sober_dev Posted November 16, 2023 (edited) Люди добрые подскажите пожалуйста. Организация, в которой я работаю, берет интернеты от РТК. Имею до клиентов циску, далее скат, далее шейпер, далее коммутаторы. Некоторые абоненты имеют потребности в использовании шифрования l2tp, ikev2 и т.п. и не могут подключиться из нашей сети к серверу во внешнем интернете. Например, сервер поднят в сети ТТК, и с мобильных операторов нормально подключается, а из нашей сети не подключается. Проблема может быть как на моей стороне, так и у РТК. Куда копать и как выявить место затыка? Может на циске надо что-то дополнительно прописывать? На коммутаторах D-Link я активировал функции защиты DoS Attack Prevention Settings (Land Attack, Blat Attack, TCP Null Scan, TCP Xmas Scan, TCP SYNFIN, TCP SYN SrcPort Less 1024, Ping of Death Attack, TCP Tiny Fragment Attack). На коммутаторах SNR тоже включил подобные функции. СКАТ DPI работает по списку роскомнадзора. Я в направлении шифрования разбираюсь плохо. Edited February 7 by sober_dev вопрос решен Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted November 16, 2023 Нужны детали - что за Циска, как включен СКАТ и делает он только DPI ли. Коммутаторы наврядли при делах. Share this post Link to post Share on other sites More sharing options...
StSphinx Posted November 16, 2023 Раз есть СКАТ, значит есть возможность сделать захват проблемного трафика. Сделайте, посмотрите что происходит с соединениями. Share this post Link to post Share on other sites More sharing options...
vurd Posted December 2, 2023 На длинах отключите всю эту дрянь. Одна из них обрезает пакеты и это может быть причиной проблемы. Share this post Link to post Share on other sites More sharing options...
Morty Posted December 2, 2023 (edited) Причина в этом: "На коммутаторах D-Link я активировал функции защиты DoS Attack Prevention Settings (Land Attack, Blat Attack, TCP Null Scan, TCP Xmas Scan, TCP SYNFIN, TCP SYN SrcPort Less 1024, Ping of Death Attack, TCP Tiny Fragment Attack). " Отключите на всех коммутаторах. Edited December 2, 2023 by 1boris Share this post Link to post Share on other sites More sharing options...
sober_dev Posted February 7 Может быть кому-нибудь пригодится. Проблема была в активации функции DoS Attack Prevention Settings - Blat Attack (Разновидность DOS атаки в котором порт источника равен порту назначения). До маршрутизатора Cisco и после стоят коммутаторы Dlink DGS-1250-28X. После отключения Blat Attack все заработало. При этом активация этой же функции на Dlink DES-3200-10 не оказывает влияния. Либо на DES-3200-10 функция реализована более корректно и не затрагивает UDP пакет, либо она там не работает вообще. Что же касается DGS-1250-28X то похоже режутся как TCP пакеты, так и UDP. Share this post Link to post Share on other sites More sharing options...
