Проблемы с интернет-модемом, нет связи, работают не все протоколы Опции

[nikolaevich]

Помогите разобраться с проблемой.
В локальной доменной сети (Win2003 ) некоторые компьютеры - ноутбуки (Winxp sp3). В офисе они соединены по LAN и используют централизованный интернет. Вне офиса используются интернет-модемы. До середины августа все работало, но вдруг с какого-то момента перестал правильно работать интернет через интернет-модем.

Неправильно- это значит авторизация, коннект происходит, скайп работает, а ни один браузер не отображает страниц. Пинг не проходит. Эта же проблема и через Wimax модем и пчелайн-модем и мегафон-модем.

Отключаю брендмауер, никаких файерволов больше нет.
В настройках как IE так и Firefox все настройки по умолчанию. Никаких ограничений и прокси-серверов не указано.

ipconfig /all показывает полученный адрес, ДНС, Винс и шлюз.
Обратил внимание что адрес Шлюза и самого адаптера совпадают. (но так и надо)

Пытаюсь пинговать что-либо. Ничего не пингуется кроме адреса самого модема, ДНС-сервера, Винс-сервера, шлюза.
Обращаю внимание, что коннект есть. Работает скайп и можно наблюдать трафик хоть и маленький через программу, которая прилагается к модему. Мало того, один раз программа определила, что пора обновляться, скачала около 4 мегабайт и обновила программу.

Далее, как только втыкаешь шнурок LAN - начинает все пинговаться, нормально отображаются страницы в браузерах, в программе от модема видно, что трафик происходит именно через _модемное_ соединение - по статистике и по графикам.

Если выдернуть шнурок LAN - все продолжает работать в пределах того же сайта. Можно пинговаться, ходить по внутренним папкам сайта. Стоит пойти по ссылке на другой сайт и... все останавливается.

При установке этих же модемов на другие компьютеры (не относящиеся к нашему домену) все работает без проблем. Как только ввести его в наш домен, работа прекращается.

Такое ощущение, что какое-то обновление безопасности Майкрософт что-то блокировало или что-то произошло с групповыми политиками, но я и мой админ не можем найти это.

Жду с нетерпением комментариев, предположений.

Сообщение было отредактировано nikolaevich: 29.09.2009 - 14:33

[YScratch]

Что-то мне кажется, что ДНС у тебя прописался LAN-овский. Пока есть LAN -- он находит куда ходить и ходит через модем, нет LANа (а значит ДНС не доступен) -- вот и не знает куда ходить.

[reindeer]

А компьютерам выдан IP автоматически или вручную? Мне кажется что если попробуешь сделать выдачу через DHCP то и на модемах будет работать.
PS. YScratch прав

Сообщение было отредактировано reindeer: 30.09.2009 - 07:38

[nikolaevich]

В моей системе нет DHCP. Адреса для LAN интерфейсов раздаются вручную. Но для интерфейса Интернет-модема все настройки получаются автоматически от провайдера. В том числе ip адрес с маской. Команда ipconfig /all показывает DNS в каждом интерфейсе свой.

Дело в том, что если пинговать интернет по ip адресу, а не по имени, то пинг тоже не проходит. Выходит, дело не в DNS.

Как мне проверить, что "DNS прописался LANовский"?

Сообщение было отредактировано nikolaevich: 30.09.2009 - 10:57

[YScratch]

nikolaevich
что можно еще сделать...
1. Проверить, чтобы в модемных настройках небыло ничего (в т.ч. и ДНС) не прописано жестко, все должно быть на автомате.
2. Полюбопытствовать меняется ли routing при выдергивании шнура из сетевухи (смотреть: route print, адрес 0.0.0.0 должен смотреть в модем). Хотя.... если нет? ну не знаю... просто может мысли какие прийдут когда будешь смотреть как изменяется роутинг до соединения модема с инетом и после.
3. Снести сетевые устройцтва на компе нафик и установить их заново -- помагает от многих непонятных глюков.

[nikolaevich]

1) В модемном устройстве все прописано динамически. Это соединение создает программа, записанная в модем и устанавливаясь, не предлагает ничего изменить, так что и воздействовать на нее не удастся.

2) Привожу результаты Route print

10.231.140.216 - адрес получен динамически.
192.168.10.51 - Адрес мой в локалке.

Route print на _работающей_ системе:

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.231.140.216 10.231.140.216 1
10.231.140.216 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.231.140.216 10.231.140.216 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.231.140.216 10.231.140.216 1
Основной шлюз: 10.231.140.216

Добавлено:
Та же фигня на _НЕработающей системе_:

10.231.183.176- адрес получен динамически

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.231.183.176 10.231.183.176 1
10.231.183.176 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.231.183.176 10.231.183.176 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.231.183.176 10.231.183.176 1
255.255.255.255 255.255.255.255 10.231.183.176 10.231.183.176 1
Основной шлюз: 10.231.183.176

3) Попробую снести сетевухи. Спасибо.

[YScratch]

На вид все как должно быть... только вот ты говорил, что для того чтоб система работала, нужно втыкнуть LAN. Ну и где ж он в роутинге? Я ж так подозревал, что в этом случа должны в роутинге учавствовать и локальные подсеть 192.168.10.0 ...

[nikolaevich]

Да, выше даны варианты когда компьютер еще не побывал в домене и когда уже был введен в домен через LAN интерфейс после чего перестал работать через модем.

А теперь вариант, когда оба интерфейса включены и трафик через модем при этом пошел..


=====================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 80 48 26 11 a9 ...... Realtek RTL8139 Family PCI Fast Ethernet NIC - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
0x40004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
=====================================================================
=====================================================================


Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.231.234.191 10.231.234.191 1
0.0.0.0 0.0.0.0 192.168.11.240 192.168.10.175 20
10.231.234.191 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.231.234.191 10.231.234.191 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.10.0 255.255.254.0 192.168.10.175 192.168.10.175 20
192.168.10.175 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.10.255 255.255.255.255 192.168.10.175 192.168.10.175 20
224.0.0.0 240.0.0.0 192.168.10.175 192.168.10.175 20
224.0.0.0 240.0.0.0 10.231.234.191 10.231.234.191 1
255.255.255.255 255.255.255.255 10.231.234.191 10.231.234.191 1
255.255.255.255 255.255.255.255 192.168.10.175 192.168.10.175 1
Основной шлюз: 10.231.234.191
=====================================================================
Постоянные маршруты:
Отсутствует



А вот шнурок выдернули
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 80 48 26 11 a9 ...... Realtek RTL8139 Family PCI Fast Ethernet NIC - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
0x40004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.231.234.191 10.231.234.191 1
10.231.234.191 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.231.234.191 10.231.234.191 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.231.234.191 10.231.234.191 1
255.255.255.255 255.255.255.255 10.231.234.191 10.231.234.191 1
255.255.255.255 255.255.255.255 10.231.234.191 2 1
Основной шлюз: 10.231.234.191
===========================================================================
Постоянные маршруты:
Отсутствует

Сообщение было отредактировано nikolaevich: 15.10.2009 - 15:30

[YScratch]

как по мне... так все нормально (IMG:style_emoticons/bfz/icon_g.gif) (хотя и коробит маска вашей сети 255.255.254.0)
Значит в доменных политиках накрутили что-то. У тебя ж остался пользователь "не доменный" на ноуте, попробуй зайди им и законекться по модему. Если работает инет -- значит дело в домене. Не работает... ну вирусы какие-то хитрые типа "глюков третьего рода".
Если дело в домене, можно попробовать разрешить доменному пользователю быть администратором локального ноута (IMG:style_emoticons/bfz/blush2.gif)

P.S.
На правах бредового предположения, может у вас в домене трафик весь шифруется и ноут без какого-то сервера-шифратора никуда не может пойти...

Сообщение было отредактировано YScratch: 15.10.2009 - 20:41

[nikolaevich]

как по мне... так все нормально (IMG:style_emoticons/bfz/icon_g.gif) (хотя и коробит маска вашей сети 255.255.254.0)
Значит в доменных политиках накрутили что-то. У тебя ж остался пользователь "не доменный" на ноуте, попробуй зайди им и законекться по модему. Если работает инет -- значит дело в домене. Не работает... ну вирусы какие-то хитрые типа "глюков третьего рода".
Если дело в домене, можно попробовать разрешить доменному пользователю быть администратором локального ноута (IMG:style_emoticons/bfz/blush2.gif)

P.S.
На правах бредового предположения, может у вас в домене трафик весь шифруется и ноут без какого-то сервера-шифратора никуда не может пойти...

1) что плохого в этой маске? в моей сети адреса с 192.168.10.х по 192.168.11.х
2) компы, не побывавшие в домене, с модемами работают нормально. Их много.
3) компы хотя бы раз отработавшие ГП домена уже не работают с модемами, даже после выведения из домена.
4)При всех экспериментах пользователь работает от лица администратора как локального компьютера, так и администратора сети. Насчет ГП я предположил с самого начала, но беда в том, что непонятно какая именно часть ГП влияет на это. Просмотрено все уже 100 раз.
5) трафик не шифруется.
6) через модем в ЛЮБОМ случае работает Аська, Скайп и обновления программ. Соответственно предполагаю, что UDP в данном случае не фильтруется. Проблема только в TCP.

Какой еще эксперимент провести, чтобы определить, ЧТО ИМЕННО запретила одна из политик?
Я в отчаянии...

[YScratch]

Прикольна! Не.... ну ты если разберешься, обязательно расскажи, уже и самому интересно стало.

Хочу сказать, обновления программ ну явно не по UDP работают, а по TCP. Посему возвращаемся с чего начали -- имхо... работает все для чего не нужен DNS. А для того чтобы комп зарегистрировался в домене правильно, нуна чтобы DNS был настроен у него на PDC. Вопрос, почему при подключении по модему правильным DNS-ом не становится модемный.

Для проверки этой теории можно установить на ноут файервол, которым можно логить все пакеты сети (Agnitum Outpost?, Kerio Winroute) и посмотреть куда ломится ноут при модемном соединении с инетом.

Сообщение было отредактировано YScratch: 16.10.2009 - 20:30

[Val14]

nikolaevich

Просмотрено все уже 100 раз.

Ну если 100, то может попробвать 101 ? взять свежий ноут, сделать снимок реестра до и после входа в домен ( Например http://regshot.ru/20/) и попытаться понять что изменилось ? Конечно, смотреть не все пордряд, а области Политик. работа, конечно, не пыльная... но если нет иных идей....

YScratch Только не Kerio Winroute. Он - сетевой экран, софтовый маршрутизатор, но не фаервол.
Конечно, можно и его настроить... но это сколько крови придется отдать.........

[nikolaevich]

Спасибо за подсказки.

В общем шли по тому же пути. И реестры фотографировали и логи расшифровывали. В результате все же 16-го числа нашли. Оказывается, посредством ГП был принудительно прописан DNS в одной из веток. Странно, что утилиты типа route не показывали фактический DNS.

Сообщение было отредактировано nikolaevich: 20.10.2009 - 12:35

[YScratch]

Поздравляю с победой (IMG:style_emoticons/bfz/thumbsup.gif)