Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2017-03-09 10:53:16

  bukzzo - Nowy użytkownik

bukzzo
Nowy użytkownik
Skąd: Rybnik
Zarejestrowany: 2017-03-09

Problemy z dostępem do strony WWW

Problem:
Od około miesiąca w całej sieci strona firmowa nie otwiera się zarówno na stacjach roboczych w LAN (Windows / Linux / MacOS) jak i bezpośrednio z routera (np. przez links). Problem występuje w losowych odstępach czasu i trwa czasem 10 minut, czasem kilka godzin.

Szczegóły:
Podczas przerwy w dostępie do strony wszystkie inne witryny ładują się poprawnie (poza tymi, które są hostowane na tym samym serwerze www).
Podczas przerwy w dostępie do strony dostaję normalną odpowiedź ICMP z serwera docelowego.
Podczas przerwy w dostępie mogę otworzyć stronę z innego połączenia (np. przez komórkę).
Podczas przerwy w dostępie działa "telnet <HOST-DOCELOWY> 80".

Kod:

Trying XX.XX.XX.XX...
Connected to XX.XX.XX.XX.
Escape character is '^]'.

Przerwa występuje w godzinach pracy. Kilka razy łącząc się z zewnątrz do serwera po godzinach pracy strona ładowała się normalnie (przez links z konsoli). Dodam, że pracownicy wewnątrz sieci często odwiedzają stronę.

Kontaktowałem się w tej sprawie z firmą hostingową - stwierdzili, że u nich nie ma żadnych blokad na nasz adres IP.
Kontaktowałem się w tej sprawie z ISP - stwierdzili, że u nich nie ma żadnych blokad i problem leży gdzieś po "naszej" stronie.
Ustawiłem tymczasowo FIREWALL na ACCEPT, nie pomogło (konf. poniżej).
Zmieniłem SNAT na MASQUERADE dla LAN, nie pomogło.
Zmieniłem serwery DNS, nie pomogło.
Podczas przerwy odłączyłem cały LAN od routera, zrestartowałem serwer bez połączenia do LAN, nie pomogło.

System:
Router: Linux 3.16.0-4-amd64 #1 SMP Debian 3.16.39-1 (2016-12-30) x86_64 GNU/Linux
Sieć: ok. 40 stacji roboczych na kablu + WiFi dla urządzeń mobilnych pracowników (wszystko wpięte w CISCO SG-500-52), 5 VLANów (wydzielone sekcje dla pracowników, księgowości, wifi, monitoring, inne), 2 karty sieciowe w routerze (w uproszczeniu LAN + WAN).

Brak jakichkolwiek PROXY wewnątrz sieci. Na routerze działa DNSMASQ jako serwer DHCP + DNS oraz serwer SSH.

Testowa konfiguracja IPTABLES:

Kod:

$ipt -F
$ipt -X
$ipt -Z
$ipt -t nat -F
echo -n '1' > /proc/sys/net/ipv4/ip_forward
echo -n '0' > /proc/sys/net/ipv4/conf/all/accept_source_route
echo -n '0' > /proc/sys/net/ipv4/conf/all/accept_redirects
echo -n '1' > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo -n '1' > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
$ipt -P INPUT ACCEPT
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m conntrack --ctstate INVALID    -j DROP
$ipt -A OUTPUT -m conntrack --ctstate INVALID    -j DROP
$ipt -A FORWARD -m conntrack --ctstate INVALID    -j DROP
$ipt -t nat -A POSTROUTING -o $WAN_IFACE -j SNAT --to-source $WAN_IP

Gdzie może leżeć problem, co jeszcze można sprawdzić?
Moje podejrzenie to ISP - konfiguracja ich proxy lub jakiś filtr (być może w związku z dużą ilością zapytań z naszej sieci) jednak nie jestem w stanie tego udowodnić w żaden sposób. Dziwne jest to, że problem zaczął występować około miesiąc temu - wcześniej takie problemy nie występowały a między czasie w sieci nie wprowadzano żadnych znaczących zmian w konfiguracji.

Z góry dzięki za wszelkie wskazówki mogące znaleźć przyczynę problemu :).

Offline

 

#2  2017-03-09 12:10:27

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: Problemy z dostępem do strony WWW

DHCP, DNS sprawdź czy działa poprawnie. To że logujesz się po IP i pingujesz po IP to może problem leży ze zmiana nazwy na IP.
NP. ktoś ma postawiony serwer DHCP, albo z jakiś powodów źle działa DNS.

Offline

 

#3  2017-03-09 14:03:38

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Problemy z dostępem do strony WWW

wszystkie polityki na accept?

Offline

 

#4  2017-03-09 15:20:04

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Problemy z dostępem do strony WWW

Przede wszystkim: wbij na sztywno do /etc/hosts (czy jak masz windowsa to tam gdzie on ma ten plik) i sprawdź co się stanie. Jeśli połączysz się ze stroną to nakop do rzyci gościowi co skonfigurował dnsmaska. Jeśli nie - będziemy szukać dalej.


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#5  2017-03-09 19:13:08

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Problemy z dostępem do strony WWW

Dziwne to wszystko.

Jeżeli strona wisi na necie, i jest widoczna po adresie domeny, to po wyłączeniu dnsmasqa powinna chodzić bez problemu na każdym kompie,
który ma internet.

W ogóle  na sieci powyżej 5 kompów wolę klasyczny serwer DHCP,
a zamiast dnsmaqa wziąłbym binda, jest dużo łatwiejszy w konfiguracji,
jeśli chodzi o cache-dns:
http://ubuntu.pl/forum/viewtopic.php?f=150&t=120338

Ostatnio edytowany przez Jacekalex (2017-03-09 19:13:55)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2017-03-09 20:34:43

  bukzzo - Nowy użytkownik

bukzzo
Nowy użytkownik
Skąd: Rybnik
Zarejestrowany: 2017-03-09

Re: Problemy z dostępem do strony WWW

Wielkie dzięki za wszystkie propozycje.

@djjanek
DHCP i DNS działają poprawnie, logi nic złego nie wskazują, adresy rozdawane są poprawnie, DNS odpowiada na zapytania. DNS odpowiada również poprawnym adresem IP docelowego serwera, z którym mam problem. Ping jest, jednak strona nie ładuje się (ERR TIMEOUT).

@Yampress
Tak, wszystko na ACCEPT jak przy przytoczonej tymczasowej konfiguracji iptables.

@ethanak
Wpisanie docelowego hosta do /etc/hosts nie pomogło...

@Jacekalex
Strasznie dziwne, bo nie wiem gdzie jeszcze może leżeć problem dlatego potrzebuje "świeżego spojrzenia", bo wydaje mi się, że coś mi umyka :).
Strona wisi "na zewnątrz" sieci, jest dostępna z innych połączeń np. komórkowych, czy z innych lokalizacji poza siecią.
Na chwilę obecną DNSMASQ sprawdza się wystarczająco dobrze, ale jutro wieczorem spróbuję BIND + ISC-DHCP i zobaczę, czy to pomoże.

Dzięki raz jeszcze za zainteresowanie!

---

Niestety, BIND + ISC-DHCP nic nie zmienia - problem pozostaje.

Ostatnio edytowany przez bukzzo (2017-03-14 13:56:08)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)