Множественные вопросы по шлюзу
root525
Публикаций: 5 
Freshman Member
Freshman Member
Раздел: Техническая поддержка
Всем здравствуйте! Приобрели в контору NSG-100, до этого стоял Mikrotik rb3011. Собственно после многолетней работы с микротами настройка этого убердевайса сломала мне множество шаблонов, так как считаю интерфейс у микротов одним из самых логичных и доступных а настройку этой железки придумал не совсем заурядный человек.
Если по делу: постоянные проблемы с доступом к сети у клиентских устройств в рандомном порядке. Человек работает, потом сеть зависает и у человека ошибка прокси в браузере. Изначально включал защиту сети (content filtering, anti-virus, intrusion detection/prevention) и думал что она глючит, но после отключения всех этих примочек ситуация не изменилась. У сотрудников с 10 раза подключались телефоны и ноуты по вайфаю, отвалы сети и уже не помню что еще вынудили меня отключить от греха это чудо и вернуться на 3011 микрот. Сейчас решил включить обратно зухеля, думая что может прошивку обновили но нет. Может есть маны по настройке или еще что, потому что то, что я имею на руках не назвать корпоративным шлюзом.
Если по делу: постоянные проблемы с доступом к сети у клиентских устройств в рандомном порядке. Человек работает, потом сеть зависает и у человека ошибка прокси в браузере. Изначально включал защиту сети (content filtering, anti-virus, intrusion detection/prevention) и думал что она глючит, но после отключения всех этих примочек ситуация не изменилась. У сотрудников с 10 раза подключались телефоны и ноуты по вайфаю, отвалы сети и уже не помню что еще вынудили меня отключить от греха это чудо и вернуться на 3011 микрот. Сейчас решил включить обратно зухеля, думая что может прошивку обновили но нет. Может есть маны по настройке или еще что, потому что то, что я имею на руках не назвать корпоративным шлюзом.
0
Accepted Solution
-
Логи смотреть в разделе "Шлюз Безопасности > Журнал событий"
По устройству с адресом 5 проблема ясна. На нем все время срабатывает правило ограничения (по умолчанию) по максимальному количеству сессий для одного хоста (Maximum sessions per host (1000) was exceeded.). Лучше проверьте, на сколько ему необходимо создавать такое количество сессий с разными IP, не является ли это работой какой-то вредоносной программы.В случае необходимости количество разрешенный сессий для одного адреса можно изменить в разделе "Шлюз Безопасности > Полоса пропускания > Контроль сессий > Количество сессий на хост"Точно проблемы на мобильных устройствах подключаемых через WiFi, пару раз были замечания на ноутах, просто их редко приносят.Зафиксируйте конкретный IP проблемного устройства, проведите для него простую сетевую диагностику (пинг до шлюза, до первого шлюза провайдера, до dns сервера) если проблема начинается только после NSG сообщите, можно сделать захват пакетов на lan и wan интерфейсах, что бы отследить пакет от этой станции, можно посмотреть логи на роутере. Если ничего не найдете, сообщите, посмотрим вместе.
5
Zyxel Employee
All Replies
-
Дополнение, только пожаловался и вот опять(=
Не работает ничего, кроме гуглосервисов. Youtube и google (но не gmail) пашут, а другие сайты не открываются с ошибкой ERR_CONNECTION_TIMED_OUT. Проходит какое-то время и сайты прогружаются.
Еще одна странность которая точно была раньше всегда, сейчас ее не поймал: при пинге любого адреса, хоть внешнего, хоть адреса роутера, первый пакет всегда отваливается с сообщением от роутера "Заданный узел недоступен" . Со второго все в порядке и при пинге сайт все не открывается.C:\Windows\System32>ping businessforum.zyxel.comОбмен пакетами с site-6029482.onvanilla.net [162.159.138.78] с 32 байтами данных:Ответ от 192.168.15.1: Заданный узел недоступен.Ответ от 162.159.138.78: число байт=32 время=13мс TTL=56Ответ от 162.159.138.78: число байт=32 время=13мс TTL=56Ответ от 162.159.138.78: число байт=32 время=13мс TTL=56Статистика Ping для 162.159.138.78:Пакетов: отправлено = 4, получено = 4, потеряно = 0(0% потерь)Приблизительное время приема-передачи в мс:Минимальное = 13мсек, Максимальное = 13 мсек, Среднее = 13 мсек0 -
Добрый день.
Облачную платформу управления сетевыми устройствами не совсем корректно сравнивать по богатству функциональности с автономным/локальным управлением, особенно через командную строку. В этом смысле функциональность облачного управления уступает нашим же шлюзам (например серий ATP/USG/VPN), однако при этом она имеет ряд преимуществ недоступных устройствам с автономным управлением. Клиенты выбирают именно эти устройства в первую очередь из-за возможности удаленного управления через облако в том случае, если при этом им достаточно имеющегося функционала. При этом функционал нашей облачной платформы не стоит на месте и постоянно развивается, однако ограничение ресурсов облачной платформы не позволяет перенести в облако абсолютно все функции автономного управления.
Однако при всех ограничениях шлюз с облачным управлением должен обеспечивать стабильную работу.
Можете включить опцию "Пригласить службу поддержки Zyxel в качестве администратора" в разделе "Помощь > Поддержка " и написать мне в ЛС название своей организации в Nebula?0 -
Логи смотреть в разделе "Шлюз Безопасности > Журнал событий"
По устройству с адресом 5 проблема ясна. На нем все время срабатывает правило ограничения (по умолчанию) по максимальному количеству сессий для одного хоста (Maximum sessions per host (1000) was exceeded.). Лучше проверьте, на сколько ему необходимо создавать такое количество сессий с разными IP, не является ли это работой какой-то вредоносной программы.В случае необходимости количество разрешенный сессий для одного адреса можно изменить в разделе "Шлюз Безопасности > Полоса пропускания > Контроль сессий > Количество сессий на хост"Точно проблемы на мобильных устройствах подключаемых через WiFi, пару раз были замечания на ноутах, просто их редко приносят.Зафиксируйте конкретный IP проблемного устройства, проведите для него простую сетевую диагностику (пинг до шлюза, до первого шлюза провайдера, до dns сервера) если проблема начинается только после NSG сообщите, можно сделать захват пакетов на lan и wan интерфейсах, что бы отследить пакет от этой станции, можно посмотреть логи на роутере. Если ничего не найдете, сообщите, посмотрим вместе.
5 -
Добрый день, полностью повторил опыт автора поста (правда с USG flex 200) и вынужден согласится с незаурядностью автора системы конфигурации.
Сначала по классике была проблема с Maximum sessions per host (1000) was exceeded, но успешно устранена благодаря данному посту.
Теперь пытаемся разобраться со второй проблемой: прекрасно работают гуглосервисы, но все остальное работает через раз и не очень быстро, выдавая ошибку ERR_CONNECTION_TIMED_OUT.
Был бы признателен за поддержку, а также крайне интересно узнать, удалось ли автору поста решить данную проблему, и чем она была вызвана.0 -
Добрый день
Попробуйте уменьшить размер MTU в настройках WAN-интерфейса (например до 1400) и прописать на компьютерах публичные DNS-сервера (например 1.1.1.1) - можно настроить, чтобы DHCP-сервер шлюза их сразу выдавал.0 -
Спасибо за ответ, MTU стоит рекомендованный провайдером (но все равно пытались менять значение в довольно широком интервале), DNS как первый подозреваемый был сразу же выставлен на публичный (1.1.1.1 и 8.8.8.8), однако эти манимуляции не изменили дело.0
-
Можете включить опцию "Пригласить службу поддержки Zyxel в качестве администратора" в разделе "Помощь > Поддержка " и написать мне в ЛС название своей организации в Nebula?
А также сообщить когда и на каких устройствах возникла проблема и какие сервисы не работали.
0
