[hemelia]

Добрый день всем,

 

у нас недавно возникла странная проблема:

 

есть своя АС, есть BGP пиринг с тремя верхними провайдерами.

При анонсе любого из блоков /24 нашей АС через 1-вого или 2-го провайдера большинство сайтов работает но, есть несколько сайтов (разные АС) которые доступны по icmp (ping) и в тоже время недоступны по tcp (telnet 80,21) SYN=0

При аноансе этого-же блока через 3-его провайдера всё работает- icmp и tcp.

 

Исходящий маршрут на эти сайты менялся нами статической записью, tcp проходит при любом исходящем маршруте ( любой следующий хоп из трёх возможных), но с анонсом входящего через того-же 3-го провайдера.

 

Кто-нибудь может пролить свет на эту проблему или подсказать куда копать ?

 

Спасибо,

Максим.

[zander]

MTU ?

ip tcp adjust mss

[hemelia]

MTU ?

ip tcp adjust mss

 

MTU при отправке ICMP пакета равно 1464, добавляем 28 получает 1492. стандарт для pppoe

[ichthyandr]

Добрый день всем,

 

у нас недавно возникла странная проблема:

 

есть своя АС, есть BGP пиринг с тремя верхними провайдерами.

При анонсе любого из блоков /24 нашей АС через 1-вого или 2-го провайдера большинство сайтов работает но, есть несколько сайтов (разные АС) которые доступны по icmp (ping) и в тоже время недоступны по tcp (telnet 80,21) SYN=0

При аноансе этого-же блока через 3-его провайдера всё работает- icmp и tcp.

 

Исходящий маршрут на эти сайты менялся нами статической записью, tcp проходит при любом исходящем маршруте ( любой следующий хоп из трёх возможных), но с анонсом входящего через того-же 3-го провайдера.

 

Кто-нибудь может пролить свет на эту проблему или подсказать куда копать ?

 

Спасибо,

Максим.

вообще с такими вопросами в noc Ваших магистральных провайдеров надо обращаться. Сталкивались с таким, доступ к сайтам был закрыт

[hemelia]

 

вообще с такими вопросами в noc Ваших магистральных провайдеров надо обращаться. Сталкивались с таким, доступ к сайтам был закрыт

 

Раскажите по подробнее, Где и на каком уровне был закрыт доступ ? у нас icmp до проблемного сайта проходят без проблем.

[zander]

у нас icmp до проблемного сайта проходят без проблем

 

Какого размера ICMP пакеты доходят без проблем ? Попробуйте увеличить, убедитесь, что не в MTU дело

[hemelia]

у нас icmp до проблемного сайта проходят без проблем

 

Какого размера ICMP пакеты доходят без проблем ? Попробуйте увеличить, убедитесь, что не в MTU дело

 

ICMP пакеты размером до 1464 доходят до всех сайтов, выше требует фрагментацию.

[Abram]

Вы часом не прямо с роутера проверяете?

[hemelia]

Вы часом не прямо с роутера проверяете?

нет, проверяю с хоста подключённого по pppoe. С роутера MTU с запретом фрагментации 1500

[zander]

на выходе бордера попробуйте ip tcp adjust-mss

[hemelia]

на выходе бордера попробуйте ip tcp adjust-mss

не помогает, tcp не устанавливается

[zander]

а хост случаем не winxp?

[dmvy]

обмен син пакетами от mtu не зависит. что показывает tcpdump, icmp traceroute, udp traceroute tcp traceroure?

[bel]

 

вообще с такими вопросами в noc Ваших магистральных провайдеров надо обращаться. Сталкивались с таким, доступ к сайтам был закрыт

 

Раскажите по подробнее, Где и на каком уровне был закрыт доступ ? у нас icmp до проблемного сайта проходят без проблем.

Добавлю свои пять копеек.

Было такое, что крупный провайдер фильтровал 80 TCP до определённых адресов. ICMP и TCP на другие порты проходили.

Также были блокировки некоторых сайтов из Федерального списка экстремистских материалов.

[hemelia]

а хост случаем не winxp?

 

и winxp и freebsd. в чём особенность winxp ?

 

 

вообще с такими вопросами в noc Ваших магистральных провайдеров надо обращаться. Сталкивались с таким, доступ к сайтам был закрыт

 

Раскажите по подробнее, Где и на каком уровне был закрыт доступ ? у нас icmp до проблемного сайта проходят без проблем.

Добавлю свои пять копеек.

Было такое, что крупный провайдер фильтровал 80 TCP до определённых адресов. ICMP и TCP на другие порты проходили.

Также были блокировки некоторых сайтов из Федерального списка экстремистских материалов.

 

Спасибо за информацию, но у нас tcp так-же не проходят на 80,21,22 порты.

[zander]

winxp

 

бывает у XP отрубается TCP, хотя ICMP работает

 

но у нас tcp так-же не проходят на 80,21,22 порты.

 

А что за хост, поделитесь, может у меня похожая проблема...

[hemelia]

обмен син пакетами от mtu не зависит. что показывает tcpdump, icmp traceroute, udp traceroute tcp traceroure?

 

tcpdump показывает отправку нескольких SYN пакетов на проблемный хост, порты 80,21. Ответного пакета нет.

 

icmp трасса доходит до хоста, tcp\udp останавливаются на предпоследнем хопе.

[zander]

У меня ICMP/TCP:80/TCP:21 на тот адрес работает. Вероятно самое время пнуть аплинк

[dmvy]

tcp traceroute делали на 80 порт?

[Tosha]

У нас один аплинк, подозреваем, применял в былые времена нечто аналогичное "ip source guard" по симптомам.

Как только трафик обретал путь в виде кольца (туда через них а обратно нет) они трафик блочили.

Не сознавались, злодеи. То ли накосячили с формированием резервных каналов, то ли реально "ip source guard" пользовали...

 

Было так же. Анонсируешь во второго провайдера подсеть /24 и трафик через первого ходить переставал для этой сети.

И половина сайтов у них открывалась, а другая - нет

Изменено 16 июля, 2012 пользователем Tosha

[zhenya`]

может стоит попросить аплинка посмотреть rpf ? :)

 

п.с. бордер аппаратный или сервер с квагой ?

Изменено 16 июля, 2012 пользователем zhenya`

[pliskinsad]

может стоит попросить аплинка посмотреть rpf ? :)

rpf это ip. Пинги ходят же.

 

http://michael.toren.net/code/tcptraceroute/

Изменено 18 июля, 2012 пользователем pliskinsad

[Tosha]

Еще гипотеза. Есть у нас модуль FWSM... Он тоже не любит колец (скорее всего он просто так изначально настроен). Пинги ходят, но если SYN пакет ушел в канал А, а ответный SYN пришел из канала Б то tcp соединение не установится.

 

Так что возможно наличие где-то по пути FWSM или прочих ASA...

Изменено 18 июля, 2012 пользователем Tosha