Почему перестаёт работать рдп у клиентов микротик?

Question

[Muzhaos]

Всем привет. Нужна помощь, друзья.

Есть Mikrotik CCR2004-16G-2S+. На нём настроена БГП сессия к нашей АС (256 адресов). Собственно клиенты (виртуальные машины) получают от DHCP внешние адреса, далее всё управляется на самих машинах их фаерволами. То есть на самом микротике пока никаких ограничений нету. Работало это всё месяц и вдруг на некоторые машины перестало подключаться по РДП. При чем выборочно - с одного адреса не подключается, а с другого всё норм. Стоит раздать инет на комп с телефона и к рдп снова получается подключиться. Ситуация частично исправилась после перезагрузки микротика. Но это лечение симптомов, хочется понять почему так происходит. Никаких лишних впн и блокировок на ВМ не устанавливалось, просто перестало работать. Как будто внешний адрес клиента попал в бан (но никакого бана, повторюсь, на микротике нету). Ресурсы не перегружены: ОЗУ свбодно 80%, ЦПУ не превышает 10%. Кажется будто какая-то таблица где-то переполнилась и всё начало работать нестабильно. РДП пока как пример, по факту не работает любое подключение.



Этот микротик будет в будущем работать под большой нагрузкой и с большим количеством фильтрующих правил и подобное поведение в перспективе неприемлемо.

Буду крайне признателен, если подскажете куда можно посмотреть и на что обратить внимание.

Answer 1

[hint000]

Пусть брутят, вопрос - что именно блокирует подключения с определённого IP?

Не с определённого, а с любого, просто вместо 100% подключений сервер успевает отвечать на 10% или 20% подключений (а может быть 1%). Рандомно в любой момент если повезёт, то попадёте в эти 10% или 20%. Если повторно пытаться подключиться, то с десятой попытки получится. Но толку будет мало - сервер будет дичайше тупить. По сути вы имеете состояние DoS или DDoS, даже если у атакующих нет такой цели. Здесь DoS - побочный эффект атаки.

Ресурсы не перегружены: ОЗУ свбодно 80%, ЦПУ не превышает 10%.

Загрузку диска на виртуалке посмотрите. Брутфорс создаёт каждую секунду десятки-сотни записей в лог винды. Виртуалка не успевает писать на диск. А винда достаточно тупая, чтобы это приводило к состоянию DoS.

Comments

[Muzhaos]

В том то и приколы, что это не брут: виртуалка не тупит, в логах практически чисто, хдд не нагружен, то есть визуально всё норм, просто не с того не с сего перестало подключаться с выборочного адреса. При чем блочит подключения именно микротик - ребут и всё снова заработало. Очень похоже на политику бана IP адресов.

[hint000]

Muzhaos,

Очень похоже на политику бана IP адресов.

ну это же ваш Микротик, смотрите, что у него в конфигах firewall. Лимиты на количество новых подключений в минуту вполне мог кто-то настроить, есть такая функция. Но это не бан, а именно лимит. Вы ведь не брутили с адреса, с которого не можете подключиться, значит нет оснований банить этот адрес. А лимит может действовать для всех.

При чем выборочно - с одного адреса не подключается, а с другого всё норм.

Это воспроизводится на коротком промежутке времени? Т.е., например, с первого адреса - нет, со второго - да, отключаетесь, и снова с первого адреса - нет, со второго - да, и в третий раз в другом порядке, со второго - да, с первого -нет. Вот тогда верю в зависимость от адреса.

[Muzhaos]

hint000, Спасибо большое за наводки! Посмотрим по лимиту подключений. Но мне кажется - это маловероятно, так как тогда бы и с других адресов не получалось подключиться - как раз по лимиту. Но тут поведение именно как будто определённый адрес попал в бан. При том, что никаких бан политик на микротике не настроено - посмотрели все места где адрес мог бы быть забанен, но увы ничего не нашли. Думал может быть есть еще какие-то скрытые политики или откровенные баги в микротике, о которых мы не знаем. Представьте себе микротик с дефолт настройками и DHCP сервером.

[hint000]

Muzhaos,

Представьте себе микротик с дефолт настройками

Тогда не будет там никаких лимитов. Что-то другое.

Вам тогда нужно при возникновении проблемы запускать диагностику на Микротике (Packet Sniffer, это как tcpdump\wireshark, только похуже) и после этого делать попытку подключения (неудачную), в Packet Sniffer в эту же секунду смотреть, что происходит, для начала - что SYN-пакет приходит с внешнего "забаненного" адреса и что этот пакет сразу после этого уходит через LAN-интерфейс в сторону виртуалки. А также есть ли хоть какой-то отклик на него со стороны виртуалки.

[Muzhaos]

hint000, Дружище, спасибо большое! При повторном возникновении проблемы произведём диагностику. Прям вот уважение за такой ответ) Если сможем таким образом выявить проблему - помечу как решение!

Еще раз спасибо

Answer 2

[Alexey Dmitriev]

Вы открыли Rdp наружу? Если да, то это и есть причина проблемы. Ваши виртуальные машины брутфорсят. Как минимум нужно на каждую поставить ipban

Comments

[Muzhaos]

По сути да, рдп открыт. Но это всё регулируется именно со стороны виртуальных машин. То есть: как если бы кабель от провайдера напрямую входил в компьютер. У него внешний адрес. Пусть брутят, вопрос - что именно блокирует подключения с определённого IP? То есть сегодня я захожу на сервер с адресом 2.2.2.2 со своего статического адреса 5.5.5.5, а завтра у меня не получается, как будто мой адрес 5.5.5.5 попал в бан. Хотя никаких подобных политик нигде не настроено. И мы исключили влияние виндовс фаервола, так как помогла перезагрузка микротика.

[Alexey Dmitriev]

Muzhaos, посмотрите логи авторизациии в eventvwr и станет понятно.
А "пусть брутят" - абсолютно не профессиональный ответ.

[Muzhaos]

Alexey Dmitriev, Пока всё отлаживается - нет смысла на этом заморачиваться. Так то Брут - это плохо, факт.

Спасибо, логи посмотрим.

Answer 3

[Zerg89]

1ая возможная причина несоответствие factory firmware и upgrade firmware
2ая возможная причина badblok'и на хранилище

Answer 4

[Дмитрий]

Попробуйте поиграть с размером MTU на портах

Answer 5

[Гарри]

чувак обнови firmware, непонятно как он у тебя вообще включается с такой разницей.