinach w pracy ( w czasie dnia nie mogę robić akcji z routerem, gdyż działa na nim Symfonia a kilka osób musi z niej korzystać ). Jako ciekawostkę podam fakt, że w czasie tej "awarii" mogę normalnie pingować adres 1.1.1.1 lub domena.pl korzystając z Windowsowej komendy, natomiast program http-ping.exe w czasie awarii pokazuje timeout ( ten program sprawdza odpowiedź strony www i w czasie normalnego działania dostaję odpowiedź 200 a gdy jest "awaria" dostaję timeout ).

[MasterYoghourt]

Więc, jeśli na tym samym komputerze http ping zadziała bez routera, to będziesz miał winnego.

 

Mam wrażenie, że ten router wypada blado przy produktach konkurencji. TP-Link ma fajne produkty dla klienta indywidualnego, ale słabo to wygląda w bardziej profesjonalnych rozwiązaniach. Mam wrażenie ubogiego panelu administracyjnego tego routera oraz jego konsoli. W przyszłości może warto żebyś zastanowił się nad MikroTikiem albo CISCO.

 

Zastanawiam się jakie ten router posiada możliwości analizy błędów. Dziennik zdarzeń, który jest dostępny z panelu jest ubogi i mało nam mówi. Może ten router ma możliwość przesyłania logów na zewnętrzny serwer, może wtedy wydusił by z siebie więcej ?

 

[vwrafi]

Witam. Ten router był już tutaj jak przyszedłem do pracy. Jak dla mnie to spełnia swoją funkcję dobrze oprócz obecnej " awarii ". Można wysyłać logi na zewnętrzny serwer. Zaraz to zrobię. Co to musi być za serwer? Można wpisac tylko adres ip, więc to raczej nie ftp.

 

edit: ok, już widzę, że to musi być serwer Syslog. Spróbuję postawić go na którymś komputerze

 

edit2: w syslog jest to samo co na routerze, czyli niewiele

Edytowane 11 grudnia 2017 przez vwrafi

[MasterYoghourt]

Czyli, ten router dużo nam nie powie. Póki co sprawdź po robocie czy ominięcie router'a coś dało.

[vwrafi]

Muszę znaleźć termin, żeby odłączyć ten router i podłączyć inny. Przeanalizowałem ruch w WireShark i mam parę adresów, z których dużo danych wychodzi, ale nic nie wchodzi. Czy to normalne? Mogę namierzyć te komputery, ale większość ma dynamiczne IP i będę musiał trochę pochodzić po firmie żeby je znaleźć, tak więc wolę się upewnić, że właśnie mam szukac tych komputerów bo wykonują dziwny ruch w sieci. W załączniku zdjęcie, wymazałem publiczne adresy IP.

[MasterYoghourt]

Stawiam na router, jeśli to on blokuje ruch to raczej nie znajdziesz tych zaginionych pakietów.

 

Zastanawiam się jeszcze nad jedną rzeczą. Skoro problem dotyczy ruchu na zewnątrz i to właściwie z jedną domeną, to sugeruje to dwie rzeczy: router oraz jego zabezpieczenia. Być może, duży ruch z jednym adresem, w jakiś przedziwny sposób aktywuje zabezpieczenia DDoS w routerze ?

 

Spróbuj wyłączyć całkowicie ochronę w routerze i zobacz czy coś to da. Temat jest ciężki a sprzęt, który posiadasz nie daje zbytnio narzędzi do diagnostyki. Zamieść prośbę o pomoc w tym dziale, na tym forum: https://ccie.pl/viewforum.php?f=32

Wklej do wątku link do dyskusji, którą tutaj przeprowadziliśmy, może kogoś bardziej obeznanego zainspiruje.

 

Na oficjalnym forum TP-link jest dział dla routerów klasy biznes, spróbuj także tutaj: http://forum.tp-link.com/

Edytowane 12 grudnia 2017 przez MasterYoghourt

[vwrafi]

Uzyskałem już odpowiedź na tym forum ccie. W skrócie: " Wyrzuć tego tp-linka i kup Cisco ". Także jeśli ktoś będzie miał jeszcze jakieś sugestie ( poza wyrzuceniem sprzętu ) to chętnie słucham.

[MasterYoghourt]

Próbuj więc na oficjalnym forum tp-link. Gorzej jak napiszą ci to samo

 

Jeden gość zwrócił uwagę byś przeanalizował load balancing swojego ruchu na routerze, sprawdził trasy, być może router wykonuje jakieś dziwne akrobacje na czterech łączach. Sprawdź czy problem wystąpi na jednym łączu. Sprawdź czy problem wystąpi przy bardzo małej ilości stacji roboczych próbujących korzystać z tej domeny.

 

Masz jeszcze parę rzeczy do sprawdzenia, ale musisz zarwać godziny. Jeśli szef nie pozwala na nadgodziny, to przyjdź na późniejsza godzinę do pracy. Dla mnie twój problem to także nauka, by omijać w profesjonalnych rozwiązaniach sprzętu tp-link.

Edytowane 13 grudnia 2017 przez MasterYoghourt

[vwrafi]

Udało się, już działa. Problem był jednak po stronie hostingu. Odrzucał połączenia, jeśli było ich za dużo z jednego adresu IP. Trochę mi to nerwów zjadło, ale jestem teraz bogatszy o pewne doświadczenia, które zaprocentują w przyszłości ( znam mój router jak żaden inny i nie wiedziałem jakie cuda można robić w sieci dopóki nie zetknąłem się z tym problemem ). Dzięki!

[MasterYoghourt]

Napisz tutaj z jakiej firmy był to hosting, by dla potomnych zostało.