none
TMG 2010 отправляет пакеты с неверного интерфейса RRS feed

  • Вопрос

  • Доброго дня, коллеги!

    Обновил ISA 2006 до TMG 2010, возникла странная проблема: в одну из сетей ракеты почему-то с какого-то момента начинают отправляться с другого интерфейса (по умолчанию) и отправка, конечно, становится недоступной. При этом переключиться он может буквально "вдруг".

    При этом в таблице маршрутизации сеть прописана с интерфейсом (пытался прописывать и через маршруты топологии сети), адрес и роутера для нее и ее самой пробовал прописывать в внутренних сетях и как отдельные сети - результата никакого. Основная внутренняя сеть и доступ в интернет работают нормально. ПРобовал прописать его как второй интерфейс в балансировке нагрузки - тоже никаких изменений.

    При этом если нагрузки нет - ночью, например, все работает нормально - пинги без потерь, маршрут верный. На ISA 2006 такого фокуса не было.

    Порядок интерфейсов проверен. IP6 отключен.

    Конфигурация системы: Windows 2008 SP2 64bit, TMG 2010 SP2, другого спец-софта на машине нет.

    Интерфейсы:
    172.16.27.11/23 - внутренняя сеть, 195.208.65.164/30 - внешний (маршрутизатор по умолчанию)
    10.128.124.3/25 - интерфейс к той самой сети, маршрутизация должна идти через 10.128.124.1

    А TMG вдруг начинает отправлять через 195.208.65.165 - тот, конечно, сообщает о недоступности и все.

    Таблица маршрутизации:

    IPv4 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0   195.208.65.165   195.208.65.166    286
            10.78.0.0      255.255.0.0     10.128.124.1     10.128.124.3     11
        10.128.20.128  255.255.255.128     10.128.124.1     10.128.124.3    138
         10.128.124.0  255.255.255.128         On-link      10.128.124.3    266
         10.128.124.3  255.255.255.255         On-link      10.128.124.3    266
       10.128.124.127  255.255.255.255         On-link      10.128.124.3    266
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
          172.16.24.0    255.255.252.0         On-link      172.16.27.11    266
         172.16.27.11  255.255.255.255         On-link      172.16.27.11    266
        172.16.27.255  255.255.255.255         On-link      172.16.27.11    266
          172.16.29.0    255.255.255.0         On-link     172.16.29.254    266
        172.16.29.254  255.255.255.255         On-link     172.16.29.254    266
        172.16.29.255  255.255.255.255         On-link     172.16.29.254    266
       195.208.65.164  255.255.255.252         On-link    195.208.65.166    266
       195.208.65.166  255.255.255.255         On-link    195.208.65.166    266
       195.208.65.167  255.255.255.255         On-link    195.208.65.166    266
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link      172.16.27.11    266
            224.0.0.0        240.0.0.0         On-link     172.16.29.254    266
            224.0.0.0        240.0.0.0         On-link    195.208.65.166    266
            224.0.0.0        240.0.0.0         On-link      10.128.124.3    266
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link      172.16.27.11    266
      255.255.255.255  255.255.255.255         On-link     172.16.29.254    266
      255.255.255.255  255.255.255.255         On-link    195.208.65.166    266
      255.255.255.255  255.255.255.255         On-link      10.128.124.3    266
    ===========================================================================
    Постоянные маршруты:
      Сетевой адрес            Маска    Адрес шлюза      Метрика
            10.78.0.0      255.255.0.0     10.128.124.1       1
        10.128.20.128  255.255.255.128     10.128.124.1     256
    ===========================================================================

    Сеть, к которой пытаюсь "достукиваться" - 10.128.20.128/25

    Потом может вдруг очнуться - ненадолго.

    Что это? Почему TMG такое делает? Если идеи есть - поделитесь...

    26 марта 2013 г. 8:19

Все ответы

  • 10.128.20.0/17 10.128.124.0/17 и 10.78.0.0/16 вписаны в отдельный network на tmg?
    интерфейс случайно не отваливается, предупреждений в логах нет?
    26 марта 2013 г. 11:08
    Отвечающий
  • Вписывал  отдельным объектом - никакой разницы. Некоторое время работает, потом отваливается.

    Мне кажется, наличие отдельной сети никак на выбор интерфейса отправки влияет?

    Интерфейс сам по себе работает. Например, 10.128.124.2 (соседняя машина) пингуется без проблем.

    Как нагрузка уменьшается - он начинает только некоторые пакеты туда отправлять (картинку приложить не могу, запись не проверена. Если интересно - выложу отдельно). То есть пинг идет с провалами.

    26 марта 2013 г. 12:47
  • должны быть отдельным объектом, так как это определяет топологию в tmg, иначе может ругаться на маршруты. простое правило облегчает жизнь: отдельный интерфейс = отдельный network. само собой никакого участия этого интерфейса в балансировке провайдеров - он же не провайдерский и через него в интернет не ходят.

    проверяй логи винды, есть вероятность что под нагрузкой интерфейс тупо ложится и маршруты прописанные через него становятся неактивными, в этом случае срабатывает маршрут по умолчанию и все идет через внешний. возможно надо поиграть с настройкой драйверов или обновить драйвера с прошивкой карточки. кстати сетевая карта такая же как на внешнем и внутреннем или отдельная?

    26 марта 2013 г. 15:40
    Отвечающий
  • Отдельный объект создал, лучше не стало - провалы под нагрузкой все равно остались (с соседней машины их нет, канал свободен).

    Балансировку  включал только затем, чтобы точно указать адреса для него (долю его в указывал в 0%). 

    Драйвера - новее некуда, обновил перед установкой (Недели не прошло). Интерфейс - виртуальный на серверной карте Интел, никаких сообщений в логах нет, под ISA 2006 ничего не происходило, а тогда нагрузка была - он работал (сейчас вообще нагрузку с интерфейса убрал).

    Внешний и внутренний интерфейсы на разных физических картах,  для этого интерфейса и интернет карта одна - на ней два VLAN. Причем отключающийся - нативный, нетегированный.

    Если бы интерфейс "ложился" - то он бы вообще не работал, а так - теряет только пакеты на маршрутизатор 10.128.124.1




    26 марта 2013 г. 18:13
  • Так что, коллеги, идеи у кого-нибудь есть? Под ISA 2006 такая конфигурация работала без проблем....
    4 апреля 2013 г. 11:45