Почему не проходят входящие ip соединения?

Question

[Максим Чорнопольский]

2 недели назад началась проблема - периодически перестают проходить входящие соединения на роутер.
У нас три точки на спутниковом интернете, за спутниковым модемом стоят микротики. На двух точках за это время микротики поменялись. Таким образом, мы имеем одинаковый глюк на 5 разных микротиках. На трех разных точках. Глюк начался приблизительно в одно и тоже время. Глюк проходит после перезагрузки модема и (редко) после перезагрузки микротика. Во втором случае я подозреваю совпадение, ибо раз на раз не приходится. Все эти две недели я долблю двух провайдеров.
Как это выглядит:
на точках интернет работает, sip через спутник работает, никаких проблем, я могу подключиться к серверам через ammyy admin, но! Не работает RDP, я не могу подключиться к админке роутера, то есть не работают ни пробросы, ни роутер не отвечает. Пинг в это время идет. Еще получалось подключиться телнетом, в самом начале, потом я не проверял. ССШ висит, висит, отваливается по таймауту. Winbox - mikrotik утилита для конфигурирования - может висеть очень-очень долго. RDP аналогично висит, устанавливает соединение. Проброс в админки ip-камер аналогично не отрабатывает, браузер очень быстро выдает что не удается отобразить страницу.
Я никогда с таким не сталкивался и не знаю, что это может быть. Провайдер тоже ничем до сих пор не помог.
Прошу вас, подскажите, что это может быть и в какую сторону копать?

Спутниковая связь - двусторонняя. Месторасположение - тайга в хакасии, никакой другой связи нет. Порты открыты, я сканил Nmap, я цеплялся туда телнетом. Такое ощущение, что не приходит ответные пакеты.

Answer 1

[Клёвый Админ]

Такс, если у вас спутник - то он просто спутник (двусторонний) или у вас классическая эконом схема с двумя провайдерами?

Дальше, проблема может быть на нескольких местах (по-порядку):
1. В сети\на компе с которого вы проверяете соединение (и дальше по списку в этом участке) (проверка - взять другого провайдера, например USB модем)
2. У провайдера спутникого интернета закрыты порты (проверить - перенести публикацию на 80-тый, он вряд ли закрыт и проверить)
3. На самом модеме ошибка в прошивке \ настройке (проверить настройки)
4. Ошибка в настройке Микротика (проверить настройки)
5. Ошибка в настройке Drop правил (отключить)

Ну и хорошо бы больше схемы \ меньше описания симптомов =)

Comments

[Максим Чорнопольский]

Спутниковая связь - двусторонняя. Месторасположение - тайга в хакасии, никакой другой связи нет. Порты открыты, я сканил Nmap, я цеплялся туда телнетом. Такое ощущение, что не приходит ответные пакеты.
Периодически связь есть. Что именно вы предлагаете проверить в настройках? Если бы ошибка была в настройке, мне кажется, связь бы отсутствовала постоянно. А тут туда-сюда. К модему особого доступа у нас нет, можем только посмотреть статистику. Это считается оборудованием провайдера.

[Клёвый Админ]

Ага, так лучче. =)

На микротик в итоге приземляется Белый адрес? Киньте правила прорброса сюда (в них всё же может быть ошибка вызывающая такое поведение).
Микротик DHCP и основной шлюз для всего, верно?

Есть возможность вотнутся в микротик ноутбуком в другой порт, где будет поднята отдельная сеть? (это позволит исключить проблемы в файрволах и прочем на локальных клиентах внутри сети и можно будет проверить проброс портов локально)

[Максим Чорнопольский]

pastebin.com/i3FapPTp
Это экспорт правил фаервола и пробросов. Микротик и шлюз и дхцп. Возможность воткнуться есть, но дело это не быстрое, админ на точке как белка в колесе, на три участка разом, язык на бок и бегает. Гарантирую, что на локальных клиентах проблем с фаерволами нет. Не могут все разнотипные клиенты разом включить фаервол, а после перезагрузки модема его выключить. Опять же, IP-камеры.

[Клёвый Админ]

@Voiddancer ну полюбому тогда у провайдера нужно копать. Можно например поднять туннель и проверив его стабильность, пустить трафик через него - это снизит возможности провайдера по приоритезации и срезу трафика.

[Максим Чорнопольский]

Подняты ipip и gre туннели, в них точно та же ситуация. Пинги есть, входящие соединения не проходят. Вроде бы, инкапсуляция...

[Клёвый Админ]

@Voiddancer ну если так, то похоже борохлит принимающая сторона - т.е. сами устройства. Я бы покапал их. Очень странное поведение.

Answer 2

[throughtheether]

на точках интернет работает, sip через спутник работает, никаких проблем, я могу подключиться к серверам через ammyy admin, но! Не работает RDP, я не могу подключиться к админке роутера, то есть не работают ни пробросы, ни роутер не отвечает. Пинг в это время идет. Еще получалось подключиться телнетом, в самом начале, потом я не проверял. ССШ висит, висит, отваливается по таймауту. Winbox - mikrotik утилита для конфигурирования - может висеть очень-очень долго. RDP аналогично висит, устанавливает соединение. Проброс в админки ip-камер аналогично не отрабатывает, браузер очень быстро выдает что не удается отобразить страницу.

Я предполагаю, проблема наблюдается в случае использования по крайней мере некоторых протоколов, работающих поверх TCP. Есть предположение, что провайдер, вероятно, каким-то образом дифференцирует TCP-трафик от UDP. Это может быть связано с использованием "ускорителей интернета" а-ля Transport Flow Optimization в Cisco WAAS.

в какую сторону копать?

Убедиться в различном поведении TCP и UDP (я не уверен, какой именно протокол использует ammyy admin). Если возможно, завернуть часть "проблемного" трафика в VPN-over-UDP. Пронаблюдать ситуацию. Изучить поведение TCP между интересующими вас точками. Вы говорите, есть доступ через ammyy admin до серверов. На вашем месте я бы поднял на одном из серверов tcp-сервис (настроив соответствующим образом NAT ("проброс портов")), периодически обращался к нему с клиента, сохраняя дампы трафика на обоих концах. В моем представлении, это можно автоматизировать. Если гипотеза подтвердится, и обнаружится разница в дампах, с этими данными можно задать представителям провайдера предметный вопрос.