Подключение ФПСУ IP клиента к ФПСУ серверу в рабочий день

sergey.s.betke

sergey.s.betke

Well-Known Member
<r>Добрый день.
Опишу одну из проблем, которая возникает у нас с одним конкретным ФПСУ сервером банка: <B><s></s>84.204.34.245<e></e></B>. От нас до этого узла - 10 hop'ов. Канал - 6 Мбод, ping - 5-6 мс, стабильный.
Но за пределами рабочего дня ФПСУ клиента с указанным сервером устанавливает соединение с первого раза, в начале дня и в конце - с 5-9 раза, а с 10-00 до 16-00 - раза с 30ого.
Начал разбираться, в чём же дело. Запускаю Network monitor на том хосте, на котором установлен ФПСУ IP клиент. пакеты захватываю по фильтру <B><s></s>(udp and ((udp.dstPort==87) or (udp.srcPort==87)))<e></e></B>. Пытаюсь подключиться ФПСУ клиентом. Вижу в Network Monitor исходящий пакет на ФПСУ банка. <B><s></s>Ответный пакет приходит, но приходит через 9 секунд!!!<e></e></B> Естественно, клиент его не дожидается и успевает уже послать следующий пакет. И так длится до тех пор, пока ФПСУ сервер банка не соизволит ответить сразу - в пределах 500-600 мс, в этом случае ФПСУ клиент устанавливает соединение, и дальше всё работает относительно стабильно.
Грешить на нашу сеть и на провайдера не стоит - с той же машины до другого ФПСУ сервера (до местного отделения банка) соединение устанавливается с первого раза, потому как и по Network Monitor'у видно, что ответ приходит в пределах 200 мс.
Обращался в банк с просьбой сменить ФПСУ сервер. Они ответили, что для СПЭД в нашем регионе один ФПСУ сервер, и они ничего поменять не могут. Поэтому нам придётся решать проблему с огромными задержками при подключении именно к указанному ФПСУ именно в рабочее время (как только заканчивается рабочий день указанный сервер так же отвечает "моментально" - 500-600мс).
Вопросы:
- с чем могут быть связаны столько существенные задержки с ответом со стороны ФПСУ сервера банка? (9 секунд - я не утрирую. Ровно 9 секунд плюс минус 500 мс). И почему именно 9 секунд (цифра не "плавает" в течение дня - либо 9 секунд, либо ответ сразу (500-600 мс)?
- Как мы можем со своей стороны (со стороны ip клиента) повлиять на этот процесс?
- есть ли возможность увеличить время ожидания ответа на клиенте от ФПСУ банка до 15 секунд? (если клиент дождётся ответа, пусть и через 9 секунд, я уверен - соединение будет установлено успешно, ответ то приходит). Причём не интервал между повторными запросами, а именно время ожидания (интервал меняли, ничего не изменилось).

Для последнего предложения устроит и какая-нибудь тестовая версия клиента, у которой, скажем, в реестре будет параметр - время ожидания в мс, или в с. ну или просто будет в коде прописан таймаут в 15 секунд.

P.S. на всякий случай покажу маршрут от нас до ФПСУ сервера:

tracert 84.204.34.245

2 <1 мс <1 мс <1 мс gw-garo.natm.ru [213.148.164.197]
3 2 ms <1 мс <1 мс tts-l3-10g-core.natm.ru [213.148.160.12]
4 3 ms 2 ms 2 ms gway-tge0-2.natm.ru [78.81.0.254]
5 1 ms <1 мс <1 мс ge-0-1-0-v988.2g.m320-1-novg.nwtelecom.ru [212.48.214.53]
6 4 ms 3 ms 29 ms ae2-20g.mx960-1-210.nwtelecom.ru [212.48.194.113]
7 4 ms 3 ms 3 ms as20632-peterstar-spb.nwtelecom.ru [212.48.194.166]
8 4 ms 3 ms 3 ms mx960-1-325-spb-ru.xe-0-1-0-7.peterstar.net [82.196.95.198]
9 4 ms 4 ms 4 ms 213.172.0.38
10 * * * Превышен интервал ожидания для запроса.

ФПСУ сервер не отвечает без поднятого VPN. Но маршрут виден.
P.S. со слов работников местного отделения банка проблема такая тоьлко у нас. Они практически из той же сети (провайдер один и тот же у нас, и автономная система одна) прекрасно устанавливают соединение с этим ФПСУ в то время, когда у нас возникают проблемы. Причём проблемы только с этим ФПСУ. с другим ФПСУ, как уже писал, соединение устанавливается с первой попытки.

Разрабочики, форумчане, дайте совет. Также прошу сообщить, наблюдаются ли ещё у кого подобные задержки (только прошу Вас указывать адрес ФПСУ сервера, с которым проблемы. Если мы наберём достаточное количество жалоб на конкретный ФПСУ сервер - будем с чем идти к руководству банка. Сейчас же они утверждают, что проблемы только у нас).</r>
 
<r>Добрый день.
Если ответ от сервера, с которым предполагается установить соединение приходит через 9 секунд, очевидно имеет место проблема доступности этого сервера.

Если вы попытаетесь обменяться пакетами с произвольным узлом в сети, используя например команду ping, то с такой задержкой вы гарантированно получите "Превышено время ожидания ответа" что будет свидетельствовать о недоступности этого узла.
<QUOTE><s>
</s>
ping - 5-6 мс, стабильный
<e>
Нажмите для раскрытия...
</e></QUOTE>
ping до чего у вас стабильный? До соседнего маршрутизатора? ping до ФПСУ у вас закрыт, трассировка до ФПСУ не доходит.
<QUOTE><s>
</s>
Грешить на нашу сеть и на провайдера не стоит - с той же машины до другого ФПСУ сервера (до местного отделения банка) соединение устанавливается с первого раза, потому как и по Network Monitor'у видно, что ответ приходит в пределах 200 мс.
<e>
Нажмите для раскрытия...
</e></QUOTE>
Здесь вы в корне неправы. Серверы ФПСУ, насколько я понимаю, находятся у вас в разных сетях, соответственно и маршруты до них у вас будут разные. Судя по приведенному вами результату трассировки, данный сервер с адресом 84.204.34.245 у вас как раз недоступен.</r>
 
По поводу ping - обратите внимание на tracert из моего поста - до последнего перед ФПСУ банка маршрутизатора - 5-6 мс. Об этом и говорил. И второе - поднимаю VPN до этого ФПСУ (когда удаётся) - и пинг до ФПСУ через туннель - те же 5-6 мс стабильно. Отсюда делаю вывод - не в провайдерах проблема. Или я неправ?

Естественно, до указанных двух ФПСУ разные маршруты. Они в совершенно разных автономных системах размещаются. Вопрос то в том, откуда при 5-6мс задержка возникает задержка с ответом в 9 секунд?

И кроме того, я же писал - ситуация не наблюдается постоянно. Эпизодически в течение дня ФПСУ банка отвечает через 500-600мс, и связь поднимается. И после этого внутри VPN задержки постоянные - 5-6 мс до сервера банка уже за ФПСУ банка. Отсюда опять вывод - ну при чём здесь провайдеры?

Проблема возникает только на этапе подключения. И проблема только с ответом ФПСУ банка. В этоже время ping до ближайшего к ФПСУ банка маршрутизатора (10 hop'ов из 11) не показывает ничего криминального - 4-6 мс.

Складывается впечатление, что из каких-либо соображений так отвечает именно ФПСУ банка. за пределами рабочего дня он отвечает исправно.

Господа разработчики и коллеги форумчане: не подскажете ли, может ли банк по своей инициативе таким лихим образом "мягко" посылать клиентов в периоды загруженности сервера? Кстати - мы для этого ФПСУ "из другого города". Есть ли у специалистов банка настроить подобные "политики", исходя из адресов подсетей?

Вопрос подобный задаю вот почему. Когда мы "прикидываемся" резидентами СПб (до коллег в СПб поднимаю VPN, и выхожу уже через их NAT дальше) - узлов по пути по факту ещё больше, но задержек с ответом не возникает. Что за чудеса, кто наведёт на мысли?
 
<r><QUOTE><s>
</s>Вопрос то в том, откуда при 5-6мс задержка возникает задержка с ответом в 9 секунд? <e>
Нажмите для раскрытия...
</e></QUOTE>
Задержка очевидно возникает между маршрутизатором банка и ФПСУ.

В любом случае нужно искать причину этой задержки, поскольку если даже соединение у вас устанавливалось бы, работа вряд ли была бы возможной.
<QUOTE><s>
</s>не подскажете ли, может ли банк по своей инициативе таким лихим образом "мягко" посылать клиентов в периоды загруженности сервера<e>
Нажмите для раскрытия...
</e></QUOTE>
Надо посмотреть пропущенные пакеты на ФПСУ-есть ли такие. Их наличие можно связать с загрузкой канала связи.</r>
 
Вся проблема в том, что после установки соединения пинги 5-6мс и связь держится минут 40 легко. Так в сети ли проблема?
 
Минут 40? А дальше что? Туннель вообще не должен падать.
 
<r>А дальше - падает. И со слов техподдержки банка - "всё строго по плану". "При отсутствии обмена канал через 40 минут разрывается", типа "он точно узнавал, так всё и настроено". Бред, естественно, просто, как мне кажется, провляются последствия перегрузки сервера, они же сейчас к уже нагруженному серверу целый город сверху добавляют.

Так чёрт с ним, с разрывом. Проблема в том, что потом подключиться не получается долго. Раза с 30ого, а то - и того дольше. А вечером и ночью канал не падает - стабильно держится <E>:-)</E></r>
 
Почему бред. На ФПСУ-IP реализован keep-alive - временной интервал, по истечении которого после получения последних данных от клиента МЭ будет производить контроль соединения с ним. В случае отсутствия связи соединение будет сброшено.
Насчет перегрузки сервера. ПАК ФПСУ-IP может одновременно обслуживать до 128 тыс. клиентов. Уверен, такого количества клиентов в Вашем регионе нет.

Сергей, предлагаю продолжить обсуждение проблем с подключением в какой-то одной теме. Сложно прыгать из одной темы в другую, да другим будет понятнее, если все будет описано в одном месте.
 
Спасибо, Дмитрий, за ответ. Обсуждение проблемы с подключением продолжим здесь, утром логи сюда кидать буду. Вторая ветка была про MTU, там только MTU и будем обсуждать. Утром будут логи.
 
<r>Итак, логи. Но перед ними пару слов. Сейчас (только что проверяли) соединение с серым ip на интерфейсе с фильтром ФПСУ установилось с 10-12 раза (3 раза пробовали), при смене ip на белый - с 2 раза (как ни странно - стабильно именно со второго, тоже 3 раза пробовали).

Итак, лог ФПСУ клиента. Для начала приведу лог того, что происходит ночью:
<CODE><s>
Код: 
</s><i>
</i>2011.10.18; 04:47:42.536; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:48:39.786; Service.cpp:3332; AmiVpnThreadFunction; AmiVpnEvent
2011.10.18; 04:48:39.817; DrvAppFunctions.cpp:1302; OnDriverEvent; Signal from drv LINK_STATUS_CHANGED
2011.10.18; 04:48:43.692; Service_Threads.cpp:174; ServiceThread_ConnectToFPSU_Function; Attempt 1
2011.10.18; 04:48:43.708; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:48:43.739; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:48:43.770; Service.cpp:837; ConnectToFpsu; CS_NOINIT
2011.10.18; 04:48:43.880; Service.cpp:855; ConnectToFpsu; CS_HARDWARETEST
2011.10.18; 04:48:43.895; DrvAppFunctions.cpp:430; testHw; Testing VPN-Key 4.30.3702 with SN:
32 00 38 00 39 00 34 00 38 00 48 00 2011.10.18; 04:48:43.973; DrvAppFunctions.cpp:452; testHw; TST_0
2011.10.18; 04:48:44.005; Service.cpp:871; ConnectToFpsu; CS_APP_SYNRQ
2011.10.18; 04:48:44.036; Service.cpp:905; ConnectToFpsu; CS_PCONNECTING - not using proxy
2011.10.18; 04:48:44.067; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:48:50.348; Service_Threads.cpp:174; ServiceThread_ConnectToFPSU_Function; Attempt 2
2011.10.18; 04:48:50.380; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:48:50.411; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:48:50.427; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:48:56.708; Service_Threads.cpp:174; ServiceThread_ConnectToFPSU_Function; Attempt 3
2011.10.18; 04:48:56.739; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:48:56.770; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:48:56.801; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:49:03.083; Service_Threads.cpp:174; ServiceThread_ConnectToFPSU_Function; Attempt 4
2011.10.18; 04:49:03.114; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:49:03.130; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:49:03.161; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:49:09.442; Service_Threads.cpp:174; ServiceThread_ConnectToFPSU_Function; Attempt 5
2011.10.18; 04:49:09.489; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:49:09.505; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:49:09.536; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:49:15.817; Service_Threads.cpp:174; ServiceThread_ConnectToFPSU_Function; Attempt 6
2011.10.18; 04:49:15.848; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:49:15.879; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:49:15.911; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:49:22.192; Service_Threads.cpp:174; ServiceThread_ConnectToFPSU_Function; Attempt 7
2011.10.18; 04:49:22.223; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:49:22.254; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:49:22.286; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:49:28.567; Service_Threads.cpp:174; ServiceThread_ConnectToFPSU_Function; Attempt 8
2011.10.18; 04:49:28.583; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:49:28.614; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:49:28.645; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:49:34.926; Service_Threads.cpp:174; ServiceThread_ConnectToFPSU_Function; Attempt 9
2011.10.18; 04:49:34.957; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:49:34.989; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:49:35.004; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:49:41.301; Service_Threads.cpp:174; ServiceThread_ConnectToFPSU_Function; Attempt 10
2011.10.18; 04:49:41.317; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:49:41.348; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:49:41.379; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:49:47.661; Service.cpp:3332; AmiVpnThreadFunction; AmiVpnEvent
2011.10.18; 04:49:47.661; Service_Threads.cpp:193; ServiceThread_ConnectToFPSU_Function; Switching to alternate FPSU and connecting
2011.10.18; 04:49:47.692; DrvAppFunctions.cpp:1302; OnDriverEvent; Signal from drv LINK_STATUS_CHANGED
2011.10.18; 04:49:47.723; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 1 using alternal FPSU
2011.10.18; 04:49:47.770; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:49:47.801; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:49:47.817; Service.cpp:837; ConnectToFpsu; CS_NOINIT
2011.10.18; 04:49:47.942; Service.cpp:855; ConnectToFpsu; CS_HARDWARETEST
2011.10.18; 04:49:47.957; DrvAppFunctions.cpp:430; testHw; Testing VPN-Key 4.30.3702 with SN:
32 00 38 00 39 00 34 00 38 00 48 00 2011.10.18; 04:49:48.020; DrvAppFunctions.cpp:452; testHw; TST_0
2011.10.18; 04:49:48.051; Service.cpp:871; ConnectToFpsu; CS_APP_SYNRQ
2011.10.18; 04:49:48.082; Service.cpp:905; ConnectToFpsu; CS_PCONNECTING - not using proxy
2011.10.18; 04:49:48.114; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:49:54.379; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 2 using alternal FPSU
2011.10.18; 04:49:54.410; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:49:54.426; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:49:54.457; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:50:00.739; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 3 using alternal FPSU
2011.10.18; 04:50:00.770; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:50:00.801; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:50:00.832; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:50:07.114; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 4 using alternal FPSU
2011.10.18; 04:50:07.145; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:50:07.176; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:50:07.207; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:50:13.488; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 5 using alternal FPSU
2011.10.18; 04:50:13.504; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:50:13.535; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:50:13.567; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:50:19.848; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 6 using alternal FPSU
2011.10.18; 04:50:19.879; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:50:19.910; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:50:19.926; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:50:26.207; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 7 using alternal FPSU
2011.10.18; 04:50:26.238; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:50:26.270; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:50:26.285; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:50:32.566; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 8 using alternal FPSU
2011.10.18; 04:50:32.598; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:50:32.629; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:50:32.645; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:50:38.926; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 9 using alternal FPSU
2011.10.18; 04:50:38.957; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:50:38.973; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:50:39.004; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 04:50:45.285; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 10 using alternal FPSU
2011.10.18; 04:50:45.316; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 04:50:45.348; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 04:50:45.363; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
<e>
</e></CODE>
Видно, что интервал между попытка существенно меньше 9 секунд - порядка 6.5 секунд. Поэтому при ответе через 9 секунд (ранее показывал логи network monitor'а, там виден интервал от запроса до ответа в 9 секунд) клиент просто не дожидается ответа.
<B><s></s>Но странно при этом другое<e></e></B>. Клиент (ведь network monitor работает на клиенте) получает обратный пакет, то есть <B><s></s>сервер отвечает ему<e></e></B>! Может быть, просто необходимо увеличить время ожидания ответа от сервера?

Продолжим с логами. Пример того, что происходило утром (сегодня), клиент продолжал попытки реконнекта:
<CODE><s>
Код: 
</s><i>
</i>2011.10.18; 08:02:49.008; Service.cpp:3332; AmiVpnThreadFunction; AmiVpnEvent
2011.10.18; 08:02:49.008; Service_Threads.cpp:193; ServiceThread_ConnectToFPSU_Function; Switching to alternate FPSU and connecting
2011.10.18; 08:02:49.023; DrvAppFunctions.cpp:1302; OnDriverEvent; Signal from drv LINK_STATUS_CHANGED
2011.10.18; 08:02:49.039; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 1 using alternal FPSU
2011.10.18; 08:02:49.070; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 08:02:49.101; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 08:02:49.117; Service.cpp:837; ConnectToFpsu; CS_NOINIT
2011.10.18; 08:02:49.226; Service.cpp:855; ConnectToFpsu; CS_HARDWARETEST
2011.10.18; 08:02:49.242; DrvAppFunctions.cpp:430; testHw; Testing VPN-Key 4.30.3702 with SN:
32 00 38 00 39 00 34 00 38 00 48 00 2011.10.18; 08:02:49.273; DrvAppFunctions.cpp:452; testHw; TST_0
2011.10.18; 08:02:49.320; Service.cpp:871; ConnectToFpsu; CS_APP_SYNRQ
2011.10.18; 08:02:49.336; Service.cpp:905; ConnectToFpsu; CS_PCONNECTING - not using proxy
2011.10.18; 08:02:49.351; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 08:02:55.617; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 2 using alternal FPSU
2011.10.18; 08:02:55.648; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 08:02:55.664; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 08:02:55.695; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 08:03:01.976; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 3 using alternal FPSU
2011.10.18; 08:03:02.008; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 08:03:02.039; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 08:03:02.054; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 08:03:08.320; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 4 using alternal FPSU
2011.10.18; 08:03:08.336; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 08:03:08.351; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 08:03:08.367; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 08:03:14.648; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 5 using alternal FPSU
2011.10.18; 08:03:14.664; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 08:03:14.679; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 08:03:14.711; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 08:03:20.976; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 6 using alternal FPSU
2011.10.18; 08:03:20.992; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 08:03:21.007; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 08:03:21.023; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 08:03:27.304; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 7 using alternal FPSU
2011.10.18; 08:03:27.320; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 08:03:27.351; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 08:03:27.367; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 08:03:33.632; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 8 using alternal FPSU
2011.10.18; 08:03:33.648; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 08:03:33.695; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 08:03:33.711; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 08:03:39.976; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 9 using alternal FPSU
2011.10.18; 08:03:40.007; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 08:03:40.023; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 08:03:40.039; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 08:03:46.304; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 10 using alternal FPSU
2011.10.18; 08:03:46.335; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 08:03:46.351; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 08:03:46.382; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
<e>
</e></CODE>
ничего не поменялось, не так ли? Ip - серый.

Опять серый ip, руками прекратили попытки клиента на коннект и через контекстное меню снова - коннект:
<CODE><s>
Код: 
</s><i>
</i>2011.10.18; 08:12:42.613; Service.cpp:3332; AmiVpnThreadFunction; AmiVpnEvent
2011.10.18; 08:12:42.644; DrvAppFunctions.cpp:1302; OnDriverEvent; Signal from drv LINK_STATUS_CHANGED
2011.10.18; 08:12:45.598; Service.cpp:2380; LoginVpnKey; VPN-Key was logged - logout
2011.10.18; 08:12:46.363; Service_Threads.cpp:295; ServiceThread_ConnectToFPSU_Function; ConnectToFPSU thread closed
2011.10.18; 08:12:46.551; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 08:12:46.566; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 08:12:46.598; Service.cpp:837; ConnectToFpsu; CS_NOINIT
2011.10.18; 08:12:46.707; Service.cpp:855; ConnectToFpsu; CS_HARDWARETEST
2011.10.18; 08:12:46.738; DrvAppFunctions.cpp:430; testHw; Testing VPN-Key 4.30.3702 with SN:
32 00 38 00 39 00 34 00 38 00 48 00 2011.10.18; 08:12:46.801; DrvAppFunctions.cpp:452; testHw; TST_0
2011.10.18; 08:12:46.832; Service.cpp:871; ConnectToFpsu; CS_APP_SYNRQ
2011.10.18; 08:12:46.848; Service.cpp:905; ConnectToFpsu; CS_PCONNECTING - not using proxy
2011.10.18; 08:12:46.879; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 08:12:53.519; Service.cpp:2863; AnswerClientMessage; FPSU connection finished on state 4, error 14 FPSU-server is unreacheable
2011.10.18; 08:12:55.691; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 08:12:55.691; Service.cpp:3332; AmiVpnThreadFunction; AmiVpnEvent
2011.10.18; 08:12:55.723; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 08:12:55.738; DrvAppFunctions.cpp:1302; OnDriverEvent; Signal from drv LINK_STATUS_CHANGED
2011.10.18; 08:12:55.816; Service.cpp:837; ConnectToFpsu; CS_NOINIT
2011.10.18; 08:12:55.957; Service.cpp:844; ConnectToFpsu; CS_NOINIT filterInit error Packet can’t be decoded
2011.10.18; 08:12:56.004; Service.cpp:2863; AnswerClientMessage; FPSU connection finished on state 0, error 6 Packet can’t be decoded
2011.10.18; 08:12:58.191; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 08:12:58.223; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 08:12:58.254; Service.cpp:837; ConnectToFpsu; CS_NOINIT
2011.10.18; 08:12:58.410; Service.cpp:855; ConnectToFpsu; CS_HARDWARETEST
2011.10.18; 08:12:58.457; DrvAppFunctions.cpp:430; testHw; Testing VPN-Key 4.30.3702 with SN:
32 00 38 00 39 00 34 00 38 00 48 00 2011.10.18; 08:12:58.504; DrvAppFunctions.cpp:452; testHw; TST_0
2011.10.18; 08:12:58.535; Service.cpp:871; ConnectToFpsu; CS_APP_SYNRQ
2011.10.18; 08:12:58.551; Service.cpp:905; ConnectToFpsu; CS_PCONNECTING - not using proxy
2011.10.18; 08:12:58.566; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 08:13:05.347; Service.cpp:2863; AnswerClientMessage; FPSU connection finished on state 4, error 14 FPSU-server is unreacheable
2011.10.18; 08:13:07.160; Service.cpp:3332; AmiVpnThreadFunction; AmiVpnEvent
2011.10.18; 08:13:07.191; DrvAppFunctions.cpp:1302; OnDriverEvent; Signal from drv LINK_STATUS_CHANGED
2011.10.18; 08:13:07.504; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 08:13:07.535; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 08:13:07.566; Service.cpp:837; ConnectToFpsu; CS_NOINIT
2011.10.18; 08:13:07.660; Service.cpp:844; ConnectToFpsu; CS_NOINIT filterInit error Packet can’t be decoded
2011.10.18; 08:13:07.676; Service.cpp:2863; AnswerClientMessage; FPSU connection finished on state 0, error 6 Packet can’t be decoded
2011.10.18; 08:13:09.879; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 08:13:09.926; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 08:13:09.957; Service.cpp:837; ConnectToFpsu; CS_NOINIT
2011.10.18; 08:13:10.066; Service.cpp:855; ConnectToFpsu; CS_HARDWARETEST
2011.10.18; 08:13:10.097; DrvAppFunctions.cpp:430; testHw; Testing VPN-Key 4.30.3702 with SN:
32 00 38 00 39 00 34 00 38 00 48 00 2011.10.18; 08:13:10.144; DrvAppFunctions.cpp:452; testHw; TST_0
2011.10.18; 08:13:10.160; Service.cpp:871; ConnectToFpsu; CS_APP_SYNRQ
2011.10.18; 08:13:10.176; Service.cpp:905; ConnectToFpsu; CS_PCONNECTING - not using proxy
2011.10.18; 08:13:10.207; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 08:13:16.894; Service.cpp:2863; AnswerClientMessage; FPSU connection finished on state 4, error 14 FPSU-server is unreacheable
2011.10.18; 08:13:18.301; Service.cpp:3332; AmiVpnThreadFunction; AmiVpnEvent
2011.10.18; 08:13:18.332; DrvAppFunctions.cpp:1302; OnDriverEvent; Signal from drv LINK_STATUS_CHANGED
2011.10.18; 08:13:19.066; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 08:13:19.113; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 08:13:19.144; Service.cpp:837; ConnectToFpsu; CS_NOINIT
2011.10.18; 08:13:19.254; Service.cpp:855; ConnectToFpsu; CS_HARDWARETEST
2011.10.18; 08:13:19.332; DrvAppFunctions.cpp:430; testHw; Testing VPN-Key 4.30.3702 with SN:
32 00 38 00 39 00 34 00 38 00 48 00 2011.10.18; 08:13:19.379; DrvAppFunctions.cpp:452; testHw; TST_0
2011.10.18; 08:13:19.410; Service.cpp:871; ConnectToFpsu; CS_APP_SYNRQ
2011.10.18; 08:13:19.441; Service.cpp:905; ConnectToFpsu; CS_PCONNECTING - not using proxy
2011.10.18; 08:13:19.472; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 08:13:19.519; Service.cpp:989; ConnectToFpsu; CS_APP_SYNOK1
2011.10.18; 08:13:19.551; Service.cpp:1021; ConnectToFpsu; CS_APP_SYNOK2
2011.10.18; 08:13:19.660; Service.cpp:1068; ConnectToFpsu; CS_WAIT_SYNOKF
2011.10.18; 08:13:19.722; Service.cpp:1098; ConnectToFpsu; CS_APP_KEYS
2011.10.18; 08:13:19.863; DrvAppFunctions.cpp:824; setAdapter; VPN Adapter to FPSU was set to:
2011.10.18; 08:13:19.894; DrvAppFunctions.cpp:834; setAdapter; Realtek RTL8139/810x Family Fast Ethernet NIC - Amicon NDIS IM Filter Driver (Miniport)
2011.10.18; 08:13:19.926; DrvAppFunctions.cpp:835; setAdapter; {FBC7E309-4A28-4D77-92EC-FDDD318D5D29}
2011.10.18; 08:13:19.941; Service.cpp:1148; ConnectToFpsu; CS_CONNECT
2011.10.18; 08:13:19.957; Service.cpp:1157; ConnectToFpsu; Connected
2011.10.18; 08:13:19.988; Service.cpp:2863; AnswerClientMessage; FPSU connection finished on state 9, error 0 
<e>
</e></CODE>
Как ситуация поменялась. А разница лишь в том, что в предыдущем куске журнала клиент продолжал "автоматические" попытки восстановления соединения, а в последнем куске журнала - его заставили это сделать руками. И соверешенно другая картина, и ошибки типа <B><s></s>filterInit error Packet can’t be decoded<e></e></B> уже появляются... И канал поднялся - на 9ой попытке. Хотя до этого 13 минут пытался на автомате (точнее - всю ночь, но 13 минут уже под нашим наблюдением).

Идём дальше. В 9-00 уже потребовало <B><s></s>58<e></e></B> попыток на подключение с серым ip. Целиком приводить не буду (всё аналогично первой цитате журнала), только финал:
<CODE><s>
Код: 
</s><i>
</i>2011.10.18; 09:00:16.486; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 7 using alternal FPSU
2011.10.18; 09:00:16.501; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 09:00:16.532; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 09:00:16.548; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 09:00:22.970; Service_Threads.cpp:205; ServiceThread_ConnectToFPSU_Function; Attempt 8 using alternal FPSU
2011.10.18; 09:00:22.986; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 09:00:23.111; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 09:00:23.173; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 09:00:32.345; Service.cpp:989; ConnectToFpsu; CS_APP_SYNOK1
2011.10.18; 09:00:32.392; Service.cpp:1021; ConnectToFpsu; CS_APP_SYNOK2
2011.10.18; 09:00:32.517; Service.cpp:1068; ConnectToFpsu; CS_WAIT_SYNOKF
2011.10.18; 09:00:32.579; Service.cpp:1098; ConnectToFpsu; CS_APP_KEYS
2011.10.18; 09:00:32.689; DrvAppFunctions.cpp:824; setAdapter; VPN Adapter to FPSU was set to:
2011.10.18; 09:00:32.704; DrvAppFunctions.cpp:834; setAdapter; Realtek RTL8139/810x Family Fast Ethernet NIC - Amicon NDIS IM Filter Driver (Miniport)
2011.10.18; 09:00:32.720; DrvAppFunctions.cpp:835; setAdapter; {FBC7E309-4A28-4D77-92EC-FDDD318D5D29}
2011.10.18; 09:00:32.736; Service.cpp:1148; ConnectToFpsu; CS_CONNECT
2011.10.18; 09:00:32.767; Service.cpp:1157; ConnectToFpsu; Connected
2011.10.18; 09:00:32.798; Service_Threads.cpp:285; ServiceThread_ConnectToFPSU_Function; ConnectToFPSU thread closed
<e>
</e></CODE>

в 9-54 потребовалось уже <B><s></s>более 110 попыток<e></e></B> на подключение (серый ip).

Меняем ip на белый, и наблюдаем следующую картину маслом (привожу весь журнал подключения с былым ip):
<CODE><s>
Код: 
</s><i>
</i>2011.10.18; 09:59:28.212; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 09:59:28.259; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 09:59:28.306; Service.cpp:837; ConnectToFpsu; CS_NOINIT
2011.10.18; 09:59:28.431; Service.cpp:855; ConnectToFpsu; CS_HARDWARETEST
2011.10.18; 09:59:28.446; DrvAppFunctions.cpp:430; testHw; Testing VPN-Key 4.30.3702 with SN:
32 00 38 00 39 00 34 00 38 00 48 00 2011.10.18; 09:59:28.509; DrvAppFunctions.cpp:452; testHw; TST_0
2011.10.18; 09:59:28.540; Service.cpp:871; ConnectToFpsu; CS_APP_SYNRQ
2011.10.18; 09:59:28.556; Service.cpp:905; ConnectToFpsu; CS_PCONNECTING - not using proxy
2011.10.18; 09:59:28.587; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 09:59:35.336; Service.cpp:2863; AnswerClientMessage; FPSU connection finished on state 4, error 14 FPSU-server is unreacheable
2011.10.18; 09:59:35.367; Service.cpp:3332; AmiVpnThreadFunction; AmiVpnEvent
2011.10.18; 09:59:35.430; DrvAppFunctions.cpp:1302; OnDriverEvent; Signal from drv LINK_STATUS_CHANGED
2011.10.18; 09:59:37.602; Service.cpp:775; ConnectToFpsu; Connecting with VPN-Key 4.30.3702
2011.10.18; 09:59:37.633; Service.cpp:828; ConnectToFpsu; Connection to FPSU 84.204.34.245
2011.10.18; 09:59:37.680; Service.cpp:837; ConnectToFpsu; CS_NOINIT
2011.10.18; 09:59:37.820; Service.cpp:855; ConnectToFpsu; CS_HARDWARETEST
2011.10.18; 09:59:37.852; DrvAppFunctions.cpp:430; testHw; Testing VPN-Key 4.30.3702 with SN:
32 00 38 00 39 00 34 00 38 00 48 00 2011.10.18; 09:59:37.914; DrvAppFunctions.cpp:452; testHw; TST_0
2011.10.18; 09:59:37.930; Service.cpp:871; ConnectToFpsu; CS_APP_SYNRQ
2011.10.18; 09:59:37.961; Service.cpp:905; ConnectToFpsu; CS_PCONNECTING - not using proxy
2011.10.18; 09:59:37.977; Service.cpp:921; ConnectToFpsu; CS_WAIT_SYNRR
2011.10.18; 09:59:38.039; Service.cpp:989; ConnectToFpsu; CS_APP_SYNOK1
2011.10.18; 09:59:38.070; Service.cpp:1021; ConnectToFpsu; CS_APP_SYNOK2
2011.10.18; 09:59:38.180; Service.cpp:1068; ConnectToFpsu; CS_WAIT_SYNOKF
2011.10.18; 09:59:38.242; Service.cpp:1098; ConnectToFpsu; CS_APP_KEYS
2011.10.18; 09:59:38.430; DrvAppFunctions.cpp:824; setAdapter; VPN Adapter to FPSU was set to:
2011.10.18; 09:59:38.461; DrvAppFunctions.cpp:834; setAdapter; Realtek RTL8139/810x Family Fast Ethernet NIC - Amicon NDIS IM Filter Driver (Miniport)
2011.10.18; 09:59:38.492; DrvAppFunctions.cpp:835; setAdapter; {FBC7E309-4A28-4D77-92EC-FDDD318D5D29}
2011.10.18; 09:59:38.508; Service.cpp:1148; ConnectToFpsu; CS_CONNECT
2011.10.18; 09:59:38.539; Service.cpp:1157; ConnectToFpsu; Connected
2011.10.18; 09:59:38.555; Service.cpp:2863; AnswerClientMessage; FPSU connection finished on state 9, error 0 
<e>
</e></CODE>
Со второй попытки. Причём стабильно - со второй. Ответ на первую приходит, но клиент её не дожидается.
Причём пробовали неоднократно, ситуация совершенно идентичная выше приведённой цитате журнала (ну с точностью до времени, разумеется).

А со второго раза вот по чему. Клиент ждёт ответа, судя по логам, порядка 7 секунд. А ответ приходит через 9:
<CODE><s>
Код: 
</s><i>
</i>3	14407.387625		{UDP:0, IPv4:0}	89.252.111.9	84.204.34.245	UDP	UDP:SrcPort = 2579, DstPort = Any private terminal link(87), Length = 43
4	14416.403250		{UDP:0, IPv4:0}	84.204.34.245	89.252.111.9	UDP	UDP:SrcPort = Any private terminal link(87), DstPort = 2579, Length = 44
5	14416.793875		{UDP:1, IPv4:0}	89.252.111.9	84.204.34.245	UDP	UDP:SrcPort = 2580, DstPort = Any private terminal link(87), Length = 43
6	14416.793875		{UDP:1, IPv4:0}	84.204.34.245	89.252.111.9	UDP	UDP:SrcPort = Any private terminal link(87), DstPort = 2580, Length = 44
7	14416.997000		{UDP:1, IPv4:0}	89.252.111.9	84.204.34.245	UDP	UDP:SrcPort = 2580, DstPort = Any private terminal link(87), Length = 145
8	14416.997000		{UDP:1, IPv4:0}	84.204.34.245	89.252.111.9	UDP	UDP:SrcPort = Any private terminal link(87), DstPort = 2580, Length = 186
<e>
</e></CODE>
Между первым и вторым пакетом хорошо виден интервал (по второму полю) в 9 секунд. Может быть можно увеличить время ожидания ответа клиентом более 9 секунд и всё?
Но с белым ip сейчас - стабильно со второго раза. Во второй половине дня вчера - уже с 5ого, но не 100, по крайней мере...
Ещё пара попыток подключения в network monitor'е: хорошо видны 9 секунд:
<CODE><s>
Код: 
</s><i>
</i>9	14439.981375		{UDP:6, IPv4:0}	89.252.111.9	84.204.34.245	UDP	UDP:SrcPort = 2581, DstPort = Any private terminal link(87), Length = 43
10	14449.012625		{UDP:6, IPv4:0}	84.204.34.245	89.252.111.9	UDP	UDP:SrcPort = Any private terminal link(87), DstPort = 2581, Length = 44
11	14449.543875		{UDP:7, IPv4:0}	89.252.111.9	84.204.34.245	UDP	UDP:SrcPort = 2582, DstPort = Any private terminal link(87), Length = 43
12	14449.575125		{UDP:7, IPv4:0}	84.204.34.245	89.252.111.9	UDP	UDP:SrcPort = Any private terminal link(87), DstPort = 2582, Length = 44
13	14449.747000		{UDP:7, IPv4:0}	89.252.111.9	84.204.34.245	UDP	UDP:SrcPort = 2582, DstPort = Any private terminal link(87), Length = 145
14	14449.762625		{UDP:7, IPv4:0}	84.204.34.245	89.252.111.9	UDP	UDP:SrcPort = Any private terminal link(87), DstPort = 2582, Length = 186
15	14461.137625		{UDP:8, IPv4:0}	89.252.111.9	84.204.34.245	UDP	UDP:SrcPort = 2583, DstPort = Any private terminal link(87), Length = 43
16	14470.153250		{UDP:8, IPv4:0}	84.204.34.245	89.252.111.9	UDP	UDP:SrcPort = Any private terminal link(87), DstPort = 2583, Length = 44
17	14470.778250		{UDP:9, IPv4:0}	89.252.111.9	84.204.34.245	UDP	UDP:SrcPort = 2584, DstPort = Any private terminal link(87), Length = 43
18	14470.778250		{UDP:9, IPv4:0}	84.204.34.245	89.252.111.9	UDP	UDP:SrcPort = Any private terminal link(87), DstPort = 2584, Length = 44
19	14470.981375		{UDP:9, IPv4:0}	89.252.111.9	84.204.34.245	UDP	UDP:SrcPort = 2584, DstPort = Any private terminal link(87), Length = 145
20	14470.981375		{UDP:9, IPv4:0}	84.204.34.245	89.252.111.9	UDP	UDP:SrcPort = Any private terminal link(87), DstPort = 2584, Length = 186
<e>
</e></CODE>

Собственно говоря, вот и весь журнал. По поводу разрыва соединения через интервал keep-alive пришла в голову идея - а он и должен рваться! Он не может не рваться, я бы сказал. По всем рекомендациям на данном форуме мы на isa, через которой "прокинут" у нас udp 87, определяем правило udp dynamic -> udp 87 <B><s></s>send-receive<e></e></B>. Ведь не стоит забывать, что на isa работает NAT. Правило - send-receive. Время жизни динамического сопоставления UDP в NAT - 1 минута. И увеличивать его существенно возможности нет - просто порты закончатся на isa моментально (udp приложений хватает, к сожалению, начать хотя бы с dns, котороые и dnsbl юзают, количество запросов огромное). Другими словами, <B><s></s>ответный пакет от ФПСУ сервера к клиенту будет пропущен не позднее, чем через 1 минуту после отправки последнего пакета от клиента серверу!<e></e></B> А keep-alive на сторое ФПСУ сервера, как я понял, обрабатывается просто - сервер посылает пакет клиенту. Через 40 минут? ну так пакет клиента и не достигнет. <B><s></s>И для любого (за редким редким исключением) isa клиента (да и не только isa, любого nat клиента) пакет не достигнет клиента, и сеанс будет разорван!<e></e></B>.
В связи с чем прошу Вас keep-alive интервал на ФПСУ сервер выставлять менее 1 минуты (ведь 1 минута - это даже много для udp nat сопоставлений для многих "аппаратных" nat, которые поголовно используются у "мобильных" провайдеров, для RRAS, ISA - 1 минута по умолчанию, из-за DNS и других udp приложений в сети существенно не увеличить эту величину, да и не каждый сможет изменить эти параметры, особенно на "железках". При всём при этом, для tcp сопоставления время жизни (в моём случае, как минимум) - 1 час. То есть, если бы Вы использовали tcp соединение - оно бы и не рвалось, а из-за udp и малого времени жизни NAT сопоставления для UDP - оно <B><s></s>БУДЕТ<e></e></B> рваться у <B><s></s>ВСЕХ NAT КЛИЕНТОВ<e></e></B>, если не пускать вечный ping (иммитировать активность для NAT и ФПСУ сервера), или не изменить механизм keep-alive на ФПСУ.
<B><s></s>Предлагаю: контролировать keep-alive должен клиент ФПСУ, а не сервер<e></e></B>. Именно клиент посылает запрос (пакет) через keep-alive интервал после последней активности. Если не получает ответ - канал разорван. А сервер просто ждёт чуть больше, чем keep-alive интервал на клиенте. Если нет пакетов от клиента - то и слать незачем. Можно попытки на сервер и оставить, они не помешают, но на клиенте их надо ввести. В этом случае клиент отправляет пакет, вновь создаётся сопоставления на NAT для NAT клиентов, и ответ от сервера в течение минуты спокойно пройдёт обратно. Прошу Вас сообщить Ваше мнение по данному предложению.

Так же прошу Вас сообщить о возможных причинах столь длительного первого ответа и о возможности увеличения времени ожидания ответа клиентом.

Ну и последнее: буду благодарен Вам за заключение с формулировкой о необходимости применения NAT на стороне ФПСУ сервера банка для всех клиентов с серыми ip (читаем - для всех корпоративных и мобильных клиентов, да и не только). Только Ваше однозначное заключение может убедить сотрудников банка в необходимости данного шага, наше мнение не будет иметь никакого веса.

Итого, жду комментариев по вопросам:
- keep-alive и разрыв связи для NAT клиентов
- время ожидания ответа клиентом
- причины задержки ответа в 9 секунд
- заключение о необходимости NAT на стороне сервера банка или о дополнительных требованиях к клиентам - белые ip.</r>
 
<r>Честно говоря, не понял, что произошло, но всё-таки. У меня стоят Амикон ФПСУ клиент ещё и на ISA, по пути от моих amicon маршрутизаторов. Так вот, проблем не было с соединением к тому ФПСУ, ключ для которого стоял на isa. А к другому были. При всё при том, что служба Амикона на isa была отключена. Снёс целиком Амикон на isa, оставил только на своих Амикон-маршрутизаторах - задержка в 9 секунд пропала (по крайней мере - сейчас, пару дней будем тестировать). Большое спасибо нашему провайдеру и Гончарову Сергею лично за сниффер со своей стороны, а также разработчикам за терпение.

Вопрос остался в силе - разрыв соединения через 40 минут (плюс минус), проблему с keep-alive описывал (мы действительно не видим пакетов network monitor'ом в течение часа с момента установления соединения.
И проблема осталась с MTU, но по ней отдельно <URL url="http://www.amicon.ru/forum/viewtopic.php?t=1493"><s></s>http://www.amicon.ru/forum/viewtopic.php?t=1493<e></e></URL>.</r>
 
Однако, всё не так радужно. Проблема с задержкой в 9 секунд была не в клиенте Амикона на ISA. Сегодня всё повторяется, а клиента там уже нет. Так что продолжаю дальнейший поиск проблемы...
 
<r>Нашёл причину проблемы и её решение.

Если Вы используете ISA 2000 (предполагаю, аналогичная картина будет и на isa 2004/2006) и <B><s></s>для ФПСУ сервера банка в обратной зоне DNS отсутствует PTR запись<e></e></B> (как, например для ФПСУ сервера СПЭД в СПб - 84.204.34.245), Вы будете наблюдать серьёзные проблемы с подключением ФПСУ IP/клиента. А причина в том, что возникает задержка на ISA с доставкой пакета ФПСУ сервера, если у Вас <B><s></s>включено логгирование ISA Firewall service<e></e></B>, и нет PTR записи для адресата.
Проблему обсуждали здесь: <URL url="http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/a55983d0-f8b3-4e36-95c1-23d958cdc806/"><LINK_TEXT text="http://social.technet.microsoft.com/For ... 958cdc806/">http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/a55983d0-f8b3-4e36-95c1-23d958cdc806/</LINK_TEXT></URL>, решений несколько:
•либо отключаем логгирование на isa для firewall service ("отключение" полей с fqdn не помогает, проверено)
•либо заставляем админов банка добавить ptr запись в обратную зону для своего сервера
•<B><s></s>либо создаём на своих dns серверах обратную зону для адресов их сервера<e></e></B> (да, это неправильно, но от них реакции ждать долго, а это решение можно реализовать за несколько секунд).
•возможно, есть решение с отключением rdns запросов на isa (для логгирования) через реестр, но пока его не нашёл. Буду рад подсказкам.

В картинках решение приведу <URL url="http://sergey-s-betke.blogs.novgaro.ru/it/networking/vpn/fpsu-ip/fpsu-router#rdns"><s></s>здесь<e></e></URL>.

P.S.Кеширование отрицательных ответов включено и на dns сервере, и на dns клиенте на isa Хосте, но проблема при этом не снимается (пока не понял - почему). снимается только "заглушкой" в виде собственной обратной зоны вместо отсутствующей у провайдера сервера ФПСУ банка.
Так или иначе, <B><s></s>проблема с подключением решена<e></e></B>, дело было не в продуктах Амикона, а в "багах/фичах" isa 2000 и в кривых руках администраторов ФПСУ банка - неужели лень добиться от провайдера PTR записи в обратной зоне?</r>
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху