Добрый день!
Имеется Win2008r2 server с поднятыми на нём DNS и DHCP. Так же есть Шлюз на основе pfsense. До недавнего времени всё работало нормально, а теперь у пользователей нет доступа в интернет. Причём удалённые офисы, по IPsec, нормально работают в нашей сети. Нормально работает почтовик (Exchange 2010). Доступ к интернету есть с нескольких компов, между которыми общего очень мало.
Шлюз пробовал настраивать с нуля с минимальными настройками, т.е. только с указанием wan и lan и маршрутизацией для них - эффект тот же.
Проблемные клиенты шлюз не пингуют, при пинге ya.ru определяется его адрес, но пакеты не идут.
Подскажите куда должно копать.

Zombie_Troll, выложите результаты IPCONFIG /ALL с проблемного и беспроблемного компьютеров.

Проблемные клиенты шлюз не пингуют
Проблема в сетевом оборудовании. Беспроблемные пингуют?

Проблемный
C:\Users\demidov>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : sysadmin
Основной DNS-суффикс . . . . . . : ssp.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : ssp.local

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . : ssp.local
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : AC-22-0B-DC-45-95
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::dc1e:847a:ff23:ed60%11(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.1.174(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 17 июля 2014 г. 14:49:46
Срок аренды истекает. . . . . . . . . . : 20 июля 2014 г. 14:49:45
Основной шлюз. . . . . . . . . : 192.168.1.1
DHCP-сервер. . . . . . . . . . . : 192.168.1.11
IAID DHCPv6 . . . . . . . . . . . : 246161931
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1A-16-B7-AF-AC-22-0B-DC-45-95

DNS-серверы. . . . . . . . . . . : 192.168.1.11
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.ssp.local:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : ssp.local
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Беспроблемный

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : FOMIN
Основной DNS-суффикс . . . . . . : ssp.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : ssp.local

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . : ssp.local
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : BC-AE-C5-8D-74-B6
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::9870:a29b:6f6e:e674%11(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.1.149(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 17 июля 2014 г. 9:22:14
Срок аренды истекает. . . . . . . . . . : 20 июля 2014 г. 9:22:12
Основной шлюз. . . . . . . . . : 192.168.1.1
DHCP-сервер. . . . . . . . . . . : 192.168.1.11
IAID DHCPv6 . . . . . . . . . . . : 247246533
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-15-EF-F3-97-BC-AE-C5-8D-74-B6

DNS-серверы. . . . . . . . . . . : 192.168.1.11
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.ssp.local:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : ssp.local
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да


Беспроблемные нормально пингуют шлюз.

Zombie_Troll, если у вас в сети не используется IPv6, отключите его в свойствах сетевых подключений.

Ну, и, однозначно, :
Проблема в сетевом оборудовании

Рисуйте схему с указанием моделей и адресов "умных" устройств.

Рисуйте схему с указанием моделей и адресов "умных" устройств. »
Из умных устройств только сервак (192.168.1.11) и шлюз (192.168.1.1). Остальное это два тупых длинковских свича. Оба уже заменены, но проблема осталась.

И на машине для которой я скидывал результат ipconfig'а появился интернет
C:\Users\demidov>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : sysadmin
Основной DNS-суффикс . . . . . . : ssp.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : ssp.local

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . : ssp.local
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : AC-22-0B-DC-45-95
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::dc1e:847a:ff23:ed60%11(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.1.174(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 17 июля 2014 г. 19:47:00
Срок аренды истекает. . . . . . . . . . : 20 июля 2014 г. 19:47:00
Основной шлюз. . . . . . . . . : fe80::1:1%11
192.168.1.1
DHCP-сервер. . . . . . . . . . . : 192.168.1.11
IAID DHCPv6 . . . . . . . . . . . : 246161931
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1A-16-B7-AF-AC-22-0B-DC-45-95

DNS-серверы. . . . . . . . . . . : 192.168.1.11
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.ssp.local:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : ssp.local
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да


Поскольку на моей машине интернет появился, решил проверить "нулевого" пациента. Центр управления сетями и общим доступом сказал, что всё работает
Попробовал пинг

C:\Users\administrator>ping ya.ru

Обмен пакетами с ya.ru [93.158.134.3] с 32 байтами данных:
Ответ от 93.158.134.3: число байт=32 время=2мс TTL=59
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 93.158.134.3:
Пакетов: отправлено = 4, получено = 1, потеряно = 3
(75% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 2мсек, Максимальное = 2 мсек, Среднее = 2 мсек

Тоже самое выдал после переподключения соединения.

Тот же результат если пинговать шлюз

C:\Users\administrator>ping 192.168.1.1

Обмен пакетами с 192.168.1.1 по с 32 байтами данных:
Ответ от 192.168.1.1: число байт=32 время=1мс TTL=64
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.1.1:
Пакетов: отправлено = 4, получено = 1, потеряно = 3
(75% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 1мсек, Максимальное = 1 мсек, Среднее = 1 мсек

Ipconfig этой машины
C:\Users\administrator>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : Nazimova
Основной DNS-суффикс . . . . . . : ssp.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : ssp.local

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . : ssp.local
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 90-2B-34-6F-88-2F
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.139(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 17 июля 2014 г. 19:46:23
Срок аренды истекает. . . . . . . . . . : 20 июля 2014 г. 19:46:23
Основной шлюз. . . . . . . . . : 192.168.1.1
DHCP-сервер. . . . . . . . . . . : 192.168.1.11
DNS-серверы. . . . . . . . . . . : 192.168.1.11
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.ssp.local:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : ssp.local
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да




Убрал с шлюза большую часть настроек файервола. Фактически там только разрешение на выход в интернет из сети и всё.


Проблема в сетевом оборудовании »
может ли это быть из-за сбоев в сетевухе на серваке? если я правильно понимаю, то тогда проблемы были бы у всех и не только с выходом в интернет

может ли это быть из-за сбоев в сетевухе на серваке?
При чём тут сервак, когда пингуете шлюз?

тогда проблемы были бы у всех и не только с выходом в интернет
Тогда клиенты не получали бы адреса локалки по DHCP.

Проверяйте провода. Попробуйте заведомо исправные и короткие с правильной обжимкой.

Проблемные клиенты шлюз не пингуют, при пинге ya.ru определяется его адрес, но пакеты не идут »А шлюз их пингует? Проблемные ПК еще кого-то пингуют / не пингуют? Если одному из проблемных ПК статический адрес задать (не из диапазона DHCP) - как дело обстоит?

Проверяйте провода. Попробуйте заведомо исправные и короткие с правильной обжимкой. »
не в проводах дело - сетка свежая, только проложенная. Инет работает случайно на разных машинах.

А шлюз их пингует? Проблемные ПК еще кого-то пингуют / не пингуют? Если одному из проблемных ПК статический адрес задать (не из диапазона DHCP) - как дело обстоит? »
Шлюз их тоже не пингую. Но и рабочие, и не рабочие видят друг друга, видят сервак, принтаки, общие папки и тд. Статичейский адрес задавал, результат тот же.
Возникает ощущение, что что-то просто срубает пакеты. Иногда с проблемных машин проходит первый покет, а потом превышено ожидание запроса. Проверял правила в брэндмауэре - трафик должен ходить свободно.

не в проводах дело - сетка свежая, только проложенная
Свежо придание... Не хотите исключить ещё одну переменную из уравнения - не делайте. Дело ваше.

Поставьте вместо шлюза обычный компьютер (можете даже на нём NAT ICS-овский включить) и проверьте снова.

Свежо придание... Не хотите исключить ещё одну переменную из уравнения - не делайте. Дело ваше. »
Исключил я эту переменную первым делом. Проверил провода, пробовал бросать на прямую другие, заменил свичи, сменил сетевые карты на шлюзе.

Zombie_Troll, давай попробуем исключить провода следующим образом. Берем ноутбук, гарантированно рабочий и идем по проблемным местам. Если у ноутбука проблем со связью нет, значит дело в компах и настройках. Если два и более устройств "глючат" в одной точке, делаем орг. выводы и копаемся дальше.

lxa85, ноут, подключённый на хвост проблемной машины, отлично заработал. Настройки он тоже получил от dhcp, разница выходит только в ip адресе. Прощёл по трём проблемным машинам - ноут работает, компы нет

Поставьте вместо шлюза обычный компьютер (можете даже на нём NAT ICS-овский включить) и проверьте снова. »
шлюз уже заменён. не просто переставлена ось, а сменена машина и с нуля поднят шлюз

сменена машина и с нуля поднят шлюз
Опять pfSence? :)

Angry Demon, ага) но с нулёвыми настройками - т.е. настройка интерфесов и allow для трафика

Zombie_Troll, ну, хотите кулибинством заниматься - дело ваше.

Angry Demon, вы правы, проблема в шлюзе.

правда так и не понял, какая именно проблема(