cyber40014
Goto Top

Manche Websites nicht erreichbar

Halli Hallo,

Ich wende mich an euch, weil ich mit meinem Latein am Ende bin.

Folgende Situation:

Branch Office in einem anderen Land.
Dort wurde von einer 08/15 Soho Businessleitung auf eine FTTH Leitung umgestellt. Provider ist derselbe.

Wir setzen dort eine Dell Sonicwall ein.

Vor der Umstellung stelle ein Router des Providers die Internetverbindung her und die Sonicwall hatte als WAN Adresse eine Adresse aus dem privaten Subnetz des Routers.
Nun stellt die Sonicwall mithilfe von PPPoE eine Verbindung her. VDSL Vlan6 auf dem (virtuellen) WAN Interface.

Seit der Umstellung sind einige Seiten nicht mehr erreichbar.

Die DNS Auflösung funktioniert, in anderen Offices kann die Website aufgerufen werden.
Ping funktioniert auch.

Die Sonicwall Regeln für WAN-> LAN und LAN -> Wan habe ich testweise auf "alles zulassen" gestellt.

Das Problem betrifft alle Computer im Branch Office.
Div. Virenscans sind gelaufen, Proxyeinstellungen sind nicht vorhanden.
Auch alle Filter (Gateway AV, Contentblocking etc. wurden für Lan wie WAN Interfaces deaktivert.

Der SonicWall Paketmonitor zeigt keine gedroppten Pakete an.
Aber manche Websites geben immernoch einen Timeout.

Es ist nicht protokollabhängig.
(Manche https Seiten können aufgerufen werden, manche http Seiten können aufgerufen werden)

Im akuten Fall geht es zB um die Seite seur.com, welche eine DPD Sendungsverfolgung in Spanien anbietet.

Irgendwelche Ideen?
Das Lan Setup nutzt keine VLANs oder besondere Switch configs.

Der ISP schließt ein Problem auf seiner Seite aus, da es funktioniert wenn nicht nur das Fiber "Modem" sondern der Fiberrouter inkl. Modem vom ISP genutzt wird.


Irgendwelche Ideen?

Lg

Chris

Content-ID: 322340

Url: https://administrator.de/forum/manche-websites-nicht-erreichbar-322340.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

Lochkartenstanzer
Lösung Lochkartenstanzer 29.11.2016 aktualisiert um 09:16:36 Uhr
Goto Top
Zitat von @cyber40014:

Irgendwelche Ideen?


Was sagen denn, ping, traceroute und nmap, wenn Du das von der sntsprechenden Zweigstelle aus aufrufst?

lks
aqui
Lösung aqui 29.11.2016 um 09:49:09 Uhr
Goto Top
Mit Sicherheit ein MTU Problem ! Auf der Sonicwall WAN Port fehlt die MTU Anpassung.
Die Problematik ist hier beschrieben:
http://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
Einfach mal mit einem Ping checken wie die max. MTU ist:
http://www.it-fehler.de/mtu-size-ermitteln/
KayManHey
Lösung KayManHey 29.11.2016 um 11:37:13 Uhr
Goto Top
Hätte ich auch drauf getippt.
Einfach mal schauen wie Groß der Ping ist.
LG
cyber40014
cyber40014 29.11.2016 aktualisiert um 12:53:25 Uhr
Goto Top
Danke für die schnelle Antwort.
Ping läuft fehlerfrei ohne Paketloss. Traceroute sieht auch gut aus. Zu nmap bin ich noch nicht gekommen. War auch ein Ansatz, dass gewisse Ports (z.b. Https) geblockt werden, das ist aber inzwischen ausgeschlossen. Werde ich aber trotzdem noch machen. Alles Tests hab ich von der Zweigstelle aus gemacht.
Hab auch mit netstat geschaut ob irgendein Service lauscht wo er nicht soll. (Kenne das Problem von Skype + xampp auf meiner eigenen Workstation.)

MTU ist auch ein guter Anhaltspunkt. Aktuell 1500. Das Problem ist der Provider. Hat auch nur 3 Wochen gebraucht bis wir jemanden an der Strippe hatten, der sagte dass wir Vlan 6 brauchen damit die Einwahl funktioniert. (Davor hieß es immer "kein Vlan)

Werde testen und berichten.

Danke soweit. Für alle weiteren Vorschläge bin ich dankbar.
LordGurke
Lösung LordGurke 29.11.2016 um 14:48:10 Uhr
Goto Top
Stell als MTU mal 1480 ein (das sollte immer gehen) und probiere dann, ob die Seiten dann funktionieren.
Lochkartenstanzer
Lösung Lochkartenstanzer 29.11.2016 um 15:39:45 Uhr
Goto Top
Zitat von @cyber40014:

MTU ist auch ein guter Anhaltspunkt. Aktuell 1500.

Mach den mal kleiner. Das wird dann das Problem sein, wenn die anderen Sachen wie Routing, DNS udn Portfilter ausgeschlossen sind.

lks
aqui
Lösung aqui 29.11.2016 um 17:44:20 Uhr
Goto Top
Ping läuft fehlerfrei ohne Paketloss. Traceroute sieht auch gut aus.
Welch ein Wunder... Klar. denn im Default nutzt der 64 Byte Paket Size sofern man wie du vermutlich mit dem -l Parameter die Paket Lenght nicht variiert hat face-sad
cyber40014
cyber40014 29.11.2016 aktualisiert um 19:11:03 Uhr
Goto Top
Das war es.

Nun mein Rat:
Falls ihr je mit Providern (sehr groß) in Spanien zu tun habt, glaubt ihnen nix.
Wir haben eine Woche gebraucht, bis wir rausgefunden haben, dass die Wan Verbindung eine VlanID benötigt und welches, während der Providersupport steif und fest behauptete, dass kein Vlan nötig sei.
Damals wurde uns auch die MTU von 1500 genannt.

Nun steht sie auf 1400 und es funktioniert.

Lg

Chris
LordGurke
LordGurke 29.11.2016 um 22:22:28 Uhr
Goto Top
Das gilt auch für spanische Provider in Deutschland :-P
1400 ist aber doch tendenziell eher niedrig - das könnte mit VPN Probleme geben. Bei DSL sind reguläre Werte irgendwo zwischen 1492 und 1480 Bytes.