Ситуация такая: На серваке (windows 2003) стоит сайт (IIS+PHP+MS SQL Server 2005) К серваку подключено 2 выделенных канала: первый на 128 кбит безлимитный, второй на 10мбит с оплатой за трафик. В целях уменьшения затрат на трафик маршрутизация настроена так, что входящий трафик на сайт идет через первый канал, а исходящий пересылается через второй канал. Все работает нормально, но те пользователи, которые выходят в интернет через VPN, на сайт попасть не могут. Помогите разобраться в чем здесь проблема. Почему проблема именно с такими посетителями, когда у большинства посетителей все работает нормально?

(0)что значит, не могут попасть на сайт? что значит, выходят в инет через VPN?

А как со стороны клиента выглядит трассировка до хоста?

(0) Написан какой-то бред....

(2)
Трассировка первая (с обычного клиента):
Tracing route to www.logxp.ru [195.206.48.146]
Hop 1   IP 195.206.48.145    Time : 15  
Hop 2   IP 195.206.48.146    Time : 13  
Done

Трассировка вторая (с клиента через VPN):
Tracing route to www.logxp.ru [195.206.48.146]
Hop 1   IP 195.206.39.193    Time : 1    
Hop 2   IP 195.206.62.41     Time : 2    
Error : TimeOut
Done

Трассировка третья (Через VPN, но маршрутизация на серваке отключена):
Tracing route to www.logxp.ru [195.206.48.146]
Hop 1   IP 195.206.39.193    Time : 32  
Hop 2   IP 195.206.62.41     Time : 33  
Hop 3   IP 195.206.48.146    Time : 35  
Done

(5)у вас там какая-то борода.... у меня сайт открывается (VPN), но трассировка не идет.... и без VPN также....

(6) Открывается, потому что я отключил маршрутизацию на сервере. Теперь я ее включил. Так открывается?

(7)да, но трассировка все-равно не проходит.... первый раз такое вижу....

как у вас распределяется траффик? Покажите?

(8) может файрвол блокирует. Но у меня трассировка идет нормально. И пингуется тоже.

(9) Есть 2 канала с постоянными IP-адресами (IP1 и IP2). Входящий трафик идет на IP1, исходящий идет через IP2.

(10)черт! точно... пошла трассировка....

и как то увязывается в рамках одного соединения?

(13) а что с чем должно увязываться?

(14)я думаю, имеется ввиду, чем вы трафик делите?

(15) Настраиваю статические маршруты в Routing and Remote Access. Или другой вариант: в настройках первого соединения оставляю шлюз незаполненным и исходящий трафик сам идет через шлюз второго соединения.

Вот как-то так через хитровывернутую жопу оно и работает. )) Точнее работает наполовину.

а откуда уверенность, что именно так все и работает?

(17)сейчас вот в лине сижу, через VPN... трассировка идет, сайт открывается...

(19) Хоронитель - понюхай снифом пакетики, откель они?)

(19) Открывается, потому что маршрутизация отключена, пока не разберусь в чем проблема. Иначе часть посетителей на сайт попасть не сможет.

(20)не понял...
(21)я так думаю, у клиентов криво маршрутизация настроена просто. либо какая-то защита стоит... типа запрос по одному адресу, ответ от другого...

(16) Покажите как RRAS настроили стат. маршруты.
netsh routing ip show persistentroutes
netsh routing ip show rtmroutes

+(23) А лучше сразу все покажите
netsh routing ip dump
netsh interface ip show address

netsh routing ip dump


# IP Configuration
pushd routing ip
reset
set loglevel error
add preferenceforprotocol proto=LOCAL preflevel=1
add preferenceforprotocol proto=STATIC preflevel=3
add preferenceforprotocol proto=NONDOD preflevel=5
add preferenceforprotocol proto=AUTOSTATIC preflevel=7
add preferenceforprotocol proto=NetMgmt preflevel=10
add preferenceforprotocol proto=OSPF preflevel=110
add preferenceforprotocol proto=RIP preflevel=120
add interface name="ORTEL" state=enable
set filter name="ORTEL" fragcheck=disable
add persistentroute dest=0.0.0.0 mask=0.0.0.0 name="ORTEL" nhop=195.208.11.145 p
roto=NONDOD     preference=0 metric=1 view=both
set persistentroute dest=0.0.0.0 mask=0.0.0.0 name="ORTEL" nhop=195.208.11.145 p
roto=NONDOD     preference=0 metric=1 view=both
add interface name="1394 Connection" state=enable
set filter name="1394 Connection" fragcheck=disable
add interface name="DSI" state=enable
set filter name="DSI" fragcheck=disable
add persistentroute dest=0.0.0.0 mask=0.0.0.0 name="DSI" nhop=195.206.48.145 pro
to=NONDOD     preference=0 metric=2 view=both
set persistentroute dest=0.0.0.0 mask=0.0.0.0 name="DSI" nhop=195.206.48.145 pro
to=NONDOD     preference=0 metric=2 view=both
add interface name="Internal" state=enable
set filter name="Internal" fragcheck=disable
add interface name="Loopback" state=enable
set filter name="Loopback" fragcheck=disable
popd
# End of IP configuration



# ----------------------------------
# DNS Proxy configuration
# ----------------------------------
pushd routing ip dnsproxy
uninstall


popd
# End of DNS proxy configuration



# ----------------------------------
# IGMP Configuration
# ----------------------------------
pushd routing ip igmp
uninstall


popd
# End of IGMP configuration



# ----------------------------------
# NAT configuration
# ----------------------------------
pushd routing ip nat
uninstall


popd




# ----------------------------------
# OSPF configuration
# ----------------------------------

pushd routing ip ospf
uninstall

popd
# End of OSPF configuration




# ----------------------------------
# DHCP Relay Agent configuration
# ----------------------------------
pushd routing ip relay
uninstall


popd
# End of DHCP Relay configuration



# ----------------------------------
# RIP configuration
# ----------------------------------
pushd routing ip rip
uninstall


popd
# End of RIP configuration



# ----------------------------------
# Router Discovery Configuration
# ----------------------------------
pushd routing ip routerdiscovery
uninstall
add interface name="ORTEL" disc=disable minint=7 maxint=10 life=30 level=0
add interface name="1394 Connection" disc=disable minint=7 maxint=10 life=30 lev
el=0
add interface name="DSI" disc=disable minint=7 maxint=10 life=30 level=0
add interface name="Internal" disc=disable minint=7 maxint=10 life=30 level=0
add interface name="Loopback" disc=disable minint=7 maxint=10 life=30 level=0


popd


# ----------------------------------
# DHCP Allocator Configuration
# ----------------------------------
pushd routing ip autodhcp
uninstall


popd
# End of DHCP Allocator Configuration

netsh interface ip show adress


The following command was not found: interface ip show adress.

address )

netsh interface ip show address

Configuration for interface "DSI"
   DHCP enabled:                         No
   IP Address:                           195.206.48.146
   SubnetMask:                           255.255.255.248
   IP Address:                           195.206.48.147
   SubnetMask:                           255.255.255.248
   IP Address:                           195.206.48.148
   SubnetMask:                           255.255.255.248
   IP Address:                           195.206.48.149
   SubnetMask:                           255.255.255.248
   IP Address:                           10.0.0.1
   SubnetMask:                           255.0.0.0
   InterfaceMetric:                      0

Configuration for interface "ORTEL"
   DHCP enabled:                         No
   IP Address:                           195.208.11.146
   SubnetMask:                           255.255.255.248
   IP Address:                           195.208.11.147
   SubnetMask:                           255.255.255.248
   IP Address:                           195.208.11.148
   SubnetMask:                           255.255.255.248
   IP Address:                           195.208.11.149
   SubnetMask:                           255.255.255.248
   Default Gateway:                      195.208.11.145
   GatewayMetric:                        0
   InterfaceMetric:                      0

Попробуйте указать стат.маршрут на сеть 195.206.32.0/19 через шлюз и-фейса 195.206.48.146

(29) Можно подробнее? Какие адреса в
Destination:
Network mask:
Gateway:
Interface - DSI (кака я понял)

(30) Исходя из аналогии адреса шлюза, который указан на и-фейсе "ORTEL", я правильно понимаю, что 195.206.48.145 - шлюз подсети 195.206.48.144/29 ? Тогда видимо так:

netsh routing ip set persistentroute dest=195.206.32.0 mask=255.255.224.0 nhop=195.206.48.145 name=DSI metric=1

Добавил - Никакого эффекта

Сервер у вас опубликован на адресе 192.206.48.146

Default Server:  ns.ti.ru
Address:  212.1.224.34

> set type=any
> www.logxp.ru
Server:  ns.ti.ru
Address:  212.1.224.34

Non-authoritative answer:
www.logxp.ru    internet address = 195.206.48.146

logxp.ru        nameserver = ns1.nameself.com
logxp.ru        nameserver = ns2.nameself.com
ns1.nameself.com        internet address = 195.161.113.218
ns2.nameself.com        internet address = 217.16.27.43


Отвечает он с того же адреса:

Active Connections

 Proto  Local Address          Foreign Address        State
 
 TCP    FROGGY:2198            host1.lebedev-av.cust.dsi.ru:http  ESTABLISHED

И трассируется он туда же (через ВПН кстати):

Tracing route to www.logxp.ru [195.206.48.146]
over a maximum of 30 hops:

 1     1 ms     1 ms     1 ms  b7-v9.ti.ru [212.1.254.45]
 2     2 ms     1 ms     1 ms  79.120.31.161
 3     9 ms     1 ms     1 ms  212.1.251.217
 4     1 ms     1 ms     1 ms  M9-0-E0.Moscow.core.comstar.ru [193.232.244.51]

 5     1 ms     1 ms     1 ms  BB-M9-0-VL-101.Moscow.core.comstar.ru [82.204.25
5.1]
 6     2 ms     1 ms     1 ms  m7-r1.rt.ru [193.232.244.235]
 7     2 ms     2 ms     2 ms  87.226.133.253
 8     *        *        *     Request timed out.
 9    72 ms    71 ms    71 ms  87.226.140.90
10    72 ms    72 ms    72 ms  169.254.100.22
11   139 ms   119 ms   313 ms  host1.lebedev-av.cust.dsi.ru [195.206.48.146]

Trace complete.

(33) Это с отключенной маршрутизацией. А еще раз попробуй потрассировать. Изменилось что-нибудь?

Неа...
Tracing route to www.logxp.ru [195.206.48.146]
over a maximum of 30 hops:

 1    62 ms     6 ms     1 ms  b7-v9.ti.ru [212.1.254.45]
 2     *        1 ms     1 ms  79.120.31.161
 3     1 ms     1 ms     1 ms  212.1.251.217
 4     1 ms     1 ms     1 ms  M9-0-E0.Moscow.core.comstar.ru [193.232.244.51]

 5     1 ms     1 ms     1 ms  BB-M9-0-VL-101.Moscow.core.comstar.ru [82.204.25
5.1]
 6     1 ms     1 ms     1 ms  m7-r1.rt.ru [193.232.244.235]
 7     5 ms     2 ms     2 ms  87.226.133.253
 8     *        *        *     Request timed out.
 9    72 ms    72 ms    71 ms  87.226.140.90
10    73 ms    73 ms    73 ms  169.254.100.22
11   161 ms   124 ms   120 ms  host1.lebedev-av.cust.dsi.ru [195.206.48.146]

а агрегирующий маршрут, как предложили в (33) добавлен?

(36) Добавлен

хотя, если подумать, в нем никакого смысла) Давайте сюда route /print

route print

IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 13 46 3c 8e 93 ...... D-Link DGE-528T Gigabit Ethernet Adapter
0x70004 ...00 11 2f 9e c5 00 ...... Intel(R) PRO/1000 CT Network Connection
===========================================================================
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
         0.0.0.0          0.0.0.0   195.208.11.145   195.208.11.146      1
        10.0.0.0        255.0.0.0         10.0.0.1   195.206.48.146     10
        10.0.0.1  255.255.255.255        127.0.0.1        127.0.0.1     10
  10.255.255.255  255.255.255.255         10.0.0.1   195.206.48.146     10
       127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
    195.206.32.0    255.255.224.0   195.206.48.145   195.206.48.146      1
  195.206.48.144  255.255.255.248   195.206.48.146   195.206.48.146     10
  195.206.48.146  255.255.255.255        127.0.0.1        127.0.0.1     10
  195.206.48.147  255.255.255.255        127.0.0.1        127.0.0.1     10
  195.206.48.148  255.255.255.255        127.0.0.1        127.0.0.1     10
  195.206.48.149  255.255.255.255        127.0.0.1        127.0.0.1     10
  195.206.48.255  255.255.255.255   195.206.48.146   195.206.48.146     10
  195.208.11.144  255.255.255.248   195.208.11.146   195.208.11.146     10
  195.208.11.146  255.255.255.255        127.0.0.1        127.0.0.1     10
  195.208.11.147  255.255.255.255        127.0.0.1        127.0.0.1     10
  195.208.11.148  255.255.255.255        127.0.0.1        127.0.0.1     10
  195.208.11.149  255.255.255.255        127.0.0.1        127.0.0.1     10
  195.208.11.255  255.255.255.255   195.208.11.146   195.208.11.146     10
       224.0.0.0        240.0.0.0   195.206.48.146   195.206.48.146     10
       224.0.0.0        240.0.0.0   195.208.11.146   195.208.11.146     10
 255.255.255.255  255.255.255.255   195.206.48.146   195.206.48.146      1
 255.255.255.255  255.255.255.255   195.208.11.146   195.208.11.146      1
Default Gateway:    195.208.11.145
===========================================================================
Persistent Routes:
 None

(32) Монитор IP-пакетов разверни на маршрутизаторе и посмотри приходят ли пакеты с хостов проблемных клиентов?

Странным образом один проблемный клиент заработал. Видимо после добавления последнего статического маршрута. А второй по прежнему не работает (с коммуникатора). Не подскажете как сделать пинг в windows mobile 5?

(39) Не помешало бы route print в обоих случаях - когда маршрутизация включена и когда отключена. Кстати, не до конца ясно - что значит отключена? Служба RRAS остановлена или что-то иное?

Кстати, у меня сомнение, что винда встроенными средствами умеет так распределять трафик - исходящий ответ в любом случае идет согласно таблице маршрутизации, а не через тот и-фейс, через который пришел запрос. Винда не умеет маршрутизацию по источнику средствами RRAS.

со второго проблемного клиента какой-то трафик доходит. Outpost показывает входящий трафик - 144 байта, и исходящий - 144 байта.

(40) пакеты приходят наверняка.... от меня то приходят) я к прову через ВПН коннекчусь...

Снифером попинговать шлюз 195.206.48.145 с опцией Loose Source Route через 195.206.11.146...чтоб уж наверняка....
а сама винда походу тупо шлет пакеты через 192.206.48.145, хоть его в таблице маршрутизации и не показывает( Вот задуманная схема и не работает...

(42) Все работает без проблем в двух случаях:
1. Когда отключен RRAS и трафик входящий и исходящий идет через 1 канал.
2. RRAS включен, но отключен второй канал (выдернут провод например) и исходящий трафик идет через перый канал. Вот route print этого случая:


IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 13 46 3c 8e 93 ...... D-Link DGE-528T Gigabit Ethernet Adapter
0x70004 ...00 11 2f 9e c5 00 ...... Intel(R) PRO/1000 CT Network Connection
===========================================================================
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
         0.0.0.0          0.0.0.0   195.206.48.145   195.206.48.146      2
        10.0.0.0        255.0.0.0         10.0.0.1   195.206.48.146     10
        10.0.0.1  255.255.255.255        127.0.0.1        127.0.0.1     10
  10.255.255.255  255.255.255.255         10.0.0.1   195.206.48.146     10
       127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
    195.206.32.0    255.255.224.0   195.206.48.145   195.206.48.146      1
  195.206.48.144  255.255.255.248   195.206.48.146   195.206.48.146     10
  195.206.48.146  255.255.255.255        127.0.0.1        127.0.0.1     10
  195.206.48.147  255.255.255.255        127.0.0.1        127.0.0.1     10
  195.206.48.148  255.255.255.255        127.0.0.1        127.0.0.1     10
  195.206.48.149  255.255.255.255        127.0.0.1        127.0.0.1     10
  195.206.48.255  255.255.255.255   195.206.48.146   195.206.48.146     10
       224.0.0.0        240.0.0.0   195.206.48.146   195.206.48.146     10
 255.255.255.255  255.255.255.255         10.0.0.1            70004      1
 255.255.255.255  255.255.255.255   195.206.48.146   195.206.48.146      1
Default Gateway:    195.206.48.145
===========================================================================
Persistent Routes:
 None

(43) +1..вот к этому я с самого начала и клоню)))

(45)+ а заодно проверить штатную прогу ping -j host-list на предмет source ip...

(43) но ведь в большинстве случаев работает. Я про то что у кого-то не работает чисто случайно узнал.

(44) Ну пропишите маршруты на сетки/хосты проблемных клиентов (если они известны) через нужный шлюз как в (31)

(50) Хы.. Найти в интернете всех проблемных клиентов - недурнецкая задачка.

А насчет (31) Что это за сеть 195.206.32.0 которую мы добавляли?

(50) А может можно как-то всех разом прописать? И проблемных и непроблемных захватить под горячую руку ))

угадай с 3 раз)

(51) Тогда ставить Traffic Inspector. Он вроде умеет составлять правила, когда при запросе на определенный tcpip-порт ответы перенаправляются на нужный внешний и-фейс. В справке есть раздел Advanced routing

(53) такая уже есть.... 0.0.0.0/0 ))

Мдя. Извините что вмешиваюсь в чужую ветку.
Сеня трабла. В инет выходим локалка-vpn к провайдеру - инет.
Так вот, не работает локлка. Остальное есно тоже. Провайдер грит что они у себя уже все починил - это у нас траблы. Стоит Suse 10.1.
Провайдер утвержает что наш локальный IP 172.25.95.48 он пингует. А мы его шлюз 172.25.95.1 не можем! напрочь.
Провайдер утверждает что это файрволл наш во всем виноват. Отключил его. Таже фигня.

(57) ну мож они ICMP порезали...

(57) Некоторые фаерволы недостаточно просто отключить. Их нужно удалять целиком и перезагружаться.

Добавляю сетки проблемных клиентов, как в (31) все сразу становится ништяк. Но у них тогда трафик идет только через первый канал. И найти все проблемные сетки как? Может как-то можно пропинговать(просканировать) весь инет?

(60) даже если найдешь, твои винды подохнут от такой таблицы)))

Фигня какая то...

(59) iptables удалить? Да ну не.
Перегружатся - перегрузился. Раньше помогало, иногда. Щас нет. Сервак год проработал без траблов. В нем ничо не менялось. Я не верю что он мог вот так просто взять и тупо глюкануть. Грешу на провайдера. А как выявить чо за прикол - ХЗ.

(58) провик грит что не менял настройки. ICMP с моей стороны разрешены.
И ходят через другой тырнет. В принципе можна было бы работать и через другой тырнет. Но там динамический IP, + SOA прописан на родной наш внешний IP :((

(64) подключи ноут...с одним интерфейсом.... и пропинай шлюз прова....если не будет отвечать - проблемы у него

(65) фильруется по MAC у провайдера. Смена MAC только по письму ему, рассморения и т.п.

ну так подсунь мас то нужный)

(67) хм. тоже вариант.
Тока ноут остался на фирме тока 1- директорский. Он его не отдаст на растерзание. Наш боевой отдали в коммандировку.

варианты за тебя придумывать?) подключи комп! Любой.....

(69) я собираю варианты на завтра. Админчегу чтоб помоч.
Любой не получится. У меня почити все бездисоквые станции + MAC-и кому последнее менял это 8129. Как на новых с бортовой сетевухой - ХЕЗ.
Но в любом случае спасибо за советы.

да почти на всех есть.....вот на моем интегрированном бродкоме есть

на самом деле я не верю что поможет. Этот сервак отработал уже 3 года. Траблы были только со стороны провайдера. С чего бы случилось чуда и наш начал колбасится?

ну для того чтобы пров не отнекивался....

(73) угу. понтяно.
Завтра админчег будет пытаться. Под моим чутким руководством.