Internet valt gemiddeld 2x per dag uit .... !!??!!

[Mr Pink]

Hallo,

Op m'n werk hebben we een telenet Office abonnement.
We werken met ongeveer 20 man.

We maken gebruik van een proxyserver, waarom niet echt veel staat:
Vpop3, Proxyplus en Trend micro Officescan.

De laastte tijd (de laatse 3 maand eigelijk) valt het internet geregeld uit.
Dit is meestal voorafgaand op deze eventlog op de proxyserver (w2k server):
Event ID 1003
Your computer was not able to renew its address from the network (from the
DHCP server) for the network card with address 006008176a93. The following
error occured: The semaphore timeout period has expired. Your computer will
continue to try and obtain an address on its own from the network address
(DHCP) server.

Ik heb dit al verscheidene malen voorgelegd aan telenet.
Het is nu zover gekomen dat ik met het 'swat' team in contact sta.

Eigelijk heeft het swat team nu nog steeds geen oplossing gevonden, en ik begin het redelijk op mijn heupen te krijgen .... .

Dit is reeds gebeurd:
kabelmaatschappij heeft alles getest, alles vervangen.
netwerkkaarten allebei vervangen
utp kabels vervangen
vpop3 (mailprogramma) ge-upgrade naar v 2.0
alle updates zijn al lang gedaan op de server
etc etc etc

Tegenwoordig valt het internet dus 2x per dag uit, dit maal zonder event id's (waarschijnlijk omdat ik er vlug genoeg bij ben).
Ik blijf m'n ip behouden (fixed ip), maar we kunnen nergens surfen.

Vandaag was dit weer het geval, ik ben direct naar de server gecrost, en daar zag ik .... niks! Geen up/downpieken ofzo, niemand was iets speciaals aan het doen op het net.

Af en toe, dat heb ik al willen merken, valt het inet uit als ik, of 1 v m'n collega's z'n mail bekijkt v thuis uit.

De mail werkt niet als open relay, dat heb ik gechecked met de support vh mailprogramma, en via de diverse testsites.
Toeval of niet, net toen ik die tests aan het doen was lag het internet weeeeeral plat!

Nog iets interessant maybe: per dag hebben we een ongeveer gelijk up/downstream van ongeveer 1GB. Aan wat dit kan liggen weet ik totaal niet, want we uploaden alleszinds nooit zoveel.

Heeft er iemand misschien enig idee waar dit nu toch aan kan liggen????
Ik heb zowat alles al uitgesloten.
Of weet er iemand het 1 of ander programma waar ik dit alles mee kan monitorren? want met Dumeter allen kom ik er niet.
Telenet swat kon me voorts ook geen programma's aanraden....

[Sensei Zeon]

ja kan mss eens proberen om die nic die een nieuwe dhcp release vraagt, een vast ip adres te geven, nm het ip adres dat deze toch krijgt, en kijk dan nog eens of het werkt

[Gast]

Dat heb ik reeds gedaan, maar dat werkt niet bij telenet.
Je MOET via dhcp gaan, anders disconnect telenet je, omdat hun dhcp server geen renew/release requests ontvangt.

1e NIC (internet) staat dus gewoon op dhcp
2e NIC (LAN) staat op fixed ip

[Sensei Zeon]

wat moet je eigenlijk doen om terug te kunnen surfen?

[Mr Pink]

Ik moet steeds de modem 10 sec uittrekken vooralleer ik opnieuw kan surfen.

Het is precies ofdat dat ding overbelast wordt of zoiets.
Het zou wel handig zijn moest ik bepaalde software kunne downloade om dat te testen/monitoren.
Of zelfs software die die 'buffer' vanzelf leegmaakt... ?

Ik heb daarnet een ping gedaan, en het ip lag weer plat.
Nu doe ik terug een ping, en het is weer online !!!
net id events gekeke, en NIKS te zien !

Dat kan nu toch niet vanzelf terug online gaan na 10 min????

Ik vraag me echt af wat er hier aan de hand is... .

[Sensei Zeon]

ja kan eens proberen om een linux pc met een hub aan de inet kabel te hangen, en dan etherreal te draaien, zo log je al de traffic die er passeerd, mss raak je hier wijs uit en weet je iets meer

(etherreal logged elke bit die passeerd aan de nic, dus hier zal het prob dan wss tss zitten)

[Gast]

Gehacked?

[Sasuke]

Mja,

Toen ik jouw verklaring zag van 1Gb up/down per dag (Telenet Office = 128/256 kbit upload) dacht ik ook direct aan "gehacked". Als ik jou was, zou ik gewoon eens kijken of je nergens geen "te veel" aan used diskspace hebt op plaatsen waar dit niet normaal is (bv system folders e.d.). Doe misschien eens een search naar compressed files (bv zip, rar, tar e.d.)

Moest je bv niet gehacked zijn, installeer dan bv gewoon al eens de trial versie van "netprobe" Hiermee kan je ook je netwerktraffiek bekijken , ongeveer zoals met etherreal. Netprobe kan je op onderstaande link vinden:
http://opc.objectplanet.com/dl/download.asp?pid=Probe

Grtz,

Sasuke

PS: Heb je IIS draaien ? Zo ja, staan daar ook alle laatste patches op?

[008]

Misschien zit er wel iemand te P2P'en ?! Ik weet in ieder geval dat mijn modem dan onherroepelijk vroeger of later vastloopt en alleen stekker eruit/erin gaat dan helpen. 'T is maar een gedachte maar dat verklaart dan ook je hoge upload....

Suc6 ermee

[Mr Pink]

thx allemaal voor de tips, ik probeer straks es die etherreal.
gehacked,.. heb ik ook al aan gedacht, maar alles is geaudited, en ik zie niks speciaals binennkomen.
Het enigste rare is een user die probeert binnen te komen onder de naam qqdfhqergqrgqfsgqdfg ofzo, ik geef jullie straks de details.
+ moest ik dan toch gehacked zijn, dan zouden ze toch tenminste wat meer traffiek generen

btw, niemand kan P2P, want dat wordt allemaal tegengehouden door de proxy.

Het enigste bizarre is dus idd dat up en down ongeveer even hoog is, elke dag.

maaaar ... in het weekend dan weer niet!
Dit weekend bvb hadden we 5mb up.
Ik zou zeggen, hackers gaan int weekend toch wel veel meer doen dan id week. Daaruit besluit ik dat het toch precies iets te maken heeft met de clients, want die werken alleen id week.
Maar dan is het toch ook raar dat het inet uitvalt als niemand iets ah doen is

[ubremoved_539]

Je MOET via dhcp gaan, anders disconnect telenet je, omdat hun dhcp server geen renew/release requests ontvangt.

En daar zit hem net het probleem... de DHCP server van TN is een beetje eigenzinnig en kan niet overweg met bepaalde DHCP clients.

Het toestel dat aan je TN modem hangt (je firewall/proxy), welk OS en DHCP client heeft dat, en welke netwerkkaart ?

Als je echt technisch wilt gaan kan je altijd een snif zetten, en de lease renew eens in detail bekijken.

[Mr Pink]

OS = w2k server

netwerkkaart is een compaq kaart:
Compaq netelligent 10/100 TX PCI|UTP controller
netflex 3 driver v 4.28

Ik ben nu even alles in de gaten aan het houden met 'Distinct network monitor'

oja, die rare audit log:

Logon Failure:
Reason: Unknown user name or bad password
User Name: dsgsgsdgirghrhefhgdu
Domain:
Logon Type: 3
Logon Process: Advapi
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Workstation Name: PROXYSERVER

[Sasuke]

MrPink,

Staat jouw proxyserver misschien in een DMZ ? Of open naar het internet toe ? Wat gebruik je als firewall ? En op welke poort draait je proxyserver? En welke proxyserver draai je? Ms Proxy 2.0 of ISA of een ander product ? Want elk product heeft wel een of ander stukje software dat je toelaat de proxyserver te "omzeilen" (bv MsProxy client, ISA Firewall client, ...)

Grtz,

Sasuke

[008]

Mr Pink schreef:

btw, niemand kan P2P, want dat wordt allemaal tegengehouden door de proxy.

O.a. eMule kan via een proxy-server werken, misschien zijn er zo nog wel meer. Geen hoge upload in het weekend maar wel in de week ?!
Ik zou er persoonlijk toch eens nader naar kijken alvorens allerlei zwaar technische zaken te onderzoeken die merendeels al gechecked en oke bevonden zijn. Als je ergens dergelijke rare usernamen tegenkomt dan is het wel via P2P apps.
'T zijn vaak simpele dingen die het onverklaarbare verklaarbaar maken, niet gezegd daarmee dat er toch niet een lullig technisch probleem ergens verstopt zit.

[Mr Pink]

@ sauske

Ja, inderdaad.
Tis eigelijk vrij simpel:

server = proxyserver
2 lankaarten:
1e > LAN
2e > internet
proxy programma = Proxy+ (www.proxyplus.cz)
Vpop3 voor de mail
De 20 users gaan op het internet via deze server op poort 8080.

Er zit GEEN firewall op, misschien dat ik dat het best eens doe? Wat raden jullie me aan? want pakweg zonealarm op een server, is dat aan te raden?


Let wel, de server is zeker geen open relay, want dat heb ik al getest op verschillende sites die die service aanbieden.

@ 008

ik heb aan al onze users gevraagd of ze P2P gebruiken, en ze hadden allemaal een negatief antwoord.
Ze kunnen wel liegen, maar ik ben er toch wel van overtuigd dat ze dat niet zullen doen.
--------------------------------------------------
Het enigste wat ik bog niet vermeld heb is dat onze stock soms inlogt via TS naar 1 van onze servers.
Ik doe dat ook van thuis uit, en het inet valt niet uit, dus ik denk niet dat dat ermee te maken heeft.

[Mr Pink]

nog iets dat ik net gemerkt heb:

De upload is altijd net iets groter dan de download totals.

Meestal schommelt het zo tss de 800 mb en 1 GB

[Mr Pink]

okay,

Ik heb de traffiek van de netwerkkaart die geconnecteerd is met de telenet modem eens getraced.

Eigelijk zie ik op het 1e moment niks speciaals... .

Zijn er soms dingen waar ik speciaal op moet letten?
De meeste traffiek gaat door 8080, gewoon surfen dus vermoed ik, en door poort 25 (SMTP), uitgaande mail dus vermoed ik.

De network bandwidth vertoont af en toe eens een piek, maar het inet is totnutoe nog niet uitgevallen.

Misschien hebben jullie nog ideën op wat ik kan filteren?

De up en downstream loopt nog altijd ongeveer op dezelfde lijn.
Ik ga eens proberen om de upstream te traceren, misschien dat ik daar wat wijzer uit word...

[ubremoved_539]

DHCP gaat over poort 67 en 68 (zowel UDP als TCP).

Je zal dus enkele uren moeten capturen om de nodige lease renew requests te zien (en hopelijk ook eentje dat fout gaat).

[Mr Pink]

ik ben hier nu net even van bij mij thuis ah testen.
ping -t geeft dit:

Reply from **: bytes=32 time=24ms TTL=118
Reply from **: bytes=32 time=63ms TTL=118
Reply from **: bytes=32 time=273ms TTL=118
Reply from **: bytes=32 time=467ms TTL=118
Reply from **: bytes=32 time=666ms TTL=118
Reply from **: bytes=32 time=864ms TTL=118
Reply from **: bytes=32 time=24ms TTL=118
Reply from **: bytes=32 time=126ms TTL=118
Reply from **: bytes=32 time=260ms TTL=118
Reply from **: bytes=32 time=430ms TTL=118
Reply from **: bytes=32 time=537ms TTL=118
Reply from **: bytes=32 time=757ms TTL=118
Reply from **: bytes=32 time=959ms TTL=118
Reply from **: bytes=32 time=25ms TTL=118
Reply from **: bytes=32 time=137ms TTL=118
Reply from **: bytes=32 time=356ms TTL=118

Is dat normaal dat die waarden to hoog liggen (time=959ms ?!?)
gisteren was dit nog 23ms enzo ...
hij gaat steeds naar ongeveer 960, en dan begint hij weer bij 24 ...

[Sensei Zeon]

doe eens een tracert

[Sasuke]

Mr Pink,

Bekijk het security rapport eens goed dat ik je in PM gestuurd heb ... ik denk dat je daar al wel wat oorzaken in kan vinden. Als ik jou was zou ik dus inderdaad eens een Firewall aanschaffen. Een D-Link Di-604 bv kost slechts een 45€ .. en dan hoef je ook die 2de netwerkkaart niet meer te gebruiken ! Je koppelt gewoon die Dlink aan je hub/switch ... zet de DHCP van de Dlink af en geeft die een vast IP in de range van je interne netwerk en klaar is kees. Je configged proxy+ om de router als forwarder te gebruiken en dat is ook dan in orde.

Grtz,

Sasuke

PS: MrPink's IP adres is op legale en vrijwillige manier verkregen. Voor de paranoiden .. ik heb mijn "Mod-Powers" dus niet misbruikt.

[Mr Pink]

Thx Sauske!

Ik ga het straks eens allemaal bekijken, en eens zien naar die firewall, dat lijkt me inderdaad heel interessant, + het kost niks ook.