Traffic inspector ошибка подключения

Содержание

При чистой установке Traffic Inspector сейчас¹⁾ есть проблема – инсталлятор напрочь зависает на стадии «Установка необходимых компонентов»!

Вероятнее всего, это связано с тем, что на ресурсе https://files.smart-soft.ru/, откуда происходит загрузка дистрибутива и дополнительных компонентов, уже 15 дней²⁾ как истек срок действия сертификата Let’s Encrypt…

Понятно, что это, очень надеюсь, временная проблема, хоть и очень удручающая, однако, очевидное и простое решение – поставить необходимые компоненты вручную, тоже не работает, т.к. инсталлятор видит только «MSXML 4.0 SP2 Parser»³⁾ и «Microsoft Visual C++ Redistributable for Visual Studio 2012 Update 4 (x86/x64)», а все остальное не видит хоть ты тресни!

1. Скачиваем и устанавливаем вручную пакеты⁴⁾:

   • Microsoft Visual C++ 2008 Redistributable Package (x64⁵⁾)

   • Microsoft Visual C++ Redistributable for Visual Studio 2012 Update 4 (x64)

   • Microsoft Visual C++ Redistributable for Visual Studio 2012 Update 4 (x86)

   • Microsoft Visual C++ 2015-2022 Redistributable (x64)

   • Microsoft Visual C++ 2015-2022 Redistributable (x86)

2. через «Мастер добавления ролей и компонентов» устанавливаем компонент «Функции .NET Framework 3.5» → «.NET Framework 3.5 (включает .NET 2.0 и 3.0)»(x64);

3. запускаем установку Traffic Inspector с ключом «/noprereqs», т.е. TrafInspFull_Russian_x64.exe /noprereqs.

Поддержка выслала мне версию rev.6 от 15 мая 2023 года с интегрированными библиотекам, но она все также не загружает Microsoft .NET Framework, поэтому, нужно снять соответствующие галочки и, при необходимости, вручную установить эти компоненты.

При установке Traffic Inspector на Windows Server 2019 не запускается встроенный веб-сервер и имеются следующие ошибки:

• в консоли – «PHP не загружен»;

• в браузере – «ERROR! PHP engine not initialized»;

• при запуске php-win.exe – «Не удается продолжить выполнение кода, поскольку система не обнаружила MSVCR110.dll».

Точнее, при установке версии 3.0.2.923 rev.6 x64 на Windows Server 2022 не работает встроенный веб-сервер – консоль администрирования выдает ошибку «В документах XML допускается только один элемент верхнего уровня», а сам сервер отвечает «Fatal error: Class ‘SmartSoft\Exception\Cache\Session’ not found in C:\Program Files\TrafInsp\root\Portal\classes\SmartSoft\Controller.php on line 23».

После установки и начальной настройки через какое-то время перестает работать служба, которая, или не останавливается, при попытке ее перезапуска, или делает это крайне долго, а так же подтормаживает интерфейс в консоли администрирования. После запуска какое-то время работает нормально и все заново.

Помимо этого, если авторизоваться на двух клиентах одновременно под одним пользователем, в браузере, вместо запрошенной страницы, отображается ошибка «ERR_SSL_PROTOCOL_ERROR» и через какое-то время на одном из компьютеров отваливается агент с ошибкой «Ошибка подключения. Socket error code 10054 — Connection reset by peer».

Вероятнее всего, это происходит из-за включенной опции «Разрешить множественную авторизацию» в [Traffic Inspector []\Пользователи и группы → Свойства → Авторизация].

По сообщению сотрудника техподдержки, эта опция, мало того, что в настоящее время не работает из-за обновлений Windows и убрать ее пока нет возможности, так еще и негативно влияет на работу самого Traffic Inspector, но в течение лета 2023 года должна выйти новая версия, где проблема будет устранена.

Я столкнулся со странным поведением сервера – при запущенном сервисе Traffic Inspector, со станции управления, т.е. откуда я к нему подключаюсь через RDP, до сервера теряются пакеты ICMP, причем не мало, и заторможенно работает RDP, что крайне затрудняет работу. Однако, со всех других направлений проблем с прохождением ICMP и прочего трафика в сторону этого сервер нет, хоть упингуйся! Также со станции управления на другие сервера и компьютеры никаких проблем с доступом и пингом нет!

Схема прохождения трафика длинная – «ноутбук → Wi-Fi 5G → антенна MikroTik → Eth 100 Мбит → маршрутизатор MikroTik → PPTP 20 Мбит → маршрутизатор MikroTik (VLAN) → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → сервер».

Все другие соединения, где проблем нет, ограничиваются путем, или «хост → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → сервер» или, вообще, «хост → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → сервер».

В общем, не понятно… но логично предположить, что проблема начинается где-то между «маршрутизатор MikroTik → PPTP 20 Мбит → маршрутизатор MikroTik (VLAN)» и состоит она в формировании пакетов. Хотя, легче от этого не становится.

При попытке удаления Traffic Inspector сервер выпадает в синий экран с кодом остановки «IRQL NOT LESS OR EQUAL» или, при попытке удалить драйвер «Traffic Inspector Filter (NDIS 6.3 rev.228)» из свойств подключения, «DRIVER IRQL NOT LESS OR EQUAL» с проблемой в «ticap.sys».

Ответ службы поддержки был следующим :

1. остановить службу Traffic Inspector;

2. отключить драйвер, сняв соответствующие галочки, в свойствах всех подключений;

3. удалить драйвер;

4. и только потом удалить Traffic Inspector стандартным методом.

Устройства не добавляются при выполнении инструкции «Регистрация пользователя по сетевой активности»:

1. включить «Вести учет обращений во внешнюю сеть от неавторизованных пользователей» в [Traffic Inspector [] → Свойства → Сетевой драйвер];

2. добавить правило в [Traffic Inspector []\Правила\Правила сетей], где:

   1. «Наименование» – указать необходимое название,

   2. «IP адреса и сети» – выбрать и заполнить «Список IP сетей» или «IP адрес или диапазон адресов»,

   3. «Аутентификация» – снять галочки «BASIC» и «NTLM»,

   4. «Тип сети» – выбрать «Смешанный режим»,

   5. «Настройка пользователя»:

      • отметить «Добавлять пользователя автоматически»,

      • снять «Авторизация по учетной записи»,

      • отметить «Авторизация по IP адресу» и «…MAC адресу»,

      • выбрать «Группа» при необходимости.

И в финале сделать то, что не указано в инструкции – перейти [Traffic Inspector []\Учет трафика\Неавторизованные IP], выбрать все или необходимые строки и удалить их!

После этого устройства из указанных диапазонов начинают автоматически добавляться!

По умолчанию Traffic Inspector конфигурирует клиентские компьютеры агентом, добавляя в свойствах системы сценарий настройки с параметром «http://192.168.XXX.XXX:XXXX/config.script», что не всегда удобно. Однако, т.к. сервер публикует помимо «config.script» еще и «wpad.dat», можно настроить систему более гибко, используя протокол «Web Proxy Auto Discovery».

Краткое изложение этой статьи о настройке WPAD в контексте использования с Traffic Inspector:

1. запускаем «Диспетчер служб IIS», переходим в «сайты\Default Web Site» и в панели «Действия» → «Управление веб-сайтом» нажимаем «Остановить»;

2. переходим в консоли администрирования [Traffic Inspector []\Сервисы\Web-сервер → Свойства → Настройка службы Web сервера → Далее → Сервер] и устанавливаем в разделе «HTTP сервер» → «TCP порт» в положение «Статический» и значение 80;

3. далее [Traffic Inspector []\Сервисы\Прокси-сервер → Свойства → Пользователи] и снимаем «Принудительно конфигурировать браузер через клиентского агента»;

4. на DHCP-сервере через «Установить предопределенные параметры…» добавляем параметр с именем WPAD Link, типом данных «Строка» и кодом 252;

5. там же в «Параметры сервера» или «Параметры области» добавляем этот параметр со значением «http://our-proxy.domain.lan/wpad.dat»;

6. в DNS-сервере добавляем в зоне «domain.lan» запись wpad типа «CNAME», указывающую на «our-proxy.domain.lan»;

7. на каждом контроллере домена выполняем dnscmd contoller1 /info /globalqueryblocklist и в выводе промеряем наличие строки «wpad»;

8. на каждом контроллере, где она есть, выполняем dnscmd contoller1 /config /globalqueryblocklist isatap;

9. в настройках Windows⁹⁾ переходим «Сеть и Интернет» → «Прокси-сервер» проверяем, чтобы настройки были установлены по умолчанию:

   • «Определять параметры автоматически» – «Вкл»;

   • «Использовать сценарий настройки» – «Откл»;

   • «Использовать прокси-сервер» – «Откл».

Для проверки, в браузере на основе Chromium, переходим по служебному адресу chrome://net-export/, нажимаем «Start Logging to Disk», сохраняем файл, нажимаем «Stop Logging», открываем файл и ищем в нем строку proxySettings в которой, если все хорошо, должен быть указан адрес из пункта 5.

Для решения этой «болезни» проще всего применить настройки через публикацию необходимых записей реестра в групповой политике домена.

Опытным путем было выяснено, что при наличии параметра «UserName», даже пустого¹⁰⁾, это окошко не открывается!

Заодно можно сразу же установить и другие настройки, которые у вас отличаются от заданных по умолчанию – у меня это, как минимум, «StartHided», т.е. запускать свернутым¹¹⁾.

1. Изменяем нужным образом и импортируем на контроллере домена этот шаблон

   ti-agent.reg

    
   [HKEY_CURRENT_USER\Software\Smart-Soft\TrafInspUserAgent]
   "WinAuth"="1"
   "UserName"=""
   "StorePass"="1"
   "StartHided"="1"
   "SessAutoDisconn"="1"
   "Server"="ti-gate.local"
   "ReconnectTimeout"="1"
   "ProtoAuto"="1"
   "EnabledWarning"="0"
   "EnabledSound"="0"
   "EnabledHotKey"="0"
   "AutoLogon"="1"

2. в оснастке «Управление групповой политикой» переходим по пути [Лес: {Лес}\Домены\{Домен}\Объекты групповой политики → Создать]¹²⁾;

3. в оснастке «Редактор управления групповыми политиками» переходим [Конфигурация пользователя\Настройка\Конфигурация Windows\Реестр → Создать → Мастер реестра]

4. в мастере переходим в раздел [HKEY_CURRENT_USER\Software\Smart-Soft\TrafInspUserAgent] и отмечаем галочками все параметры;

5. в оснастке переходим по созданному дереву до параметров и меняем для параметров «ProtoAuto», «UserName» и «WinAuth» действие на «Создать»¹³⁾.

Собственно, и все! Кстати, дополнительно в этом же объекте можно настроить автозапуск Агента, если надо…

Причина пока не понятна, но обходное решение есть – необходимо изменить протокол обмена, для этого:

1. или для каждого пользователя в настройках Агента на закладке «Соединение» явно включить «Протокол обмена» в значение «HTTP» или «SSL», если он настроен;

2. или в консоли администрирования перейти [Traffic Inspector []\Пользователи и группы → Свойства → Настройки агентов] и изменить «Предпочитаемый протокол» на «HTTP» или «SSL»¹⁴⁾.

В таком случае авторизация проходит без проблем.

В консоли регистрируется ошибка «[Authorization server] Запрос от 192.168.XXX.XXX — SSPI error «SEC_E_LOGON_DENIED» [8009030C] in AcceptSecurityContext (GenContext point 2) in UserAuthThread.Execute», а Агент не подключается с аналогичной ошибкой, как выше.

Очень похожая по последствиям ошибка, с одним отличием – она затрагивает одного конкретного пользователя на конкретном компьютере. Т.е. другие пользователи на этом компьютере авторизуются нормально, этот пользователь на других компьютерах так же авторизуется без проблем, web-агент работает нормально.

В [Traffic Inspector []\Настройка\Настройка сети\Драйвер\Название сетевой карты] есть пункты «Counter1/2» и «Counter3/4», с, зачастую, странными значениями, которые, по сообщению техподдержки, в современных ОС ничего не значат и их можно игнорировать. Ранее это были это счетчики некорректных пакетов из сети.

• Использование материалов данной базы знаний разрешено на условиях лицензии, указанной внизу каждой страницы! При использовании материалов активная гиперссылка на соответствующую страницу данной базы знаний обязательна!

• Автор не несет и не может нести какую либо ответственность за последствия использования материалов, размещенных в данной базе знаний. Все материалы предоставляются по принципу «как есть». Используйте их исключительно на свой страх и риск.

• Все высказывания, мысли или идеи автора, размещенные в материалах данной базе знаний, являются исключительно его личным субъективным мнением и могут не совпадать с мнением читателей!

• При размещении ссылок в данной базе знаний на интернет-страницы третьих лиц автор не несет ответственности за их техническую функциональность (особенно отсутствие вирусов) и содержание! При обнаружении таких ссылок, можно и желательно сообщить о них в комментариях к соответствующей статье.

Цитата:

Вот только одна проблема с исой я как бы знал как перебросить порт а вот как это можн осделать в ТИ? есть ли у него стандартные средства?

в ТИ можно открывать входящие порты на внешней сетевухе. Маппить эти порты на внутренние адреса локалки придется стандартными виндовыми средствами port mapping (ищи в свойствах виндового фаервола)

Автор: LeftUser
Дата сообщения: 16.04.2009 12:06

Автор: Dark Shaman
Дата сообщения: 16.04.2009 12:35

Автор: Gapel
Дата сообщения: 17.04.2009 09:27

Не работают фильтры для групп. Уже отчаялся, кто подскажет, как настроить или дайте ссылку (только не на оффсайт)

Автор: BAARK
Дата сообщения: 20.04.2009 12:36

Автор: Gapel
Дата сообщения: 20.04.2009 21:07

Автор: Tabu13
Дата сообщения: 21.04.2009 08:34

Объясните как сбить статистику по трафику, чтобы отображалось, что скачал 0 мегабайт и никому ничего не должен? Приходится постоянно прибавлять и прибавлять каждому денег. Конечная цель — как сделать МЕСЯЧНОЕ ограничение на трафик?!

Автор: BAARK
Дата сообщения: 21.04.2009 08:39

Gapel, если стоит галка напротив «Отключить фильтр», то фильтр будет отключен. Если галка не стоит, то фильтр будет работать. Извини за путаный вопрос.

Автор: Dark Shaman
Дата сообщения: 21.04.2009 08:39

BAARK правило в сетевом экране я описал. для внутренней сети он отключен, для внешней сети настройки экрана:
разрешающие правила: включены исходящие (любой трафик) ICMP, UDP, TCP. Включены так же DNS-клиент, SNTP-клиент, DHCP-клиент

Автор: BAARK
Дата сообщения: 21.04.2009 09:17

Автор: Tabu13
Дата сообщения: 21.04.2009 09:48

ну так как сбросить статистику? Что, так и будет считать пожизненно каждому трафик с момента заведения юзера?

Автор: BAARK
Дата сообщения: 21.04.2009 10:14

к ТИ прилагаются скрипты и в частности rstsess.vbs. Раздел в мануале называется автоматизация и программирование-примеры-рестарт сессии для группы клиентов. В параметре cash ставлю ноль и все стартуют с нулями. У меня cmd с блоком из rstsess, пускаю в полночь первого дня месяца.

Автор: Tabu13
Дата сообщения: 21.04.2009 10:48

вот теперь СПАСИБО !

Автор: Dark Shaman
Дата сообщения: 21.04.2009 11:51

Автор: BAARK
Дата сообщения: 21.04.2009 12:42

В ТИ нет трансляции портов. Надо NAT-ом пробрасывать

Автор: Gabzya
Дата сообщения: 23.04.2009 21:32

Автор: M1chA
Дата сообщения: 27.04.2009 09:18

Автор: anachrom
Дата сообщения: 27.04.2009 14:18

Подскажите пожалуйста решение проблемы:
Запускаю службу Traffic Inspector из «Пуск»=>»Настройки»=>»Панель управления»=>»Администрирование»=>»Слубы» выдает: «Служба «Traffic Inspector» на «Локальном компьютере» была запущенна и затем остановленна. Некоторые службы автоматически останавливаются, если им нечего делать, например, служба журналов и оповещений производительности.» Пытаюсь запустьтить через командную строку: «net start trafinspsvr», сначала пишет «Служба «Traffic Inspector» запускается», затем выдает «Не удалось запустить службу «Traffic Inspector». Служба не сообщает об ошибке. Для вызова дополнительной справки наберите NET HELPMSG 3534″. Набираю, выдает: «Служба не сообщает об ошибке».
Без этой службы никак не настроить соединение на раздачу траффика.
Как мне её запустить, что делать?
Может быть что проблемма из-за брэндмауэра? У меня только стандатный XP’шный остановленный, потом запущенный.

Автор: BAARK
Дата сообщения: 27.04.2009 15:27

Автор: tankusha
Дата сообщения: 27.04.2009 17:32

Подскажите как сначала настроить Трафик Инспектор
в Windows XP
чтобы через компьютер можно было отслеживать трафик не всей сети, а определенных компьютеров… и как это все запустить… чтобы начал считать трафик с отдельных компов а не со всей сети сразу…

Автор: anachrom
Дата сообщения: 27.04.2009 18:16

Автор: Leninxxx
Дата сообщения: 27.04.2009 18:23

Автор: anachrom
Дата сообщения: 28.04.2009 09:45

Короче, переставил систему, брэндмауэр не отключал, полет нормальный. Буду эксперементировать.
Объясните в чем была проблема. Мне сказали что это был неправильно отключен стандартный брэндмауэр. А как его тогда правильно отключать.
—-
29.04.2009 9.25
Вчера при первой же посадке случились неполадки. Короче перезагрузил я комп, а соединение, которое от модема до серва дало сбой (было настроенно получать автоматом). Поправил (настроил вручную) все нормально. Объясните, почему так.

Автор: anachrom
Дата сообщения: 30.04.2009 21:26

Подскажите пожалуйста решение проблемки.
Мне известно, что ТИ окрывает порт. Как организовать, что бы антивирус на компах из внутренней сети, через этот порт скачивал и обновлялся с сервера? Есть где-то папачка расшаренная?
—
Спасибо, нашел. В папочке установленного ТИ есть папка root, она расшаренна на порт.

Автор: anachrom
Дата сообщения: 01.05.2009 12:07

Помогите решить задачку.
Дано: куча пользвателей и начальство.
Найти: сделать так, что бы куча пользователей не могла зайти на определенный список сайтов, а вот у начальства никакого ограниченя.
Сделал: фильр до группы. Получилось: никто неможет зайти(включая начальство). Следовательно: неполучилось.
P.S. У меня складывается такое что в последнее время я общаюсь сам с собой

Автор: tankusha
Дата сообщения: 01.05.2009 13:01

одна проблемка немогу найти мануал
да вот какой вопросик как
на трафик инспекторе поднять проксю? тоже найти не могу

Автор: anachrom
Дата сообщения: 01.05.2009 17:51

Автор: 7OH
Дата сообщения: 01.05.2009 21:18

попытка перейти с юзергейт на ТИ.
в юзергейте был реализован port mapping
пример:
прокси слушает порт 9110 и перенапралвяет запрос на pop.mail.ru:110
—
как это в ТИ реализовать ?
можно просто ссылку на туда, где это описано

Автор: StirolXXX
Дата сообщения: 02.05.2009 11:17

7OH
В 2-х местах — 1 NAT’илке в данном случае я так понял в ICS
И открыть порт в файрволле ТИ (если он включен)

Автор: Evg8000
Дата сообщения: 04.05.2009 16:12

Подскажите как в ТИ отключить все не нужные мне сервисы и службы….(желательно чтобы они вообще не загружались). например: www сервер, smtp, nat. Возможно ли это в ТИ ?? Мне от ТИ нужен только прокси с хорошим механизмом фильтрации (и редирект).