AL_O

Снаружи было вот так. Два нижних правила собственно написаны для борьбы с происходящим вчера и вроде сработало. Сегодня провайдер подтвердил что всё закончилось - правила выключили. Говорит - ддосили сервера провайдера снаружи. Диагноз верен был ^^

Добрый день. Сразу: опыта работы с таким нет, могу ошибаться в оценках происходящего и путать термины. Сегодня внезапно интернет на удалённой точке стал оооочень медленным вплоть до остановок местами. IP белый. Подключаюсь (между филиалами впн на wireguard), отрубаю все устройства в локальной сети от интернета политиками доступа, проблема не исчезает. В системном мониторе трафик 17 из 20 (а 20 это заявленная провом скорость). В активных соединениях их 9000+. Выглядят они как то так. В логах под несколько листов примерно такого: [I] Sep 18 11:28:36 kernel: Core::Syslog: last message repeated 57 times. [I] Sep 18 11:28:37 ndm: Network::InternetChecker: Internet access lost (status: 0x0000). [W] Sep 18 11:28:41 kernel: net_ratelimit: 242 callbacks suppressed [I] Sep 18 11:28:41 kernel: TCP: too many orphaned sockets [I] Sep 18 11:28:41 kernel: Core::Syslog: last message repeated 9 times. [W] Sep 18 11:28:48 kernel: net_ratelimit: 176 callbacks suppressed [I] Sep 18 11:28:48 kernel: TCP: too many orphaned sockets [I] Sep 18 11:28:48 kernel: Core::Syslog: last message repeated 17 times. [I] Sep 18 11:28:51 ndm: Network::InternetChecker: Internet access detected. [W] Sep 18 11:28:53 kernel: net_ratelimit: 220 callbacks suppressed [I] Sep 18 11:28:53 kernel: TCP: too many orphaned sockets [I] Sep 18 11:28:54 kernel: Core::Syslog: last message repeated 9 times. [W] Sep 18 11:28:59 kernel: net_ratelimit: 200 callbacks suppressed [I] Sep 18 11:28:59 kernel: TCP: too many orphaned sockets [I] Sep 18 11:28:59 kernel: Core::Syslog: last message repeated 17 times. [W] Sep 18 11:29:04 kernel: net_ratelimit: 248 callbacks suppressed [I] Sep 18 11:29:04 kernel: TCP: too many orphaned sockets Банальное (перезагрузка) сделано. Сбросить к заводу или отключить от интернета не могу - точка удалённая. Собственно для начала - верен ли мой диагноз? ddos? Спасибо.

Окей, это возможно меняет дело. Предполагаем именно кривость проверки /stripchart - попробую наживую, Спасибо.

Спасибо большое, я ценю ваше участие. Но по сути это то же самое что я делаю https://learn.microsoft.com/ru-ru/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings https://learn.microsoft.com/ru-ru/services-hub/health/remediation-steps-ad/configure-the-root-pdc-with-an-authoritative-time-source-and-avoid-widespread-time-skew Для контроллера домена предлагается w32tm и ей же ПЕРЕД чистовой настройкой я проверяю доступность и данные с нтп-сервера командой w32tm /stripchart /computer:192.168.120.3 /dataonly /samples:5 Она отрабатывает с общедоступного сервера в интернете, но не отрабатывает с кинетика в локальной сети - сервер присылает пакет с ответом, а кинетик - нет (пакеты видели) Нет смысла настраивать ни скриптом, ни руками из гуи, ни в реестре - это та же самая w32tm, а кинетик не отвечает w32tm ИЛИ Я ЧТО ТО ДЕЛАЮ НЕ ТАК. "Служба времени Windows соответствует спецификации NTP..." а реализация от кинетик ВИДИМО пока что не отвечает.

Да, вы правы. Он отвечает на запрос программы которую вы предложили, но не отвечает (не отправляет пакеты) на запрос штатного нтп-клиента десятой винды и вин-сервера 2019 (с него все предыдущие скриншоты). Если это так и задумано то это капец конечно реализаторы и реализация. Может тогда в инструкцию приложат ссылку на вашу программу если работает только с ней, а со всем тем парком машин на винде и виносерверах не работает? Но я всё ещё тешу себя надеждой что это я туплю и чего то не понимаю... Спасибо за наводку.

На скриншотах видно что винда в этой же консоли понимает внешний нтп-сервер в интернете. Так же на скриншотах видно что вообще другой, не тестовый компьютер посылает сквозь этот кинетик запрос к какому то своему нтп-серверу и получает ответ. Из этого я делаю заключение что винда скорее всего не при чём и пакеты ходят, просто нтп-сервер кинетика не отрабатывает в принципе, или не хочет отрабатывать именно в локальную сеть без каких то специфичных настроек своего брандмауэра (что ну очень тупо - оно должно проставляться само при включении нтп-сервера галочкой, либо упоминаться в инструкции по включению). А. Стоп. Извините, задницей читаю. Имеете в виду что реализацию нтп в кинетике винда в принципе не понимает штатными средствами? Оу. Ооооу. Знаете, такая мысль мне в голову даже не приходила. Тогда подтвердите это кто нибудь, в патчноте и в инструкции нет такого упоминания. Господи, да для кого эта функция тогда вообще - красноглазые и не подумают использовать роутер-шлюз как сервер нтп... Нет. Опять стоп. При чём тут винда - винда посылает пакет? Посылает, мы наглядно видим и видим как другие нтп-серверы на него отвечают. Возможно именно кинетик не понимает запрос штатной утилиты винды актуальной версии для работы с нтп. Это слегка по-другому звучит, не находите?) Но мне бы тоже подтверждение такого, если можно...

Release 3.9 Alpha 6: NTP: implemented the SNTP server feature [NDM-2338] ntp master — enable SNTP server in private and protected segments Может дело в том что я не понимаю что такое private and protected segments... Или где посмотреть логи службы ntp master? Я либо дико туплю, либо эту функцию вообще не тестировали, добавляя. Не отвечает оно на пакеты и всё тут

Отлично! Заодно нау́чите пользоваться этой штукой 👍 И что я вижу в пакетах, или что я делаю неправильно захватывая их? Фильтр был: port 123 Я проверяю время отправляя 5 пакетов с 120.44 и они приходят. Кинетик на них не отвечает. И в момент проверки одно устройство в локальной сети стучится на сторонний нтп-сервер в интернете и ему очевидно приходит ответ. На втором скриншоте пример понаглядней - до меня дошло как это сделать. Вон выше запросы к внешнему нтп-серверу с успешными ответами, и вон ниже запросы к кинетику который 120.3 - ответов нет.

В логах в момент посылания проверки пусто. В тех же логах при снятии галочки сервер убивается, возвращаю - подымается. С виду всё прекрасно. Только не работает в итоге.

Добрый день. Собственно, пытаюсь воспользоваться реализованным функционалом. Система обновлена, галочка стоит, правила в брандмауэре что в винде, что в роутере есть (с правилами на 123 порт и без правил поведение одинаковое - на момент скриншота правила сняты). Нтп сервер 0.pool.ntp.org проходит проверку, а нтп сервер в локальной сети не видится - ошибка 0x800705B4 Что я упускаю, подскажите, пожалуйста.

На этом модеме - нет, "не использовать" стоит. Как мне показалось - логичный вариант чтобы оно постоянно не поднималось и не проверялось. На основном интернет-соединении - ICMP, всё ок. Моя вина Как то не удалось попасть в его теги при поиске... Блин, ну жалко, чё. Дико нелогично учитывая намеренное выключение пингчека выше.

Доброго дня. В качестве резервного интернета в KN-1810 использую модем E3372 с сим-картой мегафона и тарифом, который подразумевает оплату только в день фактического использования. Но вставленный модем (когда основной интернет есть и правилами заданы приоритеты) генерирует некий паразитный трафик. Подозреваю - проверяя включен он, или нет. Можно как то отключить такое поведение? Чтобы модем был выключен и включался только когда основной интернет отсутствует по проверке. Понимаю, что в таком случае можно проморгать момент когда сам модем сломается или не в сети, но это менее приоритетно, чем полная потеря выгоды от тарифа... Спасибо.

А теперь ну очень внезапный и глупый вопрос: Вот в этом режиме работы с двумя сегментами без изоляции... У меня DHCP сервера из разных сетей конфликтовать не будут? Запросы такого рода оно тоже пропускает? 67-68 порты намеренно закрыть стоит?

спасибо. сделать получилось, но по этой статье: https://help.keenetic.com/hc/ru/articles/213968089-Настройка-резервирования-подключения-между-двумя-интернет-центрами на вышеобозначенном роутере прописали no isolate-private (неожиданный момент, да ещё и через телнет... хотя бы подписано бы было в интерфейсе что по умолчанию связи нема) на роутере, являющемся шлюзом для сети 192.168.8.0\22 прописали статичный маршрут к 192.168.3.0\24 и ещё на его сетевом экране трафик разрешили. всё завелось. как бывает в маленьких, но очень гордых, и считающих себя большими, конторах - так исторически сложилось ?

Доброго времени суток. Допускаю что вопрос возможно не столько касается оборудования keenetic и его ОС, а скорее моих навыков работы, но как то не получается раскурить ситуацию - возможно найдёте уместным подсказать мне. Упрощённая до предела схема моей сети такова: Задача: получить доступ к оборудованию, находящемуся в другом сегменте сети. Без каких либо дополнительных настроек компьютер пингует адрес маршрутизатора во втором сегменте (.9.12) хотя я не понимаю каким образом... Больше ничего НЕ из своего сегмента не пингует, разумеется. Задать правила сетевого экрана, пропускающие пакеты из первой подсети во вторую пробовали (применительно к первому сегменту), задать статичный маршрут до сети 192.168.8.0 со шлюзом .9.12 пробовали, прописать на компьютере route add 192.168.8.0 mask 255.255.252.0 192.168.9.12 пробовали. Всё вышеперечисленное одновременно тоже, соответственно, пробовали. Подскажите пожалуйста, в какую сторону копать. Спасибо.