Задать вопрос
@Muzhaos

Почему перестаёт работать рдп у клиентов микротик?

Всем привет. Нужна помощь, друзья.

Есть Mikrotik CCR2004-16G-2S+. На нём настроена БГП сессия к нашей АС (256 адресов). Собственно клиенты (виртуальные машины) получают от DHCP внешние адреса, далее всё управляется на самих машинах их фаерволами. То есть на самом микротике пока никаких ограничений нету. Работало это всё месяц и вдруг на некоторые машины перестало подключаться по РДП. При чем выборочно - с одного адреса не подключается, а с другого всё норм. Стоит раздать инет на комп с телефона и к рдп снова получается подключиться. Ситуация частично исправилась после перезагрузки микротика. Но это лечение симптомов, хочется понять почему так происходит. Никаких лишних впн и блокировок на ВМ не устанавливалось, просто перестало работать. Как будто внешний адрес клиента попал в бан (но никакого бана, повторюсь, на микротике нету). Ресурсы не перегружены: ОЗУ свбодно 80%, ЦПУ не превышает 10%. Кажется будто какая-то таблица где-то переполнилась и всё начало работать нестабильно. РДП пока как пример, по факту не работает любое подключение.

6609265183800659752965.png

Этот микротик будет в будущем работать под большой нагрузкой и с большим количеством фильтрующих правил и подобное поведение в перспективе неприемлемо.

Буду крайне признателен, если подскажете куда можно посмотреть и на что обратить внимание.
  • Вопрос задан
  • 440 просмотров
Подписаться 1 Средний Комментировать
Решения вопроса 1
hint000
@hint000
у админа три руки
Пусть брутят, вопрос - что именно блокирует подключения с определённого IP?
Не с определённого, а с любого, просто вместо 100% подключений сервер успевает отвечать на 10% или 20% подключений (а может быть 1%). Рандомно в любой момент если повезёт, то попадёте в эти 10% или 20%. Если повторно пытаться подключиться, то с десятой попытки получится. Но толку будет мало - сервер будет дичайше тупить. По сути вы имеете состояние DoS или DDoS, даже если у атакующих нет такой цели. Здесь DoS - побочный эффект атаки.
Ресурсы не перегружены: ОЗУ свбодно 80%, ЦПУ не превышает 10%.
Загрузку диска на виртуалке посмотрите. Брутфорс создаёт каждую секунду десятки-сотни записей в лог винды. Виртуалка не успевает писать на диск. А винда достаточно тупая, чтобы это приводило к состоянию DoS.
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
Вы открыли Rdp наружу? Если да, то это и есть причина проблемы. Ваши виртуальные машины брутфорсят. Как минимум нужно на каждую поставить ipban
Ответ написан
@Zerg89
1ая возможная причина несоответствие factory firmware и upgrade firmware
2ая возможная причина badblok'и на хранилище
Ответ написан
Комментировать
@Stariyded
Сетевой админ
Попробуйте поиграть с размером MTU на портах
Ответ написан
Комментировать
@garriad
Network Engeneer
чувак обнови firmware, непонятно как он у тебя вообще включается с такой разницей.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы