Alle Pakete verschwinden im Nirvana - Kopfnuss für Profis!
Hi, Leute!
Im Voraus schon mal Danke für Eure Hilfe. Ich hab' ein Netzwerk-Problem, das mich seit Langem quält und niemand kann mir helfen. Ich bin mir sicher, dass hier jemand diese Kopfnuss lösen wird.
Bernhard
Hi, Leute!
Folgendes Problem. Das Netzwerk, für das ich verantwortlich bin besteht an zwei Standorten. An jedem Standort gibt es einen PDC und einen Linux-Router, der dazwischen einen IPSec-Tunnel hält und glechzeitig Internetzugang bereitstellt (Firewall, Masquerading, Virenscan, IPSec-Endpoint für RoadWarriors,...). Jeder Standort hat ein eigenes Subnet. Jeder PDC hält die kompletten Userdaten und repliziert sich über rDFS.
So weit, so gut. An einem Standort habe ich jedoch ein Problem. Hin und wieder verschwinden alle Pakete, die an das switch gesendet werden im Nirvana. Ein PowerCycle des Switches löst das Problem (zu mindest für eine Zeitlang).
Erster Gedanke: Switch hinüber. Also getauscht, keine Veränderung.
Zweiter Gedanke: Verkabelung hinüber: Alle Netzwerkkabel von einem qualifizierten Elektriker durchmessen lassen (Dämpfung, Crosstalk, Kurzschlüsse,...). Kein Fehler gefunden.
Dritter Gedanke: Schleife irgendwo im Netzwerk. Nachdem das Netz dort gewachsen ist, gibt's einen haufen kleiner Unter-Switches und so Zeugs. Also alles neu strukturiert und in einem 16er-Switch zusammengeführt. Das Netz besteht ja nur aus 5 Clients, 3 Printservern (PSUS4), dem PDC und dem Router. Aber auch hier keine Änderung.
Vierter Gedanke: Irgendein Gerät spinnt. Also einen halben Tag lang WireShark mitlaufen lassen und nix verdächtiges gefunden. Natürlich fällt das Netz aber auch ned aus, wenn ich da bin.
Woran könnte es noch liegen? Irgendwelche Ideen? Mittlerweile geht das Netz nach einem PowerCycle am Switch nur noch ein paar Minuten und das Ding is' zwei Autostunden von mir weg, also kann ich auch ned täglich hinfahren.
Danke für eure Hilfe!
Bernhard
Im Voraus schon mal Danke für Eure Hilfe. Ich hab' ein Netzwerk-Problem, das mich seit Langem quält und niemand kann mir helfen. Ich bin mir sicher, dass hier jemand diese Kopfnuss lösen wird.
Bernhard
Hi, Leute!
Folgendes Problem. Das Netzwerk, für das ich verantwortlich bin besteht an zwei Standorten. An jedem Standort gibt es einen PDC und einen Linux-Router, der dazwischen einen IPSec-Tunnel hält und glechzeitig Internetzugang bereitstellt (Firewall, Masquerading, Virenscan, IPSec-Endpoint für RoadWarriors,...). Jeder Standort hat ein eigenes Subnet. Jeder PDC hält die kompletten Userdaten und repliziert sich über rDFS.
So weit, so gut. An einem Standort habe ich jedoch ein Problem. Hin und wieder verschwinden alle Pakete, die an das switch gesendet werden im Nirvana. Ein PowerCycle des Switches löst das Problem (zu mindest für eine Zeitlang).
Erster Gedanke: Switch hinüber. Also getauscht, keine Veränderung.
Zweiter Gedanke: Verkabelung hinüber: Alle Netzwerkkabel von einem qualifizierten Elektriker durchmessen lassen (Dämpfung, Crosstalk, Kurzschlüsse,...). Kein Fehler gefunden.
Dritter Gedanke: Schleife irgendwo im Netzwerk. Nachdem das Netz dort gewachsen ist, gibt's einen haufen kleiner Unter-Switches und so Zeugs. Also alles neu strukturiert und in einem 16er-Switch zusammengeführt. Das Netz besteht ja nur aus 5 Clients, 3 Printservern (PSUS4), dem PDC und dem Router. Aber auch hier keine Änderung.
Vierter Gedanke: Irgendein Gerät spinnt. Also einen halben Tag lang WireShark mitlaufen lassen und nix verdächtiges gefunden. Natürlich fällt das Netz aber auch ned aus, wenn ich da bin.
Woran könnte es noch liegen? Irgendwelche Ideen? Mittlerweile geht das Netz nach einem PowerCycle am Switch nur noch ein paar Minuten und das Ding is' zwei Autostunden von mir weg, also kann ich auch ned täglich hinfahren.
Danke für eure Hilfe!
Bernhard
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 139857
Url: https://administrator.de/contentid/139857
Ausgedruckt am: 25.11.2024 um 15:11 Uhr
16 Kommentare
Neuester Kommentar
Nur nochmal nachgefragt der Klarheit folgender Punkte halber:
- Wenn dieses "Verschwinden" Phänomen auftaucht, ist auch ein lokales Pingen der Komponenten im lokalen LAN nicht mehr möglich, richtig ??
- Bezieht sich dieses "Verschwinden" auf Pakete die an eine Namensadresse gesendet werden, also an einen Namen wie pdc.firma.local und/oder passiert das ebenso mit Ping Paketen die an eine nackte Ziel IP Adresse statt eines Namens im lokalen LAN gesendet werden ??
- Passiert das "Verschwinden" auch wenn du testhalber einmal NUR das Defaultgateway (den Router) vom Switch abziehst. Ebenfalls unter den beiden vorangegangenen Punkten ??
- Wenn das "Verschwinden" eintritt hast du einmal geprüft mit ipconfig ob die lokalen IP Adressen der Endgeräte noch stimmen ?? Nicht das ein wilder DHCP Server im lokalen IP Netz fremde IP Adressen vergibt und somit die Kommunikation unterbindet ?? Kannst du prüfen indem du mal ein Ping Pärchen mit statischen IP Adressen ans lokale Netz (Switch) anschliesst !
OK, wenn der PDC 2 Netzwerkkarten hat, machst du da drüber NAT oder routest du transparent zwischen den beiden IP Segmenten ???
Sieht dein Netzwerk so aus ???
Auch das ist für die Funktion von erheblicher Wichtigkeit und hast du leider (wie anderes auch) nicht beschrieben...
Den Unterschied erklärt dir dieses Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Sieht dein Netzwerk so aus ???
Auch das ist für die Funktion von erheblicher Wichtigkeit und hast du leider (wie anderes auch) nicht beschrieben...
Den Unterschied erklärt dir dieses Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
OK, wenn du das lokale LAN Segment am Linux Router ziehst und das "Verschwinden" Phänomen bleibt erhalten, dann liegts ja de facto nicht am Router...soviel ist auch klar !!
Hast du den Switch gegen ein baugleiches Modell ausgetauscht oder ein anderes Modell genommen, was sinnvoller wäre ??
Man könnte einen MAC Angriff auf den Switch vermuten der diesen mit Mac Adressen zupflastert und wenn seine max. Anzahl an Mac Adressen erreicht ist dann stellt er den Betrieb ein.
Billige, non managed Switches machen das in der Regel obwohl sie es nicht sollten. In so einem Fall sollte der Switch dann in einen Hub Betrieb übergehen und alle Pakete, wie Hub üblich, an allen Ports fluten.
Wie gesagt Billigteile kollabieren aber meistens....
Auf der anderen Seite ist bei so einem banalen Mininetz mit gerade 5 Clients sowas eher nicht die Regel und eher unwahrscheinlich...es sei denn jemand hat dort was gegen dich als Admin...
Vielleicht solltest du den Switch mal generell gegen einen dummen Hub tauschen...der hat solch Mechanismen gar nicht erst und ist dagegen immun.
In 90% aller Fälle ist dies aber immer ein kleiner 5 Port Desktop Switch auf dem jemand ein Loop gesteckt hat und den er ins Netz hängt. Das aber wiederum kannst du sofort mit einem Wireshark Sniffer sehen. Denn dann ist das Netz zu 90% augelastet und der Sniffer zeigt nur noch Broadcast Frames an..meist ARP Pakete in Massen !
Hast du den Switch gegen ein baugleiches Modell ausgetauscht oder ein anderes Modell genommen, was sinnvoller wäre ??
Man könnte einen MAC Angriff auf den Switch vermuten der diesen mit Mac Adressen zupflastert und wenn seine max. Anzahl an Mac Adressen erreicht ist dann stellt er den Betrieb ein.
Billige, non managed Switches machen das in der Regel obwohl sie es nicht sollten. In so einem Fall sollte der Switch dann in einen Hub Betrieb übergehen und alle Pakete, wie Hub üblich, an allen Ports fluten.
Wie gesagt Billigteile kollabieren aber meistens....
Auf der anderen Seite ist bei so einem banalen Mininetz mit gerade 5 Clients sowas eher nicht die Regel und eher unwahrscheinlich...es sei denn jemand hat dort was gegen dich als Admin...
Vielleicht solltest du den Switch mal generell gegen einen dummen Hub tauschen...der hat solch Mechanismen gar nicht erst und ist dagegen immun.
In 90% aller Fälle ist dies aber immer ein kleiner 5 Port Desktop Switch auf dem jemand ein Loop gesteckt hat und den er ins Netz hängt. Das aber wiederum kannst du sofort mit einem Wireshark Sniffer sehen. Denn dann ist das Netz zu 90% augelastet und der Sniffer zeigt nur noch Broadcast Frames an..meist ARP Pakete in Massen !
Hallo,
geh nochmal die Fragen von Aqui durch, insbesondere
Gerade das mit dem DHCP (was läuft für ein OS auf den Clients? hat da jemand "aus Versehen" die Internetverbindungsfreigabe aktiviert?) ist ein Punkt. Wer verteilt die IP-Adressen? Der NAT-Router? Der DC? Der Switch? Ein Drucker?
Was gibt ipconfig /all in dem Fall aus? Und arp -a? (natürlich auf jedem Rechner ausführen). Hast du IPv4 als einziges Protokoll? Was ist mit uPNP, AppleTAlk, ZeroConf. Paketen im Netz? (Hier ist das Wireshark Protokoll wieder interessant). Baut ein Mitarbeiter vielleicht eine VPN Verbindung zu einem anderen Standort auf? Das kann einen NAT-Router schonmal verwirren, hatte das mal mit dem Cisco VPN Client in Richtung Uni. Da sind bei den anderen Rechnern im LAN plötzlich alle Verbindungen gekappt worden.
LG
Matze
geh nochmal die Fragen von Aqui durch, insbesondere
- Passiert das "Verschwinden" auch wenn du testhalber einmal NUR das Defaultgateway (den Router) vom Switch abziehst. Ebenfalls unter den beiden vorangegangenen Punkten ??
- Wenn das "Verschwinden" eintritt hast du einmal geprüft mit ipconfig ob die lokalen IP Adressen der Endgeräte noch stimmen ?? Nicht das ein wilder DHCP Server im lokalen IP Netz fremde IP Adressen vergibt und somit die Kommunikation unterbindet ?? Kannst du prüfen indem du mal ein Ping Pärchen mit statischen IP Adressen ans lokale Netz (Switch) anschliesst !
Gerade das mit dem DHCP (was läuft für ein OS auf den Clients? hat da jemand "aus Versehen" die Internetverbindungsfreigabe aktiviert?) ist ein Punkt. Wer verteilt die IP-Adressen? Der NAT-Router? Der DC? Der Switch? Ein Drucker?
Was gibt ipconfig /all in dem Fall aus? Und arp -a? (natürlich auf jedem Rechner ausführen). Hast du IPv4 als einziges Protokoll? Was ist mit uPNP, AppleTAlk, ZeroConf. Paketen im Netz? (Hier ist das Wireshark Protokoll wieder interessant). Baut ein Mitarbeiter vielleicht eine VPN Verbindung zu einem anderen Standort auf? Das kann einen NAT-Router schonmal verwirren, hatte das mal mit dem Cisco VPN Client in Richtung Uni. Da sind bei den anderen Rechnern im LAN plötzlich alle Verbindungen gekappt worden.
LG
Matze
Dann bleibt dir nur die 2 Stunden zu investieren, vor Ort zu gehen und systematisch vorzugehen und die paar Minuten bis zur Symptomatik zu warten.:
Was anderes wird dir wohl nicht übrig bleiben...
- Switch von allen Clients befreien und nur deinen Laptop aufzustecken
- Router aufstecken und Dauerping auf den Router ausführen.... (Ausfallzeit abwarten)
- Falls das stabil bleibt PDC aufstecken und den dauerpingen....(Ausfallzeit abwarten)
- Dies Konstrukt etwas länger laufen lassen und verifizieren das das stabil rennt.
- Nun sukzessive die Clients aufstecken und den Test wiederholen bis das Problem reproduzierbar ist...
Was anderes wird dir wohl nicht übrig bleiben...