sober_dev Posted November 16, 2023 Posted November 16, 2023 (edited) Люди добрые подскажите пожалуйста. Организация, в которой я работаю, берет интернеты от РТК. Имею до клиентов циску, далее скат, далее шейпер, далее коммутаторы. Некоторые абоненты имеют потребности в использовании шифрования l2tp, ikev2 и т.п. и не могут подключиться из нашей сети к серверу во внешнем интернете. Например, сервер поднят в сети ТТК, и с мобильных операторов нормально подключается, а из нашей сети не подключается. Проблема может быть как на моей стороне, так и у РТК. Куда копать и как выявить место затыка? Может на циске надо что-то дополнительно прописывать? На коммутаторах D-Link я активировал функции защиты DoS Attack Prevention Settings (Land Attack, Blat Attack, TCP Null Scan, TCP Xmas Scan, TCP SYNFIN, TCP SYN SrcPort Less 1024, Ping of Death Attack, TCP Tiny Fragment Attack). На коммутаторах SNR тоже включил подобные функции. СКАТ DPI работает по списку роскомнадзора. Я в направлении шифрования разбираюсь плохо. Edited February 7, 2025 by sober_dev вопрос решен Вставить ник Quote
jffulcrum Posted November 16, 2023 Posted November 16, 2023 Нужны детали - что за Циска, как включен СКАТ и делает он только DPI ли. Коммутаторы наврядли при делах. Вставить ник Quote
StSphinx Posted November 16, 2023 Posted November 16, 2023 Раз есть СКАТ, значит есть возможность сделать захват проблемного трафика. Сделайте, посмотрите что происходит с соединениями. Вставить ник Quote
vurd Posted December 2, 2023 Posted December 2, 2023 На длинах отключите всю эту дрянь. Одна из них обрезает пакеты и это может быть причиной проблемы. Вставить ник Quote
Morty Posted December 2, 2023 Posted December 2, 2023 (edited) Причина в этом: "На коммутаторах D-Link я активировал функции защиты DoS Attack Prevention Settings (Land Attack, Blat Attack, TCP Null Scan, TCP Xmas Scan, TCP SYNFIN, TCP SYN SrcPort Less 1024, Ping of Death Attack, TCP Tiny Fragment Attack). " Отключите на всех коммутаторах. Edited December 2, 2023 by 1boris Вставить ник Quote
sober_dev Posted February 7, 2025 Author Posted February 7, 2025 Может быть кому-нибудь пригодится. Проблема была в активации функции DoS Attack Prevention Settings - Blat Attack (Разновидность DOS атаки в котором порт источника равен порту назначения). До маршрутизатора Cisco и после стоят коммутаторы Dlink DGS-1250-28X. После отключения Blat Attack все заработало. При этом активация этой же функции на Dlink DES-3200-10 не оказывает влияния. Либо на DES-3200-10 функция реализована более корректно и не затрагивает UDP пакет, либо она там не работает вообще. Что же касается DGS-1250-28X то похоже режутся как TCP пакеты, так и UDP. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.