Windows Server стал пропадать интернет на предприятии при подключении по RDP к хосту что это может быть?

Question

[Pantuchi]

Недавно столкнулся с такой проблемой, до этого все работало как обычно без проблем. Суть такая подключаюсь к Windows Server по RDP и на 5 минут пропадает доступ к интернету понять не могу что произошло, что появилось такое поведение. Микротик образует локальную сеть на предприятии в сети есть как клиентские хосты так и 2 сервера со своим статичным ip. При подключении из локальной сети или из вне через белый ip стал пропадать интернет в сегменте сети предприятия ориентировочно на 5 минут. Сначала думали на провайдера, но потом смекнули что это происходит при поднятии сессии по RDP с сервером, причем второй сервер по RDP не роняет интернет. Что случилось и что стало вызывать такое поведение непонятно. Обновления не накатывали. Ориентировочно где то две недели такое стало наблюдаться. Шарил инет найти ничего похоже не удалось. Может кто сталкивался с таким поведением откликнитесь плз)

Comments

[rPman]

что значит роняет интернет?
интернет перестает работать везде или только на этом сервере?
в каком именно месте перестает работать сеть? нет доступа ко всей локальной сети? только к шлюзу? к dns?..

[Pantuchi]

rPman, пропадает интернет во всей сети. Ни один хост располагаемый в одной сети с сервером не может попасть в инет. Это происходит после того как захожу на сервер по RDP. Звучит как бред но это не первый раз.
Спустя 5-10 минут инет поднимается. Авторизация на микроте. Во время дропа инета локальная сеть работает как обычно.

[rPman]

Pantuchi, а на остальные вопросы?

[Евгений]

Тут главное понять чья сессия роняет инет. И дать по голове. Я думаю админу, который разрешил клиенту РДП поднимать ВПН на сервере автоматически.
Через 5 мин. ВПН сессия рвется, инет начинает работает.
Может сумбурно, но это 99 процентов.

[Pantuchi]

Евгений, Хосты обычные клиенты не имеют учеток для входа по rdp. Подключаются только профильные специалисты программисты и сисадмины. Всего 3 учетки. На сервере никаких сторонних VPN нет. Просто IIS и шара. Подключался как из локальной сети по локальному статичному ip сервера так и из вне по белому ip через роутинг по порту на сервер ловил отключение интернета сразу на предприятии после того как подключился по rdp. Спустя 5-10 минут интернет поднимался сам и больше такого за сутки не наблюдалось. Утром сделал перезагрузку сервера после зашел по RDP и сбоя интернета не было. Я в тупике.

[Alexey Dmitriev]

В вопросе есть слово "Предприятие", значит должен быть сисадмин, стоит обратиться к нему.
Если автор себя считает сисадмином, вынужден разочаровать - в таких терминах (точнее с отсутствием какой либо технической инфы и терминов типа ping traceroute dns) это явно не вопрос даже начинающего сисадмина.

[Pantuchi]

Alexey Dmitriev, ну это во влажных мечтах, что каждая компания обладает суперскилловыми сисадминами иногда компании экономят на них. Да я не сисадмин (рядовой программист), но о структуре сети и правилах маршрутиризации и прочих сопутствующих вытекающих представление и понимание есть. Я описал поверхностно структуру сети ниже в комментариях если есть что посоветовать прошу.

Меня больше интересует тот факт что ничего на сервере не делалось и не устанавливалось, на сервер выполнялись повседневные операции с базами и все через MS SQL и использовались виртуалки на этом сервер обычные операции которые выполняются уже больше 5 лет и тут вот такое необъяснимое для меня.

Вопрос 1 почему именно моя учетка, в которую я захожу через RDP, и которую я использую каждый день работая в одних и тех же программах. Остальные учетки не вызывают такого дропа интернета.

PS. Учетки всего 3 по которым заходят через RDP. Одна из них моя, которая по необъяснимым обстоятельствам стала дропать инет. На ней нет стороннего софта (который появился бы недавно и на который можно было бы подумать)

Фраuмент логов микротика:
0. Пропадает инет у все и на сервере. Локалка функционирует нормально.
1. По логам ipip-tunnel1 link down
2. killing ike2 SA: белый IP - какой то ip (A)
спустя 8 минут
3. new ike2 SA: белый IP - ip (из пункта 2. (A))
4. peer authorized: белый IP - ip (из пункта 2. (A))
5. ipip-tunnel1 link up

[Alexey Dmitriev]

Pantuchi, "есть понимание" - по моему скромному мнению - это когда перед тем как задавать вопрос, были использованы ping, traceroute, nslookup и.т.п. и вся эта информация сжато указана в вопросе. И когда нет "терминов" типа "дропать инет"

[Pantuchi]

Alexey Dmitriev, спасибо за ответ, так и скажите что ничего не понятно нет технических определений схемы организации сети и т.д. не надо пытаться попустить человека который обратился за помощью ввиду его необразованности в данном вопросе.

Answer 1

[Hardoman]

Видимо, при подключении rdp клиента, меняется таблица маршрутов, и вероятно, дефолтный гейтвей.

Сравнивайте маршруты до и после подключения, а также гейтвей и dns. Сделайте трассировку на клиентах, когда отвалился инет, куда идёт их трафик. Вероятно, как раз через этот сервер, который в свою очередь, не может выйти в инет, так как у него поменялся дефолтный гейт или тп

Comments

[Pantuchi]

Сервер в сети имеет такое же положение как и обычный хост (клиент). На сервере поднят IIS с сервисами клиент обращаясь по поддомену -> выходит в глобальный инет -> cloudflare заворачивает на белый IP -> далее маршрутиризация по порту 80 -> попадает на сервер в iis к приложению поддомен.домен.ру и все, в инет что сервер что клиент заходят независимо друг от друга. Сеть основана на микротике. На самом сервере поднята виртуалка которая использует второй сетевой порт и этот порт настроен в режиме свича (сквозной типа) сама виртуалка держит две машины. Обе находятся в одной подсети с сервером и клиентами т.е. 2-ая подсеть. Так же проброшена вчс-ка с 10 подсетью отличной от подсети в которой сервер и клиенты но маска настроена так что вторая подсеть видит десятую. До этих событий больше 2 лет все работало без проблем таких.

PS. Создали на сервере новую учетку, ничем не отличающуюся кроме поднятого TLC туннеля для одного приложения. На новой учетке не вышибает инет.
PS. Пытались заходить через мою учетку с выключенным TLC туннелем, результат такой же после какой то активности на сервере вышибает инет иногда сразу иногда через пару минут. Самое странное что только моя учетка вышибает инет, этой учетке больше 5 лет и на нее никакого стороннего софта не ставилось.

PS. По логам микрота:
0. Пропадает инет у все и на сервере. Локалка функционирует нормально.
1. По логам ipip-tunnel1 link down
2. killing ike2 SA: белый IP - какой то ip (A)
спустя 8 минут
3. new ike2 SA: белый IP - ip (из пункта 2. (A))
4. peer authorized: белый IP - ip (из пункта 2. (A))
5. ipip-tunnel1 link up

Инет появился.

Answer 2

[Dupych]

Подозрение что на сервере 2 сетевые.... Это же сервер.
И у этих сетевых 2 шлюза с одинаковой метрикой.
Или поднять VPN криво.
Копать в сторону шлюзов и метрик

Comments

[Pantuchi]

Сервер в сети имеет такое же положение как и обычный хост (клиент). На сервере поднят IIS с сервисами клиент обращаясь по поддомену -> выходит в глобальный инет -> cloudflare заворачивает на белый IP -> далее маршрутиризация по порту 80 -> попадает на сервер в iis к приложению поддомен.домен.ру и все, в инет что сервер что клиент заходят независимо друг от друга. Сеть основана на микротике. На самом сервере поднята виртуалка которая использует второй сетевой порт и этот порт настроен в режиме свича (сквозной типа) сама виртуалка держит две машины. Обе находятся в одной подсети с сервером и клиентами т.е. 2-ая подсеть. Так же проброшена вчс-ка с 10 подсетью отличной от подсети в которой сервер и клиенты но маска настроена так что вторая подсеть видит десятую. До этих событий больше 2 лет все работало без проблем таких.

PS. Создали на сервере новую учетку, ничем не отличающуюся кроме поднятого TLC туннеля для одного приложения. На новой учетке не вышибает инет.
PS. Пытались заходить через мою учетку с выключенным TLC туннелем, результат такой же после какой то активности на сервере вышибает инет иногда сразу иногда через пару минут. Самое странное что только моя учетка вышибает инет, этой учетке больше 5 лет и на нее никакого стороннего софта не ставилось.

PS. По логам микрота:
0. Пропадает инет у все и на сервере. Локалка функционирует нормально.
1. По логам ipip-tunnel1 link down
2. killing ike2 SA: белый IP - какой то ip (A)
спустя 8 минут
3. new ike2 SA: белый IP - ip (из пункта 2. (A))
4. peer authorized: белый IP - ip (из пункта 2. (A))
5. ipip-tunnel1 link up

Инет появился.