تا %60 تخفیف خرید برای 2 نفر با صدور مدرک فقط تا
00 00 00
رضا

قطع شدن اینترنت پس از راه اندازی کریو کنترل

با سلام

ما یک شبکه داخلی داریم که قبلا همگی به یک سوئیچ 24 پورت متصل می شدند و اون هم به یک مودم متصل بود؛ و یک میکروتیک هم توی شبکه هست که یک ارتباط pptp vpn با مرکز اصلی داشت. همه چیز هم درست کار می کرد.

بنابر تصمیم مدیریت، قرار شد اینترنت رو مدیریت کنیم و برای همین کریو رو راه اندازی کردیم. مشکلی که بعدش به وجود اومد اینه که بعد از یک مدت نامشخص (کاملا تصادفی) کلا اینترنتمون توی شبکه داخلی قطع می شه در حالی که مودم، اینترنت داره! یعنی وقتی 4.2.2.4  رو پینگ می گیریم timeout می ده و هیچ کاری نمی تونیم بکنیم. tracert هم که می گیرم میره تا مودم میرسه و بعد تایم اوت میشه! و نقطه جالب ماجرا اینه که کانکشن هایی که قبلا به اینترنت وصل بودن (مثل همون کانکشن vpn داخل میکروتیک) برقرار هستند و دارن کار می کنن ولی وقتی قطعش کنیم دیگه وصل نمیشن!!

کارهایی که کردم:

تمام شبکه رو جدا کردم و فقط مودم وصل بود ===>>> اینترنت پایدار

میکروتیک رو آوردم توی مدار ===>>> اینترنت پایدار

سوئیچ خالی توی مدار ===>>> اینترنت پایدار

تک تک کابل های کلاینت ها رو متصل کردم ===>>> اینترنت پایدار

Queue treeتعریف کردم  توی میکروتیک

QoS تعریف کردم توی کریو

!!!

ولی بعد از مدتی نامعلوم اتفاق، تکرار می شه.

چیزی که الان به ذهنم می رسه اینه که شاید سوئیچ، توان مدیریت این ترافیک رو نداره برای همین می خوام سوئیچ رو با یک سوئیچ دیگه عوض کنم.

عزیزان، چیزی به ذهنشون می رسه؟

این سوال 1 پاسخ دارد.
لذت یادگیری با توسینسو
به عنوان شخصی که مدت هاست از سایت توسینسو استفاده می کنم باید بگم که واقعاً یکی از بهترین مرجع ها برای ارتقاء دانش شخصی هست. دوره های سایت، راهکارها و مطالب، همگی عالی هستند.
YEK MOSAFER

شما به ميكروتيك چ احتياجي دارين ؟  تمام اين امكانات رو كريو بهتون ميده VPN  - روت - رول و ....

** Update, Backup & Security رمز موفقیت ادمین و پایداری شبکه **
رضا

میکروتیک برای سازمان هستش و برای ارتباط پایدار و بدون نیاز به سرور و... می خوان ارتباط vpn رو داشته باشن چون به میکروتیک، دیوایس هایی مثل دستگاه حضور و غیاب و... وصل هستش که سازمان اطلاعاتشون رو تخلیه می کنه.

 

دوست عزیز با درود

تنظیمات کریو کنترل شما نیاز به بازنگری داره . از تنظیم نبود ساعت سیستم ها و کریوتون گرفته تا تنظیمات شبکه و رول های فایروال و یا آی پی فیلتر شبکه. دقت بفرمایید اگر دی ان اس رو روی سرور داخلی گذاشتید حتما به سرور اکتیوتون اجازه پینگ و دی ان اس به 4.2.2.4 رو بدید . در غیر اینصورت نمیتونه متوجه بشه و دراپ میکنه . توی لوگ ها هم میتونید متوجه بشید چرا 4.2.2.4 دراپ یا تایم اوت میشه

رضا

ببینید 4.2.2.4 فقط یک تست برای اینترنت بود که زدم وگرنه هیچ آدرسی رو چه به شکل dns چه بصورت ip پینگشو ندارم توی اون لحظه ای که توی پست قبلی گفتم.

کریو کنترل

ضمنا این تست پینگ رو هم من از میکروتیک که مستقیما به مودم وصله و هم از کریو که به میکروتیک وصله تست کردم. (چینش شبکه ما به این شکل هستش که کریو، اینترنتشو از میکروتیک می گیره و به کلاینت ها می ده)

ویرایش:

سوئیچ رو هم عوض کردم و باز هم همون مشکل باقیه!

دوست گرامی با درود مجدد رول internet access (nat) فقط برای کلاینت های وی پی ان nat واینترنت میدهد. لطفا برای تست کارت شبکه داخلی یا لیست آی پی هایی که میخواید اینترنت بگیرند رو وارد کنید. الان نباید هم اینترنت داشته باشید

در ضمن لطفا در قسمت nat گزینه map را تیکش رو بردارید الان داره به آدرس 172.21.50.9 فقط پورت فروارد میکنه. اگر دونسته اینکار رو کردید لااقل از این رول کپی کنید و بعد کارایی که گفتم رو انجام بدید

 

رضا

با تشکر از وقتی که میذارید

کلاینت ها در رنج 172.21.50.0/24 دارن ip میگیرن و اون هم از میکروتیک و گیتوی هم میکروتیک هستش تا ترافیکی که به سمت سایت های داخل سازمانی هست بره به سمت میکروتیک و روت بشه به سمت vpn client داخل میکروتیک

یک vpn server هم داخل کریو ران کردم تا به کاربرا اینترنت بده و با رول nat ذکر شده، ترافیک کلاینتهای vpn روی ip داخلی کریو نت میشه و route اون هم به سمت میکروتیک هستش (0.0.0.0 کریو به سمت میکروتیک هست).

توی میکروتیک هم با یک رول mangle ترافیک کریو رو شناسایی کردم و اونو nat کردم روی آدرس میکروتیک که به سمت مودم به آدرس 192.168.1.1 فرستاده میشه.

همه چیز اوکی هستش و کاملا درست کار می کنه و به صورت ناگهانی این اتفاق می افته و اینترنت کاربران و خود میکروتیک قطع میشه (یعنی ترافیک جدیدی رو نمی شه به سمت اینترنت فرستاد ولی کانکشن های قبلی مثل همون vpn client خود میکروتیک، و مثلا anydesk که قبلا کانکت شده برقراره و بدون مشکل کار می کنه!). تا زمانی که مودم را روشن و خاموش کنیم مشکل باقیه.

دوست گرامی اول اینکه شما ترافیک کریو رو جدا سازی نکنید . نیازی نیست . مشکل میتونه از روت مارک میکروتیک باشه . دوم اینکه چرا بین کلاینت و سرور وی پی ان راه انداختید ؟ مگه شبکه داخلی شما تراست نیست؟ سوم اینکه روت دستی اینترنت نمیخواد تو کریو اد کنید. خودش میسازه. کافی رول رو اینجوری بسازید. باید اینترنت بگیرید. اگر امکان داره بدون میکروتیک تست کنید حتی.

 

نام : دلخواه

source : vpn clients or Trusted Local LAN

Destination : internet Intefaces

service : any

IP version: any

Action Allow

NAT : Defaults

 

ترافیک کریو خیلی قابل شناسایی نیست چون حجم عجیبی از دیتا رو در لایه های مختلف ارسال میکنه . لطفا برای روت به اینترنت کریو به جای منگل از روت ساده میکروتیک استفاده کنید . 

رضا

با تشکر از شما مهندس جان

من اگر دقیق بخوام شِمای شبکه رو بگم اینطوریه:

رنج 172.21.50.0/24 شبکه داخلیه.

4 پورت میکروتیک bridge local و ether1 متصل به مودم با رنج 192.168.1.0/24

روی یکی از کلاینت ها (که یک کارت شبکه هم داره) hyper-v نصب شده و کریو اومده بالا با آدرس 172.21.50.9

یک منگل روی مکروتیک ست شده که از طریق مک آدرس، ترافیک کریو رو شناسایی کنه (علت اینکه مک گذاشتم اینه که نمی خواستم با ip باشه تا احیانا کسی با تغییر ip بتونه اینترنت بگیره چون توی میکروتیک، به این منگل اینترنت دادم (NAT کردم)

روی کریو هم که default gateway رو خودش به سمت تک اینترفیس خودش می فرسته.

حالا NAT رو روی default نذاشتم و دستی هستش و اگرم دیفالت بذارم خب روی همین ip نت خواهد شد ترافیک vpn بخواهی و نخواهی

علت اینکه کریو راه اندازی شده اینه که میخواییم اکانتینگ برای مدیریت اینترنت و همچنین مانیتورینگ داشته باشیم که میکروتیک مانیتورینگ نمی ده!

با درود مجدد... خواهش میکنم ....

متوجه مشکل شما شدم . شما اون رولی که من گفتم رو ایجاد کنید . همه اینترنت میگیرند. خوب چطوری اینترنت رو کنترل کنید؟ دو راه وجود داره. 1- یا یوزر های وی پی انتون (که داخل کریو هستش یا اکتیو دایرکتوری) باید توی قسمت bandwidth manager and Qos سورس رو بگذارید اون یوزر ویا آی پی و پهنای باند دلخواه رو بهش بدید. 2- یا از طریق آی پی کلاینت ها میتونید تو قسمت قبل به عنوان سورس رد کنید. درضمن خود کریو یه جور فایروال و DMZ پشت میکروتیک استفاده شده الان پس نیازی نیست کلاینت های داخلیتون vpn بزنن .

نکته دیگه این که میتونید از رول دیفالت nat کپی بکیرید. به جای سورس ip و یا یوزر مورد نظر رو بگذارید تا کنترل شما برای دادن یا ندادن اینترنت بیشتر بشه. کریو بسیار قدرتمند و یوزرفرندلی هست و هرکاری شما بخواید میتونه با چند کلیک ساده انجام بده.

 

موفق باشید.

یه مساله دیگه اینکه کریو روتر هست و حداقل نیاز به دو کارت شبکه داره تا تو لوپ نیفته این مورد رو هم درست کنید . 

 

رضا

مهندس جان من سناریویی رو که گفتم (مدیریت اینترنت با کریو که روی یک هاستی نصب شده که فقط یک کارت شبکه داره و با مک ادرس، ترافیک کریو رو شناسایی کنم و...) راه اندازی کردم توی دوتا از شعبه های دیگه مون و مشکلی نداشته ولی اینجا مشکل پیدا میشه و کلا اینترنت قطع میشه! البته دیروز حدس می زنم که مشکل رو پیدا کردم! کارت شبکه آنبرد خود هاست مثل اینکه شبکه رو مختل می کرد (احتمالا برودکست زیاد ارسال می کرد!) برای همین دو تا کارت شبکه pci به هاست اضافه کردم و الان اونا توی مدار دارن کار می کنن تا تست بگیرم ببینم مشکل اگر نداشتن برم کریو رو کانفیگ کنم.

با درود مجدد .

بله عرض کردم لوپ افتادن با یک کارت شبکه برای اپلاینس های روتر و فایروال و یو تی ام بسیار مرسوم هست . لطف کنید مک آدرس رو ثابت بدید که بعد از ریبوت اپلاینس مک ریست نشه . بسیاری از کارت های شبکه با مجیک پکت مشکل دارند و روتر ممکنه به درستی کار نکنه . ترجیحا اگر سرور اچ پی استفاده میکنید حتما SPP خود را به رروز کنید تا فرمویر کارت شبکه ها به روز بشن. کاملا متوجه نیاز و یا کمبود های زیرساختی شرکت ها هستم اما دقت بفرمایید که کاری که انجام دادید کاملا غیر استاندارد هست و ماهیت روتینگ رو زیر سوال میبرید. اما از اونجایی که روتر ها چه سخت افزاری چه نرم افزاری پیشرفت هایی داشتن و دارن ممکنه با هر سناریو کار کنند اما روش انجام کار استاندارد نیست و در طولانی مدت مشکلات عدیده و ناشناخته ای به شبکه اضافه میکنه مخصوصا اگر در شبکه سرویس های برادکست یا مولتی کست اجرا شده باشه.

موفق باشید.

  • انتخاب شده به عنوان جواب توسط 1 نفر
رضا

مهندس، متاسفانه به محض اینکه توی کریو به اینترفیسی که به مودم متصل هست ip می دم کل شبکه مختل می شه و دیگه اینترنت هم قطع می شه! مثل اینکه هیچ فرقی نمی کنه که کارت شبکه چی باشه!

رضا

یک مسئله جالب (!!!) دیگه: بی خیال کریو شدم و رفتم سراغ user manger خود میکروتیک. کانفیگ کردم یک pptp server رو و وقتی کلاینت کانکت می شه که اینترنت بگیره دقیقا همون ماجرا تکرار میشه!!!!

این ماجرا وقتی که یک nat ساده می نویسی که کل سابنت اینترنت بگیره اصلا وجود نداره و فقط وقتی که یه vpn server میاد وسط اتفاق می افته!

من دیگه مغزم تعطیله!!

رضا

رفتم سراغ نصب آنتی ویروس. گفتم شاید خود آنتی ویروس ترافیک مشکوک سیستم ها رو کنترل کنه.

متوجه شدم بعضی سیستم ها یک برنامه ای تحت عنوان cryptotab browser دارند! توان بالایی از cpu گرفته بود! اونا رو پاک کردم. انشاءالله که مشکل همین بوده! دارم بررسی می کنم.

درود مجدد آقای مهندس . 

با این توصیفات شما فکر میکنم نیاز هست که شبکه شما از پایه بررسی جدی بشه تا مشکل برطرف بشه. اگر موردی بود بتونم کمک کنم بفرمایید .

موفق باشید.

رضا

همونطور که حدس می زدم مشکل از خود کلاینت ها بود که آنتی ویروس (برای سازمان ما کسپرسکی بود) نصب کردم و تمامی برنامه های اضافی از جمله cryptotab browser رو پاک کردم و مجددا کریو رو کانفیگ کردم (با دو اینترفیس ـ یکی به شبکه داخلی و یکی به مودم) و فعلا مشکلی پیش نیومده تا بعد ببینیم چه طور می شه...

با درود مجدد.

بسیار عالی.

انشالله که پیش نمیاد.

موفق باشید.

 

رضا

مهندس جان، باز هم مشکل پیش اومد :-) و :-(

ولی این بار اومدم یک منگل نوشتم که ترافیک لوکال من رو شناسایی می کرد بعد دو تا filter rule نوشتم یکی اینکه ترافیکی که به سمت سامانه های خودمون میرفت رو accpet کنه و اون یکی همه رو drop کنه. نکته قابل توجه این بود که بدون منگل، اون دو تا رول درست عمل نمی کرد!!! یعنی مثلا اگر src-address می دادم و.... درست کار نمی کرد!

خلاصه این میکروتیک بد کوفتیه! خیلی هم بهش ور بری کلا قاط می زنه! همین اتفاق هم افتاد و مجددا reset configuration کردم!!

الان همه چیز پایداره.

میکروتیک دستگاه خوب و ارزون قیمتی هست ولی معمولا باگ های عجیب و غریب توش پیدا میشه . سعی کنید تو services جز وینباکس باقی سرویس ها رو غیر فعال کنید. پورت وینباکس رو هم به چیز دیگه ای تغییر بدید. OS رو حتما به آخرین نسخه بروز رسانی کنید. اگر گزینه Allow Remote Request رو برای پاسخگویی DNS فعال کردید حتما تو فیلتر درخواست های ون رو با پورت 53 بلاک کنید. لوگ دستگاه رو چک کنید ببینید حمله ای روش صورت نگرفته باشه و در آخر هم پردازنده و مموری دستگاه رو چک کنید که متوسط CPU Utilization باید زیر 60 درصد باشه چون کانفیگ خاصی روش ندارید.

 موفق باشید

رضا

درخواست های wan با پورت 53؟ rule اش چی میشه؟

 

/ip firewall filter
add chain=input in-interface=(ether1-wan) protocol=udp dst-port=53 action=drop
add chain=input in-interface=(ether1-wan) protocol=tcp dst-port=53 action=drop
رضا

تشکر مهندس

لطف کردی

خواهش میکنم

روز بخیر

موفق باشید.

پاسخ شما
برای ارسال پاسخ خود وارد شوید.