Jump to content

не проходит tcp с некоторыми сайтами по BGP

hemelia
 Share

Recommended Posts

hemelia

hemelia

Posted
Posted

Добрый день всем,

 

у нас недавно возникла странная проблема:

 

есть своя АС, есть BGP пиринг с тремя верхними провайдерами.

При анонсе любого из блоков /24 нашей АС через 1-вого или 2-го провайдера большинство сайтов работает но, есть несколько сайтов (разные АС) которые доступны по icmp (ping) и в тоже время недоступны по tcp (telnet 80,21) SYN=0

При аноансе этого-же блока через 3-его провайдера всё работает- icmp и tcp.

 

Исходящий маршрут на эти сайты менялся нами статической записью, tcp проходит при любом исходящем маршруте ( любой следующий хоп из трёх возможных), но с анонсом входящего через того-же 3-го провайдера.

 

Кто-нибудь может пролить свет на эту проблему или подсказать куда копать ?

 

Спасибо,

Максим.

ichthyandr

ichthyandr

Posted
Posted

Добрый день всем,

 

у нас недавно возникла странная проблема:

 

есть своя АС, есть BGP пиринг с тремя верхними провайдерами.

При анонсе любого из блоков /24 нашей АС через 1-вого или 2-го провайдера большинство сайтов работает но, есть несколько сайтов (разные АС) которые доступны по icmp (ping) и в тоже время недоступны по tcp (telnet 80,21) SYN=0

При аноансе этого-же блока через 3-его провайдера всё работает- icmp и tcp.

 

Исходящий маршрут на эти сайты менялся нами статической записью, tcp проходит при любом исходящем маршруте ( любой следующий хоп из трёх возможных), но с анонсом входящего через того-же 3-го провайдера.

 

Кто-нибудь может пролить свет на эту проблему или подсказать куда копать ?

 

Спасибо,

Максим.

вообще с такими вопросами в noc Ваших магистральных провайдеров надо обращаться. Сталкивались с таким, доступ к сайтам был закрыт

hemelia

hemelia

Posted
  • Author
Posted

 

вообще с такими вопросами в noc Ваших магистральных провайдеров надо обращаться. Сталкивались с таким, доступ к сайтам был закрыт

 

Раскажите по подробнее, Где и на каком уровне был закрыт доступ ? у нас icmp до проблемного сайта проходят без проблем.

zander

zander

Posted
Posted

у нас icmp до проблемного сайта проходят без проблем

 

Какого размера ICMP пакеты доходят без проблем ? Попробуйте увеличить, убедитесь, что не в MTU дело

hemelia

hemelia

Posted
  • Author
Posted

у нас icmp до проблемного сайта проходят без проблем

 

Какого размера ICMP пакеты доходят без проблем ? Попробуйте увеличить, убедитесь, что не в MTU дело

 

ICMP пакеты размером до 1464 доходят до всех сайтов, выше требует фрагментацию.

hemelia

hemelia

Posted
  • Author
Posted

Вы часом не прямо с роутера проверяете?

нет, проверяю с хоста подключённого по pppoe. С роутера MTU с запретом фрагментации 1500

bel

bel

Posted
Posted

 

вообще с такими вопросами в noc Ваших магистральных провайдеров надо обращаться. Сталкивались с таким, доступ к сайтам был закрыт

 

Раскажите по подробнее, Где и на каком уровне был закрыт доступ ? у нас icmp до проблемного сайта проходят без проблем.

Добавлю свои пять копеек.

Было такое, что крупный провайдер фильтровал 80 TCP до определённых адресов. ICMP и TCP на другие порты проходили.

Также были блокировки некоторых сайтов из Федерального списка экстремистских материалов.

hemelia

hemelia

Posted
  • Author
Posted

а хост случаем не winxp?

 

и winxp и freebsd. в чём особенность winxp ?

 

 

вообще с такими вопросами в noc Ваших магистральных провайдеров надо обращаться. Сталкивались с таким, доступ к сайтам был закрыт

 

Раскажите по подробнее, Где и на каком уровне был закрыт доступ ? у нас icmp до проблемного сайта проходят без проблем.

Добавлю свои пять копеек.

Было такое, что крупный провайдер фильтровал 80 TCP до определённых адресов. ICMP и TCP на другие порты проходили.

Также были блокировки некоторых сайтов из Федерального списка экстремистских материалов.

 

Спасибо за информацию, но у нас tcp так-же не проходят на 80,21,22 порты.

zander

zander

Posted
Posted

winxp

 

бывает у XP отрубается TCP, хотя ICMP работает

 

но у нас tcp так-же не проходят на 80,21,22 порты.

 

А что за хост, поделитесь, может у меня похожая проблема...

hemelia

hemelia

Posted
  • Author
Posted

обмен син пакетами от mtu не зависит. что показывает tcpdump, icmp traceroute, udp traceroute tcp traceroure?

 

tcpdump показывает отправку нескольких SYN пакетов на проблемный хост, порты 80,21. Ответного пакета нет.

 

icmp трасса доходит до хоста, tcp\udp останавливаются на предпоследнем хопе.

Tosha

Tosha

Posted
Posted (edited)

У нас один аплинк, подозреваем, применял в былые времена нечто аналогичное "ip source guard" по симптомам.

Как только трафик обретал путь в виде кольца (туда через них а обратно нет) они трафик блочили.

Не сознавались, злодеи. То ли накосячили с формированием резервных каналов, то ли реально "ip source guard" пользовали...

 

Было так же. Анонсируешь во второго провайдера подсеть /24 и трафик через первого ходить переставал для этой сети.

И половина сайтов у них открывалась, а другая - нет

Edited by Tosha
Tosha

Tosha

Posted
Posted (edited)

Еще гипотеза. Есть у нас модуль FWSM... Он тоже не любит колец (скорее всего он просто так изначально настроен). Пинги ходят, но если SYN пакет ушел в канал А, а ответный SYN пришел из канала Б то tcp соединение не установится.

 

Так что возможно наличие где-то по пути FWSM или прочих ASA...

Edited by Tosha

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.