Проблемы с подключением к прокси
 

Добрый день.

Возник интересный вопрос, прошу совета.
Исходные данные:
Доменная сеть.
Прокси-сервер usergate 5.4 100лиц, установлен на выделенной машине Windows7 x64.
Прокси настроен в прозрачном режиме, пользователи авторизуются через клиента.
Адреса статические\динамические, у кого как. На прокси соответственно статик.
В интернет ходят 25-40 человек одновременно.

Вопрос следующего характера: почему периодически теряется прокси для клиентов (не для всех сразу, а избрано), адрес сервера не пингуется. Лечится путем смены адреса на клиенте. Получается что клиент блокируется по IP.
Есть подозрение на ограничение подключений в винде, но на сколько помню это относилось к XP, в 7 это уже убрали.

хр-10
7-20

Ну а как удостовериться что дело именно в этом?

Значит, дело точно не в максимальном числе подключений. Ping к этому не имеет отношения. Ищите проблему в физике, в драйверах на сетевую карту, логи посмотрите.

В логах на этом компе ничего страшного не вижу.
С драйверами даже не представляю что может быть...
Где что еще посмотреть? Может контролер домена что-то чудит?

Тут наверно не корректно написал: Лечится путем смены адреса на клиенте. Получается что клиент блокируется по IP.

Mr.Rome, на проасе какие-нибудь брандмауэры/файрволлы есть?

после смены адреса клиенты пингуются постоянно или периодически вновь "отваливаются"?

Каспер 6.0. Тут вроде бы чисто.

Как-то не обращал внимания. Похоже что отваливаются "кто последний", т.е. когда сидит куча народа.
Явное ощущение что не хватает соединений. Попробую прокси поставить на сервер, посмотрю что изменится.

Mr.Rome, Зря вы выбрали эту программу. Глюченая она. И скорее всего просто не успевает обрабатывать трафик и не бось базы у Вас не на SQL.
Мой Вам совет переходить на Squid.

Rezor666, Ну во-первых глюков пока не наблюдал. Во-вторых проблема не в проксе, как я понял, а в сети. В-третьих за проксю деньги проплачены, я шефу не объясню.

Сомневаюсь.
Вот так всегда.
Вот только вы не задумывались о том что желательно на шлюзы ставить серверные сетевые карточки например?
О том что нужно поднимать сервер SQL потому что если не ставить то через месяца 2-3 логов вы не увидите.
Я бы еще понял если бы Вы сказали что у Вас ISA стоит но UserGate да еще и под обычным компом и без серверной ОС...
На месте шефа я бы Вас уволил...

Rezor666, Ну вот спасибо. Первый раз с прокси связался, надо же где-то тестировать. А серверные ОС имеются, сча буду туда ставить.
Ну и раз проскочил намек на серверные сетевухи, то объясните мне неведующему в чем принципиальная разница?
Про SQL мне рассказывать не надо, тут сам знаю.

Для этого давно изобретены виртуальные среды.

Я не знаю как в виртуальной среде сэмулировать два сервака шлюз и 90 клиентов.

Читайте
И это читаем
Значит стоит SQL?
О, да. Как написал Angry Demon надо тестировать в виртуалке. UserGate дает пробную версию а там уже и покупать.
Я уже промолчу что ваша лицензия Вам обошлась как мне новый сервер для шлюза и ОС PfSense которая как минимум справляется лучше чем UserGate.

Rezor666, я, конечно, уважаю ваши знания, но сарказм мне ваш абсолютно неинтересен. Мне нужно решение данной проблемы, а не упражнения в остроумии.

По параллельным каналам мне тоже посоветовали другую сетевуху воткнуть. Как раз была. Результат просто срубил меня, если было в статистике где-то 25-30 сессий когда народ жаловался, то тут сразу же завопили. Открыл статистику - там на вскидку сесий 10 было. Вернул обратно. Теперь реально задумываюсь карточку нормальную поставить. Было бы где взять для теста.

Mr.Rome, Это не сарказм а желание помочь Вам одуматься.
Продукты UserGate не когда не были безглючеными.
Давайте ради эксперимента Вы поставите Pfsense и спорим что все ваши проблемы исчезнут сами собой?
При этом от Вас не потребуется не каких вложений и покупки оборудования.
Как установить Pfsense описано у меня в блоге довольна подробно.

К тому же если у Вас лицензия то задайте вопрос на форуме данного продукта.

Rezor666, Ну я думаю преустановкой прокси на сервер вопрос решится, займусь завтра в ночь.
Только мне вот все-таки интересно почему же здесь возникла проблема. И как по вашему мнению юзергейт может влиять на видимость компьютера в сети?

+ Всегда были прожорливыми к ресурсам.
Usergate не вытянул и 40 пользователей на Intel core 2 duo, 2 гига оперативы.
Pfsense или любой Unix/Linux дистр на такой машине выдержит 200 юзеров в легкую.

Надо найти время и сменить проксю )))
Не думаю, что ЮГ влияет на отвал клиентов от сети. Тут дело в другом.

Цитата:

Цитата Mr.Rome Прокси настроен в прозрачном режиме, пользователи авторизуются через клиента »

авторизация на прозрачном ? - вот это был сарказм.
что в логах данного компьютера, а так же в логах клиента.
так же хорошо бы увидеть IPCONFIG /all с "сервера" и клиентов.

В логах шлюза ничего страшного не нашел.
Вот IPCONFIG

Это один из клиентов

у вас два интерфейса в одной сети - так маршрутизаторы или прозрачные-прокси никто не делает.
у клиента в ДНС два адреса - что это за сервера? и ещё на сервер 1.200 ДНС указан...

Делают.

exo, Я прекрасно понимаю что такая схема сети в корне не правильная.
Но иногда другого выхода просто нету.
Как пример:
Модем с интернетом и свитчом в одном месте, серверная в другом и есть всего один кабель до серверной.
Бред, да? Но многие компании так живут.

exo, а как вы предлагаете например при такой схеме поднять например шлюз которому как минимум нужно 2 интерфейса?
Наверное Вы щас и меня осудите но у меня на виртуалке дома был поднят шлюз сервер с wan и lan в одной сетке. Где то год все отработало без единого глюка.

exo, Руки не доходили адрес поменять, но это не на что не влияет. Кстати, сегодня как раз поменяю.

х.200 - это адрес файервола, который в нет воткнут. х.150 - контролер домена и локальный ДНС соответственно.

Rezor666, ПМ почистите...

но у вас же проблемы в сети? я бы не был столь категоричен в отсутствии аффекта.

exo, почистил...

так а зачем вам прозрачный прокси? ЮГ прекрасно работает с доменом - http://www.oszone.net/4366/UserGate
в случае непрозрачного прокси достаточно одного интерфейса.

Это что значит?

Кстати, по вашей ссылке вычитал следующее:
Это обязательно делать? Я уж точно не делал. Стоит переключатель "Использовать системный ДНС"

Это значит что UserGate может авторизовать пользователей по учетным записям AD. Вы мануал то хоть читали?
Обязательно надо открыть мануал и почитать. Там настолько все легко что я уже и не знаю что можно спрашивать.

exo, Я бы не приводил в пример ту ссылку...
4 Версия и 5.4 очень сильно различаются...
И вообще если уж не нужна прозрачная прокся а авторизация по AD тогда почему не использовать это

Rezor666, Так, опять шум :)
Во-первых мануал читал и учетные записи АД у меня интегрированы, так и делалось все. Думал мож чего еще умного подскажут.
Во-вторых, про днс я не встречал нигде, потому и спросил.

Цитата:

Цитата Rezor666 Я бы не приводил в пример ту ссылку... 4 Версия и 5.4 очень сильно различаются... »

я дал первое, что попалось в поиске. а статья на сквид у меня у самого есть
а почему не пользуется автор сквидом - потому, что уже купили ЮГ.

а у вас не возникло вопроса: зачем пользователи, если "авторизация" по IP?

Авторизация идет по пользователям. По IP у меня авторизуются только сервера в домене и еще пара компов которые не в домене но в общей сетке.

не бывает прозрачных проксей с авторизацией. иначе какая тогда прозрачность?

Вот только вопрос. у ЮГ есть свой клиент или он как и сквид прописывается в браузере?
Просто, если у вас ЮГ прописан в браузере - то шлюз по умолчанию должен указывать на роутер, а не на сервер с ЮГ.

вообще, было бы хорошо, посмотреть настройки ЮГ. Пока каша какая-то...
Вообще, по какой документации настраивали?

У пятой версии (как в предыдущих - не помню) есть клиент, ставишь его на компе, прописываешь адрес сервера, логин-пароль. Жмешь авторизовать - и он работает в режиме NAT. Прокси ведет статистику по авторизованному пользователю. В браузере прописывать ничего не надо.
Настраивалось все по инструкциям с офсайта.

вообщем ладно. Дело точно не в ЮГ.
Анализируйте трафик на сервер и клиенте. Смотрите, почему начинается блокировка.

Это не прозрачная прокся.
Еще раз говорю читайте мануал.Не заметил, хоть и читаю твой блог иногда (((
Одно другому не мешает...
Это не блокировка.

Да я так и подозреваю. Он-то работает нормально.
А вот тут как раз и интересно, чем можно отмониторить? И на клиете сложновато - надо же отловить который отвалится, а отваливаются они произвольно (не один и тот же)

"Защита от сетевых атак" и "Добавить атакующий комп в список блокирования" случаем не включены?

NRMS, А ведь похоже на правду.

Лог из "антихакера" за сегодня:
Среди них 31 - я (сегодня отваливался), 155 и 245 мне сегодня жаловались.
Сейчас отключил, буду смотреть что завтра будет...

Сейчас вот подумал - по умолчанию там стояло "блокировать компьютер на 60 минут". Ну где-то так и было, пинг примерно через час появлялся.

NRMS, нет такого. Бывает с чем-то прицепится, вывожу НАРАЗ. Все-таки похоже каспер, дружелюбное, блин, приведение....
Вот вам и прблемы с прокси...
Rezor666, вы уж извините, но мне даже нравится, как ЮГ5 работает, не надо шуметь тут очень громко.
Завтра о результатах отпишусь.

Гад Каспеский, ненавижу его. *личное мнение*

Mr.Rome, Я посмотрю на Вас когда сеть увеличите или попросят отследить торренты и vpnы )))
Я уж опущу такие вещи как rsh,snort, layer, контроль всех протоколов а не только tcp и udp, контроль сайтов по ip.
И самое главное - отказоустойчивость и скорость работы и безопасность.
Как говориться плохому танцору :)

не не. тут скорее всего другое: вы просто не умеете его готовить. Я тоже не пользуюсь касперским, ибо там даже не "поготовишь"...

exo, Тут на вкус и цвет, я им тоже не пользуюсь но при этом знаю тонкости работы с ним и не говорю что он плохой.

Rezor666, ну от вас наслушался по полной уже. Вам все не так.
Каспера ненавижу всей душой и сердцем, сам бы фиг покупал бы его, но опять же... куплен.
Я тут работаю совсем недавно, каспер, ЮГ... Вот и приходится бороться.

Не слушайте.
Это исключительно Ваши проблемы и оставьте их при себе.
Помойму Вы вообще в области IT не давно.
Так что набирайтесь опыта :)

Золотые слова. Mr.Rome, прислушайтесь к ним. Всё будет отлично!

Давно на самом деле, поверьте. Решаю задачи поставленные, на все просто времени не хватит физически, я еще и программист. Задротствовать и сидеть в инете годами у меня нет желания. Сейчас столкнулся с тем, с чем раньше не встречался, потому и зашел на этот форум, т.к. считаю его самым адекватным, знаю его уже давно.

И, кстати, ваш шум не до чего адекватного не довел, подсказал человек другой.

Модераторам. сорри, уже аж вырвалось.

Хоть убейте - не верю.
Любой админ при ошибке анализирует логи а не бежит на форумы.
А кто знал что Вам самому лень посмотреть логи фаервола? Я думал Вы это первым делом сделали.

Короче помечайте тему закрытой и досвидания :)

Кстати, вопрос не закрыт.
С ФВ разобрались, блокировки сервера теперь нет. Но проблемы с инет все равно остались.

Ну и если честно.

Каспер хоть и мудил, но проблема осталась, хоть и не такая явная.
Сейчас запустил торрент (мне он если честно на работе и не нужен) - перестали открываться страницы в браузере.
Ну это уж точно ЮГ, и что интересное - аська-то работает (она на другом правиле)

Если кому интересно-нужно, могу кинуть конфиг ЮГ.

UG не успевает обрабатывать трафик, что тут неясного?
Как исправить? Конфиг железа в студию.
При зависании UG TCP порты работают а вот прокся виснет.

Ясно что не ясно. Вопрос - почему? только не надо сквиды рекламировать.

Цитата:

Цитата Mr.Rome Сейчас запустил торрент (мне он если честно на работе и не нужен) - перестали открываться страницы в браузере. »

торрент через прокси?

Цитата:

Цитата Mr.Rome Давно на самом деле, поверьте. » Rezor666 Хоть убейте - не верю. »

мне тоже начинает мало верится. Вы уж извините.

спасибо вам за фамилии сотрудников. А можно просто кофниг железа - проц, память, сеть, диски.
И ещё очень важный момент: тарифный план у вас какой для выхода в интернет? Скорость какая?

exo, ты упустил пароли админом :laugh:
А вообще я хотел спросить про внешний ip а ты мне весь кайф обломил! :laugh:

Сделайте на шлюзе tracert google.com

Он пускаеться по NAT но UG начинает его считать и не успевает обрабатывать. Сталкивался с таким не раз.

Мне на них пофиг, кредиты на них брать чтоли собрался?

А вот тут подробнее.

ну а сделать правило для p2p что бы не обрабатывал? не умеет?

Цитата:

Цитата Rezor666 ты упустил пароли админом »

Цитата:

Цитата Mr.Rome Мне на них пофиг, »

меня больше 152 закон волнует.

Нет, он их считает за сессии...
Вспоминаеться момент из Интернов когда Лобанову "
мне все пофигу " :laugh:
Чего тебе подробней если ты вместо конфигурации железа скинул совсем не нужную информацию?

Сча будет. Вы пишете быстрее чем я читать успеваю.


И на счет Касперского, почему я его прозевал. Я уж никак от него не ожидал что он будет хакерские атаки отлавливать во внутренней сети.

Ну если телефонный справочник открыть можно гораздо более информации получить в килобайтах. Московский может и в мегабайтах уже.

если кратко:
Intel i5-2400
4 GB DDR3 RAM. Свободно 2
NVidia 210 1GB
NIC - 1 Gbit
HDD x2 500 GB

Mr.Rome, Конфигурация не серверная вообще....
Самое грустное вообще для всех пользователей этого UG то что приложения 32 битное и работать с большим обьемам памяти не будет.
В вашем случае оперативы достаточно на работу 30-40 человек с браузерами.
Но при торрентах он умрет. Единственное решения которое может жить нормально под Windows это MS ISA и MS TMG.
Можете взять серверную карточку но я не думаю что это сильно поможет. И база на SQL или нет?

Mr.Rome, И сравните пожайлуста обьемы затраты своих системных ресурсов с тем же количеством пользователей в сети но только на сервере PfSense.
И это при том что нагрузка сейчас максимальная.

есть и виндовый сквид )
А под ИСА и ТМГ ресурсы тоже не маленькие нужны.

Забыл упомянуть :)
Зато у них нету таких проблем. Да и на средних ресурсах я не видел проблем с ISA.

зато я встречал проблему доступа к сайтам HTTPS , но то было лет 6 назад... там тоже есть свои заморочки.

Я пробовал год назад, проблем не встретил.

Ну это ясно, комп что "подрукупопался" поставили. Все вот думаю на сервак перетащить.
Так все-таки реально есть мысли, почему брыкается на этой машине? Сетевуху серверную поставить есть смысл? Была бы еще оно чтобы протестировать...

Забыл дописать - внешка 20Мб


ЗЫЖ Ребята, реально есть желание разобраться что же все-таки не так, может кому еще полезно будет.
Знакомый б\у студент клянется что на ЮГ около сотни пользователей держал в общаге и проблем не было...

Mr.Rome, Вы читаете между строк?
В 3 раз спрашиваю - база SQL?
Перетащи. Потом опять снесешь.

Я уже обьяснил почему не работает если ты не хочешь слушать то зачем спрашиваешь?

торрент до скольки разгоняется? У меня было раньше дома и без прокси торрент веб-доступ забивал... Скорость была 3 Мбита вроде.

До максимума, его не порежешь UG...

Как видно из офф источников кроме этого вы нечего вообще не сделаете!
Проблема решена?

Это ты про 32-приложения? Я прочитал.

Нет у него скл, он в мдб хранит логи.

Или почитайте еще это

А это что?

торрент тут никому и не нужен, кроме меня им никто не пользуется. Это я для примера его привел, он сразу кучу портов открывает, потому и привел пример с ним.

Собственно, вот это.

Mr.Rome, И что Вам потом мешает его ципануть в SQL?

Цитата:

Цитата Rezor666 Или почитайте еще это »

зашибись вопрос:

Цитата:

А как раздаете интернет? NAT или прокси

:laugh:
Я однажды качал торрентов больше 10... и всё работало - где же ограничение винды?
А так, конечно, клиентские ОС для серверных задач... Я встречал ещё когда из ХР терминал сделали. С Ёты невозможно было подключится...

Цитата:

Цитата Mr.Rome кроме меня им никто не пользуется. »

бедные пользователи...

У нас и щас в сетке столько качают, серверу хоть бы хны. :)
Ушли с Windows XP :)
Тоже не раз встречал :)

P.S Там и админы зашибись :)

Цитата:

Цитата exo бедные пользователи... »

почему? может он им сам качает и отдает на флэшке...

нефиг. эт я еще ограничения не ставил им никакие.
это зачем?

Ну и у меня не ХР
Опять камень в мой огород?

для красоты :)
А зачем базы 1С на SQL? Есть же и файловая версия...

есть пруф-линк?

Цитата:

Цитата Rezor666 может он им сам качает и отдает на флэшке... »

мы этого не знаем.

попробую угадать... для скорости?

Статистика такая да и своими глазами это вижу :)
ага, а UG при формировании статистики есть такая вещь как обработка данных и бедная mdb база это не осилит.

Mr.Rome, может все таки перестанете и послушаете человека который 3 года работал с этой программой и писал дипломную работу по ней...

Считаю что больше писать тут не о чем, ибо только гонево одно.

Rezor666, я в скл 1с держу 4 фирмы, есть свои конфигурации, базы по 20-60 гигов за 5-7 лет работы, переносы делал, есть собственная программа на дельфи с базой скл... ну да, не знаю я что такое скл ну ниразу.

итата Rezor666:
может он им сам качает и отдает на флэшке... »

Отдаю. Ибо нефиг. Им нужны тендеры и почта. все. В инете только админы и шеф.
без одноклассников обойдутся.

Закройте тему тогда уж...
Я вам еще на 6-7 странице это говорил...
Все равно вы не слушаете и даже офф форум Вам не указ.
Зато Вы но при этом выкладываете админский пароль в сеть.
Учитывая сколько у Вас занимает изучение новой информации то думаю скоро будет новый админ.

Зашифрованный?

Не похоже
<domain_settings domain="Vinner-2006.ru" username="Администратор" password="Mr7-gW2-y-P7vq4-r0ZD-8q6E-J0R9-IX7-gK5" PDC="Vinners" ntlm_auth="1"/>

Да если даже зашифрованный то почитайте что писал exo

Rezor666, exo, накинулись на человека, аки псы. Злыдни вы )))

Mr.Rome, по ЮГ правильно советуют прикрутить к нему скуль для хранения логов. А еще правильней отказаться от него в пользу сквида и иптаблес (что тоже уже советовали)