shaazz: В общем отключил на сервере двухсторонний обмен данными и рестартанул службу..
Вроде-бы печать пошла. Еще потестирую до завтра.
НО! Главное я не понял. Почему до этого 3 года все работало, и вдруг перестало работать именно неделю назад.
Недоволен тем, что причина так и не найдена. Найден способ как обойти проблему, но не найден источник проблемы. И вот это настораживает
mikes: Похоже, я что-то недопонимаю. Разве пользователи шлют ДНС запросы к серверу печати?
С другой стороны у пользовательской сети самый высокий security-level, и как бы они вообще без ограничений должны в серверную сеть ходить, и тем более в принтерную. Во всяком случае с доступом к серверам никто не жаловался. Проблемы с печатью только (
mikes:
Есть принтсервер на базе Windows 2008, Он в серверной сети.
Принтеры настроены на нем и шарятся в домене.
На счет ДНС я тоже сначала думал. Для этого в акцесс-листы прописал:
access-list printers_access_in extended permit ip 192.168.92.0 255.255.255.0 host 192.168.90.5
access-list printers_access_in extended permit ip 192.168.92.0 255.255.255.0 host 192.168.90.6
Где 90.5 и 90.6 - серверы ДНС
Дополнительно ноутбуком подключился в принтерную сеть и проверил проходят ли ДНС запросы. Все нормально.
А тормоза остались (
ПО поводу полого конфига, к сожалению не могу показать. Меня казнят за такие фокусы
morgan: Это средние данные за 10 минут. Максимальные значения. Могу больше цифр навыбирать если нужно.
Но вот прямо сейчас смотрю через ASDM и картина очень оптимистичная. Нагрузки практически нет. У нас небольшой офис. всего 150 человек.
А как определить что в пропускной способности проблема?
Судя по мониторингу нагрузка на процессор не превышает 30%. Памяти использовано всего 280МБ.
Скорость на интерфейса сейчас топовая 50Мбит. А интерфейсы гигабитные.
Другими словами визуально - комутатор простаивает.
Объединять сети - не вариант. Нужно чтоб были поделены.
Adel1ne: Я думаю, что если вы захотите, вы легко найдете в групповых политиках что поменять. Я дал направление, а вы дальше должны дойти самостоятельно.
Только подумайте раз 300 прежде чем DD-WRT ставить. Процессор у dir-300 - слабый. И если вы к провайдеру подключаетесь через PPTP или L2TP - то вас ждут большие проблемы. Скорость доступа в сеть будет очень низкой.
pr0l: Нет, сетевые карты встроенные в материнку "Intel(R) PRO/1000 Network Connection".
Кстати проблем не было уже неделю.
Я отключил все лишнее, в том числе zabbix agent. Подозреваю что проблема была именно в нем.
Если еще неделю проблем не будет, то попробую разобраться какая проверка давала сбой.
Dmitry_S4S: Сударь, ну нельзя же быть таким ленивым. Гугл пестрит ссылками про rsync. Там вроде черным по белому написано, что rsync использует ssh для авторизации. Если не поняли сразу, то выбираем вторую ссылку из гугла
Например вот вариант:
Some modules on the remote daemon may require authentication. If so, you will receive a password prompt when you connect. You can avoid the password prompt by setting the environment variable RSYNC_PASSWORD to the password you want to use or using the --password-file option. This may be useful when scripting rsync. WARNING: On some systems environment variables are visible to all users. On those systems using --password-file is recommended.
athacker: Похоже вы меня не поняли. Я не боюсь tcpdump, просто во первых я не знаю что должен высмотреть в трафике, а трафик будет немалый. Зря вы думаете что там будет мало пакетов.
Во вторых - я вообще не уверен что проблемы в банк клиенте, или в банке, или в сети... Менялся шлюз, значит проблема с очень большой вероятность. в нем. Скорее всего в каких-либо переменных окружения, или в настройках ядра.
Провайдер нормальный - я его менял. Благо у меня два канала к разным провайдерам. И проблема осталась
На счет WiFi. Он тут вообще не причем. С WiFi нет никаких проблем. Он работает. Да и черт с ним вообще. Мне бы с разрывами разобраться.
Вы поймите правильно. Я не профан, сеть у меня очень добротная. Коммутаторы везде - Cisco. Различные подсети раскиданы по VLAN итд... итп.
Я почти уверен что если я верну старый софт на новое железо (Восстановлюсь с бэкапа старого шлюза) - все заработает. Но мне бы хотелось что-бы осталась FreeBSD 10.1
Вот и интересуюсь что можно такого в настройках ядра посмотреть. Может я недокрутил что-то...
Допускаю что может сетевая карта сбоит. Но их в сервере две. Я пробовал обе. Проблема осталась.
Пробовал внешнюю сетевую карту - проблема осталась.
athacker: Подозреваю что траблшутингом я могу заниматься вечно. tcpdump-ом можно долго пытаться что-то выловить, но когда не знаешь что, то среди всей это кучи пакетов можно не найти нужного.
Я так понимаю.
1. Раньше все работало. Значит провайдер и все что вокруг шлюза - отметаем. Оно рабочее.
2. После перезагрузки шлюза все работает стабильно несколько дней. Значит с настройками скорее всего все ОК. Правила на файрволе нормальные.
Как вариант, может что-то в ядре? Может нужно какие-то параметры ядра поправить? Знал бы куда посмотреть, но увы знаний немного не хватает.
Попробую mbuf clusters увеличить, может поможет
На счет маршрутов, вроде все нормально. 192.168.113.0/24 - это сеть гостевого WiFi. Если честно, работа этой сети меня мало волнует. Могу совсем ее убрать, пустить через другой шлюз. Но боюсь что это не решит основной проблемы. Маршрут на нее статический, ведет на WiFi шлюз.
А как диагностировать флаппинг?
На счет zabbix.
Внешние серверы я постоянно мониторю. Пинги к ним не терялись. Так же работал VPN, в том числе через этот шлюз на внутренний сервер (OpenVPN)
Как и говорил, проблемы только с некоторыми сервисами( ICQ, банк клиенты teamviewer .... ) Остальные сервисы работают. Почта, вебсервер, все работает. Снаружи сайты открываются. Изнутри интернет доступен.
В общем беда какая-то узконаправленная.
Да вот тут нестыковка. Люди приходят к 10-00 и позднее.
А проблемы обычно в 10-00 заканчивают. Ну или примерно в это время.
А вот бухгалтерия работает с 8-00. И вот они меня пилят. У них банк клиенты отваливаются. Методом тыка вычислил что тоже самое происходит с ICQ и так же глючит teamviewer.
На счет файрвола - у меня PF. Лог у него очень большой. Собственно я так и настраивал, чтоб писал все. Зато все что нужно потом можно из него выдернуть.
Конфиг тоже огромный. Я сам его писал, Настроен по принципу все что не разрешено - запрещено. Соответственно писал кучу разрешающих правил.
Тип подключения обычный ethernet. Два кабеля от двух провайдеров.