тормоза прокси ... с чего бы это?!?
 

Доброго всем здравия!

локалка из 10 компов.
имеется
1. dc на win2003
первый интерфейс
ip:10.20.12.12/24, шлюз 10.20.12.1 он же DNS, DHCP, и файловый сервер
второй в down

2. proxy на win2003
первый интерфейс
ip:10.20.12.50/24 шлюза нет,
интерфейс смотрит в свич, т.е. в локальную сеть

второй интерфейс
ip: 192.168.1.33/24 шлюз 192.168.1.1 на ADSL модем ZyXel

на proxy стоит UserGate раздает инет.

Инет ЖУТКО тормозит! и вообще комп с юзергейтом как-то долго логониться и т.п. проверено - вирусов нет!
Что делать? подскажите пожалуйста? в каком направлении двигаться??

уточнения:
1-а на станциях какой шлюз?
2-у твоего прокси интерфейс внутренней сети 10,20,12,50 через него я так понял ходят в инет. тогда почему у DC шлюз 10,20,12,1? есть ещё машина в сети с адресом 10,20,12,1? так через какую в инет выходят? через 12,1 или через 12,50?

если машины 12,1 нет в твоей сети то как вы с таким шлюзом (я имею ввиду 10,20,12,1. предположем что ДС получил его по DHCP тогда все машины тоже получают шлюз в инет 10,20,12,1) вообще в инет выходите?
если машина 12,1 есть в сети то давай её настройки смотреть. правда фигня какаято получаетсо.) у всех шлюз 12,1 а в инет смотрит машина 12,50? это у 12,1 должен быть шлюз 12,50! ну и зачем в сети скажи такая петля? в инет запрос передаёться сначало на 12,1 он потом его передаёт 12,50 тот потом 192,168,1,1. что за русские горки? или я чегото непонимаю?

направление одно вперёд. только для решения твой задачи инфы неплохобы. уточни ситуацию в твоей сети.

wertyg,
шлюз 12.1 т.к. свич есть, он и есть 12.1, т.е. на свиче создан 12-й vlan. поэтому такая картина. машинок то в сети около 10ти, вот и поднят на dc1 dhcp, который раздает с 10.20.12.50 по 10.20.12.99
соответственно у прокси одна сетевая 10.20.12.50 другая 192.168.1.33 к ней уже и модем-то подцеплен.

Sidelong, что в журнале событий на прокси? Антивирус стоит? Встроенный в юзергейт антивирус и фаер отключены? Авторизацию на юзергейт пробовали делать не по паролю (для эксперимента), а по ip?

вы что орендуете гдето в большой локалке место? или у вас несколько независимых локальных сетей на одном(физическом) свиче? ну 12й влан это нормально. а кокое отношение вланы к ИПам имеют?(влан и ИП это две абсолютно разные, никак не зависящие друг от друга вещи). что то я немогу понять .( как пакетики по вашей сети ходят. может проблема то и не в вингейте.) а в маршруте? скажи а с прокси как инет работает?

ты не ответил какой шлюз на станциях?(а я понял 12,1)

как инет с прокси работает(нормально или так как у всех)?

з.ы. в моём представление сеть на десять ПК очень проста. ставим свич. если мы арендуем место в большой локалке тогда запераем все в влан(неважно какой его номер отношения никакого к нашей сети не имеет) потом цыпляем все ПК и модем(в режиме маршрутизатора только) в этот свич на всех станциях шлюзом пишем модем и все никаких проблем. если же мы хотим более контролируемый доступ к инету то ципляем модем(в режиме маршрутизатора или моста) к какойнить станции с двумя сетевыми интерфейсами. ставим там сторонюю прогу типа вингейт или керио. на всех ПК пишем теперь шлюзом эту станцию и всё. моё представление как видишь отличаеться от твоей реализации поэтому я немогу определить причину неудовлетворительной работы инета у тебя. но мне кажеться что шлюзом должна быть 12,50

Pili,
журналы чисты, антивируса нет ни на ЩС прокси ни в UserGate, а вот ваервол на Usergate я сейчас попробую выключить. Как раз по ip и сделана авторизация

wertyg,
нет, мы не арендуем место, дело в том, что это пока 10 машинок, а вообще локалка расчитана на 48 компов, т.к. имеются 2 свича cisco catalyst 3750

на станциях (пользовательских)машинках шлюз 10.20.12.1

летает

как раз я пошел по второму вариаету, т.е. у меня машинка 10.20.12.50 (без шлюза на одном интерфейсе и с 192.168.1.33, шлюз 192.168.1.1 на втором интерфейсе а к нему уже ADSL модем, в качестве проги стоит UserGate

wertyg,
да и если, прописать у клиентов шлюз 10.20.12.50, то не возникнет ли проблем с доменом? он же DNS, DHCP и файловый сервер!?!

А в юзергейте кэширование веб-страниц включено?

Skywriter,
да

Политика аудита настроена? Отключение фаера юзергейта не помогло? tracert 10.20.12.50, tracert 192.168.1.33 с клиентской машины что говорит? Доступ к прокси на клиентах настроен по ip или по dns имени?

Pili,
фаервол выключил. вроде бы не очень помогло.

доступ настроен по ip

трассеровка на 192.168.1.33 очень долго выполнялась по сравнению с первой, т.е. первая меньше чем за 1сек, вторая - около 10-15 сек

попробуйте добавить на клиентской машине

Pili,
сдела, ничего не изменилось :(

Была аналогичная проблема с Usergate'ом - с прокси все великолепно, а у пользователей тормоза. Вроде стояла 2.8 или 3 версия. Проблема пропала после установки 4й версии Usergate.

даю полную картину происходящего см. network.JPG

Sidelong, у вас как-то петля образовывается вроде, на 192.168.1.33 пользователи попадают через 10.20.12.1, по трассировке видно,
попробуйте на прокси сервере добавить маршрут
route - p add 10.20.12.0 mask 255.255.255.0 10.20.12.50

Pili,
добавил
но все равно до 192.168.1.33 долго трасса идет

ну и сайты вроде как открываться не изменились по скорости...

есть еще варианты??

Pili,
добавил
но все равно до 192.168.1.33 долго трасса идет

ну и сайты вроде как открываться не изменились по скорости...

есть еще варианты??

кстати со свича также traceroute 192.168.1.33 идет также долго как с клиентской машины...

в чем трабла помогите плизззз

может трабла в int fastethernet 1/0/3 через который прокси в сеть смотрит?!?
я всмысле что на нем пробить также как на GigabitEthernet1/0/1 и 2???? см. выше вложенный файл?!?

помогите пожалуйста люди добрые!!!

Sidelong, м.б. коллизии в сети (поиск в гугл), особенно если тормозит вся сеть.
Глючит только сам юзергейт или с этого компа качает файлы с тоже медленно (по нетбиос например)? Если 2-ое (скорее всего, т.к. "и вообще комп с юзергейтом как-то долго логониться "), то м.б. плохо обжаты провода на сет. картах компа (прокси), глючит сама сет. карта.

Pili,
сеть остальная идеально шустро работает
только что пробовал на проки закачать через totalcommander файл объемом 2 гига, скорость 10000 kbites/s в среднем.
патч-корды все стандартыне, т.е. заводские, хорошо обжаты и т.п.
такое чувство, что дело в маршрутизации...

не так проверяеш! твои пользовате что только к кэшу обращаються? сделай с клиентского ПК так: трасер www.ya.ru и покажи маршрут нам.

не крути юзер гейт пока(ты уверен на 100 что дело в нём?) - накрутишся ещё. следуй главному закону радиста "не крутить все ручки одновременно" ты с сетью разберись. ты же говоришь что с проксика инет летае. значет дело может невнем.

скажи а ДНС(у тебя он 12,1 и раздаётся по ДХСП судя по всему всем ПК) каким образом он разрешает адреса глобальной сети а? у него должна быть переадресация на ДНС провайдера - она есть? может инет то летает а адреса разрешаються с трудом.? оттого и задержки жуткие.

з.ы. повторому да не повторому. в моём представлении шлюзом должна быть машина непосредственно, повторюсь ещё раз непосредственно, подключённоя к инету а у тебя что?

з.з.ы. два 48свича ну и ладушки а влан нафига. если сеть будет полностью ваша то нофиг вланы(можно и без них обойтись спокойно). у меня 4х24порта и вланов небыло. шас ещё хуже 12х24. (не скажу что это правильно. достаточно весомый широковещательный трафик гоняеться по сети. хотим отказаться от нетбиос вообще. планируем полное его отключение). но работает и гемора нет! и никогда не слыхал чтоб свич шлюзом стоял. админы на работе тыковки начали чюхать и както странно улыбаться, поле того как я им такое сказал.) (у тебя точно 12,1 это адрес свича? может я не так понял?)

ДС ишестся по ДНС и к шлюзу никакого вообще отношения не имеет и вообще в данном случае все сервесы ДС,ДНС,ДХСП и т.д. работают в одной физической сети и им шлюз абсолютно ненуден.

--- ребята,ребята. сеть 192,168,1,0 вообще не представляет собой интереса для рабочих станций и пинговаться с них недолжна советы добавить маршрут к ней могут иметь только отладочный характер. но она работает и это неоправержимо и без этого маршрута. не рекомендую добавлять вот эти строчки если если сами не понимаете пишите обьясню почему.

wertyg, трасерты до 192 подсети ходили и до добавления маршрута, правда ходили почему-то через 12.1 (хотя по идее не должны были, если правильно настраивать, получается где-то есть петля), роутинг был добавлен в тестовых целях, когда заработает можно убрать, а потом ещё и фаером юзергейта прикрыть. трасер www.ya.ru не должен идти, но ip по днс должен определиться.

wertyg,
днс у меня 10.20.12.12 (см. схему, файл network.jpg)

vlan`ы настроены, пользователи работают, не ломать же их что бы потом еще больше проблем было?!?

Pili,
если у клиента в настройках сетевого подключения прописать DNS 192.168.1.1
разрешение имен проходит, если в качестве DNS указать DC то нет!!!
при любых вышеописанных настройках инет как ни странно есть!
что не так?!?

НО ОЧЕНЬ МЕДЛЕННЫЙ.
помогите пожалуйста люди добрые!

Настрой кэширующий днс на прокси, в нем настрой forward на днс провайдера, у клиентов укажи 2-ой днс (прокси) или разреши существующиему днс форвардить запросы на днс провайдера (тогда прийдется открыть на прокси 53 порт)

Sidelong, tracert 192.168.1.1 с клиентов как ходит?

в UG
1.кеш настроен
2.формардинг сделан, т.е. включен (указан DNS провайдера 192.168.1.1)
3. NAT вкл., создано правило UDP (ip приемника: 10.20.12.50) (ip отправителя 192.168.1.33) Протокол: порт = UPD:53
правильно применено в default группе, она ессно ко всем пользователям.

что показывает трэйс с клиентской машины:
при следующих настройках на ней:
ip: 10.20.12.62 /24
шлюз 10.20.12.1
DNS: 192.168.1.1

при смене DNS на 10.20.12.12 ситуация такая:

у тебя(исходя из вышепрочитанного) мы обноружили следующие проблемы
1-неправильно сконфигурировано оборудование в сети(в частности шлюз).
2-некорректно работает служба резрешения имён(локальный ДНС).

помоч тебе можешь только ты сам!

у тебя есть отправная точка - шлюз. на нём все работает как надо. на клиентах неработает? так значит проблема между шлюзом и клиентом. пробуй подключить какой нить ПК непосредственно(физически кросовером ПК-шлюз) к шлюзу(шлюзу в интерфейс 12,50. ПК на время дать настройки ИП-12,51\шлюз-12,50\ДНС-192,168,1,1) уверен всё будет гладко работать.
если в этом случае не будет работать отключаеш юзергейт настраеваеш виндовую маршрутизацию или НАТ - проверяеш теперь.
если и в этом случае не работает тогда непосредственно суёщ ПК в модем(настройки соответственно),
после это ты можеш с увереностью сказать что у тебя не работает. кинеш сюда получиш ответ.)

Sidelong, правильно, трасерты не должны ходить на 192.168.1.1, если в UG настроен форвард днс, ставь у клиентов первым днс 10.20.12.12, а вторым 10.20.12.50
Но я имел ввиду установить виндовый днс на прокси и настроить в нем форвард на днс провайдера.

а какя разница где в сети физически расположена служба разрешения имён(ДНС) есть же один и хватет с головой. я также думаю что никакого правила не надо в юзергейте если он хоть из дплека напоменает кериовинрут(в керио есть галка разрешить перенаправлять запросы на "вариантыНастройки")

например: у меня юзер может разрешать с помощью такой галки имена беспрепятственно. а вот по НТТР к хосту это уже совсем другое.

ну сделай так пож. ты же сам сказал что с прокси всё летает. проверь - точно будеш знать что крутить! но говорю тебе виной шлюз 12,1.

Pili,
зачем на 10.20.12.50 (прокси) устанавливать днс? он же на доменконтроллере стоит, т.е. на 10.20.12.12

Sidelong, 10.20.12.12 - внутренний днс сервер, у клиентов вы ставите настройки днс 10.20.12.12 и/или 192.168.1.1, а на днс 10.20.12.12 форвард на днс провайдера настроен? А если настроен, то запросы с него идут через правило ната в UG, которое может быть глючит (или сам UG) или неправильно настроено, то же самое с клиентами, запросы ходят через то же правило. В случае, если вы настроите винтовый днс на прокси, он и без этого правила сможет обойтись (2 сет. карты, одна идет в 192 сетку, т.е. на днс провайдера), клиенты в таком случае будут обращаться к 10.20.12.50 и запросы не будут обрабатываться правилом ната UG.