Авторизация

ВНИМАНИЕ!
В связи с реализацией отказоустойчивой схемы просим убедиться, что ваши туннели подключаются с использованием доменного имени msk.vpnki.ru
Подключение туннелей на адрес vpnki.ru больше не работает

Topic-icon Странная активность

Больше
23 янв 2018 09:32 #1689 от C8R
C8R создал эту тему: Странная активность
Добрый день.
Сейчас заметил, что удаленный роутер что-то куда-то передаёт, увидел это в админке зукселя, на первой странице.
В сети роутера только регистратор, облачные сервисы и т.п. на нём отключены.
Другие туннели тоже отключены.
Как понять куда идет трафик? Возможно это не из-за работы сервиса vpnki, но все-же, кстати такое второй раз, кудато передаёт по 5-10Гб 0_0...
Логин user3131.
Спасибо.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
23 янв 2018 09:54 #1690 от admin
admin ответил в теме Странная активность
Я правильно понимаю что речь идет о 5-10 Гигабайтах?

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
23 янв 2018 10:16 #1691 от admin
admin ответил в теме Странная активность
Вы можете зайти на страницу "Инструменты" и нажать кнопку "Интерфейсы", там окажется список интерфейсов вашего виртуального маршрутизатора vpnki. Это пример моих интерфейсов...

В составе вывода есть как счетчики принятых и переданных пакетов (RX и TX packets) так и количество переданных байт.
Посмотрите каковы эти счетчики сейчас и скиньте скриншот.
(Понять какой из интерфейсов относится к какому туннелю можно обратившись к кнопке "Таблица маршрутов". Там будет связь имени интерфейса с IP адресом вашего туннеля.)

Я сегодня весь день в дороге, поэтому смогу более детально посмотреть только вечером.

если все заработало - нажмите на баннеры!
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
23 янв 2018 12:19 - 23 янв 2018 12:22 #1692 от C8R
C8R ответил в теме Странная активность
>>Я правильно понимаю что речь идет о 5-10 Гигабайтах?

Да, речь об этом, куда-то улетело.

Странность в том, что в связке лишь роутер и регистратор.
Роутер как шлюз для удаленного просмотра через pptp. Облака не использую, пишу картинку на встроенный hdd, мобильный канал и pptp использую только для просмотра, но это пару раз в день, по паре минут. Т.е. это меньше 1Гб за всё время.
Роутер и рег. запаролены, в админке, стандартными средствами видно, что сторонних подключений нет.

Скрин интерфейсов в приложени. Как я понимаю смотрим в эти строки: RX bytes:736 (736.0B) TX bytes:374 (374.0B)

Утром роутер что-то куда- передавал на скоростях ~500кбит/с, сейчас стабильно на ~50.0 кбит/с, передал порядка 0.5-1Гб за утро.

Спасибо за помощь, хотел бы понять куда идёт трафик со всеми вытекающими.
Вложения:
Последнее редактирование: 23 янв 2018 12:22 от C8R.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
23 янв 2018 13:08 - 23 янв 2018 13:41 #1694 от C8R
C8R ответил в теме Странная активность
Установлю и попробую Модуль захвата сетевых пакетов на роутере, постараюсь проанализировать трафик, если разберусь.

UPD:

в основном (95%), трафик выглядит так:



как я понял это роутер 192.168.3.1, с кем-то взаимодействует через Ваш сервис 172.16.0.1
На скрине я отметил 192.168.8.100, 192.168.8.1 - это адрес USB модема, воткнутого в роутер, 192.168.8.100 - модем присвоил адрес роутеру, а 193.232.49.4 - искомый пожиратель трафика?

UPD2:

Перешел по 193.232.49.4, а это vpnki.ru , тогда я чтото не так понял...
Вложения:
Последнее редактирование: 23 янв 2018 13:41 от C8R.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
23 янв 2018 19:00 - 23 янв 2018 19:02 #1698 от admin
admin ответил в теме Странная активность
Ох, я ничего не понимаю.
1. На этом скрине данные из верхнего списка и выделенная строка имеют адрес источника - 192.168.3.1, а адрес получателя - 172.16.0.1
В то же время, на нижней части экрана (там где более детальная информация о выделенной строке) адрес источника - 192.168.8.100, а адрес получателя - 193.232.49.4
Как-то не бьется эта информация.

2. Кроме того, это пакеты ACK (acknowledgement) и они посылаются в качестве подтверждения того, что какие-либо ранее переданные пакеты приняты успешно.
То есть речь о том, что ранее какой-то трафик был успешно загружен со стороны 172.16.0.1 на адрес 192.168.3.1 и что важно - на порт 80, который обычно означает веб-сервер.
В данном случае какие-то данные загружались на веб сервер на 192.168.3.1?

3. Размер этих пакетов около 1400 байт или 1,4 килобайт. И следуют они по 2-3 пакета в секунду.
Это означает, что 5 гигабайт можно такими пакетами набрать за 13-14 дней непрерывной долбежки... но что это за пакеты и что они подтверждают я не понимаю

4. Следующая странность в ваших адресах. Если вы говорите об IP адресе модема, то каким образом модем связан с рутером и какая между ними IP сеть мне не понятно.

5. Я посмотрел состояние ваших интерфесов и не вижу там существенных цифр, все вполне нормально, но я не смотрел длитеьность этих сессий, так как не имею сейчас такой возможности.

ppp40 Link encap:Point-to-Point Protocol
inet addr:172.16.0.1 P-t-P:172.16.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:19531 errors:0 dropped:0 overruns:0 frame:0
TX packets:20190 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:23354556 (23.3 MB) TX bytes:3918784 (3.9 MB)

ppp225 Link encap:Point-to-Point Protocol
inet addr:172.16.0.1 P-t-P:172.16.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:5 errors:0 dropped:0 overruns:0 frame:0
TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:380 (380.0 B) TX bytes:374 (374.0 B)


6. В интерфейсе vpnki в раззделе СТАТИСТИКА ПОДКЛЮЧЕНИЙ есть информация о реально переданном объеме трафика по последним сессиям. Там есть что-то что может дать в сумме 5-10 гигабайт?

7. Если ничего похожего нет, то вполне возможно, что статистика рутера учитывает передаваемые пакеты дважны - и на физическом интерфейсе и на логическом интерфейсе (ppp)

Нужна схема соединения устройств с адресами.

если все заработало - нажмите на баннеры!
Последнее редактирование: 23 янв 2018 19:02 от admin.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
23 янв 2018 22:58 - 23 янв 2018 23:08 #1701 от C8R
C8R ответил в теме Странная активность
1. Не могу прокоментировать
2. Аналогично
3. Роутер работает месяц. Настолько активную скорость передачи заметил только сегодня, что было до этого момента - не известно
4. Набросал примерную топологию:

5. При анализе сетевых пакетов пришлось перезагрузить роутер, т.е. сейчас новая сессия
6.

user3131 - роутер, про который идёт речь, с 11.01.18, отправлено ~1.5Гб

7. Не могу прокоментировать
Вложения:
Последнее редактирование: 23 янв 2018 23:08 от C8R.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
24 янв 2018 01:05 #1702 от admin
admin ответил в теме Странная активность
1. Судя по статистике vpnki, очень похоже, что трафик от туннеля 3031 ходил в туннель 3074 (самые нижние две строки). Там есть разница в ~50 мегабайт, но порядок цифр похож.
Следующие две строки снизу тоже показывают, что трафик из 3031, скорее всего, ходил в 3074 и тоже есть разница около 150 мегабайт.
Это составляет бОльшую часть трафика. Вы знаете что это за трафик? Получатель 3074, как 3031 тоже висел в онлайне весьма долго.

2. Сейчас сессии ваших туннелей висят около 10 часов. Трафика на интерфейсах почти нет. То есть эта ситуация не воспроизводится. Возможно после перезагрузки?

ppp40 Link encap:Point-to-Point Protocol
inet addr:172.16.0.1 P-t-P:172.16.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:20255 errors:0 dropped:0 overruns:0 frame:0
TX packets:20897 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:24279212 (24.2 MB) TX bytes:4017966 (4.0 MB)

ppp225 Link encap:Point-to-Point Protocol
inet addr:172.16.0.1 P-t-P:172.16.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:5 errors:0 dropped:0 overruns:0 frame:0
TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:380 (380.0 B) TX bytes:374 (374.0 B)

3. Мне не понятна разница в суммах трафика по вашим интерфейсам из п.1 (50 + 150 мегабайт). Это весьма приличные цифры, которые не бьются в статистике. Куда делся этот трафик я не понимаю, возможно у вас активны Публикация URL или доступ через прокси и т.д. Тогда часть трафика уйдет в другие интерфейсы (не ppp) и не будет отражена в этой статистике подключений.

4. По поводу USB модема. Скорее всего, адрес 192.168.8.1 это адрес не модема, а адрес маршрутизатора провайдера, которы выдал на ваш маршрутизатор адрес 192.168.8.100
Если так, то скрин с вашего анализатора трафика становится чуть более ясным. В нижней части экрана идут адреса между реально которыми установлен туннель. 192.168.8.100 и 93.232.49.4
То, что показывается в верхней части окна это уже адреса внутри туннеля - 172.16.0.1 и 192.168.3.1 .... ох уж этот Zyxel

Вероятнее всего, снятый кусок дебага показывает подтверждение от веб-интерфейса модема в сторону сервера vpnki о состоянии (там есть в расшифровке <uptime>335</up time>)
Так как получателем является сервер vpnki - 172.16.0.1, а не другой ваш туннель, то скорее всего это обращения через Публикацию URL на имя "om...." - именно под ним выставлен 80 порт вашего модема.
Может быть это открытая страница в вашем браузере в интернет (ну или не вашем, а всяких любителей посканить и потыкать).

Как бы там ни было, трафик размером в 1 гигабайт и трафик из дебага по 80 порту модема, скорее всего, это разные истории.
В одном случае это "туннель 3074", а во втором массовые коммуникации на 80 порт модема через Публикацию URL...

Сейчас все ок, но вам необходимо понаблюдать за ситуацией с трафиком и если обнаружится странность - дайте знать.

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
25 янв 2018 09:54 #1711 от C8R
C8R ответил в теме Странная активность
1. Получатель 3074 это тоже роутер, 3031 и 3074 всегда онлайн - на них висит видеонаблюдение.
То, что замечена такая зависимость, что трафик из 3031 шёл в 3074 - возможно, компьютер был в сети роутера 3074, отюда и трафик: я мониторил удаленый роутер и делал скрины из монитора трафика, также в браузере была открыта админка удаленого роутера (это я про 80й порт и <uptime>335</up time> из п.4). Но порядок цифр настораживает.

2. Эти два тунеля висят активными всегда, но трафик должен идти только пары минут в день, когда я захожу на камеры.

3. На 3031 в его админку я захожу по опубликованному URL, это может повлиять на разницу в трафиках?

4. По адресам - может быть и так.
Про трафик размером в 1 гигабайт : с дебагом разобрались, тут всё так, а вот куда уходят гигабайты - не ясно, буду наблюдать. За вчерашний день по статистике роутера было отправлено 39мб, что логично. Но пару раз бывало по 5-10 гигов, вот это настораживает, вчера я как раз зашел в админку, увидел аплоад на скорости 500кбит/с и задумался.

P/s: Есть подозрение, что комп ребутнулся и на нём запустилась служба софта для видеонаблюдения, что могло вызвать трафик из одного туннеля в другой. НО: комп не был подключён через pptp, он просто был в сети роутера 3074 (на нём поднят тунель, он клиент), в таком случае будет ли линк ( видеорег->роутер->роутер->ПК )?

Спасибо. Буду мониторить.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
25 янв 2018 23:19 #1712 от admin
admin ответил в теме Странная активность
По п.3. Да на разницу в трафике мог повлиять трафик из Публикации URL, вопрос откуда там такие цифры? (в 50 или 150 мегабайт). Если там просто открыта админка рутера, то мы с вами видели, что статус uptime там передается два-три раза в секунду. Сам пакет с этим статусом занимает 1,4 кБайта. За час это составит 1,4 *2 *60 *60 = около 10 мегабайт. Если у вам было открыто окно в браузере со статусом рутера в течение нескольких часов, то 50 мегабайт легко уйдут за 4-5 часов. Соответственно 150 мегабайт за 15 часов. Открытую вкладку в браузере легко оставить в таком состоянии и на больший срок.

По п.4. Нужно смотреть. То, что трафик измеряется в гигабатах в течение дня это, скорее всего, видео поток.

По PS. Нет, в описанном вами случае трафика через VPNKI быть не должно.

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
26 янв 2018 09:14 #1713 от C8R
C8R ответил в теме Странная активность
Сейчас зашел в админку, проверил исходящий трафик - все ОК. Ребутнул ПК, но котором установлен софт для наблюдения, проверил что служба этого софта запустилась и сразу в админке пошла статистика по трафику - тот же порядок цифр ~500кбит.
Т.е. этот трафик инициирует мой комп, верней служба, в первый раз я упустил её из виду.

Вопрос: ПК перезагрузился, к pptp не подключён, как он инициирует трафик на удаленном устройстве?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
26 янв 2018 10:28 #1714 от admin
admin ответил в теме Странная активность
Хотя я, наверное, не прав. Если две сети (за двумя рутерами) объединены в одну через vpnki и тот самый удаленный компьютер может пинговать видеорегистратор, то, конечно, он сможет запрашивать и поток с регистратора. То, что на нем самом не поднят туннель - это не важно, важно что он находится в единой сети, образованной двумя рутерами.
Попробуйте сделать пинг с этого ПК до регистратора.
А вот уж что он там делает при старте службы я не подскажу.

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
27 янв 2018 15:49 - 27 янв 2018 15:54 #1721 от C8R
C8R ответил в теме Странная активность
Да, пинг идёт. Туннели работают, но в плане софта не всё так просто.

Некая особенность, почему я до этого не знал этой тонкости:

пинги идут, но софт для просмотра видеопотоков на винде не может к ним подключиться, а служба этого софта, которая работает в фоне - может.
К тому же, просмоторщик rtsp (по этому протоколу вещают камеры) на андройде может воспроизвести видео не подключаясь по pptp, а просто находясь в беспроводной сети роутера с поднятым туннелем.

Т.е. есть особенности с софтом для работы в туннелях.
Последнее редактирование: 27 янв 2018 15:54 от C8R.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.