6
Änderung VPN Gateway - Lotus Notes funktioniert nicht mehr
Hallo vom Neuen in die Runde.
Wir sind momentan dabei unseren Internet-Provider zu wechseln. Momentan sind zwei Internetleitungen an einer Watchguard x700 parallel angeschlossen. Die alte Leitung geht direkt zum Provider, hat also auch eine externe IP, die neue Leitung läuft über SDSL über ein MPLS-Netz und geht über ein Internetgateway ins Internet. Im MPLS existiert ein Mapping von einer externen Adresse zum externen Interface der Firewall im MPLS Netz.
Ein anderer Standort verbindet sich mit unserer Firewall über IPSec (also nicht am MPLS Netz angeschlossen) mit unserem Netz. Nach der Umstellung des VPN-Gateway auf die neue IP-Adresse funktioniert Lotus Notes an der Zweigstelle nicht mehr.
Folgende Tests habe ich mit beiden Leitungen durchgeführt:
Trace Route: Identisch
Bandbreite: fast identisch (getestet mit Testdatei von 10MB)
Ping: Bei der neuen Leitung besser
Andere Anwendungen funktionieren problemlos:
Dateizugriff (smb)
Terminalsitzung (TN5250)
DNS
Da ich nur die IP-Adresse des Gateways geändert habe (Regelwerk wurde nicht geändert), dürfte, nach meinem Verständnis, solch ein Problem gar nicht auftreten. Ich bin am verzweifeln, da ich einfach nicht weiß wo ich nach einem Problem suchen soll. Kann mir hier vielleicht jemand helfen? Braucht ihr noch weitere Infos? Wenn benötigt, könnte ich auch versuchen das Netz schematisch darzustellen.
Gruß nick81
Wir sind momentan dabei unseren Internet-Provider zu wechseln. Momentan sind zwei Internetleitungen an einer Watchguard x700 parallel angeschlossen. Die alte Leitung geht direkt zum Provider, hat also auch eine externe IP, die neue Leitung läuft über SDSL über ein MPLS-Netz und geht über ein Internetgateway ins Internet. Im MPLS existiert ein Mapping von einer externen Adresse zum externen Interface der Firewall im MPLS Netz.
Ein anderer Standort verbindet sich mit unserer Firewall über IPSec (also nicht am MPLS Netz angeschlossen) mit unserem Netz. Nach der Umstellung des VPN-Gateway auf die neue IP-Adresse funktioniert Lotus Notes an der Zweigstelle nicht mehr.
Folgende Tests habe ich mit beiden Leitungen durchgeführt:
Trace Route: Identisch
Bandbreite: fast identisch (getestet mit Testdatei von 10MB)
Ping: Bei der neuen Leitung besser
Andere Anwendungen funktionieren problemlos:
Dateizugriff (smb)
Terminalsitzung (TN5250)
DNS
Da ich nur die IP-Adresse des Gateways geändert habe (Regelwerk wurde nicht geändert), dürfte, nach meinem Verständnis, solch ein Problem gar nicht auftreten. Ich bin am verzweifeln, da ich einfach nicht weiß wo ich nach einem Problem suchen soll. Kann mir hier vielleicht jemand helfen? Braucht ihr noch weitere Infos? Wenn benötigt, könnte ich auch versuchen das Netz schematisch darzustellen.
Gruß nick81
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 107510
Url: https://administrator.de/contentid/107510
Printed on: May 5, 2024 at 07:05 o'clock
6 Comments
Latest comment
Hast Du mal versucht im Adressbuch des Notes-Client ein Verbindungsdokument zu Deinem Server anzulegen?
Hallo lobotomie und Danke für die Antwort,
es ist ein Verbindungdokument enthalten, welches auf dem Server im Hauptstelle verweist. Der DNS Server steht auch in der Hauptstelle und der PC in der Zweigstelle ist direkt an der ADS an der Hauptstelle angemeldet.
Also der eingetragene Server kann per IP und auch per DNS erreicht werden.
PS: Diese Konfiguration wurde nach der Umstellung nicht geändert. Der Server kann über beiden Leitungen per IP und DNS erreicht werden. Einen DNS Fehler schließe ich eigentlich aus, da auch die anderen funktionierenden Anwendungen auf Server zugreifen, die per DNS angesprochen werden.
es ist ein Verbindungdokument enthalten, welches auf dem Server im Hauptstelle verweist. Der DNS Server steht auch in der Hauptstelle und der PC in der Zweigstelle ist direkt an der ADS an der Hauptstelle angemeldet.
Also der eingetragene Server kann per IP und auch per DNS erreicht werden.
PS: Diese Konfiguration wurde nach der Umstellung nicht geändert. Der Server kann über beiden Leitungen per IP und DNS erreicht werden. Einen DNS Fehler schließe ich eigentlich aus, da auch die anderen funktionierenden Anwendungen auf Server zugreifen, die per DNS angesprochen werden.
Dein Notes-Client meldetDir in der Replikation "No route to host", korrekt?
Ergo scheint ja der Notes-Client irgendwo Routing-Infos zu cachen. Wir hatten ein ähnliches Problem, allerdings bei bei Aufbau unseres VPN und konnten dieses durch eben das Erstellen eines Verbindungsdokumentes zum Server lösen (und ja, der Domino-Server war sowohl über IP als auch über Namensauflösung zu erreichen).
Ergo scheint ja der Notes-Client irgendwo Routing-Infos zu cachen. Wir hatten ein ähnliches Problem, allerdings bei bei Aufbau unseres VPN und konnten dieses durch eben das Erstellen eines Verbindungsdokumentes zum Server lösen (und ja, der Domino-Server war sowohl über IP als auch über Namensauflösung zu erreichen).
Leider nicht.
Bei der Replizierung fängt Lotus an die 4 DB's zu replizieren. Unten links erscheint auch "Verbunden mit DOMINO/SVR/FIRMA", aber er geht nicht weiter und bleibt an dieser DB hängen. Auch überspringen dieser DB bringt nichts, da bei der nächsten DB das gleiche Problem wieder auftritt. Wenn man versucht sein Postfach zu öffnen erscheint auch keine Fehlermeldung, sondern Lotus stürzt irgendwann ab (nach Minuten).
Ich habe anhand folgender Beschreibung den Cache gelöscht, was allerdings auch keinen Erfolg brachte: http://144.41.253.154/help/help7_admin.nsf/93a4a943f93cf66180256c250050 ...
Unter Datei > Vorgaben > Benutzervorgaben > Anschlüsse > Aufzeichnen habe ich die Verbindung getestet, er schreibt :
Verwenden der Adresse xx.xx.xx.xx für DOMSVR01/SVR/FIRMA
Verbunden mit Server DOMSVR01/SVR/FIRMA
Außerdem hat sich weder eine Route, noch eine IP-Adresse geändert, zumindest nicht für den Client, denn für den Client ist der nächste Hop immer noch die Firewall der Zweigstelle, vom Domino ist dies die Firewall der Hauptstelle. Die Systeme sehen zwischen den Stellen doch nur die internen Netze, die durch den VPN geroutet werden, von den neuen externen Adressen bekommen die doch nix mit, oder?
Edit: Zur Sicherheit werde ich morgen mal den Lotus Notes Client neu installieren um auszuschließen, das doch noch was im Cache hängt.
Bei der Replizierung fängt Lotus an die 4 DB's zu replizieren. Unten links erscheint auch "Verbunden mit DOMINO/SVR/FIRMA", aber er geht nicht weiter und bleibt an dieser DB hängen. Auch überspringen dieser DB bringt nichts, da bei der nächsten DB das gleiche Problem wieder auftritt. Wenn man versucht sein Postfach zu öffnen erscheint auch keine Fehlermeldung, sondern Lotus stürzt irgendwann ab (nach Minuten).
Ich habe anhand folgender Beschreibung den Cache gelöscht, was allerdings auch keinen Erfolg brachte: http://144.41.253.154/help/help7_admin.nsf/93a4a943f93cf66180256c250050 ...
Unter Datei > Vorgaben > Benutzervorgaben > Anschlüsse > Aufzeichnen habe ich die Verbindung getestet, er schreibt :
Verwenden der Adresse xx.xx.xx.xx für DOMSVR01/SVR/FIRMA
Verbunden mit Server DOMSVR01/SVR/FIRMA
Außerdem hat sich weder eine Route, noch eine IP-Adresse geändert, zumindest nicht für den Client, denn für den Client ist der nächste Hop immer noch die Firewall der Zweigstelle, vom Domino ist dies die Firewall der Hauptstelle. Die Systeme sehen zwischen den Stellen doch nur die internen Netze, die durch den VPN geroutet werden, von den neuen externen Adressen bekommen die doch nix mit, oder?
Edit: Zur Sicherheit werde ich morgen mal den Lotus Notes Client neu installieren um auszuschließen, das doch noch was im Cache hängt.
Sorry für doppelpost, aber es gibt neue Infos:
Ich habe nun Lotus neu installiert, leider ohne Erfolg, allerdings glaube ich doch, das es etwas mit dem Routing zu tun hat. Da die eine Haupt-Watchguard ja hinter einem NAT hängt, sieht die Routingtabelle auf der Watchguard der Zweigstelle (Übrigens X5) folgendermaßen aus:
Routing Table alte Leitung (ohne NAT)
Destination Gateway Genmask Interface
213.244.44.XXX 194.231.190.1 255.255.255.255 (external)
10.0.0.0 213.244.44.XXX 255.0.0.0 (tunnel)
0.0.0.0 194.231.190.1 0.0.0.0 gateway (external)
213.244.44.XXX Externes Interface Haupt-Watchguard
Routing Table neue Leitung (mit NAT)
Destination Gateway Genmask Interface
62.40.20.XXX 194.231.190.1 255.255.255.255 (external)
10.0.0.0 62.40.20.XXX 255.0.0.0 (tunnel)
0.0.0.0 194.231.190.1 0.0.0.0 gateway (external)
62.40.20.XXX Externe IP zwischen MPLS und Internet. Nat auf Externes Interface der Watchguard 192.168.31.1
Kann es ein das Lotus Notes irgendwie die Routen abklappert und bei "nicht logischen" Verhältnissen keine Verbindung zu Stande kommt? Von der Haupt Watchguard zur Zweigstelle endet der Tunnel ja auf der echten externen IP der X5.
Ich habe nun Lotus neu installiert, leider ohne Erfolg, allerdings glaube ich doch, das es etwas mit dem Routing zu tun hat. Da die eine Haupt-Watchguard ja hinter einem NAT hängt, sieht die Routingtabelle auf der Watchguard der Zweigstelle (Übrigens X5) folgendermaßen aus:
Routing Table alte Leitung (ohne NAT)
Destination Gateway Genmask Interface
213.244.44.XXX 194.231.190.1 255.255.255.255 (external)
10.0.0.0 213.244.44.XXX 255.0.0.0 (tunnel)
0.0.0.0 194.231.190.1 0.0.0.0 gateway (external)
213.244.44.XXX Externes Interface Haupt-Watchguard
Routing Table neue Leitung (mit NAT)
Destination Gateway Genmask Interface
62.40.20.XXX 194.231.190.1 255.255.255.255 (external)
10.0.0.0 62.40.20.XXX 255.0.0.0 (tunnel)
0.0.0.0 194.231.190.1 0.0.0.0 gateway (external)
62.40.20.XXX Externe IP zwischen MPLS und Internet. Nat auf Externes Interface der Watchguard 192.168.31.1
Kann es ein das Lotus Notes irgendwie die Routen abklappert und bei "nicht logischen" Verhältnissen keine Verbindung zu Stande kommt? Von der Haupt Watchguard zur Zweigstelle endet der Tunnel ja auf der echten externen IP der X5.
Problem gelöst:
Durch den neuen Weg (IPSec + Neu MPLS) wurde die MTU verkleinert. Nach Anpassung der Firewall läuft es nun.
Vielen Dank für die Hilfe.
Durch den neuen Weg (IPSec + Neu MPLS) wurde die MTU verkleinert. Nach Anpassung der Firewall läuft es nun.
Vielen Dank für die Hilfe.
