hemelia Опубликовано 8 июля, 2012 · Жалоба Добрый день всем, у нас недавно возникла странная проблема: есть своя АС, есть BGP пиринг с тремя верхними провайдерами. При анонсе любого из блоков /24 нашей АС через 1-вого или 2-го провайдера большинство сайтов работает но, есть несколько сайтов (разные АС) которые доступны по icmp (ping) и в тоже время недоступны по tcp (telnet 80,21) SYN=0 При аноансе этого-же блока через 3-его провайдера всё работает- icmp и tcp. Исходящий маршрут на эти сайты менялся нами статической записью, tcp проходит при любом исходящем маршруте ( любой следующий хоп из трёх возможных), но с анонсом входящего через того-же 3-го провайдера. Кто-нибудь может пролить свет на эту проблему или подсказать куда копать ? Спасибо, Максим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zander Опубликовано 8 июля, 2012 · Жалоба MTU ? ip tcp adjust mss Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hemelia Опубликовано 9 июля, 2012 · Жалоба MTU ? ip tcp adjust mss MTU при отправке ICMP пакета равно 1464, добавляем 28 получает 1492. стандарт для pppoe Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 9 июля, 2012 · Жалоба Добрый день всем, у нас недавно возникла странная проблема: есть своя АС, есть BGP пиринг с тремя верхними провайдерами. При анонсе любого из блоков /24 нашей АС через 1-вого или 2-го провайдера большинство сайтов работает но, есть несколько сайтов (разные АС) которые доступны по icmp (ping) и в тоже время недоступны по tcp (telnet 80,21) SYN=0 При аноансе этого-же блока через 3-его провайдера всё работает- icmp и tcp. Исходящий маршрут на эти сайты менялся нами статической записью, tcp проходит при любом исходящем маршруте ( любой следующий хоп из трёх возможных), но с анонсом входящего через того-же 3-го провайдера. Кто-нибудь может пролить свет на эту проблему или подсказать куда копать ? Спасибо, Максим. вообще с такими вопросами в noc Ваших магистральных провайдеров надо обращаться. Сталкивались с таким, доступ к сайтам был закрыт Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hemelia Опубликовано 9 июля, 2012 · Жалоба вообще с такими вопросами в noc Ваших магистральных провайдеров надо обращаться. Сталкивались с таким, доступ к сайтам был закрыт Раскажите по подробнее, Где и на каком уровне был закрыт доступ ? у нас icmp до проблемного сайта проходят без проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zander Опубликовано 10 июля, 2012 · Жалоба у нас icmp до проблемного сайта проходят без проблем Какого размера ICMP пакеты доходят без проблем ? Попробуйте увеличить, убедитесь, что не в MTU дело Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hemelia Опубликовано 10 июля, 2012 · Жалоба у нас icmp до проблемного сайта проходят без проблем Какого размера ICMP пакеты доходят без проблем ? Попробуйте увеличить, убедитесь, что не в MTU дело ICMP пакеты размером до 1464 доходят до всех сайтов, выше требует фрагментацию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 10 июля, 2012 · Жалоба Вы часом не прямо с роутера проверяете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hemelia Опубликовано 10 июля, 2012 · Жалоба Вы часом не прямо с роутера проверяете? нет, проверяю с хоста подключённого по pppoe. С роутера MTU с запретом фрагментации 1500 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zander Опубликовано 10 июля, 2012 · Жалоба на выходе бордера попробуйте ip tcp adjust-mss Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hemelia Опубликовано 10 июля, 2012 · Жалоба на выходе бордера попробуйте ip tcp adjust-mss не помогает, tcp не устанавливается Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zander Опубликовано 10 июля, 2012 · Жалоба а хост случаем не winxp? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 10 июля, 2012 · Жалоба обмен син пакетами от mtu не зависит. что показывает tcpdump, icmp traceroute, udp traceroute tcp traceroure? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bel Опубликовано 10 июля, 2012 · Жалоба вообще с такими вопросами в noc Ваших магистральных провайдеров надо обращаться. Сталкивались с таким, доступ к сайтам был закрыт Раскажите по подробнее, Где и на каком уровне был закрыт доступ ? у нас icmp до проблемного сайта проходят без проблем. Добавлю свои пять копеек. Было такое, что крупный провайдер фильтровал 80 TCP до определённых адресов. ICMP и TCP на другие порты проходили. Также были блокировки некоторых сайтов из Федерального списка экстремистских материалов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hemelia Опубликовано 11 июля, 2012 · Жалоба а хост случаем не winxp? и winxp и freebsd. в чём особенность winxp ? вообще с такими вопросами в noc Ваших магистральных провайдеров надо обращаться. Сталкивались с таким, доступ к сайтам был закрыт Раскажите по подробнее, Где и на каком уровне был закрыт доступ ? у нас icmp до проблемного сайта проходят без проблем. Добавлю свои пять копеек. Было такое, что крупный провайдер фильтровал 80 TCP до определённых адресов. ICMP и TCP на другие порты проходили. Также были блокировки некоторых сайтов из Федерального списка экстремистских материалов. Спасибо за информацию, но у нас tcp так-же не проходят на 80,21,22 порты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zander Опубликовано 11 июля, 2012 · Жалоба winxp бывает у XP отрубается TCP, хотя ICMP работает но у нас tcp так-же не проходят на 80,21,22 порты. А что за хост, поделитесь, может у меня похожая проблема... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hemelia Опубликовано 11 июля, 2012 · Жалоба обмен син пакетами от mtu не зависит. что показывает tcpdump, icmp traceroute, udp traceroute tcp traceroure? tcpdump показывает отправку нескольких SYN пакетов на проблемный хост, порты 80,21. Ответного пакета нет. icmp трасса доходит до хоста, tcp\udp останавливаются на предпоследнем хопе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zander Опубликовано 11 июля, 2012 · Жалоба У меня ICMP/TCP:80/TCP:21 на тот адрес работает. Вероятно самое время пнуть аплинк Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 12 июля, 2012 · Жалоба tcp traceroute делали на 80 порт? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 16 июля, 2012 (изменено) · Жалоба У нас один аплинк, подозреваем, применял в былые времена нечто аналогичное "ip source guard" по симптомам. Как только трафик обретал путь в виде кольца (туда через них а обратно нет) они трафик блочили. Не сознавались, злодеи. То ли накосячили с формированием резервных каналов, то ли реально "ip source guard" пользовали... Было так же. Анонсируешь во второго провайдера подсеть /24 и трафик через первого ходить переставал для этой сети. И половина сайтов у них открывалась, а другая - нет Изменено 16 июля, 2012 пользователем Tosha Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 16 июля, 2012 (изменено) · Жалоба может стоит попросить аплинка посмотреть rpf ? :) п.с. бордер аппаратный или сервер с квагой ? Изменено 16 июля, 2012 пользователем zhenya` Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pliskinsad Опубликовано 18 июля, 2012 (изменено) · Жалоба может стоит попросить аплинка посмотреть rpf ? :) rpf это ip. Пинги ходят же. http://michael.toren.net/code/tcptraceroute/ Изменено 18 июля, 2012 пользователем pliskinsad Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 18 июля, 2012 (изменено) · Жалоба Еще гипотеза. Есть у нас модуль FWSM... Он тоже не любит колец (скорее всего он просто так изначально настроен). Пинги ходят, но если SYN пакет ушел в канал А, а ответный SYN пришел из канала Б то tcp соединение не установится. Так что возможно наличие где-то по пути FWSM или прочих ASA... Изменено 18 июля, 2012 пользователем Tosha Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...