vwrafi

Problem z łączeniem się z jedną witryną

Rekomendowane odpowiedzi

vwrafi
Napisano (edytowane)

Witam.

 

Mam dosyć duży problem w firmie. Mamy serwer, Windows 2012, który służy głównie jako serwer do Symfonii oraz repozytorium plików. Posiadamy też router TL-ER5120 ( do niego wpięte 4 modemy z internetem ) i do niego wpięte 2 switche T1600G-52TS. Użytkownicy z wszystkich komputerów w firmie mogą wchodzić sobie na internet, przeglądać otoczenie sieciowe i korzystać z programu Symfonia. Niestety, bardzo często występują błędy z połączeniem z serwerem poczty. Serwer poczty mamy na zewnętrznym hostingu. Co jakieś 5 - 10 minut nie można się połączyć z tym serwerem, toteż w programie Thundebird otrzymujemy komunikat o przekroczenie czasu połączenia.

 

W momencie, gdy nie działa poczta, nie można też wejść na hosting, gdzie ona się znajduje, ale tylko z naszej sieci. Serwer poczty to mail.domena.pl a jego adres to 1.1.1.1 ( oczywiście tylko przykładowy ). Gdy próbuję wejść na 1.1.1.1:2222, czyli do DirectAdmin'a, to strona nie odpowiada ( przez około pół minuty ). Adres mail.domena.pl wpisany w przeglądarkę też nie odpowiada. Gdy próbuję pingować w tym czasie mail.domena.pl lub 1.1.1.1 to zawsze pinguje się prawidłowo, ale i tak poczta nie działa i nie można wejść na 1.1.1.1:2222. Gdy już poczta zacznie działać, to po wpisaniu mail.domena.pl w przeglądarce pojawia się komunikat " Apache is functioning normally " oraz można wejść na 1.1.1.1:2222, czyli wszystko wraca do normy.

 

Najpierw myślałem, że to wina hostingu, pisałem więc do admin'a, ale wszystko sprawdził i mówił że działa jak trzeba. I ma rację, bo gdy u nas przestaje działać, to na komórce z internetem GSM mogę normalnie wejść na 1.1.1.1:2222 oraz na mail. domena.pl. Czyli problem tylko po stronie naszej sieci. Nie wiem co to może być. Rozumiem, że gdyby w czasie wystąpienia " awarii " nie można było również pingować adresów mail.domena.pl oraz 1.1.1.1, to miałbym jakiś punkt zaczepienia. A tak jestem w kropce. Czy jest możliwość, że na naszym lokalnym serwerze z Windows Server 2012 jest uruchomiona jakaś usługa, która zaburza działanie sieci ( próbnie wyłączyłem DNS na tym serwerze - nie pomogło, wyłaczyłem też IIS - też nie pomogło ).

 

Czy ma ktoś może jakieś sugestie co do tego, dlaczego w naszej sieci występuje problem z połączeniem się z tylko z tą jedną witryną? Podczas " awarii " można wchodzić normalnie na inne strony. Czy ktoś ma pomysł jak zdiagnozować problem?

Edytowane przez vwrafi

Udostępnij tego posta


Odnośnik do posta
MasterYoghourt
Napisano (edytowane)

Wyczyść cache przeglądarki internetowej.

Edytowane przez MasterYoghourt

Udostępnij tego posta


Odnośnik do posta
vwrafi

Witam. Dziękuję za odpowiedź. Niestety, to dzieje się na kilkunastu komputerach, więc podejrzewam, iż to nie jest problem z przeglądarką. Thunderbird też nie działa.

Udostępnij tego posta


Odnośnik do posta
MasterYoghourt
Napisano (edytowane)

Wyczyściłeś cache przeglądarki ?

To zajęło by ci mniej więcej tyle co napisanie tutaj odpowiedzi.

 

Jak dalej to samo, to być może jest urządzenie u ciebie w sieci, które buforuje wybierane adresy DNS. Urządzenie powiązało domenę z adresem IP, który uległ zmianie i być może to generuje problem ? Albo spróbuj polecenia: ipconfig /flushdns

 

Komunikat apache is functionig normally pojawia się wtedy, kiedy serwer nie może wyświetlić danej strony ale sam w sobie działa prawidłowo.

 

Czemu każdy kto pierwszy raz wpisuje adres domeny poza firmą nie ma problemu ? Bo widocznie pobiera aktualne adresy. Wy natomiast możecie mieć zbuforowane nieaktualne, które wciąż używacie.

Edytowane przez MasterYoghourt

Udostępnij tego posta


Odnośnik do posta
vwrafi

Dziękuję za odpowiedź. Adres jest taki sam cały czas. Komunikat Apache is functioning normally jest prawidłowym komunikatem, taki powinien być. Gorzej właśnie, jak w ogóle nie chce załadować strony i wyświetla komunikat o upływie czasu żądania. Jeśli strona i zarazem poczta nie działa, to mogę normalnie pingować adres domena.pl oraz 1.1.1.1. Dlatego nie wiem co jest grane.

Udostępnij tego posta


Odnośnik do posta
MasterYoghourt
Napisano (edytowane)
5 godzin temu, MasterYoghourt napisał:

Albo spróbuj polecenia: ipconfig /flushdns

Próbowałeś ?

 

Zaloguj się do routera, sprawdź ustawienia w firewall > attack defense, może blokuje on zbyt duży ruch z jednego źródła ?

Zobacz w system tools > system log, czy jest jakaś informacja o problemie.

Przy okazji sprawdź wykorzystanie cpu/ram w menu Status.

 

Fajnie jakbyś spróbował podłączyć się przed przełącznikami  a następnie przed routerem, by sprawdzić czy to one coś blokują.

Edytowane przez MasterYoghourt

Udostępnij tego posta


Odnośnik do posta
vwrafi
Napisano (edytowane)

Witam ponownie. Ale ten ipconfig /flushdns musiałbym zrobić na każdym komputerze, czyli wychodziłoby, że każda stacja robocza ma złe dns. Spróbuję.

 

W Attack Defense mam wszystko powłączane, było tak od początku. Nie było tylko włączone logowanie. Włączyłem teraz logi, tylko w którym miejscu ich szukać? Czy one będą w Maintenance->Logs razem z innymi logami, czy też gdzieś osobno?

 

Teraz w logach pojawiło mi się takie coś, czegoo wcześniej przed włączeniem logów z Attack Defense nie było:

 

2017-12-07 17:00:34 <4> : Detected ip packets with option field, dropped 24 packets.

2017-12-07 17:02:11 <4> : Detected ip packets with option field, dropped 36 packets.

2017-12-07 17:03:54 <4> : Detected ip packets with option field, dropped 39 packets.

2017-12-07 17:04:21 <4> : Detected ip packets with option field, dropped 27 packets.

 

Zrobiłem flushdns u siebie, ale nie pomogło

Edytowane przez vwrafi

Udostępnij tego posta


Odnośnik do posta
MasterYoghourt
Napisano (edytowane)

Podejrzewam, że firewall odrzucał pakiety gdyż spełniały one warunki filtrowania. Znajdziesz je w menu firewall > attack defense > attack defense > V Block Packets with specified IP options. Poniżej masz zaznaczone wszystkie opcje dla pakietu IP, a któreś z nich może blokować ruch do twojego hostingu. Metodą prób i błędów, odznaczaj pojedynczą opcje, następnie sprawdź czy działa i czy firewall znów odrzuca pakiety.

Edytowane przez MasterYoghourt

Udostępnij tego posta


Odnośnik do posta
vwrafi

Wyłączyłem wszystkie zapory i to chyba nie to jednak. Mam pakiety przechwycone przez WireShark, ale ciężko mi coś z tego wywnioskować. Jest tam dużo wpisów ( krótko przed lub w trakcie awarii ) o treści TCP Out Of Order lub TCP Retransmission, ale nie umiem tego w nic połączyć.

Udostępnij tego posta


Odnośnik do posta
MasterYoghourt

Próbowałeś połączyć się z ominięciem routera ?

Udostępnij tego posta


Odnośnik do posta
vwrafi

Mogę się podpiąć pod któryś z modemów bezpośrednio, tylko że wynik jest mi raczej znany, czyli będzie dobrze, gdyż gdy w chwili awarii łączę się komórką przez LTE to wszystko ładnie śmiga, więc i tutaj powinno być również OK. Także według mnie na 90% to jest problem u mnie w sieci. Tylko teraz jak dojść co powoduje te błędy? Myślałem, że już namierzyłem komputer, który na chwilę przed awarią intensywnie łączył się z adresem 1.1.1.1, gdyż wyszło mi że na 3 z 5 awarii w ciągu 50 minut taki właśnie był scenariusz, ale pozostają te 2 z 5 awarii, gdzie ten komputer nic nie nadawał.

Udostępnij tego posta


Odnośnik do posta
MasterYoghourt

Myślę, że jeśli bez routera pójdzie ci dobrze, a będąc podłączony do routera źle, to stawiam na router.

Udostępnij tego posta


Odnośnik do posta
vwrafi

Będę musiał zorganizować sobie 1 dzień, kiedy zostanę po godzinach w pracy ( w czasie dnia nie mogę robić akcji z routerem, gdyż działa na nim Symfonia a kilka osób musi z niej korzystać ). Jako ciekawostkę podam fakt, że w czasie tej "awarii" mogę normalnie pingować adres 1.1.1.1 lub domena.pl korzystając z Windowsowej komendy, natomiast program http-ping.exe w czasie awarii pokazuje timeout ( ten program sprawdza odpowiedź strony www i w czasie normalnego działania dostaję odpowiedź 200 a gdy jest "awaria" dostaję timeout ).

Udostępnij tego posta


Odnośnik do posta
MasterYoghourt

Więc, jeśli na tym samym komputerze http ping zadziała bez routera, to będziesz miał winnego.

 

Mam wrażenie, że ten router wypada blado przy produktach konkurencji. TP-Link ma fajne produkty dla klienta indywidualnego, ale słabo to wygląda w bardziej profesjonalnych rozwiązaniach. Mam wrażenie ubogiego panelu administracyjnego tego routera oraz jego konsoli. W przyszłości może warto żebyś zastanowił się nad MikroTikiem albo CISCO.

 

Zastanawiam się jakie ten router posiada możliwości analizy błędów. Dziennik zdarzeń, który jest dostępny z panelu jest ubogi i mało nam mówi. Może ten router ma możliwość przesyłania logów na zewnętrzny serwer, może wtedy wydusił by z siebie więcej ?

 

Udostępnij tego posta


Odnośnik do posta
vwrafi

Witam. Ten router był już tutaj jak przyszedłem do pracy. Jak dla mnie to spełnia swoją funkcję dobrze oprócz obecnej " awarii ". Można wysyłać logi na zewnętrzny serwer. Zaraz to zrobię. Co to musi być za serwer? Można wpisac tylko adres ip, więc to raczej nie ftp.

 

edit: ok, już widzę, że to musi być serwer Syslog. Spróbuję postawić go na którymś komputerze

 

edit2: w syslog jest to samo co na routerze, czyli niewiele

Edytowane przez vwrafi

Udostępnij tego posta


Odnośnik do posta
MasterYoghourt

Czyli, ten router dużo nam nie powie. Póki co sprawdź po robocie czy ominięcie router'a coś dało.

Udostępnij tego posta


Odnośnik do posta
vwrafi

Muszę znaleźć termin, żeby odłączyć ten router i podłączyć inny. Przeanalizowałem ruch w WireShark i mam parę adresów, z których dużo danych wychodzi, ale nic nie wchodzi. Czy to normalne? Mogę namierzyć te komputery, ale większość ma dynamiczne IP i będę musiał trochę pochodzić po firmie żeby je znaleźć, tak więc wolę się upewnić, że właśnie mam szukac tych komputerów bo wykonują dziwny ruch w sieci. W załączniku zdjęcie, wymazałem publiczne adresy IP.

IP.jpg

Udostępnij tego posta


Odnośnik do posta
MasterYoghourt

Stawiam na router, jeśli to on blokuje ruch to raczej nie znajdziesz tych zaginionych pakietów.

 

Zastanawiam się jeszcze nad jedną rzeczą. Skoro problem dotyczy ruchu na zewnątrz i to właściwie z jedną domeną, to sugeruje to dwie rzeczy: router oraz jego zabezpieczenia. Być może, duży ruch z jednym adresem, w jakiś przedziwny sposób aktywuje zabezpieczenia DDoS w routerze ?

 

Spróbuj wyłączyć całkowicie ochronę w routerze i zobacz czy coś to da. Temat jest ciężki a sprzęt, który posiadasz nie daje zbytnio narzędzi do diagnostyki. Zamieść prośbę o pomoc w tym dziale, na tym forum: https://ccie.pl/viewforum.php?f=32

Wklej do wątku link do dyskusji, którą tutaj przeprowadziliśmy, może kogoś bardziej obeznanego zainspiruje.

 

Na oficjalnym forum TP-link jest dział dla routerów klasy biznes, spróbuj także tutaj: http://forum.tp-link.com/

Edytowane przez MasterYoghourt

Udostępnij tego posta


Odnośnik do posta

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

    • 8 Posts
    • 134 Views
    • piotrek5444
    • piotrek5444
    • 2 Posts
    • 45 Views
    • Trober2
    • Trober2
    • 3 Posts
    • 48 Views
    • schree
    • schree
    • 1 Posts
    • 48 Views
    • n0thing18
    • n0thing18
    • 5 Posts
    • 142 Views
    • Mopsiukacz
    • Mopsiukacz