Разрыв VPN "туннеля" при НАЧАЛЕ связи клиент-банка

[mihmih]

Ситуация:
Вставляем "флешку", вводим пин-код в выскочившее окно. Туннель устанавливается (значок в трее становится голубенький).
Пингуем FTP банка - все ОК (пакетами ЛЮБОЙ длины)
Нажимаем в клиент-банке Отправить/Получить:
VPN соединение тутже разрывается (всплывающее сообщение в трее) и снова
устанавливается (клиент-банк при этом тупит)
Далее связь идет нормально (периодически связь все-таки на полсекунды рвется и тут же восстанавливается).

С чем это может быть связано?
Есть подозрение, что большинство таких случаев в городе связано с одним кабельным провайдером, который не предоставляет белого IP (но качество интернет у всех клиентов отличное, никто не жалуется). Опять же такого не происходит у клиентов с 3G модемами (у них тоже все клиенты ходят через NAT провайдера).

 

[Dmitriy]

Для лучшего понимания ситуации неплохо бы получить логи клиента (приложения - %\Documents and Settings\User\Application Data\Amicon\Client FPSU-IP\log\Log.csv и сервиса - %\Program Files\AMICON\Client FPSU-IP\log\SrvLog.csv), а также msinfo с одной из машин.

 

[Deonis]

Re: Разрыв VPN "туннеля" при НАЧАЛЕ связи клиент-б

<r><QUOTE author="mihmih"><s>

</s>Есть подозрение, что большинство таких случаев в городе связано с одним кабельным провайдером, который не предоставляет белого IP (но качество интернет у всех клиентов отличное, никто не жалуется). Опять же такого не происходит у клиентов с 3G модемами (у них тоже все клиенты ходят через NAT провайдера).<e>

</e></QUOTE>

ИМХО, правильные подозрения. Скорее всего связано с обработкой поля TTL пакета и технологией keep-alive для udp протокола на NAT'е провайдера.
Также может быть, что при установлении соединения берется больший MTU, чем способен передать канал и после первого разрыва "соединения" Windows пытается автоматически определить MTU для канала. А тупит по причине наличия в канале BlackHoleGateway.</r>

 

[mihmih]

<r>Выкладываю логи:
<B><s></s>SrvLog.csv<e></e></B>
<CODE><s>

</s><i>
</i>Date; Time; File&Line; Function; Message


<< Version 4.1 app:  3.00 Aug 12 2010 14:05:00 >>

2011.07.29; 13:19:49.640; Service.cpp:145; ServiceMainFunction; Ip-client executed as SERVICE
2011.07.29; 13:19:49.640; Service.cpp:146; ServiceMainFunction; Microsoft Windows XP Professional Service Pack 3 (build 2600)
2011.07.29; 13:19:49.656; TrayApp.cpp:786; CTrayApp::userIsAdmin; Process token is in groups:
2011.07.29; 13:19:49.671; TrayApp.cpp:793; CTrayApp::userIsAdmin; S-1-5-32-544
2011.07.29; 13:19:49.671; TrayApp.cpp:793; CTrayApp::userIsAdmin; S-1-1-0
2011.07.29; 13:19:49.687; TrayApp.cpp:793; CTrayApp::userIsAdmin; S-1-5-11
2011.07.29; 13:19:49.687; Service.cpp:151; ServiceMainFunction; Getting info from registry
2011.07.29; 13:19:49.718; Crypt.cpp:32; use_cryptoapi_csp; Crypt using CSP
2011.07.29; 13:19:49.796; Service.cpp:169; ServiceMainFunction; Initializing WinSock
2011.07.29; 13:19:49.812; Service.cpp:176; ServiceMainFunction; Connecting to driver
2011.07.29; 13:19:49.843; Service.cpp:204; ServiceMainFunction; Getting events from driver
2011.07.29; 13:19:49.859; Service.cpp:231; ServiceMainFunction; Creating event thread for catching events from driver
2011.07.29; 13:19:49.875; Service.cpp:251; ServiceMainFunction; Creating event thread for catching stop events from clients
2011.07.29; 13:19:49.890; Service.cpp:271; ServiceMainFunction; Calculating drvinfo structure
2011.07.29; 13:19:49.921; BDRVLink.cpp:23; CBDRVLink::OpenDriver; Trying to open VPN-Key manager service...
2011.07.29; 13:20:00.328; BDRVLink.cpp:35; CBDRVLink::OpenDriver; Can't open VPN-Key manager service
2011.07.29; 13:20:00.343; BukaUser.cpp:72; CBukaUser::Start; VPN-Key was started withOUT VPN-Key manager service!!!
2011.07.29; 13:20:00.359; Service.cpp:287; ServiceMainFunction; Creating Message only Window and thread
2011.07.29; 13:20:00.406; Service.cpp:315; ServiceMainFunction; Message only Window and thread created
2011.07.29; 13:20:00.421; Service.cpp:482; TryToFindVPNKeys; Getting saved VPN-key ID
2011.07.29; 13:20:00.468; EKey.cpp:196; EKey::ReadInfoCfg; VPN-Key found
2011.07.29; 13:20:00.656; EKey.cpp:233; EKey::ReadInfoCfg; VPN-key MD version is 0x200
2011.07.29; 13:20:01.296; Service.cpp:549; TryToFindVPNKeys; Saved VPN-key ID found in registry
2011.07.29; 13:20:01.312; Service.cpp:633; TryToFindVPNKeys; Successfull finding saved VPN-key
2011.07.29; 13:20:01.328; RunAsService.cpp:168; ServiceStart; IP-Client service pipe "\\.\pipe\AmiSrvPipea" created
2011.07.29; 13:20:01.328; UpdateThread.cpp:283; UpdateThread::InitInstance; Update thread started
2011.07.29; 13:20:01.406; RunAsService.cpp:191; ServiceStart; IP-Client service event "Global\AmiSrvEventa" created
2011.07.29; 13:20:01.562; UpdateThread.cpp:303; UpdateThread::InitInstance; Waiting for update time
2011.07.29; 13:20:01.656; Service_Threads.cpp:48; ServiceThread_AliveClients_Start; Starting AliveClients thread
2011.07.29; 13:20:01.687; Service_Threads.cpp:53; ServiceThread_AliveClients_Start; AliveClients thread started
2011.07.29; 13:20:01.687; Service_Threads.cpp:14; ServiceThread_AliveClients_Function; AliveClients thread started
2011.07.29; 13:20:10.546; Service.cpp:2255; AnswerClientMessage; Registered client number 0
2011.07.29; 13:20:49.781; Service.cpp:747; ConnectToFpsu; Connecting with VPN-Key 3.21.3004
2011.07.29; 13:20:49.796; Service.cpp:807; ConnectToFpsu; Connection with FPSU 213.158.24.150
2011.07.29; 13:20:49.812; Service.cpp:818; ConnectToFpsu; CS_NOINIT
2011.07.29; 13:20:50.000; Service.cpp:856; ConnectToFpsu; CS_APP_SYNRQ
2011.07.29; 13:20:50.015; Service.cpp:892; ConnectToFpsu; CS_PCONNECTING - not using proxy
2011.07.29; 13:20:50.031; Service.cpp:910; ConnectToFpsu; CS_WAIT_SYNRR
2011.07.29; 13:20:50.218; Service.cpp:981; ConnectToFpsu; CS_APP_SYNOK1
2011.07.29; 13:20:50.218; Service.cpp:1015; ConnectToFpsu; CS_APP_SYNOK2
2011.07.29; 13:20:50.484; Service.cpp:1064; ConnectToFpsu; CS_WAIT_SYNOKF
2011.07.29; 13:20:50.625; Service.cpp:1096; ConnectToFpsu; CS_APP_KEYS
2011.07.29; 13:20:50.843; DrvAppFunctions.cpp:792; setAdapter; VPN Adapter to FPSU was set to:
2011.07.29; 13:20:50.875; DrvAppFunctions.cpp:802; setAdapter; WAN (PPP/SLIP) Interface
2011.07.29; 13:20:50.906; DrvAppFunctions.cpp:803; setAdapter; {0A4A72D2-99C4-4CBE-B21C-E2B85CC4A707}
2011.07.29; 13:20:50.921; Service.cpp:1148; ConnectToFpsu; CS_CONNECT
2011.07.29; 13:20:50.953; Service.cpp:1157; ConnectToFpsu; Connected
2011.07.29; 13:20:50.968; Service.cpp:2580; AnswerClientMessage; FPSU connection finished on state 9, error 0
2011.07.29; 13:21:38.968; Service.cpp:2982; AmiVpnThreadFunction; AmiVpnEvent
2011.07.29; 13:21:38.984; DrvAppFunctions.cpp:1311; OnDriverEvent; Signal from drv CALL_DRIVER_RECONNECT
2011.07.29; 13:21:39.015; Service_Threads.cpp:307; ServiceThread_ConnectToFPSU_Start; Starting ConnectToFPSU thread
2011.07.29; 13:21:39.031; Service_Threads.cpp:312; ServiceThread_ConnectToFPSU_Start; ConnectToFPSU thread started
2011.07.29; 13:21:39.031; Service_Threads.cpp:115; ServiceThread_ConnectToFPSU_Function; ConnectToFPSU thread started
2011.07.29; 13:21:39.046; Service.cpp:2982; AmiVpnThreadFunction; AmiVpnEvent
2011.07.29; 13:21:39.109; Service.cpp:482; TryToFindVPNKeys; Getting saved VPN-key ID
2011.07.29; 13:21:39.125; DrvAppFunctions.cpp:1268; OnDriverEvent; Signal from drv LINK_STATUS_CHANGED
2011.07.29; 13:21:39.171; EKey.cpp:196; EKey::ReadInfoCfg; VPN-Key found
2011.07.29; 13:21:39.328; EKey.cpp:233; EKey::ReadInfoCfg; VPN-key MD version is 0x200
2011.07.29; 13:21:39.937; Service.cpp:549; TryToFindVPNKeys; Saved VPN-key ID found in registry
2011.07.29; 13:21:39.968; Service.cpp:633; TryToFindVPNKeys; Successfull finding saved VPN-key
2011.07.29; 13:21:39.984; Service_Threads.cpp:145; ServiceThread_ConnectToFPSU_Function; Trying to login to Vpn-key
2011.07.29; 13:21:40.093; Service_Threads.cpp:153; ServiceThread_ConnectToFPSU_Function; Login to Vpn-key succseeded
2011.07.29; 13:21:40.109; Service_Threads.cpp:174; ServiceThread_ConnectToFPSU_Function; Attempt 1
2011.07.29; 13:21:40.125; Service.cpp:747; ConnectToFpsu; Connecting with VPN-Key 3.21.3004
2011.07.29; 13:21:40.156; Service.cpp:807; ConnectToFpsu; Connection with FPSU 213.158.24.150
2011.07.29; 13:21:40.171; Service.cpp:818; ConnectToFpsu; CS_NOINIT
2011.07.29; 13:21:40.343; Service.cpp:856; ConnectToFpsu; CS_APP_SYNRQ
2011.07.29; 13:21:40.375; Service.cpp:892; ConnectToFpsu; CS_PCONNECTING - not using proxy
2011.07.29; 13:21:40.390; Service.cpp:910; ConnectToFpsu; CS_WAIT_SYNRR
2011.07.29; 13:21:40.500; Service.cpp:981; ConnectToFpsu; CS_APP_SYNOK1
2011.07.29; 13:21:40.515; Service.cpp:1015; ConnectToFpsu; CS_APP_SYNOK2
2011.07.29; 13:21:40.781; Service.cpp:1064; ConnectToFpsu; CS_WAIT_SYNOKF
2011.07.29; 13:21:40.890; Service.cpp:1096; ConnectToFpsu; CS_APP_KEYS
2011.07.29; 13:21:41.109; DrvAppFunctions.cpp:792; setAdapter; VPN Adapter to FPSU was set to:
2011.07.29; 13:21:41.125; DrvAppFunctions.cpp:802; setAdapter; WAN (PPP/SLIP) Interface
2011.07.29; 13:21:41.156; DrvAppFunctions.cpp:803; setAdapter; {0A4A72D2-99C4-4CBE-B21C-E2B85CC4A707}
2011.07.29; 13:21:41.171; Service.cpp:1148; ConnectToFpsu; CS_CONNECT
2011.07.29; 13:21:41.187; Service.cpp:1157; ConnectToFpsu; Connected
2011.07.29; 13:21:41.218; Service_Threads.cpp:290; ServiceThread_ConnectToFPSU_Function; ConnectToFPSU thread closed
2011.07.29; 13:23:36.625; Service.cpp:2982; AmiVpnThreadFunction; AmiVpnEvent
2011.07.29; 13:23:36.640; DrvAppFunctions.cpp:1311; OnDriverEvent; Signal from drv CALL_DRIVER_RECONNECT
2011.07.29; 13:23:36.656; Service_Threads.cpp:307; ServiceThread_ConnectToFPSU_Start; Starting ConnectToFPSU thread
2011.07.29; 13:23:36.687; Service_Threads.cpp:312; ServiceThread_ConnectToFPSU_Start; ConnectToFPSU thread started
2011.07.29; 13:23:36.687; Service_Threads.cpp:115; ServiceThread_ConnectToFPSU_Function; ConnectToFPSU thread started
2011.07.29; 13:23:36.703; Service.cpp:2982; AmiVpnThreadFunction; AmiVpnEvent
2011.07.29; 13:23:36.750; Service.cpp:482; TryToFindVPNKeys; Getting saved VPN-key ID
2011.07.29; 13:23:36.765; DrvAppFunctions.cpp:1268; OnDriverEvent; Signal from drv LINK_STATUS_CHANGED
2011.07.29; 13:23:36.812; EKey.cpp:196; EKey::ReadInfoCfg; VPN-Key found
2011.07.29; 13:23:36.968; EKey.cpp:233; EKey::ReadInfoCfg; VPN-key MD version is 0x200
2011.07.29; 13:23:37.578; Service.cpp:549; TryToFindVPNKeys; Saved VPN-key ID found in registry
2011.07.29; 13:23:37.593; Service.cpp:633; TryToFindVPNKeys; Successfull finding saved VPN-key
2011.07.29; 13:23:37.625; Service_Threads.cpp:145; ServiceThread_ConnectToFPSU_Function; Trying to login to Vpn-key
2011.07.29; 13:23:37.718; Service_Threads.cpp:153; ServiceThread_ConnectToFPSU_Function; Login to Vpn-key succseeded
2011.07.29; 13:23:37.718; Service_Threads.cpp:174; ServiceThread_ConnectToFPSU_Function; Attempt 1
2011.07.29; 13:23:37.734; Service.cpp:747; ConnectToFpsu; Connecting with VPN-Key 3.21.3004
2011.07.29; 13:23:37.750; Service.cpp:807; ConnectToFpsu; Connection with FPSU 213.158.24.150
2011.07.29; 13:23:37.781; Service.cpp:818; ConnectToFpsu; CS_NOINIT
2011.07.29; 13:23:37.953; Service.cpp:856; ConnectToFpsu; CS_APP_SYNRQ
2011.07.29; 13:23:37.968; Service.cpp:892; ConnectToFpsu; CS_PCONNECTING - not using proxy
2011.07.29; 13:23:37.984; Service.cpp:910; ConnectToFpsu; CS_WAIT_SYNRR
2011.07.29; 13:23:38.093; Service.cpp:981; ConnectToFpsu; CS_APP_SYNOK1
2011.07.29; 13:23:38.093; Service.cpp:1015; ConnectToFpsu; CS_APP_SYNOK2
2011.07.29; 13:23:38.359; Service.cpp:1064; ConnectToFpsu; CS_WAIT_SYNOKF
2011.07.29; 13:23:38.484; Service.cpp:1096; ConnectToFpsu; CS_APP_KEYS
2011.07.29; 13:23:38.703; DrvAppFunctions.cpp:792; setAdapter; VPN Adapter to FPSU was set to:
2011.07.29; 13:23:38.718; DrvAppFunctions.cpp:802; setAdapter; WAN (PPP/SLIP) Interface
2011.07.29; 13:23:38.750; DrvAppFunctions.cpp:803; setAdapter; {0A4A72D2-99C4-4CBE-B21C-E2B85CC4A707}
2011.07.29; 13:23:38.765; Service.cpp:1148; ConnectToFpsu; CS_CONNECT
2011.07.29; 13:23:38.781; Service.cpp:1157; ConnectToFpsu; Connected
2011.07.29; 13:23:38.796; Service_Threads.cpp:290; ServiceThread_ConnectToFPSU_Function; ConnectToFPSU thread closed
<e>

</e></CODE>

<B><s></s>Log.csv<e></e></B>
<CODE><s>

</s>Date; Time; File&Line; Function; Message


<< Application Log Start  3.00 Aug 12 2010 14:05:00 >>

2011.07.29; 13:19:59.187; TrayApp.cpp:514; CTrayApp::InitInstance; Ip-client executed as APPLICATION
2011.07.29; 13:19:59.203; TrayApp.cpp:515; CTrayApp::InitInstance; Microsoft Windows XP Professional Service Pack 3 (build 2600)
2011.07.29; 13:19:59.203; TrayApp.cpp:786; CTrayApp::userIsAdmin; Process token is in groups:
2011.07.29; 13:19:59.218; TrayApp.cpp:793; CTrayApp::userIsAdmin; S-1-5-21-1214440339-839522115-1606980848-513
2011.07.29; 13:19:59.234; TrayApp.cpp:793; CTrayApp::userIsAdmin; S-1-1-0
2011.07.29; 13:19:59.234; TrayApp.cpp:793; CTrayApp::userIsAdmin; S-1-5-32-544
2011.07.29; 13:19:59.250; TrayApp.cpp:793; CTrayApp::userIsAdmin; S-1-5-32-545
2011.07.29; 13:19:59.265; TrayApp.cpp:793; CTrayApp::userIsAdmin; S-1-5-4
2011.07.29; 13:19:59.281; TrayApp.cpp:793; CTrayApp::userIsAdmin; S-1-5-11
2011.07.29; 13:19:59.296; TrayApp.cpp:793; CTrayApp::userIsAdmin; S-1-5-5-0-60149
2011.07.29; 13:19:59.328; TrayApp.cpp:793; CTrayApp::userIsAdmin; S-1-2-0
2011.07.29; 13:19:59.343; TrayApp.cpp:518; CTrayApp::InitInstance; User is administrator
2011.07.29; 13:19:59.359; TrayApp.cpp:586; CTrayApp::InitInstance; Found Russian language in resource
2011.07.29; 13:19:59.375; TrayApp.cpp:596; CTrayApp::InitInstance; Found English language in resource
2011.07.29; 13:19:59.390; TrayApp.cpp:695; CTrayApp::InitInstance; Interface language is selected to 25
2011.07.29; 13:19:59.421; MainFrm.cpp:82; CMainFrame::OnCreate; Waiting for Explorer tray
2011.07.29; 13:19:59.437; MainFrm.cpp:84; CMainFrame::OnCreate; Explorer tray appears - MainFrame created
2011.07.29; 13:20:00.453; Ntray.cpp:301; CTrayNotifyIcon::Create; Tray icon created
2011.07.29; 13:20:00.484; Ntray.cpp:264; CTrayNotifyIcon::CreateTrayMenuManually; Tray popup menu was created
2011.07.29; 13:20:10.468; TrayApp.cpp:1560; ConnectToServiceThreadFunction; Trying to connect to service again
2011.07.29; 13:20:10.500; TrayApp.cpp:100; CTrayApp::FindOurService; Found IP-Client service event "Global\AmiSrvEventa"
2011.07.29; 13:20:10.515; TrayApp.cpp:117; CTrayApp::FindOurService; Found IP-Client service pipe "\\.\pipe\AmiSrvPipea"
2011.07.29; 13:20:10.531; TrayApp.cpp:131; CTrayApp::FindOurService; Ip-client service found
2011.07.29; 13:20:10.906; MainFrm.cpp:1247; CMainFrame::InitAll; Current FPSU connection state is 0 and key id is 0
2011.07.29; 13:20:10.921; MainFrm.cpp:1269; CMainFrame::InitAll; Flag CFF_AUTOCONNECT was set - connecting
2011.07.29; 13:20:11.078; MainFrm.cpp:294; CMainFrame::OnConnect; Connecting to FPSU...
2011.07.29; 13:20:11.093; Dlg_BukaLogon.cpp:440; Dlg_BukaLogon::OnInitDialog; Key logon dialog opened
2011.07.29; 13:20:11.109; Dlg_BukaLogon.cpp:561; Dlg_BukaLogon::ChangeDialogLook; Changing dialog look
2011.07.29; 13:20:11.125; Dlg_BukaLogon.cpp:542; Dlg_BukaLogon::OnInitDialog; Logon window opened
2011.07.29; 13:20:11.140; Dlg_BukaLogon.cpp:561; Dlg_BukaLogon::ChangeDialogLook; Changing dialog look
2011.07.29; 13:20:48.890; Dlg_BukaLogon.cpp:116; Dlg_BukaLogon::OnClickOk; OK
2011.07.29; 13:20:49.312; Dlg_BukaLogon.cpp:561; Dlg_BukaLogon::ChangeDialogLook; Changing dialog look
2011.07.29; 13:20:49.375; Dlg_BukaLogon.cpp:808; Dlg_BukaLogon::WindowProc; Logon window closed
2011.07.29; 13:20:49.390; Dlg_Connect.cpp:192; Dlg_Connect::OnCreate; Connect window opened
2011.07.29; 13:20:49.406; Dlg_Connect.cpp:296; ConnectionThreadFunction; Connection thread started
2011.07.29; 13:20:49.406; Dlg_Connect.cpp:592; Dlg_Connect::WindowProc; Connect window opened
2011.07.29; 13:20:49.765; Dlg_Connect.cpp:315; ConnectionThreadFunction; Connecting...
2011.07.29; 13:20:51.000; MainFrm.cpp:365; CMainFrame::TryToConnectToFPSU; Connected to FPSU
2011.07.29; 13:20:51.015; Dlg_Connect.cpp:507; ConnectionThreadFunction; Connection thread closed
2011.07.29; 13:20:51.234; Dlg_Connect.cpp:181; Dlg_Connect::OnDestroy; Connect window closed
2011.07.29; 13:20:54.359; Ntray.cpp:143; CTrayNotifyIcon::HideIcon; Hide icon
2011.07.29; 13:20:54.390; Ntray.cpp:155; CTrayNotifyIcon::ShowIcon; Show icon
2011.07.29; 13:21:39.046; TrayApp.cpp:1363; GettingMessagesFromServiceThreadFunction; Request_SrvFPSUConnectionStateChanged
2011.07.29; 13:21:41.218; TrayApp.cpp:1363; GettingMessagesFromServiceThreadFunction; Request_SrvFPSUConnectionStateChanged
2011.07.29; 13:21:44.593; Ntray.cpp:143; CTrayNotifyIcon::HideIcon; Hide icon
2011.07.29; 13:21:44.625; Ntray.cpp:155; CTrayNotifyIcon::ShowIcon; Show icon
2011.07.29; 13:22:45.078; Ntray.cpp:509; CTrayNotifyIcon::OnTrayNotification; WM_RBUTTONUP
2011.07.29; 13:22:46.546; Dlg_Statistics.cpp:74; Dlg_Statistics::OnInitDialog; Statistics window opened
2011.07.29; 13:23:03.453; Dlg_Statistics.cpp:548; Dlg_Statistics::OnClear; Clear
2011.07.29; 13:23:36.703; TrayApp.cpp:1363; GettingMessagesFromServiceThreadFunction; Request_SrvFPSUConnectionStateChanged
2011.07.29; 13:23:38.796; TrayApp.cpp:1363; GettingMessagesFromServiceThreadFunction; Request_SrvFPSUConnectionStateChanged
2011.07.29; 13:23:42.171; Ntray.cpp:143; CTrayNotifyIcon::HideIcon; Hide icon
2011.07.29; 13:23:42.203; Ntray.cpp:155; CTrayNotifyIcon::ShowIcon; Show icon
2011.07.29; 13:24:02.578; Dlg_Statistics.cpp:548; Dlg_Statistics::OnClear; Clear
<e>

</e></CODE>


В логах ничего существенного нет, версия Deonis подтверждается.
Тут же попробовал на 3g модеме - все ОК.
Уважаемый Deonis и все остальные как и что правильно сказать провайдеру, что это проблема на его стороне?</r>

 

[Deonis]

<r>Я бы для начала попробовал немного увеличить TTL и поигрался бы с MTU, как мы это уже обсуждали здесь:
<URL url="http://www.amicon.ru/forum/viewtopic.php?t=1270">http://www.amicon.ru/forum/viewtopic.php?t=1270</URL>

но, вроде как, MTU сейчас определяется автоматически (в новых версиях фильтр-драйвера) и вряд ли проблема в MTU.</r>

 

[mihmih]

Deonis, несмотря на то что по стандарту RFC791, время на жизнь пакета (TTL) измеряется в секундах, в данном случае проблема не в TTL и MTU.
Проблема здесь в провайдере (слишком низкое время жизни UDP СЕССИИ на NAT-е, может с uTp-торрентами так борются...). Вопрос в том как правильно сформулировать проблему провайдеру.

 

[Deonis]

UDP не сессионный протокол.
Обычно, NAT'ы и брандмауэры создают динамические правила для входящих UDP пакетов на время, равное удвоенному TTL.
Также не стоит забывать, что каждый маршуризатор в цепочке до NAT'а снижает TTL как минимум на 1.

 

[mihmih]

TTL тут не причем (он достаточно велик и в секундах и в "хопах") - ведь соединение устанавливается и кое-как работает.

Пробовал команду:
ping <ip-адрес сервера банка(внутренний, через туннель)> -t -l 5000
- постоянный пинг пакетами длиной заведомо больше MTU

Так вот, пинг идет, идет, НО в момент начала связи клиент-банка с банком туннель разрывается...

 

[mihmih]

<r>Вот еще высылаю скриншот с нашего (vpn) сервера.
Как видим - один клиент зацепился. а у остальных ошибка:
"Дублирование адресов в NAT-описателе"
<IMG src="http://i25.fastpic.ru/big/2011/0810/6a/d3aa1faf54d7c191cd96f9362954726a.jpg"><s>

</e></IMG>
Не может ли это быть по тому что cisco при NAT-е присваивает UDp-пакетам одинаковый порт ИСТОЧНИКА?

Или ФПСУ сервер вообще не допускает нескольких соединений с одного IP?</r>

 

[AMI_FMS]

<r>Выход в интернет нескольких клиентов с одного IP-адреса используется довольно часто (через прокси-сервер или маршрутизатор).

ФПСУ допускает подключение нескольких клиентов с одного IP-адреса.

Для корректной работы, на ФПСУ необходимо в правилах работы клиентов на Вашем комплексе ФПСУ-IP использовать опцию "<B><s></s>NAT при соединении"<e></e></B>

<URL url="http://fastpic.ru/"><s></s><IMG src="http://i18.fastpic.ru/big/2011/0810/81/71ae603e8bf346ae093f784a8ebadc81.jpg"><s></e></IMG><e></e></URL>


Будет произведена трансляция реальных IP-адресов клиентов во внутренние (виртуальные) адреса защищаемой подсети при соединениях со стороны данного порта.
Каждому клиенту будет присвоен свой адрес, независимо от того, с какого адреса он подключился.

Таким образом комплекс ФПСУ-IP сможет различать нескольких клиентов, подключенных с одного внешнего адреса.</r>

 

[mihmih]

Да, включение (обратного) NAT на сервере ФПСУ помогло.
Но данная мера по словам сотрудника безопасности повысила нагрузку на сервер и сервер клиент-банка не видит реальных ip адресов клиентов.

Передайте разработчикам - возможно ли сделать работу ФПСУ сервера для нескольких клиентов за NAT.

 

[AMI_FMS]

Реальные адреса клиентов и их соответствие NAT адресам всегда можно посмотреть на ФПСУ. ФПСУ ведет протокол работы и всегда можно посмотреть кто в какое время с какого реального адреса подключался и какой использовал NAT-адрес.

увеличение нагрузки на ФПСУ при использовании NAT несущественная. ФПСУ может обслуживать более 128 тысяч клиентов одновременно.

А увеличения загрузки сервера из-за использования NAT быть не может.