Помогите выявить проблему с VPN

[Arthur Sys 1]

Всем добрый день!

Имеется проблема в сети с VPN каналами. До недавних пор все работало более менее нормально/терпимо, но в последний момент все пошло на перекосяк.

Есть такая схемка подключения.

По ней видно что на центральный офис (ЦО) идет два подключения через интернет - Одно подключение через АДСЛ на D-Link DSL-G804V, второе подключение идет через модем Alvarion на роутер D-Link DI-804HV. Эти роутеры подключены в свитч откуда D-Link DSL-G804V (10.1.1.101) перекидывает бекапы с удаленных каналов по VPN (всего 9 каналов), раздает интернет на определенные машины и дает доступ удаленным сетям к почте (10.1.1.10) и к базе данных (10.1.1.11). У роутера D-Link DI-804HV таже функция, только почту он передает на свои VPN (всего 7) каналы через адреса 10.1.1.20 и 10.1.1.21 соответственно.

На удаленных локальных сетях в зависимости от провайдера стоят такие же роутеры D-Link DSL-G804V, D-Link DI-804HV и несколько Planet.

На ЦО около 100 ПК, на каждой удаленной локальной сети по 7-10 ПК. Везде стоят ОС Windows Server 2003 и Windows XP Professional.

Интернет раздает 10.1.1.10 и 10.1.1.20 через UserGate.

 

Проблема: последние 2 дня начала гулять связь, при пинге на определенные VPN каналы стабильно недоходят пакеты, точнее 20сек-5минут пингуется и столько же может не пинговаться. Эта проблема не дает нормально работать с БД и почтой.

 

Что делалось:

Пробовали все VPN-каналы прописать на один роутер, но они не выдерживали (зависали, проподал интернет).

Проверяли напрямую связь интернета без роутеров через ноутбуки - связь стабильная.

Отключали все клиентские ПК на ЦО - сетуация не поменялась.

Пробовали отключать некоторые VPN каналы. Не помогло.

Прошивали роутер D-Link DSL-G804V последней прошивкой, меняли на такой же (их у нас 3) и все одинаково себя ведут.

 

Помощь: помогите в решении данной проблемы, что можно предпринять, что проверить, изменить? может в железе проблема?

Очень нуждаюсь в советах.

 

PS. Все адреса вымышленые.

[Arthur Sys 1]

я в сетях полный нуб, только изучаю.

Слышал что есть софтина "лоад-баланс" для стабилизации... Есть ли такая под ВинНТ? и в чем заключается ее сущность?

[eugene210682 1]

А что если сгрузить функции VPN с не очень убедительных железок на какой-нибудь более-менее пристойный тазик под линуксом или фрей - на openvpn вполне можно было бы вытянуть не один десяток VPN-сессий. На всякий случай, пример настройки можете посмотреть здесь:

http://redteapot.co.cc/articles/network-sw/13-openvpn.html

[winbox 15]

вместо того всего идеально подойдет комплект МТ + ровные руки

[Arthur Sys 1]

а как расшифровывается "МТ"?

[Kucher2 122]

Вероятно имелась ввиду ОС Mikrotik.

[Arthur Sys 1]

Это все конечно хорошо, но нету времени играться с настройками новой ОС, нужно использовать то что есть, при том что раньше работало.

Может нужно как то особенно настраивать VPN каналы? какие шифровки использовать? Сейчас все каналы настроены по IPSec.

Или может залетел вирус какой то и начал ложить связь, хотя в локалке проблем не наблюдается.

 

Еще такой нюанс - на 2х ВПН каналах (на других концах Планеты) в статусе роутера (D-Link DSL-G804V) показывает что связь как бы есть, но пингуется плохо, пропадают пакеты. На другом ВПН канале (такой же D-Link DSL-G804V) наоборот, показывает что связь обрывается, а пинг идет нормальный. Остальные 5 ВПН канала на D-Link DSL-G804V работают стабильно.

[eugene210682 1]

Это все конечно хорошо, но нету времени играться с настройками новой ОС

Что-то мне подсказывает, что это ваше длинковское железко - не шибко производительное, упретесь не сейчас так позже, поэтому о масштабируемости архитектуры лучше позаботиться заблаговременно. Не хотите софтовое решение - покупайте соответствующую циску.

 

п.с. попробуйте привалить все IPSec тунели, кроме, скажем, парочки и проследите, как оно работает, потом докиньте еще один, а потом еще и еще немножечко... сможете подтвердить или исключить недостаток мозгов у вашей длинковской железки

[Arthur Sys 1]

VPN настроены по схеме IKE — Group2/3DES/MD5/28800sec

[Arthur Sys 1]

п.с. попробуйте привалить все IPSec тунели, кроме, скажем, парочки и проследите, как оно работает, потом докиньте еще один, а потом еще и еще немножечко... сможете подтвердить или исключить недостаток мозгов у вашей длинковской железки

это уже прошли с самого начала (забыл упамянуть), на те каналы с кем проблема именно так все и осталось, то есть все каналы выключены, а определенный канал так и ведет себя нестабильно.

[Arthur Sys 1]

а не может ли проблем создавать 2 интернета в одной сети?

[Arthur Sys 1]

и на крайняк где можно воспользоваться услугами сетевого специалиста? Проблема очень поджимает

[Arthur Sys 1]

по ходу часть проблемы уже выявлена... непонятно куда на проблемных тунелях с дальних точек ушел внешний траффик (около 150-500мб), при том что интернет отключили на железках (фаерволом встроеным).

[Arthur Sys 1]

ситуацию получилось стабилизировать, почистили на всех удаленных объектах машины от вирусов и разного мусора. ОС обновили.

Теперь нужна помощь в подборе правильного оборудования для нашей схемы подключения. Желательно транкинговый ВПН роутер на 2 WAN порта с функциями использования определенного канала или двух каналов интернета с балансингом одновременно. Обязательно чтоб поддерживал около 30-50 VPN тунелей одновременно. Какие есть недорогие и надежные решения?

[pavlabor 1 914]

ситуацию получилось стабилизировать, почистили на всех удаленных объектах машины от вирусов и разного мусора. ОС обновили.

Теперь нужна помощь в подборе правильного оборудования для нашей схемы подключения. Желательно транкинговый ВПН роутер на 2 WAN порта с функциями использования определенного канала или двух каналов интернета с балансингом одновременно. Обязательно чтоб поддерживал около 30-50 VPN тунелей одновременно. Какие есть недорогие и надежные решения?

 

Вы тунели бриджуете?

[eugene210682 1]

ситуацию получилось стабилизировать, почистили на всех удаленных объектах машины от вирусов и разного мусора. ОС обновили.

Теперь нужна помощь в подборе правильного оборудования для нашей схемы подключения. Желательно транкинговый ВПН роутер на 2 WAN порта с функциями использования определенного канала или двух каналов интернета с балансингом одновременно. Обязательно чтоб поддерживал около 30-50 VPN тунелей одновременно. Какие есть недорогие и надежные решения?

Надежные - циска.

Недорогие - тазик с линуксом, openVPN и роут шарингом.

[Arthur Sys 1]

Вы тунели бриджуете?

это как?

[Arthur Sys 1]

Надежные - циска.

Недорогие - тазик с линуксом, openVPN и роут шарингом.

вот создал тему Надежный роутер на 2 WAN порта и 30-50 одновременных VPN тунелей

бюджет 3-5тыс. грн

[pavlabor 1 914]

Вы тунели бриджуете?

это как?

 

Удаленые офисы в едином езернете?

По арпу видят друг друга?

[Arthur Sys 1]

я в сетях новичек и много чего еще не понимаю. В локальной сети ЦО могу копировать файлы с удаленных объектов. Что такое бридж ВПН - я так и не понял. ВПН настроен на роутерах (IPSec) без привлечения ПК.

[pavlabor 1 914]

Бридж это прозрачная сеть для пользователей,

если тунели бриджуются, то виндовс машины видят друг друга,

видят они за счет периодических брадкастовых опросов.

Сеть на сто компов это уже большая сеть,

и если там все бриджуется, то в локальном сегменте проблем не будет,

но на удаленных офисах канал будет постоянно забит служебкой и всяки шумом.

Что в целом приводит к торможению.

 

В принципе можно настроить и то что есть,

отключить бриджевание,

сеть разбить на сегменты,

сегменты связать статическим роутингом.

Виндовая сеть видна не будет, но будет доступна по ип.

Если поставить софтовый роутер, то порезать лишние порты 25,135-139,445.

Порезать всякие торенты, вирусняк, прокси у корпоративщики как правило ставят.

 

Оптимизировать сеть, запретить все лишнее, разрешить только нужное.

[Arthur Sys 1]

если я правильно понял то отключение бриджевания поведет за собой несколько проблем, а именно мы не сможем удаленно заходить на объекты (используем Radmin), у нас каждую ночь по расписанию копируется информация с дальних точек (100-300мб), не будет работать почта внутренняя.

Я новичек и по этому нуждаюсь в советах по решению данной проблемы.

25,135-139,445 - за что отвечают эти порты? 25 - это SMTP (почта), а остальные?

 

И еще одна тема - с инета на шару лезут вирусы, но закрыть шару я не могу ибо программа БД не сможет работать, да и люди постоянно с шарой работают. Пробовал Шаре прописывать доступ по группам, пользователям, но Винда как то криво это делает, нормальные пользователи каторых указал зайти не могут, другие могут зайти и создать файл (хотя доступа не имеют), вирусы тоже создаются... короче нужен совет как правильно организовать шару - может поставить софт который запаролит папки или же организовать FTP-сервак, но на сколько он удобен пользователям?

[Arthur Sys 1]

еще одна проблема - у меня особо не поэксперементируешь, резервного железа нет, а как закрою доступ так сразу людишки начнут паниковать(((((

[Kucher2 122]

И еще одна тема - с инета на шару лезут вирусы, но закрыть шару я не могу ибо программа БД не сможет работать, да и люди постоянно с шарой работают.

Жуть. У вас открытая шара в Инет смотит, что ли?

Закрыть по-быстрому её можно, если разрешть туда доступ только для конкретных юзеров. В винде это вполне нормально рулится начиная с Windows-NT или 2000, да вот только метод этот, как правило, на порядок тяжелее в эксплуатаци, чем тот же FTP.

Я бы это хоть VPN-ом сначала прикрыл, а уж внутри рулил бы шарами, как в обычной сети. Всё ж паразитного трафика меньше.

Поправьте если не прав, буду только рад.

[Arthur Sys 1]

Шара в инет не смотрит, вирусня валится с роутера по сетке в расшареные папки