Forum
Merhabalar,
Şirketimizde yaklaşık 30 bilgisayarlık pc ve mac karışık bir network yapısı ve wireless'tan bağlanan mobil cihazlar vs. bulunmaktadır. Netin Uydu internet ve ttnet adsl olmak üzere iki internet hattımız bulunmaktadır. Kesinti yaşamamak adına; load balance ve fail over gibi özellikleri olduğu için bundan bir ay kadar önce Draytek Vigor 2860n+ modeli bir cihaz aldık. İlk başlarda yaklaşık olarak 25-30 dakikada bir tüm şirket networku kesiliyordu. Modeme ping attığımızda cevap alamıyor, switch'e bağlı cihazdan veya wireless bir cihazdan modeme ulaşamıyorduk. Cihazın cpu'su sürekli olarak yüzde 88 gösteriyordu. Netin ve Ttnet tarafından hattımızın kontrollerini gerçekleştirdik. Şüphelendiğimiz şeyler için, manyetik alan, topraklama vs. gibi şeyleri kontrol ettik. Tüm makinelere Kaspersky deneme sürümünü kurup tarattık, bazılarını format atıp tekrar kurulum yaptık. Switche gelen kablolardan bazılarının boyu yetmediği için ekler vardı bunları aradan çıkardık.
Elimizde 24'lük gigabit Asus switch, 8'lik ayrı 2 switch vardı ve bunlar cihaz üzerinde ayrı ayrı portlara bağlıydı. Daha sonra Draytek'in İzmir Bayisinden Sercan Bey gelerek bunların tek switchten çıkmasının doğru olduğunu söyledi ve diğer 2 switchi Asus'a bağladık. Türkiye distribütörü Simet'ten Ertan Bey cihazımıza bağlanarak bazı ayarlar yaptılar. Firmware'i beta versiyon ile güncellememizi söylediler. Bu şekilde tüm network'ün kesilmesini engelledik ancak şimdi de kısmi kesilmeler başladı(3-4 bilgisayar). Session sayıları 2000'e kadar çıkıyor, belirlenmiş olan limite geldiğinde doğal olarak net kesiliyor. Bu cihazları ağdan ayırıp tekrar format attık, antivirüs kurulumlarını vs. yaptık, aradaki kabloları değiştirdik, ağa taktığımızda tekrar aynı sorun oldu. Kaspersky'de ağ izleyicisinden baktığımda Chrome üzerinde çok fazla bağlantı olduğunu gördüm. Simet'ten Yasin Bey bu cihazları kullanmamazı söyledi. 2 tane network uzmanı çağırdık, wireshark vs. gibi programlarla ağımızı incelediler. 2'side derdimize çağre bulamadı. En son olarak Draytek İzmir Bayisi bize, lisanslı antivirüs ve yönetilebilir switch almamızı sorunu başka şekilde çözemeyeceğimizi söyledi. Bir aylık süreç bizim için kabus gibi geçti ama hala sorunun nerde olduğunu tam olarak çözebilmiş değiliz.
Şuan cihazı aldığımız yerden de destek alamıyoruz. İzmir'de bu işi çözebilecek, önerebileceğiniz bir network uzmanı var mıdır? Şuana kadar gelenler malesef ki çözemediler.
Sorunlu makineleri kapadığımızda bu sefer başka makinelerde session artma olayı başlıyor. Ethernet'i söküp wireless açtığımızda session sıfırlanıp tekrar artmaya başlıyor. Sadece pc değil mac makinelerde de olabiliyor. 1500-2000 session bilgisayar başına normal olamaz. Makinelerin temiz olduğundan da eminim artık modem den şüphelenmeye başladım. Yarın başka bir modem bulup onla denemeye çalışıcam.
Sorunlu makineleri kapadığımızda bu sefer başka makinelerde session artma olayı başlıyor. Ethernet'i söküp wireless açtığımızda session sıfırlanıp tekrar artmaya başlıyor. Sadece pc değil mac makinelerde de olabiliyor. 1500-2000 session bilgisayar başına normal olamaz. Makinelerin temiz olduğundan da eminim artık modem den şüphelenmeye başladım. Yarın başka bir modem bulup onla denemeye çalışıcam.
Merhabalar,
Şu an tatilde olduğum için bu tür sorunlara bakamıyorum ama basitçe syslog izleyerek bu cihazların ne halt ettiğini bulabiliriz nereye bu sessionları açtıklarını mesala zaman olursa beraber yapalım mı bu işi mesala yerelde bir makinaya syslog yönlendirmesi yapıp bu cihazların yaptığı hareketlerden ne tür bir bağlantı kurduklarını görme şansımz olur sessionları makina başına değilde gittileri yeri keserek durumu düeltmeye çalışabiliriz.
Syslog'tan baktığımda aşağıdaki şekilde gösteriyor ama makinede hiçbirşey kurulu değil,temiz ve antivirüs kurulu. 192.168.0.133 session'u sürekli yükselen makinelerden birisi.
1342014-07-23 12:09:31Jul 23 12:09:31Kok-nDray[CSM_AE][Block][Wujie/UltraSurf][@S:R=2:7, 62.128.100.97:443->192.168.0.133:56130][TCP][HLen=20, TLen=268, Flag=AP, Seq=4025453772, Ack=735454142, Win=8248]
1342014-07-23 12:09:56Jul 23 12:09:56Kok-nDray[CSM_AE][Block][Wujie/UltraSurf][@S:R=2:7, 62.128.100.37:443->192.168.0.133:56133][TCP][HLen=20, TLen=282, Flag=AP, Seq=1682660822, Ack=920657864, Win=8349]
1342014-07-23 12:10:00Jul 23 12:10:00Kok-nDray[CSM_AE][Block][Wujie/UltraSurf][@S:R=2:7, 62.128.100.39:443->192.168.0.133:56134][TCP][HLen=20, TLen=282, Flag=AP, Seq=178138334, Ack=3306943802, Win=8349]
1342014-07-23 12:10:00Jul 23 12:10:00Kok-nDray[CSM_AE][Block][Wujie/UltraSurf][@S:R=2:7, 192.168.0.53:54558->216.52.242.80:443][TCP][HLen=20, TLen=187, Flag=AP, Seq=1160051387, Ack=2841663058, Win=33320]
1342014-07-23 12:10:02Jul 23 12:10:02Kok-nDray[CSM_AE][Block][Wujie/UltraSurf][@S:R=2:7, 108.168.176.247:443->192.168.0.120:52879][TCP][HLen=20, TLen=141, Flag=AP, Seq=1844185538, Ack=2027007088, Win=513]
1342014-07-23 12:10:03Jul 23 12:10:03Kok-nDray[CSM_AE][Block][Wujie/UltraSurf][@S:R=2:7, 192.168.0.53:54559->216.52.242.80:443][TCP][HLen=20, TLen=110, Flag=AP, Seq=2685060836, Ack=3551532501, Win=33320]
1342014-07-23 12:10:07Jul 23 12:10:07Kok-nDray[CSM_AE][Block][Wujie/UltraSurf][@S:R=2:7, 62.128.100.41:443->192.168.0.133:56172][TCP][HLen=20, TLen=282, Flag=AP, Seq=3067634527, Ack=3205049789, Win=8349]
1342014-07-23 12:10:08Jul 23 12:10:08Kok-nDray[CSM_AE][Block][Wujie/UltraSurf][@S:R=2:7, 81.19.104.51:443->192.168.0.135:59242][TCP][HLen=20, TLen=168, Flag=AP, Seq=3851422044, Ack=212143647, Win=8349]
Bahsi geçen Ip adresi Ksypersky firmasına ait anladığım kadarı ile ksypersky güncelleme yaparken firewall cihazlarını atlatmak için bu tür br tünelleme kullanıyor cihazda bunu yakalıyor ksper sürekli olarak bunu denediği için session doluyor kasperi kaldırın bir gün deneyin bakalım aynı sorun olacak mı, sonrasında bu update sunucularına AE olmadan geçiş veririz.