[VVG]

Имеется клиентская винда (Пока замечено пару раз на Windows 7).

Адреса получаются по DHCP (со статикой -- такая же ситуация).

 

Получен ИП, скажем, 10.32.96.48/23, шлюз -- 10.32.96.1.

 

Инет не работает. Смотрю сниффером:

19:05:10.577821 ARP, Request who-has 10.39.192.1 tell 10.32.96.48, length 46

19:05:11.577877 ARP, Request who-has 10.39.192.1 tell 10.32.96.48, length 46

19:05:13.872019 ARP, Request who-has 10.39.192.1 tell 10.32.96.48, length 46

 

Ломится arp-пами на наш DNSник.

 

proxy arp спасает.

Машина клиентская, что понаставлено -- неизвестно, но один клиент уверял, что переставлял -- не помогло.

Сталкивался кто с такими глюками?

[s.lobanov]

Только сегодня видел такое же :)

Но не винда, а компьютер моего коллеги на linux. было примерно так:

 

ifconfig eth0 1.1.1.1 255.255.255.0

ip route add default via 1.1.1.1 dev eth0

 

Т.е. шлюза как бы нет, есть только интерфейс для отправки, ну собственно кроме того чтобы слать арпы больше ничего не остаётся. Тоже был прокси-арп на маршрутизаторе, в локальной arp-таблице было 100500 записей.

[st_re]

ну да, я бы таки глянул ipconfig /all на проблемной машине, и далее бы уже выяснял почему там неправильный набор ip-маска-деф_шлюз (99% что там что то не так в этом наборе) и как он приехал по DHCP.

[VVG]

Так проблема в том, что ип/маска/шлюз в "состоянии подключения" правильные!!

ipconfig /all юзверь не сможет прочесть, но думаю там тоже всё верно.

[s.lobanov]

В состоянии подключения может быть и всё нормально, но некоторые вирусы создают кучу маршрутов, более специфичных чем 0/0 и если в качестве next-hop'а указан ip адрес интерфейса, то как раз и будут генериться арпы

 

поэтому обучите его копировать из чёрного окошка и пусть пришлёт вам ipconfig /all и route PRINT

[VVG]

ОК, попробую глянуть что у него с маршрутами...

[Mallorn]

Скорее всего - вирусяка.

Также бывает, что с абонентской машины идет последовательный перебор ip-адресов arp запросами.

Иногда идут подряд адреса, иногда на каждый адрес посылается 4-8 запросов и выбирается следующий.

 

12:54:28.314955 ARP, Request who-has 10.51.34.220 tell 10.51.34.10, length 46

12:54:29.816668 ARP, Request who-has 10.51.34.221 tell 10.51.34.10, length 46

12:54:31.314745 ARP, Request who-has 10.51.34.222 tell 10.51.34.10, length 46

 

Только почему так происходит на linux машине, непонятно.

[zurz]

Рискну предположить, что такое может происходить если шлюз 10.32.96.1 не ответит на arp, который предназначается именно ему.

Т.е. нет арпа от шлюза -> винда забивает на шлюз и начинает ломиться напрямую.

[st_re]

В состоянии подключения может быть и всё нормально, но некоторые вирусы создают кучу маршрутов, более специфичных чем 0/0 и если в качестве next-hop'а указан ip адрес интерфейса, то как раз и будут генериться арпы

 

поэтому обучите его копировать из чёрного окошка и пусть пришлёт вам ipconfig /all и route PRINT

 

Если так, то проще научить route -f и ребут.

[major12]

Возможно это Bonjour после инсталляции чего-то адобовского.

У меня был такой случай - посмотрите нет ли второго дефолтного шлюза или неправильного маршрута к 0.0.0.0/0.0.0.0 в выводе route print.

Если да тогда отключаете сервис с именем типа "##Id_String2.6844F930_1628_4223_B5CC_5BB94B879762##" і ребут.

[Negator]

Рискну предположить, что такое может происходить если шлюз 10.32.96.1 не ответит на arp, который предназначается именно ему.

Т.е. нет арпа от шлюза -> винда забивает на шлюз и начинает ломиться напрямую.

Также бывает, что с абонентской машины идет последовательный перебор ip-адресов arp запросами.

 

Ну во первых любой сканер портов, а то и торрент клиент делает именно так. Ну и вирусня тоже

[s.lobanov]

Рискну предположить, что такое может происходить если шлюз 10.32.96.1 не ответит на arp, который предназначается именно ему.

Т.е. нет арпа от шлюза -> винда забивает на шлюз и начинает ломиться напрямую.

Также бывает, что с абонентской машины идет последовательный перебор ip-адресов arp запросами.

 

Ну во первых любой сканер портов, а то и торрент клиент делает именно так. Ну и вирусня тоже

 

вирусня может быть. а про сканер портов и торрент-клиент это вы чё-то покурили. в нормальном режиме arp-запросы делаются только для хостов, которые являются директли коннектед с точки зрения таблицы роутинга. Делать arp-запрос для любого ip это ненормальное поведение.

[Ivan_83]

Ну отдайте вы ему маршрут до вашего ДНС в ДХЦП пакете :)

 

 

 

 

ifconfig eth0 1.1.1.1 255.255.255.0 ip route add default via 1.1.1.1 dev eth0

 

Столкнулся с тем, что 224.0.0.0/4 пытались зароутить роутером, те отдавался маршрут со шлюзом на эту подсеть...

 

Винды просто гнали траффик через интерфейс, в котором есть этот шлюз, а вот убунта "честно" отсылала всё на шлюз, соответственно мультикаст "ломался" ибо мак дст = мак шлюза, коммутаторы его не воспринимали и не снупили.

 

 

[i.zhuvakov]

это Bonjour

[VVG]

Кстати, подтверждаю. Во всех случаях оказался Bonjour.

Причём уже четвётрый клиент в нашей маленькой сетке. Причём проблема появляется не сразу при подключении, а позже.

Нездоровая тенденция...

 

За информацию спасибо.

[Дегтярев Илья]

Проблема возникает при попытке деинсталировать Bonjour.

Поэтому не сразу и замечаете.