Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Merkwürdiges Routing Problem?

Mitglied: Florian961988

Florian961988 (Level 1) - Jetzt verbinden

25.09.2019 um 09:53 Uhr, 1071 Aufrufe, 22 Kommentare, 4 Danke

Guten Morgen liebes Forum,

ich als scheidender ITler, stehe gerade in den letzten Zügen vor einem Problem und habe Fragezeichen über dem Kopf!

Kurz zur Infrastruktur, grob umrissen

Mehrere VLANS

VLAN 10 192.168.0.0/24 Server
VLAN 20 192.168.4./24 Entwicklung und Marketing
VLAN 30 192.168.7./24 WLAN (HAUSinterne Geräte)

Es gibt noch mehrere VLANs die lasse ich aber nun mal weg, da die nicht interessant sind hier!

Als Firewall eine Fortigate 100D!

Mehrer Server
2 X Hyper-V dort aufgeteilt die Maschinen die Windows basierend sind (DC1,DC2, Exchange...)
3 X ESXI Server für die Linux ProduktivServer (Ticketsystem, Docker...)

Wir betreiben einen Webhop (selbst gebaut und gepflegt) der bei einem Hoster (OVH) liegt, dorthin sind wir per VPN verbunden!

Ich hoffe das reicht als groben Umriss des Netzwerkes!

Hier KURZ ich habe einen Dockerhost(VLAN 10) auf einem Server aufgesetzt, der nur für die Entwicklung ist und nicht viel tut!
Der DockerHost macht nichts anderes als ein Monitoring unserer System mit Alarm bei kaputt, kein ping, HDD voll und Downtime!
Dieses Monitoring läuft in der Basis auf GRAFANA, Telegraf, InfluxDB und elasticsearch! Als Bestriebssystem UBUNTU 18.04 LTS!

Das Problem ist in diesem Monitoring habe ich ein DASHBOARD welches per Ping prüft und visualisiert, ob ein Live-Server noch da ist und Meldung schlägt wenn nicht mehr erreichbar!

Mein Problem ist wir haben eine Seite test.de die wird aufglöst und wird als Graph und Prozent online angezeigt, aber die Seite test24.com nicht!
Als logisch denkender ITler um nicht tippfehler oder fehlkonfig in der Telegraf - Konfig auszuschließen, habe ich mich per SSH auf den Host verbunden und von dort als root die besagten Seiten angepingt test.de mit richtiger IP aufgelöst und sieht alles gut aus auch ein traceroute ging!
Beim test24.com wurde beim ping die IP richtig aufgelöst, aber der ping geht nicht durch und traceroute nichts. habe mir dann mal die IP von test24.com genommen und auch von dem Host gepingt, gleiches Verhalten!

Naja dann bin ich mal auf eine andere Linux Schüssel gegangen und habe das gleiche ausprobiert und ging nicht! Auch von einem Windows-Server nicht.

Nehme ich jetzt verschiedene Rechner aus dem Entwicklungs- oder Marketingbereich kann ich die Seite test24.com anpingen, gehe ich in das WLAN - Netz kann ich es wiederum nicht!

In der Firewall sind die Seite als Addresses angelegt und werden auch aufgelöst!
Die Seite ist online und öffnet sich !
Die Seiten test.de und test24.com liegen auf dem gleichen WEBServer haben aber andere externe IPs!

Habt ihr noch ein groben Tipp wo ich suchen kann?

Ja ich weiß mein Deutsch ist nicht gut und die Überschrift vll. nicht ganz aussagekräftig, bin aber ein Mann der tat und nicht der Worte!

Im Endeffekt kann es mir auch egal sein, woran es liegt aber ich will es halt wissen und eventuell lernen!
Mitglied: em-pie
LÖSUNG 25.09.2019, aktualisiert um 09:59 Uhr
Moin,

ICMP ist zu test24.com möglich und test24.com darf auch die ICMP-Pakete zurückschicken?

Prüfe dies bitte einmal in der Firewall. Ich tippe, hier Ist reglementiert, wer ICMP spielen darf und wer nicht.


Edit:
Wenn du das Routing in Verdacht hast-> traceroute ist dein Freund;)

Gruß
em-pie
Bitte warten ..
Mitglied: Florian961988
25.09.2019 um 09:59 Uhr
OH,
klar ich gucke mal bei dem Hoster in die FW!
Danke bin etwas Betriebsblind heute!
Bitte warten ..
Mitglied: clSchak
LÖSUNG 25.09.2019 um 10:00 Uhr
Hi

es gibt die Host die lassen keine Ping-Antwort zu -> Firewall, haben wir auch, die meisten öffentlichen Adressen von uns reagieren nicht auf Ping Anfragen.

Gruß
@clSchak

PS: Eine Tastatur beinhaltet mehr Satzzeichen wie das Ausrufezeichen, jeden Satz damit zu beenden sieht eher unschön aus .
Bitte warten ..
Mitglied: Florian961988
25.09.2019 um 10:09 Uhr
Habe nee Ausrufezeichen schwäche
Bitte warten ..
Mitglied: Florian961988
25.09.2019 um 10:17 Uhr
OKAY an der FW bei Hoster kann es nicht liegen, ich komme ja per ping aus dem Entwicklungsnetz dahin
Bitte warten ..
Mitglied: em-pie
25.09.2019 um 10:23 Uhr
Und was ist mit eurer?
Bitte warten ..
Mitglied: Florian961988
25.09.2019 um 10:38 Uhr
Oh Kommando zurück, aus dem Entwicklernetz geht auch nicht.

Und unsere FW schließe ich gerade aus, da ich mein Notebook benutzt habe und mein Handy als Hotspot, somit komme ich ja von irgendwo von der Welt mit dem PING, also nicht aus dem Netzwerk der Firma.

Ich denke liegt beim Hoster der Fehler, eigentlich ist das je kein Fehler, den Ping zu blocken/verwerfen ist meiner Meinung nach ja richtig,somit muss ich mal ein bisschen mich mit der FW da beschäftigen.
Bitte warten ..
Mitglied: rzlbrnft
25.09.2019 um 10:51 Uhr
Wenn du nur aus einem Netz eine Antwort auf deinen Ping bekommst, aus allen anderen nicht, ist die Wahrscheinlichkeit höher, das dieses Netz lügt.

Ein Ping muss nicht korrekt sein, es heißt lediglich das sich irgendein Gerät gemeldet hat, das muss aber nicht das gewünschte Gerät sein.
Bitte warten ..
Mitglied: Florian961988
25.09.2019 um 10:55 Uhr
Das lügen kommt eher von einem Pseudo-Entwickler der mein Monitoring kaputt macht, der hat behautet, dass es aus dem EntwicklerNetz geht und ich dummerweise erst gerade selber geprüft, dafür Entschuldige ich mich!
Bitte warten ..
Mitglied: aqui
LÖSUNG 25.09.2019, aktualisiert um 11:21 Uhr
Ist test24.com auch eine öffentliche Seite, sprich die IP dieses Hosts eine Öffentliche und keine lokale ?
Die Tatsache das du den test24.com Host von anderen Systemen deines Netzes pingen kannst aber nicht von deinem Monitoring Host zeigt das du vermutlich ein Problem mit deiner lokalen Fortigate Firewall hast und den ICMP Regeln dort.
Vermutlich wird ICMP aus diesem Subnetz geblockt aber dem widerspricht dann das du test.com pingen kannst von genau diesem Host. Es kann aber nur an den Firewall Regeln liegen.
Um ICMP Regeln auszuschliessen solltest du mal einen TCP basierten Ping machen, der vermutlich dann nicht in den FW Regeln hängen bleibt.
Es geht mit dem stinknormalen Traceroute: traceroute -T -p 80 test24.com
Oder du installierst auf dem Ubuntu echoping oder auch mtr über apt install.
https://www.thomas-krenn.com/de/wiki/Linux_Netzwerk_Analyse_mit_tracerou ...

Mit echoping -v test24.com machst du dann ein TCP basiertes Ping. mtr ist ein Traceroute mit TCP. Analog bei mtr dann mit mtr -4 -T test24.com oder wenn du TCP Port 80 nimmst dann mtr -4 -T -P 80 test24.com
Wenn das dann durchkommt hast du eine falsche FW Regel für ICMP.
Bitte warten ..
Mitglied: Florian961988
25.09.2019 um 11:41 Uhr
Hier wird es nun spannend und man lernt etwas!

echoping -v test24.com -> hier kommt ein Can't connect to server (Connection Timeout)
mtr -4 -T -P 80 test24.com -> läuft durch ohne Verlust
traceroute -T -p 80 test24.com -> Pfade werde angezeigt
traceroute -> bis Hop 9 werden noch namen aufgelöst und ab da bis hop30 nur noch Sterne!
Bitte warten ..
Mitglied: aqui
LÖSUNG 25.09.2019, aktualisiert um 11:51 Uhr
Zeigt aber klar das dann grundsätzlich Connectivity besteht. TCP SYN Pings auf Port 80 laufen ja dann fehlerfrei durch. Vermutlich klappt das dann auch mit TCP 443 (HTTPS) sofern der Zielserver test24.com auch HTTPS kann ?! mtr -4 -T -P 443 test24.com
Das echoping hängen bleibt ist allerdings ungewöhlich. Es nutzt aber einen anderen TCP Port als 80 und 443, nämlich 7. Siehe hier:
https://de.wikipedia.org/wiki/Echo_(Netzwerkdienst)
Das erhärtet aber die Firewall These das nur 80 oder 443 durchgeht.
Checke mal ein echoping -h / test24.com Was passiert da ?
Das würde dann aber letztlich zeigen das es klar ein Firewall Problem ist und das aus dem Subnetz vermutlich nur TCP 80 und TCP 443 Traffic erlaubt ist.
Firewall wäre also der erste Ansatz zu suchen...wie üblich
Bitte warten ..
Mitglied: Florian961988
25.09.2019 um 11:50 Uhr
mtr -4 -T -P 443 test24.com das geht ohne probleme durch!

Das heißt ja eigentlich, in der übersichtlichen Einstellung der FW beim Hoster scheint ja auf der IP von außen irgendwo in den Regeln ein Fehler zu sein!
Der erst jetzt auffällt!
Bitte warten ..
Mitglied: aqui
LÖSUNG 25.09.2019, aktualisiert um 11:54 Uhr
Was ist mit:
echoping -4 -h / test24.com

In der Regel betreiben Hoster keine Firewall. Es sei denn ihr selber habt eine auf eurem Host installiert.
Bitte warten ..
Mitglied: Florian961988
25.09.2019 um 11:57 Uhr
HTTP error "HTTP/1.1 301 Moved Permanently
"
der kommt dann
Bitte warten ..
Mitglied: aqui
LÖSUNG 25.09.2019, aktualisiert um 12:11 Uhr
Lass das / mal weg, das zeigt nur den HTML Text der Startseite. Also
echoping -4 -h test24.com

Das sollte dann klappen. Ist aber mehr oder minder auch egal, denn MTR hat ja schon gezeigt das HTTP und HTTPS durchkommen.
Es bleibt bei der Firewall...
iptables hast du hoffentlich NICHT aktiv auf dem Ubuntu, oder ?
Bitte warten ..
Mitglied: Florian961988
25.09.2019 um 13:05 Uhr
kein iptable!

echoping -4 -h test24.com funktioniert nicht
Bitte warten ..
Mitglied: Florian961988
25.09.2019 um 13:05 Uhr
ich werde mal bei der Hoster (ja der hat eine Firewall) prüfen, was da so drinne steht!
Bitte warten ..
Mitglied: aqui
LÖSUNG 25.09.2019 um 15:36 Uhr
(ja der hat eine Firewall)
Sehr ungewöhnlich...aber da wird der Fehler liegen.
Bitte warten ..
Mitglied: Florian961988
26.09.2019 um 07:10 Uhr
Finde ich auch.

Was da genau für eine hintersteckt weiß ich nicht, allerdings ist das ding nicht so toll zu bedienen wie eine Forti, Sophos oder Securepoint, ein Unterpunkt im Webportal mit rudimentären Einstellungen.

Fummel mich da gerade noch durch.
Bitte warten ..
Mitglied: aqui
LÖSUNG 26.09.2019 um 09:45 Uhr
Wir sind gespannt...
Bitte warten ..
Mitglied: Florian961988
26.09.2019 um 11:28 Uhr
So nach dem ich die Regeln durch gekämmt habe, konnte ich sehn, dass für alle öffentliche IPS der Ping erlaubt war nur für die eine nicht!
Dafür musste ich nee gesonderte Regel anlegen.
Nun sind da 15 Seiten Tabelle, die man nicht mal nach Begriffen durchsuchen kann!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Windows routing
Frage von AdMarkusRouter & Routing3 Kommentare

Hallo, ich habe eine Frage an die Spezialisten. Drei Windows Rechner solle miteinander sprechen können. Rechner A mit IP ...

Router & Routing
Asynchrones Routing
gelöst Frage von ottokarlRouter & Routing2 Kommentare

Hallo, ich habe mittels der Anleitung von Thomas Krenn zwei default Gateways eingerichtet: Es funktioniert auch wunderbar. In der ...

Router & Routing
OpenVPN Routing
gelöst Frage von sebastian2608Router & Routing2 Kommentare

Seid gegrüßt, würde gerne mal euren Input zu einem OpenVPN Routing "Problem" hören. Zur Situation: Privates Netzwerk; 10.0.0.0/24 Firmennetzwerk ...

Router & Routing
OPNSense routing
gelöst Frage von FinnisRouter & Routing12 Kommentare

Hallo liebe Mitglieder, Ich habe ein Problem mit meiner OPNSense Installation: Alle meine Virtuelle Maschinen können mit NAT 1:1 ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 4 TagenWindows Installation11 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 5 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 5 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 7 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Router & Routing
Mikrotik CRS305 4Port SFP+ Router-Switch, VMWare und Fritzbox (Netzwerk Internetproblem)
Frage von SickcultureRouter & Routing21 Kommentare

Auf der Suche nach Antworten im Netz kommt man unweigerlich auf eure Seite und die deutsche Mikrotik Blog Seite. ...

Router & Routing
Fritz VPN und WoL mit Mikrotik HEX RB750Gr2 möglich?
gelöst Frage von SionzrisRouter & Routing20 Kommentare

Hallo erstmal und danke fürs anklicken :) Ich habe folgendes Setup geplant und scheitere zurzeit an der Realisierung vom ...

LAN, WAN, Wireless
Ca. 120 Ubiquiti Unifi AP-AC Pro in einem Netz
Frage von aditzLAN, WAN, Wireless17 Kommentare

Hallo Ubiquiti-Spezialisten, geplant ist ein flächendeckendes WLAN für ein Altenheim mit den oben genannten APs. Ich habe mal auf ...

Windows Server
Netzwerk Planung Homeoffice
Frage von siopoqruipWindows Server17 Kommentare

Hallo, ich plane zurzeit ein kleines Netzwerk. 5-8 User jeder mit eigenem Laptop (Lenovo T590) Windows 10 Professional Homeoffice ...