tom990
Goto Top

Kein ping möglich

Hallo zusammen.

Seit Freitag kann ich plötzlich kein ping mehr auf die Geräte im Netzwerk machen. Bis dahin hat es problemlos funktioniert.
In der Firewall auf dem Server ist File and Printer Sharing /Echo Request - ICMPv4-In und ICMPv6-In aktiviert.

Hat jemand eine Idee, was das Problem sein könnte?
Vielen Dank für eure Hilfe.
Tom
ping

Content-ID: 31031401799

Url: https://administrator.de/forum/kein-ping-moeglich-31031401799.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

9697748851
9697748851 22.04.2024 um 09:58:55 Uhr
Goto Top
Moin,

steckt das Kabel? ;)

#Dankefürdievieleninformationen

Was wurde Donnerstagabend geändert?
gammelobst
gammelobst 22.04.2024 um 10:00:01 Uhr
Goto Top
Hallo,

da meine Glaskugel noch in der Werkstatt ist, wäre mehr Information gar nicht so schlecht.

cya
tom990
tom990 22.04.2024 um 10:01:50 Uhr
Goto Top
Hallo.

Ja, das Kabel steckt face-smile

Alle Geräte funktionieren ohne Probleme, nur kann ich plötzlich kein ping mehr machen.
Das einzige, was am Freitagmorgen geändert wurde, was, dass ein paar Ports als Inbound Rule hinzugefügt wurden. Diese Regeln wurden aber wieder gelöscht. Sonst hat sich nichts geändert, soweit ich weiß.

Zitat von @9697748851:

Moin,

steckt das Kabel? ;)

#Dankefürdievieleninformationen

Was wurde Donnerstagabend geändert?
9697748851
9697748851 22.04.2024 aktualisiert um 10:02:57 Uhr
Goto Top
Tracert kommt an?
Was sagt der Kabelhai?
tom990
tom990 22.04.2024 um 10:08:06 Uhr
Goto Top
Zitat von @9697748851:

Tracert kommt an?
ja, funktioniert ohne Probleme.
Kabeln sind auch alle OK.

Am Freitag konnte ich noch einen ping mit der IP-Adresse durchführen, aber nicht mit dem Hostnamen. Ein paar Minuten später hat dann auch der ping über IP nicht funktioniert.
12764050420
12764050420 22.04.2024 aktualisiert um 10:27:24 Uhr
Goto Top
Hallo.
Seit Freitag kann ich plötzlich kein ping mehr auf die Geräte im Netzwerk machen
Heißt vom Server auf die Clients, oder nur umgekehrt?

Netzwerkprofile der Clients geprüft? Stehen die auf Private, Domain oder Öffentlich?
Wenn sich z.B. die MAC des GWs geändert hat wäre das Verhalten klar, die Clients definieren das interne Netz dann plötzlich als öffentlich und blocken somit sämtliche eingehenden Traffic . Also als erstes die Netzwerkprofile prüfen, die sind Problemfalle Nr.1 in Winblows-Netzwerken wenn der Zugriff plötzlich nicht mehr will!

Gruß schrick
tom990
tom990 22.04.2024 um 10:52:37 Uhr
Goto Top
Zitat von @12764050420:

Hallo.
Seit Freitag kann ich plötzlich kein ping mehr auf die Geräte im Netzwerk machen
Heißt vom Server auf die Clients, oder nur umgekehrt?

vom Server auf die Clients geht nicht. Netzwerkprofile haben sich nicht geändert.
12764050420
12764050420 22.04.2024 aktualisiert um 10:55:55 Uhr
Goto Top
Zitat von @tom990:
vom Server auf die Clients geht nicht. Netzwerkprofile haben sich nicht geändert.
  • Auf den Clients geprüft?
  • Sind Server und Clients im selben Subnetz oder in unterschiedlichen VLANs?
  • Was für ein Device ist der Router? Dort die Firewall-Regeln/Profile überprüft.
  • Funktionieren andere Protokolle? SSH, SMB, WWW, etc. zu den Clients?
tom990
tom990 22.04.2024 um 10:56:11 Uhr
Goto Top
Zitat von @12764050420:

Zitat von @tom990:
vom Server auf die Clients geht nicht. Netzwerkprofile haben sich nicht geändert.
* Auf den Clients geprüft?
  • Sind Server und Clients im selben Subnetz oder in unterschiedlichen VLANs?
  • Was für ein Device ist der Router?

ja, ping vom Client auf Server geht.
Sowohl Client als auch Server sind im gleichen IP Subnet.
12764050420
12764050420 22.04.2024 aktualisiert um 11:01:32 Uhr
Goto Top
  • Firewall des Servers mal temp. deaktiviert?
  • Haben die Clients eine Security Suite aktiv die Verbindungen blockieren könnten?
  • Was sagt ein arp -a am Server sind dort die IPs der Clients gelistet die du anpingst?
  • Wireshark sagt was?

Bitte alle Fragen beantworten, danke!
tom990
tom990 22.04.2024 um 11:05:56 Uhr
Goto Top
Zitat von @12764050420:

  • Firewall des Servers mal temp. deaktiviert?
ja, hat nichts gebracht.

* Haben die Clients eine Security Suite aktiv die Verbindungen blockieren könnten?
nein, haben sie nicht

* Was sagt ein arp -a am Server sind dort die IPs der Clients gelistet die du anpingst?
ja, alle Geräte sind gelistet.

* Wireshark sagt was?
habe ich nicht ausprobiert.


Bitte alle Fragen beantworten, danke!

kann es sein das am Freitag ein Port gelöscht oder deaktiviert wurde und deswegen es nicht funktioniert?
12764050420
12764050420 22.04.2024 aktualisiert um 11:10:11 Uhr
Goto Top
kann es sein das am Freitag ein Port gelöscht oder deaktiviert wurde und deswegen es nicht funktioniert?
Wenn die Firewall komplett deaktiviert ist kann nichts mehr blockieren, außer ihr nutzt noch ein anderes Produkt am Server.
Defender wurde auch komplett ausgeschaltet?
habe ich nicht ausprobiert.
Dann bitte nachholen.

Können sich die Clients untereinander pingen?
erikro
erikro 22.04.2024 um 11:31:41 Uhr
Goto Top
Moin,

Zitat von @tom990:

Zitat von @9697748851:

Tracert kommt an?
ja, funktioniert ohne Probleme.

Das kann nicht sein. Entweder funktioniert ICMP ECHO REQUEST oder nicht. Wenn Traceroute geht, dann geht auch Ping. Wenn Ping nicht funktioniert, gibt es auch bei Traceroute beim Endpunkt einen Time Out. Kommt bei Traceroute wirklich ein Ergebnis des Endpunkts zurück oder nicht?

Liebe Grüße

Erik
tom990
tom990 22.04.2024 um 11:35:29 Uhr
Goto Top
Zitat von @erikro:

Moin,

Zitat von @tom990:

Zitat von @9697748851:

Tracert kommt an?
ja, funktioniert ohne Probleme.

Das kann nicht sein. Entweder funktioniert ICMP ECHO REQUEST oder nicht. Wenn Traceroute geht, dann geht auch Ping. Wenn Ping nicht funktioniert, gibt es auch bei Traceroute beim Endpunkt einen Time Out. Kommt bei Traceroute wirklich ein Ergebnis des Endpunkts zurück oder nicht?

Liebe Grüße

Erik

Hallo Erik.

Habe gerade tracert www.cnn.com gemacht.

Tracing route to cnn-tls.map.fastly.net [199.232.19.5]
over a maximum of 30 hops:

Nach 5 ist es vorbei. Trace complete.

Beim ping bekomme ich die Meldung Request timed out.
erikro
erikro 22.04.2024 aktualisiert um 11:55:43 Uhr
Goto Top
Moin,

Zitat von @tom990:

Habe gerade tracert www.cnn.com gemacht.

Tracing route to cnn-tls.map.fastly.net [199.232.19.5]
over a maximum of 30 hops:

Nach 5 ist es vorbei. Trace complete.

Beim ping bekomme ich die Meldung Request timed out.

Interessant. Hier:

Ping wird ausgeführt für cnn-tls.map.fastly.net [151.101.39.5] mit 32 Bytes Daten:
Antwort von 151.101.39.5: Bytes=32 Zeit=7ms TTL=59
Antwort von 151.101.39.5: Bytes=32 Zeit=7ms TTL=59
Antwort von 151.101.39.5: Bytes=32 Zeit=7ms TTL=59
Antwort von 151.101.39.5: Bytes=32 Zeit=7ms TTL=59

Ping-Statistik für 151.101.39.5:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 7ms, Maximum = 7ms, Mittelwert = 7ms


Routenverfolgung zu cnn-tls.map.fastly.net [151.101.39.5]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  ******** [290.320.490.630] # geändert ;-)
  2     1 ms     1 ms     1 ms  ipa.v3759.b900.pop100-asr.ipv4.wtnet.de [84.46.83.201]
  3     8 ms     7 ms     7 ms  b100.Bibo.ipv4.wtnet.de [84.46.115.77]
  4     7 ms     7 ms     7 ms  b31040.Kermit.ipv4.wtnet.de [84.46.113.253]
  5     7 ms     7 ms     7 ms  fastly.Kermit.ipv4.wtnet.de [84.46.105.209]
  6     7 ms     7 ms     7 ms  151.101.39.5

Ablaufverfolgung beendet.

Liebe Grüße

Erik
12764050420
12764050420 22.04.2024 aktualisiert um 11:52:03 Uhr
Goto Top
Antwortet das Default GW vom Server aus überhaupt auf ICMP (nur fals freigeschaltet)? Antworten andere externe IPs auf ICMP vom Server aus? Wenn du den Server von einer Live-CD startest antworten dann die Clients auf ICMP Pings?
NordicMike
NordicMike 22.04.2024 um 12:17:58 Uhr
Goto Top
Ist die Firewall testweise auf "beiden" Geräten deaktiviert?
Also nicht nur auf dem Server, sondern auch beim Client?

Wurde kürzlich eine VPN Software installiert?

Du schreibst:
Sowohl Client als auch Server sind im gleichen IP Subnet.
Dein Traceroute sagt aber ganz was anderes.

Da ist noch ein Router dazwischen, lässt seine Firewall ICMP Pakete durch?
manuel-r
manuel-r 22.04.2024 um 12:53:40 Uhr
Goto Top
Habe gerade tracert www.cnn.com gemacht.
Tracing route to cnn-tls.map.fastly.net [199.232.19.5] over a maximum of 30 hops:

Nach 5 ist es vorbei. Trace complete.
Beim ping bekomme ich die Meldung Request timed out.

Moment mal.
Ich dachte es geht hier um einen deiner Server? Bei euch im Haus oder auch irgendwo gehostet.

Was genau hat da jetzt ein Traceroute zu cnn.com mit zu tun???

Manuel
erikro
erikro 22.04.2024 um 14:30:56 Uhr
Goto Top
Zitat von @manuel-r:

Was genau hat da jetzt ein Traceroute zu cnn.com mit zu tun???

Das ist schon insofern interessant, dass er auch bei externen Servern das gleiche Phänomen hat. Nochmal: Traceroute und Ping machen vom Prinzip das gleiche. Es wird ein ICMP ECHO REQUEST an den Zielknoten geschickt. Traceroute schickt dabei das erste Pakete mit TTL 1, das zweite mit TTL 2 usw. Deshalb verwirft der transportierende Router das Paket, wenn er der ist, bei dem TTL auf 0 geht und schickt die entsprechende Antwort zurück, so dass erkannt werden kann, welche Knoten beteiligt sind. Der letzte der antwortet, ist dann immer der Zielrechner selbst. Wenn der aber auf den Request antwortet, dann tut er das auch bei einem Ping. Das Ziel kann nicht erkennen, ob der Request von Ping oder von Traceroute kommt. Es antwortet stumpf. Wenn es also beim TO mit Traceroute klappt, mit Ping aber nicht, dann liegt der Schluss nahe, dass es am Quellrechner liegt. IMHO ist die wahrscheinlichste Ursache, dass Ping beim Quellrechner kaputt gegangen ist.

Liebe Grüße

Erik
tom990
tom990 23.04.2024 um 08:28:48 Uhr
Goto Top
Zitat von @NordicMike:

Ist die Firewall testweise auf "beiden" Geräten deaktiviert?
Also nicht nur auf dem Server, sondern auch beim Client?

Ja, funktioniert aber trotzdem nicht.


Wurde kürzlich eine VPN Software installiert?

Nein


Du schreibst:
Sowohl Client als auch Server sind im gleichen IP Subnet.
Dein Traceroute sagt aber ganz was anderes.

Da ist noch ein Router dazwischen, lässt seine Firewall ICMP Pakete durch?

Es handelt sich um einen virtuellen Server, auf dem Windows Server 2019 läuft.
In der Domain sind 60 Clients verbunden. Auf allen Clients habe ich manuell die Einstellung beim Internetprotokoll Version 4 (TCP/IPv4) geändert bei "Folgende DNS-Serveradressen verwenden" und dort die DNS Serveradresse vom virtuellen Server eingegeben.

Wie gesagt, es funktioniert alles, außer dass kein ping möglich ist. Kann es sein das irgendwie irgendeine Domain Policy auf dem Server aktiviert wurde, welche den ping vom Server aus blockiert und sagt ich bin unsichtbar? Kann man das irgendwie nachprüfen?

Was mir heute Morgen eingefallen ist, ich habe am Freitag eine AD Audit Software auf dem Server installiert (von ManageEngine ADAudit Plus). So bin ich auch drauf gekommen, das der ping nicht funktioniert. Ich habe versucht die Software wieder komplett zu deinstallieren, hat aber nichts gebracht.

Vielen Dank für eure bisherige Hilfe.
12764050420
12764050420 23.04.2024 aktualisiert um 09:51:22 Uhr
Goto Top
Wie gesagt boote mal ein Live-Linux in der VM und pinge mal von dort, nur um auszuschließen das die Konfiguration des Hosts schuld ist.