borstenwurm
Goto Top

Häufige, aber unregelmäßige Verbindungsabbrüche

Hi.

Ich habe hier ein seltsames Phänomen, bei dem ich bisher noch keine Lösung finden konnte. Hier sind ja einige Leute mit viel Erfahrung unterwegs, vielleicht hatte ja schonmal jemand etwas ähnliches oder Ideen in welche Richtung ich noch denken könnte.

Problem: Seit einigen Tagen bricht in unregelmäßigen Abständen (im Schnitt etwa einmal pro Stunde für ein paar Minuten) immer wieder die Verbindung zwischen allen externen Standorten und der Zentrale ab. Auf den ersten Blick wirkt das ganze einfach so, als hätte unser Modem die Verbindung verloren und müsste sie neu aufbauen.

Soweit, so normal, aber: Internetprovider sagt, unsere Verbindung (statische IP) läuft seit etwa einem Monat ohne Unterbrechung. Also denke ich mir, dann muss ich bei uns im Haus Firewall, VPN usw. checken.

Und das ist jetzt der Bereich an dem ich keine Logik erkennen kann: während die Verbindung unterbrochen ist kann ich von meinem Rechner in der Zentrale auch nicht auf das Internet zugreifen, ein tracert kommt z.B. nicht weiter als die Firewall. Ich komme aber noch auf die Adminoberfläche des Modems und kann von dieser aus erfolgreich externe IPs pingen.

Ich bin für alle Ideen dankbar face-smile

Besten Gruß.

Content-ID: 456369

Url: https://administrator.de/contentid/456369

Printed on: December 7, 2024 at 21:12 o'clock

Lochkartenstanzer
Solution Lochkartenstanzer May 27, 2019 updated at 10:28:40 (UTC)
Goto Top
Zitat von @borstenwurm:

Und das ist jetzt der Bereich an dem ich keine Logik erkennen kann: während die Verbindung unterbrochen ist kann ich von meinem Rechner in der Zentrale auch nicht auf das Internet zugreifen, ein tracert kommt z.B. nicht weiter als die Firewall. Ich komme aber noch auf die Adminoberfläche und kann von dieser aus erfolgreich externe IPs pingen.

Moin,

  • Was steht in den Logs der firewall?
  • Logst Du auf und abbau der VPN-Verbindungen oder Änderungen am Routing mit?
  • Logst Du gedropte pakete mit, ggf. mit der Numerm der Firewall-regel-?
  • funktioniert denn traceroute wenn keine Störung da ist? Denn je nach Firewall-Regel kann traceroute auch blockiert sein.
  • Habt Ihr Routing-protokolle aktiv, die automatisch routen ändern dürfen?
  • Was für eine Firewall habt Ihr überhaupt?
  • betreibt Ihr die Selbst oder macht das ein Dienstleister?


Wie Du siehst, müssen unsere Kristallkugeln bei dieser Informationslage sehr heißlaufen. face-smile

lks
aqui
Solution aqui May 27, 2019 updated at 10:36:17 (UTC)
Goto Top
ein tracert kommt z.B. nicht weiter als die Firewall
Das wäre für eine Firewall auch normal, da diese in der Regel kein ICMP (Ping, Traceroute usw.) forwardet.
Die Beschreibung des Symbtoms ist recht oberflächlich wie du sicher selber weisst. Es kann also alles mögliche an Ursachen haben und du musst jetzt strategisch vorgehen um herauszufinden welche Komponenten mögliche Verursacher sein können und ob diese extern sind oder intern.
Im Groben sind das natürlich erstmal die Switch Infrastruktur, Firewall/Router und sofern vorhanden ein Modem.
D.h. tritt der Fehler auf solltest du also erstmal lokal pingen, sprich Server und insbesondere die lokalen LAN Interfaces von Router oder Firewall sowie die Management IP des Switches und auch auf den DNS Server bzw. dessen IP. Das setzt natürlich voraus das ICMP erlaubt ist über auf die Firewall und Router !!
Pingen solltest du zudem immer nur nackte IP Adressen und KEINE Hostnamen um ggf. DNS Problemen aus dem Weg zu gehen.
Gibt es da während des Ausfalls keinerlei Aussetzer kannst du ein Problem mit deiner internen Infrastruktur vermutlich erstmal ausschliessen.
Dann solltest du ein Auge auf die externe Anbindung werfen und z.B. die 8.8.8.8 pingen um hier Aussetzer zu detektieren.
Kleine Tools wie z.B. "Big Brother" http://kin.klever.net/bigbrother oder https://www.pingplotter.com/products/free.html
helfen dabei das kontinuierlich zu tun.

Wichtig sind natürlich die VPN Tunnel. Kannst du also externe IP Adressen weiter problemlos pingen aber IP Adressen die in Standort Netzen liegen und somit über VPN Tunnel laufen nicht, kannst du davon ausgehen das du dann ein Problem mit dem VPN Komponenten hast, sprich also Standort VPN Router oder Firewall.
Hier macht es also Sinn mit dem Big Brother Tool z.B. die externe, öffentliche IP und eine interne im lokalen LAN dieser Komponeten parallel zu pingen. Hilfreich ist hier wie immer auch ein Blick ins Log dieser VPN Komponenten !!
So musst du das erstmal einkreisen WO du genau suchen musst.
Das sind aber eigentlich alles banale Troubleshooting Binsenweisheiten auf die ein Netzwerk Admin nun auch selber kommt.
Lochkartenstanzer
Lochkartenstanzer May 27, 2019 at 10:45:40 (UTC)
Goto Top
Zitat von @aqui:

... Big Brother Tool ...

Moin,

habe gerade gesehen, daß bb4.com (war schon lange nicht mehr auf der BigBrother-Webseite) bei einem domaingrabber gelandet ist. Weißt Du zufällig, ob wo die aktuelle Homepage von denen ist?

lks
aqui
aqui May 27, 2019 at 11:00:21 (UTC)
Goto Top
Ist das nicht http://kin.klever.net ??
Lochkartenstanzer
Lochkartenstanzer May 27, 2019 updated at 11:16:59 (UTC)
Goto Top
Zitat von @aqui:

Ist das nicht http://kin.klever.net ??

Die kannte ich noch nicht. Ich kenne BigBrother noch aus der Quest-Zeit unter bb4.com. hatte gar nicht mitbekommen, daß die dann irgendwann bei DELL gelandet ist. Woltle jetzt mal wieder einen Blick drauf werfen, bin aber ins leere gelaufen.

Bei KIN scheint es nach dem Screenshot zu urteilen um eine der ganz alten Versionen zu handeln.

Oder ist das ein anderes BB als das, was ich in Erinnerung habe.

lks
borstenwurm
borstenwurm May 27, 2019 at 11:22:49 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
  • Was steht in den Logs der firewall?
Wenn die Verbindung abbricht sehe ich in den Logs nichts auffälliges ausser: siehe nächste Frage

* Logst Du auf und abbau der VPN-Verbindungen oder Änderungen am Routing mit?
Die Tunnel werden auch geloggt, die Logs zeigen aber keinen sofortigen Abbruch.

* Logst Du gedropte pakete mit, ggf. mit der Numerm der Firewall-regel-?
Werde ich nachschauen.

* funktioniert denn traceroute wenn keine Störung da ist? Denn je nach Firewall-Regel kann traceroute auch blockiert sein.
Traceroute funktioniert im Normalfall ohne Probleme.

* Habt Ihr Routing-protokolle aktiv, die automatisch routen ändern dürfen?
Nicht dass ich wüsste, aber ein guter Ansatz, da es durchaus möglich ist dass mein Vorgänger Dinge eingerichtet hatte von denen ich noch nichts weiss.

* Was für eine Firewall habt Ihr überhaupt?
Securepoint UTM, leider schon etwas älter.

* betreibt Ihr die Selbst oder macht das ein Dienstleister?
Betreiben wir selbst.

Wie Du siehst, müssen unsere Kristallkugeln bei dieser Informationslage sehr heißlaufen. face-smile
Ja das hatte ich schon befürchtet. Danke erstmal für den ganzen Input.


Zitat von @aqui:
D.h. tritt der Fehler auf solltest du also erstmal lokal pingen, sprich Server und insbesondere die lokalen LAN Interfaces von Router oder Firewall sowie die Management IP des Switches und auch auf den DNS Server bzw. dessen IP. Das setzt natürlich voraus das ICMP erlaubt ist über auf die Firewall und Router !!
Ich habe im Hintergrund ein Programm laufen, dass in regelmäßigen Abständen die externen Einrichtungen und auch die VMs im Serverraum anpingt. Extern antwortet bei Abbruch alles nicht mehr, die VMs sind weiter erreichbar. Die Interfaces von Firewall und Modem sind auch noch erreichbar. Switch muss ich noch überprüfen.

Pingen solltest du zudem immer nur nackte IP Adressen und KEINE Hostnamen um ggf. DNS Problemen aus dem Weg zu gehen.
Mache ich.
Deepsys
Deepsys May 27, 2019 at 12:29:49 (UTC)
Goto Top
Hallo,

wenn es sich nur letztlich doch nur um die VPN-Tunnel geht, das überprüfe mal die Lifetimes der Tunnel auf beiden Seiten.
Wenn die nicht gleich sind, dann kommt sowas vor.

Und ins Internet einen ping zum testen nehmen, ping 8.8.8.8 (Googles DNS) ist dafür immer sehr nützlich.

VG,
Deepsys
aqui
Solution aqui May 27, 2019 at 13:05:53 (UTC)
Goto Top
Extern antwortet bei Abbruch alles nicht mehr, die VMs sind weiter erreichbar.
Was heisst das ?? Die VMs sind aber dann lokal, oder ?? Wäre ja sinnfrei wenn die VPN Tunnel abbrechen das man remote noch irgendwelche VMs pingen kann ?! Verwirrend... face-sad

Wenn der Fall eintritt wäre es also sinnvoll bei 2 oder 3 der betroffenen Standorte mal parallel:
  • A. Deren öffentliche IP am Standort Router / Firewall zu pingen ==> zeigt die Internet Connectivity
  • B. Das lokale LAN Interface des Standort Router / Firewall pingen ==> zeigt die VPN Erreichbarkeit bzw. aktiven Tunnel
  • C. Das lokale LAN Interface des lokalen Standort Router / Firewall pingen ==> zeigt die lokale Infrastruktur
Wenn jetzt A nicht mehr pingbar ist ist klar das auch B nicht mehr pingbar ist und weisst dan auf ein Problem der Internet Verbindung an sich hin (Provider etc.)
Ist A pingbar ist aber B nicht mehr weisst das auf ein Problem der Firewall bzw. der VPN Tunnel hin.
Dieser Fall ist vermutlich der Wahrscheinlichste wenn man die lokale Infrastruktur am Hautpstandort ausschliessen kann ! Siehe auch Tips vom Kollegen @Deepsys oben. Mismatch der Key Liftimes usw. wenn du IPsec nutzt als VPN Protokoll (...was wir ja leider auch nicht wissen face-sad )
Auch wenn die Firewall schon älter ist hast du vermutlich hoffentlich mal deren Firmware aktualisiert ?!! Dito. auf den VPN Routern/Firewall in den Standorten ?!
borstenwurm
borstenwurm May 28, 2019 at 06:29:32 (UTC)
Goto Top
Zitat von @aqui:

Extern antwortet bei Abbruch alles nicht mehr, die VMs sind weiter erreichbar.
Was heisst das ?? Die VMs sind aber dann lokal, oder ?? Wäre ja sinnfrei wenn die VPN Tunnel abbrechen das man remote noch irgendwelche VMs pingen kann ?! Verwirrend... face-sad

Ja die VMs sind lokal. Ich wollte damit nur sagen dass der interne Netzwerkverkehr weiterhin funktioniert.
Als kurzes Update erstmal: Seit etwa 12 Stunden läuft wieder alles stabil. So langsam glaube ich doch daran, dass beim Provider irgendwas los war was sie mir nicht gesagt haben.
aqui
aqui May 28, 2019 at 17:09:45 (UTC)
Goto Top
Auch das kannst du ja sehen mit der Ping Statistik (Big Brother) auf 8.8.8.8 !