Проблема в сети с раздачей интернета
 

Здравствуйте!
Проблема с сетью. Что имеем:
1. Две сети - 192.168.101.* (первая) и 192.168.202.* (вторая), в первой 7 компьютеров, во второй 22;
2. Интернет-сервер IDECO с IP 192.168.101.245, подключение к провайдеру по VPN;
3. Терминальный сервер на базе Windows Server 2003 с 1С (192.168.101.139 и 192.168.202.139);
4. 6 компьютеров первой сети, кроме сервера 1С подключаются к Интернету через Интернет-сервер, с помощью ПО Ideco Agent.
5. 6 компьютеров второй сети подключаются к Интернету через компьютер, который выступает как маршрутизатор (далее по тексту условно, «проблемный» компьютер), на котором установлен Traffic Inspector 1.1.5.224.

Сама проблема: у компьютеров первой сети Интернет работает, у компьютеров второй сети работает, но с перебоями: ping идет, но страницы не открываются (пробовал менять значение MTU – не помогает), не подключается ICQ, Mail.ru Agent. Иногда Интернет вообще отключается. Это случается временами, т.е. может иногда проработать две недели без проблем, а может неделю с такой проблемой «работать». Помогает перезагрузка маршрутизирующего компьютера, но иногда ненадолго (на самом маршрутизаторе такая же проблема с Интернетом). Разделение сетей сделано для учета трафика, потребляемого компьютеров группы 192.168.202.*. На месте «проблемного» ПК ставили маршрутизатор D-Link DIR-320, другой компьютер с сетевыми картами 3Com (точную конфигурацию того ПК привести не могу), проблема остается. Проверял все компьютеры на наличие вирусов (DrWeb CureIt! и Kaspersky AVPTool), предварительно отключив всех от сети, везде чисто. Полностью заменили сетевое оборудование: свитчи, кабели, розетки, патч-корды – проблема не ушла.
В то же время у компьютеров первой группы Интернет работает без проблем.

Что посоветуете? Рассмотреть можно все предложения, особых ограничений в финансировании решения этой проблемы нет, главное – в пределах разумного.

Установлены два свитча: у первой сети – 3Com 3CBLUG16A (16 портов), у второй D-Link DES-1024D (24 порта).
ПО на Интернет-сервере – IDECO ICS SERVER 2.5.9
ПО на «проблемном» компьютере, который раздает Интернет в сеть №2 (192.168.202.*) – Windows XP SP3 (оригинальная).
Антивирус KIS 2010, настройки на среднем уровне безопасности (пробовал вообще без антивируса – то же самое).

Железо «проблемного» компьютера:
Мат.плата – Asus M2N-Sli Deluxe
CPU – AMD Athlon 64 X2 4800+ 2.51 GHz
HDD – Hitachi HDT721025SLA380
RAM – Kingmax 2x1Gb DDRII – 800MHz
Video – Palit NVIDIA GeForce GT 240 1024Mb

Результаты команды ipconfig /all:

Результаты команды ROUTE PRINT:


Схему сети приложил.

а ничего, что у XP ограничение на количество полу-открытых соединений, а именно 10 max?
покажите ipconfig /all с клиентов из 202й подсети. вообще думаю, проблема именно в ideco

С 3 компьютеров:

1)Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : teh-prizrak
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 00-24-1D-D5-C3-CA
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.202.10
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : fe80::224:1dff:fed5:c3ca%4
Основной шлюз . . . . . . . . . . : 192.168.202.15
DNS-серверы . . . . . . . . . . . : 192.168.202.15
fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1

Teredo Tunneling Pseudo-Interface - туннельный адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : fe80::ffff:ffff:fffd%5
Основной шлюз . . . . . . . . . . :
NetBIOS через TCP/IP. . . . . . . : отключен

Automatic Tunneling Pseudo-Interface - туннельный адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Automatic Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : C0-A8-CA-0A
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : fe80::5efe:192.168.202.10%2
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS через TCP/IP. . . . . . . : отключен

2)Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : Shamavdi
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : NVIDIA nForce Networking Controller
Физический адрес. . . . . . . . . : 00-1E-8C-70-96-71
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.202.12
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.202.15
DNS-серверы . . . . . . . . . . . : 192.168.202.15

3)Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : Madina
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

Compas - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller
Физический адрес. . . . . . . . . : 00-16-E6-66-E1-51
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.202.17
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.202.15
DNS-серверы . . . . . . . . . . . : 192.168.202.15

Возможно и IDECO, просто у членов первой сети через тот же IDECO все нормально работает.

Вопрос1: почему Вы пользуетесь устаревшей и неподдерживаемой версией IDECO?
Вопрос2: почему Вы не подключите вторую (202) сеть на отдельную сетевую карту IDECO, или просто в первую подсеть, благо IDECO умеет агрегировать трафик по группам.
Вопрос3: пробовали отключать firewall в Касперском?

Есть версия, что периодически может флудить один из клиенских ПК второй сети. Хотя по Вашему сценарию не верится, что все заменялось... может MAC-адрес дублируется ил IP?!

Вопрос4: как шлюз между первой и второй сеть авторизуется на IDECO? и почему бы не сделать авторизацию всем по IP-адресу с опцией "подключен постоянно"?

Он работает как Proxy? Вроде у TI нет функционала маршрутизации... но как тогда идут ping-и?!! Чем реализована маршрутизация и как (нормальная маршрутизация или NAT)?
В любом случае попробуйте у компьютеров второй подсети в качестве DNS-сервера задать адрес IDECO.

А почему проще не использовать ПО для деления интернет канала и подсчета трафика - Lan2net Traffic Shaper http://www.lan2net.ru/shaper.shtml.
Второе у вас есть DIR-320, ну и завидите в него интернет перевидите его в режим маршрутизатора, снимайте с него статистику ПО для этого есть.

QRS, Ответ1: переход на новую версию стоит ~60 тыс. Тот же самый сервер поставили в другой фирме, настроили все, как у нас, там работает без проблем (может индивидуальная непереносимость нашей фирмы).
Ответ2: необходимо разделение компьютеров так, чтоб первая и вторая сеть не видели друг-друга.
Ответ3: Пробовал вообще без Антивируса. Вариант флуда так же рассматривал, отключал компьютеры, проверял их - все чисто. Канал не забивается, логи тоже смотрел.
Ответ4: шлюз авторизуется через IDECO Agent со своими логином и паролем. IDECO используется еще и для раздачи Интернета клиентам (не работникам нашей фирмы), у них тоже все работает.
Ответ5: В TI отключен режим прокси, включен NAT.
Ок, посмотрю назначить тот DNS.

Valeant, в том то и дело, что даже с DIR-320 наблюдались эти проблемы, поэтому для чистоты эксперимента он был заменен на ПК.

В итоге двухдневных экспериментов с настройками, протянул отдельный кабель от "проблемного" шлюза до интренет-провайдера, подключился со своей домашней подпиской. Проверю, как работает два-три дня, о результатах отпишусь.

Valeant,
это какое ПО позволяет с DIR-3xx снимать статистику о трафике пользователей?! Ссылку можно?

поставьте на IDECO вторую сетевую карту.
В правилах пропишите, чтобы сети друг друга не видели.

TI не имеет собственного NAT. Все же уточните какими средствами реализован NAT на конкретной ОС?!

Как это выглядит? Идут ли пинги (по IP-адресам) до шляза своей сети (до NAT) и если нет, то как выглядит таблица ARP (arp -a); идут ли пинги до IDECO? Что говорит nslookup ya.ru? Что показывает tracert -d ya.ru?

PS: кстати, IDECO-agent нужен только для автоматической настройки подключения. Можно подключаться стандартных MS PPPoE или PPTP.

PS2: IDECO пробовали переустанавливать?

Вообще убрал IDECO, тянем кабель напрямую к коммутатору провайдера.

Извиняюсь, ошибся - в TI настроен Advance Routing, вкл. RAS, работает без прокси (во всяком случае нигде его не вписываем)

Поставил, не помогло.

Результаты arp -a

Результаты nslookup ya.ru

Результаты tracert -d ya.ru

Да, настраивали с нуля.

а как будет обеспечиваться трансляция адресов? Чисто средствами RRAS?

Вам не кажется странным использование статических arp записей - может удалить их?

Я имел в виду, что было бы неплохо привести трассировку до ya.ru с компьютера из сети 202 и во время появления проблемы доступа в сеть! То же самое касается nslookup и arp.

QRS, напрямую протянул, чтоб проверить работу с другой подпиской.
как сделать это?
вторую сеть полностью ликвидировал, объединив обе сети в одну.
Теперь проблема такая: на IDECO периодически пропадает интернет. Выяснил, что проблема в комутаторе провайдера, порты перестают работать. Ждем их бригаду.
С моей подпиской все работает отлично, проблем нет.
Но одно "но" - иногда компьютеры перестают видеть друг друга через сетевое окружение, ошибка "возможно у Вас нет доступа к рабочей группе и т.д."

Решил поднять интернет сервер на ПК с Server 2003 на котором поднят терминальный сервер. Подключение к интернет-провайдеру идет через VPN (PPTP). Подскажите, как лучше реализовать интернет сервер на базе 2003?

graf-mz, например, так.

Angry Demon, а как быть, если подключение к провайдеру через VPN? Все настроил, внешние интерфейсы сервера пингуются, все работает отлично, только не пингует интернет (невозможно найти указанный узел), хотя на сервере интернет есть. Возможно ли настроить раздачу без установки стороннего софта?

Extazi, это было условное название)
Сделал все по инструкции от SmartSoft, даже ТИ поставил ради интереса. Подключение к интернету на сервере через PPoE идет, подключается, но интернета нет, нет пинга. Подключение к интренету на сервере через PPTP вообще не идет - ошибка 619. Server 2003 SP2. Никакого стороннего софта не установлено, даже антивирус не стал ставить, пока все не настрою.
Задача: разрешить доступ в интернет только "избранным", счетчик необязателен. Сейчас просто разрешил общий доступ к VPN и указываю шлюз на клиентских компьютерах.