Jump to content

Recommended Posts

В конторе массово (на ~100 машинах) используется OpenVPN. Где-то неделю-две назад на Win10 впн-коннекты стали виснуть, OpenVPN GUI тоже (ни connect, ни disconnect недоступны). Единственное обнаруженное "лечение" -- деинсталляция KES10sp2 (варианты mr2, mr3beta -- последний как заменитель pf3129). До полного сноса пробовал отключать, потом деинсталлировать компонетны (Firewall, прежде всего), не помогало. Что интересно, не у всех Win10 такие проблемы. Все машины -- Dell Latitude E7470, 7480, 7490. Ну и на BSOD жалоб сразу намного меньше после сноса...

На Win81 проблем (пока) нет.

Такие дела.

Share this post


Link to post

Здравствуйте,

Пожалуйста, приложите к своему ответу трассировки KES в момент воспроизведения проблемы и отчет GSI.

Пожалуйста, воспользуйтесь любым файлообменным ресурсом для выгрузки данных и приложите к своему ответу ссылку.

СпасибО!

Share this post


Link to post

Вчера висло, сегодня на демо-машине не виснет. А не может ли это быть связано, например, с KSN и с меняющимися "диагнозами" оттуда? Особенно учитывая то, что проблемы у людей начались "вдруг"?

Share this post


Link to post

Есть ли возможность проверить воспроизведение на KES 11, в ней были обновлены и изменены механизмы компонентов.

Спасибо!

Share this post


Link to post

Нет, KES11 -- не вариант.

Воспроизвел проблему с KES10sp2 mr3-beta. Проявляется с включенными компонентами Network Attack Blocker, Firewall, не проявляется с выключенными (KSN отключен).

Выглядит примерно так:

Reply from 10.31.2.6: bytes=32 time=7ms TTL=64
Reply from 10.31.2.6: bytes=32 time=8ms TTL=64
Reply from 10.31.2.6: bytes=32 time=7ms TTL=64
Reply from 10.31.2.6: bytes=32 time=7ms TTL=64
Reply from 10.31.2.6: bytes=32 time=8ms TTL=64
Reply from 10.31.2.6: bytes=32 time=8ms TTL=64
Reply from 10.31.2.6: bytes=32 time=7ms TTL=64
Reply from 10.31.2.6: bytes=32 time=8ms TTL=64
Reply from 10.31.2.6: bytes=32 time=7ms TTL=64
Reply from 10.31.2.6: bytes=32 time=8ms TTL=64
Reply from 10.31.2.6: bytes=32 time=7ms TTL=64
Reply from 10.31.2.6: bytes=32 time=7ms TTL=64
Reply from 10.31.2.6: bytes=32 time=7ms TTL=64
Request timed out.
Reply from 10.31.3.121: Destination host unreachable.
Request timed out.
Request timed out.
Request timed out.

При этом OpenVPN GUI "задумывается" секунд на 30, если ему сделать "disconnect" в момент, когда VPN-каналу уже поплохело.

Создал инцидент INC000009322493 с GSI и trace-500.

Share this post


Link to post

Добрый день.

Пожалуйста, ожидайте ответа инженера в рамках инцидента. 

Share this post


Link to post

Ожидаем. С интересом. Т.е. неделю удаленные машины, условно говоря, не могут связаться с центром -- отключить компонент Network Attack Blocker, препятствующий работе, можно, но для этого надо связаться с центром, а связь эта... правильно, по VPN. Так что все ручками, с визитами, ну или с раскрытием пользователям атрибутов доступа к KES...

Share this post


Link to post

Две недели назад оно поправилось "само". С сегодняшнего утра VPN на машинах с KES 10 sp2 mr2 виснет опять, да еще так, что отключение компонентов не помогает. KES 11 пока работает.
Убиться можно. Апстену.

Share this post


Link to post

Да, жалоба поступила с машины с KES10 mr1; mr2; pf3192.

KES11 тоже... странно себя ведет. На моей личной машине VPN работал, на "соседней", где я пытался решить проблему KES10 обновлением до KES 11, при том же наборе включенных компонентов VPN вис; в итоге заработал (вроде как, тьфу-тьфу-тьфу) с отключением Host Intrusion Prevention, Network Threat Protection, Firewall.

Share this post


Link to post

И ведь не на всех машинах беда воспроизводится. Или уже базы исправленные вышли...

Share this post


Link to post

Пришлите скриншот окна поддержка с машины где есть и где нет воспроизведения.

Спасибо!

Share this post


Link to post

Обнаружилось, что помогает отключение Firewall Касперского. По крайней мере, сегодня с утра 8-/

Share this post


Link to post

Здравствуйте,

Пробовали ли вы создавать соответствующие разрешающие правила для VPN?

Share this post


Link to post

Так ведь "никогда такого не было, и вот опять" -- вдруг внезапно перестало работать.

VPN-подключение типа bridge в локальную подсеть. Кому (какому софту) давать разрешающие правила?

Share this post


Link to post

Имеется ввиду не разрешение для программы, а правило для сетевых протоколов.

Share this post


Link to post

Какие правила для сетевых протоколов? Я не умею писать правила для сетевых протоколов, решающие проблему "первые 20-25 icmp-пакетов ping проходят, после чего соединение -- тот же пинг -- виснет и сетевой адаптер openvpn становится плохоуправляемым".

Сегодня на машине, доступной мне сегодня (выходные все-таки) проблемы нет. Балуется ЛК в обновлениях "внутренними" правилами для компонентов. И не признается.

Share this post


Link to post

Добрый день. 

Могли бы вы уточнить что означает:

2 часа назад, aehrlich сказал:

сетевой адаптер openvpn становится плохоуправляемым

Какой тип VPN сети вы настраиваете ? 

Share this post


Link to post
22 hours ago, Evgeny_E said:

Добрый день. 

Могли бы вы уточнить что означает:

> сетевой адаптер openvpn становится плохоуправляемым

Какой тип VPN сети вы настраиваете ? 

TAP не в состоянии сделать dhcp release при disconnect, например. И отключиться.

.OpenVPN bridged connection.

On 6/23/2018 at 9:35 PM, aehrlich said:

Создал инцидент INC000009322493 с GSI и trace-500.

с конфигурационным файлом и всем прочим.

Share this post


Link to post

Здравствуйте! 

Ожидайте ответа в рамках инцидента.

Спасибо!

Share this post


Link to post

Получил ответ в рамках инцидента: "подтвердить или опровергнуть ваши предположения, что что-то меняется в базах, не можем, нет данных".

При этом на каких-то Win10 машинах (в т.ч. с KES11) OpenVPN работает, на каких-то нет. А потом начинает на всех работать. Само. А через неделю-две опять катастрофа-неработа -- для нашей компании OpenVPN является критической инфраструктурой (намного более критичной, чем любой антивирус). С билдом Windows вроде как тоже не связать. Счастье админа. KSN отрубить, что ли?

Share this post


Link to post

Добрый день.

KSN всегда дает наиболее свежий вердикт при работе компонентов KES. 

Вы говорите у вас на разных версиях Endpoint Security поведение проявляется одинаково. Не на Windows машинах есть проблема ? Есть ли сервера или рабочие станции с KSWS 10 где проблема повторяется ? Привязка ко времени суток ? 

"Плавающие" проблемы с KES мне на практике пока не встречались, если что-то ломается то ломается сразу и не работает до тех пор пока не починят. 

Share this post


Link to post

Не на Windows до сих пор проблем не было. Но и не использует никто Касперского на линуксе; на маках тоже практически не использует. На серверах касперский тоже не стоит.

> Есть ли сервера или рабочие станции с KSWS 10 где проблема повторяется ?
Есть. Но "повторяется", это такое слово... вот после недели паники (и моего досрочного по этому поводу прерывания отпуска) оно взяло и заработало все "само", на всех машинах -- KES SP2 mr2 и mr3_beta. И ломалось тоже поэтапно -- сначала на одной версии Windows 10 (вроде бы 1803), потом Fall Creators, а у пользователей Win81 был праздник. Потом сломался и Win81. Начался на некоторых машинах снос Касперского, на большинстве -- отключение компонентов политиками. Потом, как я и говорил, "заработало". Где-то потом добавились KES11, на них тоже работало. Через какое-то время на каких-то машинах опять сломалось. Потом опять починилось. Сейчас снова этап "начало ломаться".

Два делловских лаптопа, даже модель одна (E7470), установлена Win10 1803 с одного образа практически одновременно. На одном VPN сегодня утром вис, пока не отключили Firewall, на другом сегодня вечером работает с теми же настройками Firewall. Что я могу сказать, кроме того, что попробую их же завтра утром? Один (висячий), правда, под политикой KSC, другой -- еще даже без установленного агента.

И в логах Касперского ничего нет. Каким бубном изгонять "20 пинг-пакетов проходит, потом -- амба"? Я помню, много лет назад было горе, Касперский убивал -- по своему внутреннему таймауту -- tcp-сессии (telnet/ssh, например, или подключения к Oracle); я приблизительно понимаю по аналогии с iptables, как это могло быть устроено, и рецепты решения проблемы tcp timeout публиковались. Тоже "неочевидные внутренние действия".

Привязка по времени суток -- вот такое мне поискать в голову не приходило...

Edited by aehrlich

Share this post


Link to post

Не вижу системы в "работает -- не работает". Сегодня один и тот же лаптоп не работал, после перезагрузки по-прежнему не работал, через 10 минут заработал и до сих пор работает.
Единственный подозрительный факт -- во время "не работал" зарегистрировано событие "KSN servers unavailable", более-менее во время "заработал" зарегистрировано событие "KSN servers available" на лаптопе.

Share this post


Link to post

Добрый день. 

Недоступность сети была зарегистрирована на одном устройстве или на нескольких ? 

К KSN станция обращается напрямую или через KSN прокси на сервере администрирования ?

 

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.