Conexões intermitentes e entradas de log "Firewall Blocked" no Cisco DPC3939B com firewall "desativado"

Question

Conexões intermitentes e entradas de log "Firewall Blocked" no Cisco DPC3939B com firewall "desativado"

#1 resposta do (2 votos)

5

Primeiro, peço desculpas se esta pergunta parece ser "em todo o lugar". Eu tentei resumir o mais claramente possível, mas há muitas partes móveis, então eu tentei ser detalhado com a minha explicação.

Eu cuido de uma pequena rede para a empresa de administração de imóveis da qual aluguei e, nas últimas 5 semanas, tivemos conexões intermitentes com a Internet.

Especificamente, temos uma conexão Comcast Business Class vinda através de um roteador Cisco DPC3939B DOCSIS3 que é fornecido pela Comcast. Eu tenho acesso ao painel de administração do cliente e tudo o que posso ver lá, mas nada mais.

No lado da rede local, três das quatro portas ethernet estão conectadas a um switch Gigabit de nível residencial Monoprice 10927, e cada switch executa Cat6 para uma das quatro tomadas de parede em cada andar (cada andar é uma unidade de 3 quartos, mais um jack da sala de estar).

A quarta porta é usada como uma conexão direta, para eliminar um 'hop' e acessar diretamente o painel de controle do roteador.

Eu mudei bastante essa configuração, substituindo os switches por switches Gigabit da Rosewill, tentei alguns outros roteadores de classe de consumidor usando dd-wrt e OpenWRT, e conectando-me diretamente ao roteador sem outros dispositivos.

Os problemas de conexão com a Internet são consistentes, independentemente da configuração, e os testes de velocidade indicam que nenhum desses dispositivos apresenta um gargalo na WAN.

Tudo isso me leva a acreditar que o problema está entre o dispositivo Cisco e a "internet".

Originalmente, esse dispositivo estava relatando erros frequentes de "Tempo limite de resposta de dependência de T3", mas um técnico de nível 2 corrigiu um problema no local e esses erros não apareceram nos últimos 10 dias ou mais.

Pensando que pode ser um problema de resolução de DNS, eu anulei os servidores DNS da Comcast com Dyn, OpenDNS e os servidores públicos do Google, e nenhum deles oferece uma solução para o problema.

Além disso, a execução de testes de ping e traceroute do dispositivo Cisco para servidores públicos nunca indica qualquer quantidade de perda de pacotes. Executar os mesmos testes de dispositivos na LAN também indicam que não há perda de pacotes, sugerindo que não é uma mera perda de conectividade, mas um tipo específico de falha de transmissão.

Ainda assim, estamos obtendo conexões e desconexões intermitentes, e estou perplexo sobre o motivo de isso estar acontecendo.

As configurações do firewall no dispositivo Cisco para IPv4 e IPv6 estão definidas como "desabilitar completamente o firewall" e, no entanto, o seguinte está sendo exibido no log do firewall.

FW.LAN2WAN ACCEPT , 2510821 Attemps, 2015/4/21  Firewall Blocked

Esta pode ser uma descrição muito pobre, mas me parece que 2,5 milhões de solicitações de saída foram bloqueadas pelo firewall supostamente desabilitado, e o dispositivo não oferece nenhuma outra informação sobre elas.

Estou entendendo mal a saída dos logs muito limitados que tenho ou os logs não estão claros? A minha lógica soa nas mudanças que eu fiz, ou estou faltando alguma coisa brilhante?

internet firewall

por K. Darien Freeheart 22.04.2015 / 04:58

1 resposta

Tags internet firewall

Como compartilhar via porta serial TCP CAT Qual é a diferença entre dd e cat para gravar arquivos de imagem?

score 2 · Accepted Answer

Tenho tido problemas semelhantes com o mesmo modem Cisco DPC3939B. De outros relatórios em outro lugar:

link

Parece que há algo gravemente errado com o firmware deste modelo. Estou agora no meu juízo final, e vou comprar uma SB6183 da Motorola Surfboard para substituir o Cisco DPC3939B com defeito.

link

Apenas para referência, temos três cabos cabeamento no nosso negócio, An Arris com uma porta de modem para nosso sistema de alarme, outro Arris para nossos telefones VoIP Polycom e o DPC3939B para nossa conexão à Internet. Os outros dois são totalmente estáveis, mas são (acredito) 2 e 4 canais cablemodems, enquanto o DPC3939B é um modelo de 16 canais.

Os comportamentos vistos por trás de um modem DPC3939B:

Conexões TCP de longa duração serão interrompidas, em alguns casos em apenas 10 minutos. Isso forçará os seguintes protocolos a se reconectarem periodicamente: SSH, IRC, MAPI (Microsoft Exchange), IMAP4, Jogos usando TCP em vez de UDP como Diablo III, Starcraft II, quase qualquer MMORPG como World of Warcraft ou EVE Online, compartilhamentos de arquivos remotos da Microsoft, FTP, Remote Desktop, trabalhos de impressão remotos com grandes contagens de páginas ...

Por mais que me doa, parece que substituir a unidade é o único caminho. Eu tentei todas as opções de configuração possíveis que o cablemodem fornece, mesmo recorrendo ao uso de um PC Linux para atuar como roteador, configurando servidores DHCP e DNS e tentando forçar minha rede local a evitar o uso dos serviços Cisco DPC3939B diretamente, mas nada parece ajudar.

Também deve ser notado que a implementação do IPv6 da Comcast depende de mensagens de Anúncio de Roteamento. O Microsoft Windows honrará os RAs do IPv6 que contêm o servidor DNS acima de todos os outros - INCLUINDO SERVIDORES DNS DO DIRETÓRIO ATIVO LOCAL e impedindo as pesquisas do Active Directory. A única maneira que eu encontrei para obter sistemas operacionais MS para ignorar o servidor dns comcast ipv6 é desmarcando a ligação do protocolo IPv6 no adaptador.

Desculpas por postar isso como uma resposta em vez de um comentário, mas ainda não tenho uma reputação muito alta.