Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Problem:
Od około miesiąca w całej sieci strona firmowa nie otwiera się zarówno na stacjach roboczych w LAN (Windows / Linux / MacOS) jak i bezpośrednio z routera (np. przez links). Problem występuje w losowych odstępach czasu i trwa czasem 10 minut, czasem kilka godzin.
Szczegóły:
Podczas przerwy w dostępie do strony wszystkie inne witryny ładują się poprawnie (poza tymi, które są hostowane na tym samym serwerze www).
Podczas przerwy w dostępie do strony dostaję normalną odpowiedź ICMP z serwera docelowego.
Podczas przerwy w dostępie mogę otworzyć stronę z innego połączenia (np. przez komórkę).
Podczas przerwy w dostępie działa "telnet <HOST-DOCELOWY> 80".
Trying XX.XX.XX.XX... Connected to XX.XX.XX.XX. Escape character is '^]'.
Przerwa występuje w godzinach pracy. Kilka razy łącząc się z zewnątrz do serwera po godzinach pracy strona ładowała się normalnie (przez links z konsoli). Dodam, że pracownicy wewnątrz sieci często odwiedzają stronę.
Kontaktowałem się w tej sprawie z firmą hostingową - stwierdzili, że u nich nie ma żadnych blokad na nasz adres IP.
Kontaktowałem się w tej sprawie z ISP - stwierdzili, że u nich nie ma żadnych blokad i problem leży gdzieś po "naszej" stronie.
Ustawiłem tymczasowo FIREWALL na ACCEPT, nie pomogło (konf. poniżej).
Zmieniłem SNAT na MASQUERADE dla LAN, nie pomogło.
Zmieniłem serwery DNS, nie pomogło.
Podczas przerwy odłączyłem cały LAN od routera, zrestartowałem serwer bez połączenia do LAN, nie pomogło.
System:
Router: Linux 3.16.0-4-amd64 #1 SMP Debian 3.16.39-1 (2016-12-30) x86_64 GNU/Linux
Sieć: ok. 40 stacji roboczych na kablu + WiFi dla urządzeń mobilnych pracowników (wszystko wpięte w CISCO SG-500-52), 5 VLANów (wydzielone sekcje dla pracowników, księgowości, wifi, monitoring, inne), 2 karty sieciowe w routerze (w uproszczeniu LAN + WAN).
Brak jakichkolwiek PROXY wewnątrz sieci. Na routerze działa DNSMASQ jako serwer DHCP + DNS oraz serwer SSH.
Testowa konfiguracja IPTABLES:
$ipt -F $ipt -X $ipt -Z $ipt -t nat -F echo -n '1' > /proc/sys/net/ipv4/ip_forward echo -n '0' > /proc/sys/net/ipv4/conf/all/accept_source_route echo -n '0' > /proc/sys/net/ipv4/conf/all/accept_redirects echo -n '1' > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo -n '1' > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses $ipt -P INPUT ACCEPT $ipt -P OUTPUT ACCEPT $ipt -P FORWARD ACCEPT $ipt -A INPUT -m conntrack --ctstate INVALID -j DROP $ipt -A OUTPUT -m conntrack --ctstate INVALID -j DROP $ipt -A FORWARD -m conntrack --ctstate INVALID -j DROP $ipt -t nat -A POSTROUTING -o $WAN_IFACE -j SNAT --to-source $WAN_IP
Gdzie może leżeć problem, co jeszcze można sprawdzić?
Moje podejrzenie to ISP - konfiguracja ich proxy lub jakiś filtr (być może w związku z dużą ilością zapytań z naszej sieci) jednak nie jestem w stanie tego udowodnić w żaden sposób. Dziwne jest to, że problem zaczął występować około miesiąc temu - wcześniej takie problemy nie występowały a między czasie w sieci nie wprowadzano żadnych znaczących zmian w konfiguracji.
Z góry dzięki za wszelkie wskazówki mogące znaleźć przyczynę problemu :).
Offline
DHCP, DNS sprawdź czy działa poprawnie. To że logujesz się po IP i pingujesz po IP to może problem leży ze zmiana nazwy na IP.
NP. ktoś ma postawiony serwer DHCP, albo z jakiś powodów źle działa DNS.
Offline
wszystkie polityki na accept?
Offline
Przede wszystkim: wbij na sztywno do /etc/hosts (czy jak masz windowsa to tam gdzie on ma ten plik) i sprawdź co się stanie. Jeśli połączysz się ze stroną to nakop do rzyci gościowi co skonfigurował dnsmaska. Jeśli nie - będziemy szukać dalej.
Offline
Dziwne to wszystko.
Jeżeli strona wisi na necie, i jest widoczna po adresie domeny, to po wyłączeniu dnsmasqa powinna chodzić bez problemu na każdym kompie,
który ma internet.
W ogóle na sieci powyżej 5 kompów wolę klasyczny serwer DHCP,
a zamiast dnsmaqa wziąłbym binda, jest dużo łatwiejszy w konfiguracji,
jeśli chodzi o cache-dns:
http://ubuntu.pl/forum/viewtopic.php?f=150&t=120338
Ostatnio edytowany przez Jacekalex (2017-03-09 19:13:55)
Offline
Wielkie dzięki za wszystkie propozycje.
@djjanek
DHCP i DNS działają poprawnie, logi nic złego nie wskazują, adresy rozdawane są poprawnie, DNS odpowiada na zapytania. DNS odpowiada również poprawnym adresem IP docelowego serwera, z którym mam problem. Ping jest, jednak strona nie ładuje się (ERR TIMEOUT).
@Yampress
Tak, wszystko na ACCEPT jak przy przytoczonej tymczasowej konfiguracji iptables.
@ethanak
Wpisanie docelowego hosta do /etc/hosts nie pomogło...
@Jacekalex
Strasznie dziwne, bo nie wiem gdzie jeszcze może leżeć problem dlatego potrzebuje "świeżego spojrzenia", bo wydaje mi się, że coś mi umyka :).
Strona wisi "na zewnątrz" sieci, jest dostępna z innych połączeń np. komórkowych, czy z innych lokalizacji poza siecią.
Na chwilę obecną DNSMASQ sprawdza się wystarczająco dobrze, ale jutro wieczorem spróbuję BIND + ISC-DHCP i zobaczę, czy to pomoże.
Dzięki raz jeszcze za zainteresowanie!
---
Niestety, BIND + ISC-DHCP nic nie zmienia - problem pozostaje.
Ostatnio edytowany przez bukzzo (2017-03-14 13:56:08)
Offline