22
Merkwürdiges Routing Problem?
Guten Morgen liebes Forum,
ich als scheidender ITler, stehe gerade in den letzten Zügen vor einem Problem und habe Fragezeichen über dem Kopf!
Kurz zur Infrastruktur, grob umrissen
Mehrere VLANS
VLAN 10 192.168.0.0/24 Server
VLAN 20 192.168.4./24 Entwicklung und Marketing
VLAN 30 192.168.7./24 WLAN (HAUSinterne Geräte)
Es gibt noch mehrere VLANs die lasse ich aber nun mal weg, da die nicht interessant sind hier!
Als Firewall eine Fortigate 100D!
Mehrer Server
2 X Hyper-V dort aufgeteilt die Maschinen die Windows basierend sind (DC1,DC2, Exchange...)
3 X ESXI Server für die Linux ProduktivServer (Ticketsystem, Docker...)
Wir betreiben einen Webhop (selbst gebaut und gepflegt) der bei einem Hoster (OVH) liegt, dorthin sind wir per VPN verbunden!
Ich hoffe das reicht als groben Umriss des Netzwerkes!
Hier KURZ ich habe einen Dockerhost(VLAN 10) auf einem Server aufgesetzt, der nur für die Entwicklung ist und nicht viel tut!
Der DockerHost macht nichts anderes als ein Monitoring unserer System mit Alarm bei kaputt, kein ping, HDD voll und Downtime!
Dieses Monitoring läuft in der Basis auf GRAFANA, Telegraf, InfluxDB und elasticsearch! Als Bestriebssystem UBUNTU 18.04 LTS!
Das Problem ist in diesem Monitoring habe ich ein DASHBOARD welches per Ping prüft und visualisiert, ob ein Live-Server noch da ist und Meldung schlägt wenn nicht mehr erreichbar!
Mein Problem ist wir haben eine Seite test.de die wird aufglöst und wird als Graph und Prozent online angezeigt, aber die Seite test24.com nicht!
Als logisch denkender ITler
um nicht tippfehler oder fehlkonfig in der Telegraf - Konfig auszuschließen, habe ich mich per SSH auf den Host verbunden und von dort als root die besagten Seiten angepingt test.de mit richtiger IP aufgelöst und sieht alles gut aus auch ein traceroute ging!
Beim test24.com wurde beim ping die IP richtig aufgelöst, aber der ping geht nicht durch und traceroute nichts. habe mir dann mal die IP von test24.com genommen und auch von dem Host gepingt, gleiches Verhalten!
Naja dann bin ich mal auf eine andere Linux Schüssel gegangen und habe das gleiche ausprobiert und ging nicht! Auch von einem Windows-Server nicht.
Nehme ich jetzt verschiedene Rechner aus dem Entwicklungs- oder Marketingbereich kann ich die Seite test24.com anpingen, gehe ich in das WLAN - Netz kann ich es wiederum nicht!
In der Firewall sind die Seite als Addresses angelegt und werden auch aufgelöst!
Die Seite ist online und öffnet sich !
Die Seiten test.de und test24.com liegen auf dem gleichen WEBServer haben aber andere externe IPs!
Habt ihr noch ein groben Tipp wo ich suchen kann?
Ja ich weiß mein Deutsch ist nicht gut und die Überschrift vll. nicht ganz aussagekräftig, bin aber ein Mann der tat und nicht der Worte!
Im Endeffekt kann es mir auch egal sein, woran es liegt aber ich will es halt wissen und eventuell lernen!
ich als scheidender ITler, stehe gerade in den letzten Zügen vor einem Problem und habe Fragezeichen über dem Kopf!
Kurz zur Infrastruktur, grob umrissen
Mehrere VLANS
VLAN 10 192.168.0.0/24 Server
VLAN 20 192.168.4./24 Entwicklung und Marketing
VLAN 30 192.168.7./24 WLAN (HAUSinterne Geräte)
Es gibt noch mehrere VLANs die lasse ich aber nun mal weg, da die nicht interessant sind hier!
Als Firewall eine Fortigate 100D!
Mehrer Server
2 X Hyper-V dort aufgeteilt die Maschinen die Windows basierend sind (DC1,DC2, Exchange...)
3 X ESXI Server für die Linux ProduktivServer (Ticketsystem, Docker...)
Wir betreiben einen Webhop (selbst gebaut und gepflegt) der bei einem Hoster (OVH) liegt, dorthin sind wir per VPN verbunden!
Ich hoffe das reicht als groben Umriss des Netzwerkes!
Hier KURZ ich habe einen Dockerhost(VLAN 10) auf einem Server aufgesetzt, der nur für die Entwicklung ist und nicht viel tut!
Der DockerHost macht nichts anderes als ein Monitoring unserer System mit Alarm bei kaputt, kein ping, HDD voll und Downtime!
Dieses Monitoring läuft in der Basis auf GRAFANA, Telegraf, InfluxDB und elasticsearch! Als Bestriebssystem UBUNTU 18.04 LTS!
Das Problem ist in diesem Monitoring habe ich ein DASHBOARD welches per Ping prüft und visualisiert, ob ein Live-Server noch da ist und Meldung schlägt wenn nicht mehr erreichbar!
Mein Problem ist wir haben eine Seite test.de die wird aufglöst und wird als Graph und Prozent online angezeigt, aber die Seite test24.com nicht!
Als logisch denkender ITler
um nicht tippfehler oder fehlkonfig in der Telegraf - Konfig auszuschließen, habe ich mich per SSH auf den Host verbunden und von dort als root die besagten Seiten angepingt test.de mit richtiger IP aufgelöst und sieht alles gut aus auch ein traceroute ging!Beim test24.com wurde beim ping die IP richtig aufgelöst, aber der ping geht nicht durch und traceroute nichts. habe mir dann mal die IP von test24.com genommen und auch von dem Host gepingt, gleiches Verhalten!
Naja dann bin ich mal auf eine andere Linux Schüssel gegangen und habe das gleiche ausprobiert und ging nicht! Auch von einem Windows-Server nicht.
Nehme ich jetzt verschiedene Rechner aus dem Entwicklungs- oder Marketingbereich kann ich die Seite test24.com anpingen, gehe ich in das WLAN - Netz kann ich es wiederum nicht!
In der Firewall sind die Seite als Addresses angelegt und werden auch aufgelöst!
Die Seite ist online und öffnet sich !
Die Seiten test.de und test24.com liegen auf dem gleichen WEBServer haben aber andere externe IPs!
Habt ihr noch ein groben Tipp wo ich suchen kann?
Ja ich weiß mein Deutsch ist nicht gut und die Überschrift vll. nicht ganz aussagekräftig, bin aber ein Mann der tat und nicht der Worte!
Im Endeffekt kann es mir auch egal sein, woran es liegt aber ich will es halt wissen und eventuell lernen!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 498170
Url: https://administrator.de/contentid/498170
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
22 Kommentare
Neuester Kommentar
Moin,
ICMP ist zu test24.com möglich und test24.com darf auch die ICMP-Pakete zurückschicken?
Prüfe dies bitte einmal in der Firewall. Ich tippe, hier Ist reglementiert, wer ICMP spielen darf und wer nicht.
Edit:
Wenn du das Routing in Verdacht hast-> traceroute ist dein Freund;)
Gruß
em-pie
ICMP ist zu test24.com möglich und test24.com darf auch die ICMP-Pakete zurückschicken?
Prüfe dies bitte einmal in der Firewall. Ich tippe, hier Ist reglementiert, wer ICMP spielen darf und wer nicht.
Edit:
Wenn du das Routing in Verdacht hast-> traceroute ist dein Freund;)
Gruß
em-pie
OH,
klar ich gucke mal bei dem Hoster in die FW!
Danke bin etwas Betriebsblind heute!
klar ich gucke mal bei dem Hoster in die FW!
Danke bin etwas Betriebsblind heute!
Hi
es gibt die Host die lassen keine Ping-Antwort zu -> Firewall, haben wir auch, die meisten öffentlichen Adressen von uns reagieren nicht auf Ping Anfragen.
Gruß
@clSchak
PS: Eine Tastatur beinhaltet mehr Satzzeichen wie das Ausrufezeichen, jeden Satz damit zu beenden sieht eher unschön aus
.
es gibt die Host die lassen keine Ping-Antwort zu -> Firewall, haben wir auch, die meisten öffentlichen Adressen von uns reagieren nicht auf Ping Anfragen.
Gruß
@clSchak
PS: Eine Tastatur beinhaltet mehr Satzzeichen wie das Ausrufezeichen, jeden Satz damit zu beenden sieht eher unschön aus
.
Habe nee Ausrufezeichen schwäche
OKAY an der FW bei Hoster kann es nicht liegen, ich komme ja per ping aus dem Entwicklungsnetz dahin
Und was ist mit eurer?
Oh Kommando zurück, aus dem Entwicklernetz geht auch nicht.
Und unsere FW schließe ich gerade aus, da ich mein Notebook benutzt habe und mein Handy als Hotspot, somit komme ich ja von irgendwo von der Welt mit dem PING, also nicht aus dem Netzwerk der Firma.
Ich denke liegt beim Hoster der Fehler, eigentlich ist das je kein Fehler, den Ping zu blocken/verwerfen ist meiner Meinung nach ja richtig,somit muss ich mal ein bisschen mich mit der FW da beschäftigen.
Und unsere FW schließe ich gerade aus, da ich mein Notebook benutzt habe und mein Handy als Hotspot, somit komme ich ja von irgendwo von der Welt mit dem PING, also nicht aus dem Netzwerk der Firma.
Ich denke liegt beim Hoster der Fehler, eigentlich ist das je kein Fehler, den Ping zu blocken/verwerfen ist meiner Meinung nach ja richtig,somit muss ich mal ein bisschen mich mit der FW da beschäftigen.
Wenn du nur aus einem Netz eine Antwort auf deinen Ping bekommst, aus allen anderen nicht, ist die Wahrscheinlichkeit höher, das dieses Netz lügt.
Ein Ping muss nicht korrekt sein, es heißt lediglich das sich irgendein Gerät gemeldet hat, das muss aber nicht das gewünschte Gerät sein.
Ein Ping muss nicht korrekt sein, es heißt lediglich das sich irgendein Gerät gemeldet hat, das muss aber nicht das gewünschte Gerät sein.
Das lügen kommt eher von einem Pseudo-Entwickler der mein Monitoring kaputt macht, der hat behautet, dass es aus dem EntwicklerNetz geht und ich dummerweise erst gerade selber geprüft, dafür Entschuldige ich mich!
Ist test24.com auch eine öffentliche Seite, sprich die IP dieses Hosts eine Öffentliche und keine lokale ?
Die Tatsache das du den test24.com Host von anderen Systemen deines Netzes pingen kannst aber nicht von deinem Monitoring Host zeigt das du vermutlich ein Problem mit deiner lokalen Fortigate Firewall hast und den ICMP Regeln dort.
Vermutlich wird ICMP aus diesem Subnetz geblockt aber dem widerspricht dann das du test.com pingen kannst von genau diesem Host. Es kann aber nur an den Firewall Regeln liegen.
Um ICMP Regeln auszuschliessen solltest du mal einen TCP basierten Ping machen, der vermutlich dann nicht in den FW Regeln hängen bleibt.
Es geht mit dem stinknormalen Traceroute: traceroute -T -p 80 test24.com
Oder du installierst auf dem Ubuntu echoping oder auch mtr über apt install.
https://www.thomas-krenn.com/de/wiki/Linux_Netzwerk_Analyse_mit_tracerou ...
Mit echoping -v test24.com machst du dann ein TCP basiertes Ping. mtr ist ein Traceroute mit TCP. Analog bei mtr dann mit mtr -4 -T test24.com oder wenn du TCP Port 80 nimmst dann mtr -4 -T -P 80 test24.com
Wenn das dann durchkommt hast du eine falsche FW Regel für ICMP.
Die Tatsache das du den test24.com Host von anderen Systemen deines Netzes pingen kannst aber nicht von deinem Monitoring Host zeigt das du vermutlich ein Problem mit deiner lokalen Fortigate Firewall hast und den ICMP Regeln dort.
Vermutlich wird ICMP aus diesem Subnetz geblockt aber dem widerspricht dann das du test.com pingen kannst von genau diesem Host. Es kann aber nur an den Firewall Regeln liegen.
Um ICMP Regeln auszuschliessen solltest du mal einen TCP basierten Ping machen, der vermutlich dann nicht in den FW Regeln hängen bleibt.
Es geht mit dem stinknormalen Traceroute: traceroute -T -p 80 test24.com
Oder du installierst auf dem Ubuntu echoping oder auch mtr über apt install.
https://www.thomas-krenn.com/de/wiki/Linux_Netzwerk_Analyse_mit_tracerou ...
Mit echoping -v test24.com machst du dann ein TCP basiertes Ping. mtr ist ein Traceroute mit TCP. Analog bei mtr dann mit mtr -4 -T test24.com oder wenn du TCP Port 80 nimmst dann mtr -4 -T -P 80 test24.com
Wenn das dann durchkommt hast du eine falsche FW Regel für ICMP.
1
Hier wird es nun spannend und man lernt etwas!
echoping -v test24.com -> hier kommt ein Can't connect to server (Connection Timeout)
mtr -4 -T -P 80 test24.com -> läuft durch ohne Verlust
traceroute -T -p 80 test24.com -> Pfade werde angezeigt
traceroute -> bis Hop 9 werden noch namen aufgelöst und ab da bis hop30 nur noch Sterne!
echoping -v test24.com -> hier kommt ein Can't connect to server (Connection Timeout)
mtr -4 -T -P 80 test24.com -> läuft durch ohne Verlust
traceroute -T -p 80 test24.com -> Pfade werde angezeigt
traceroute -> bis Hop 9 werden noch namen aufgelöst und ab da bis hop30 nur noch Sterne!
1
Zeigt aber klar das dann grundsätzlich Connectivity besteht. TCP SYN Pings auf Port 80 laufen ja dann fehlerfrei durch. Vermutlich klappt das dann auch mit TCP 443 (HTTPS) sofern der Zielserver test24.com auch HTTPS kann ?! mtr -4 -T -P 443 test24.com
Das echoping hängen bleibt ist allerdings ungewöhlich. Es nutzt aber einen anderen TCP Port als 80 und 443, nämlich 7. Siehe hier:
https://de.wikipedia.org/wiki/Echo_(Netzwerkdienst)
Das erhärtet aber die Firewall These das nur 80 oder 443 durchgeht.
Checke mal ein echoping -h / test24.com Was passiert da ?
Das würde dann aber letztlich zeigen das es klar ein Firewall Problem ist und das aus dem Subnetz vermutlich nur TCP 80 und TCP 443 Traffic erlaubt ist.
Firewall wäre also der erste Ansatz zu suchen...wie üblich
Das echoping hängen bleibt ist allerdings ungewöhlich. Es nutzt aber einen anderen TCP Port als 80 und 443, nämlich 7. Siehe hier:
https://de.wikipedia.org/wiki/Echo_(Netzwerkdienst)
Das erhärtet aber die Firewall These das nur 80 oder 443 durchgeht.
Checke mal ein echoping -h / test24.com Was passiert da ?
Das würde dann aber letztlich zeigen das es klar ein Firewall Problem ist und das aus dem Subnetz vermutlich nur TCP 80 und TCP 443 Traffic erlaubt ist.
Firewall wäre also der erste Ansatz zu suchen...wie üblich
1
mtr -4 -T -P 443 test24.com das geht ohne probleme durch!
Das heißt ja eigentlich, in der übersichtlichen Einstellung der FW beim Hoster
scheint ja auf der IP von außen irgendwo in den Regeln ein Fehler zu sein!
Der erst jetzt auffällt!
Das heißt ja eigentlich, in der übersichtlichen Einstellung der FW beim Hoster
scheint ja auf der IP von außen irgendwo in den Regeln ein Fehler zu sein!Der erst jetzt auffällt!
Was ist mit:
echoping -4 -h / test24.com
In der Regel betreiben Hoster keine Firewall. Es sei denn ihr selber habt eine auf eurem Host installiert.
echoping -4 -h / test24.com
In der Regel betreiben Hoster keine Firewall. Es sei denn ihr selber habt eine auf eurem Host installiert.
HTTP error "HTTP/1.1 301 Moved Permanently
"
der kommt dann
"
der kommt dann
Lass das / mal weg, das zeigt nur den HTML Text der Startseite. Also
echoping -4 -h test24.com
Das sollte dann klappen. Ist aber mehr oder minder auch egal, denn MTR hat ja schon gezeigt das HTTP und HTTPS durchkommen.
Es bleibt bei der Firewall...
iptables hast du hoffentlich NICHT aktiv auf dem Ubuntu, oder ?
echoping -4 -h test24.com
Das sollte dann klappen. Ist aber mehr oder minder auch egal, denn MTR hat ja schon gezeigt das HTTP und HTTPS durchkommen.
Es bleibt bei der Firewall...
iptables hast du hoffentlich NICHT aktiv auf dem Ubuntu, oder ?
1
kein iptable!
echoping -4 -h test24.com funktioniert nicht
echoping -4 -h test24.com funktioniert nicht
ich werde mal bei der Hoster (ja der hat eine Firewall) prüfen, was da so drinne steht!
(ja der hat eine Firewall)
Sehr ungewöhnlich...aber da wird der Fehler liegen.
Finde ich auch.
Was da genau für eine hintersteckt weiß ich nicht, allerdings ist das ding nicht so toll zu bedienen wie eine Forti, Sophos oder Securepoint, ein Unterpunkt im Webportal mit rudimentären Einstellungen.
Fummel mich da gerade noch durch.
Was da genau für eine hintersteckt weiß ich nicht, allerdings ist das ding nicht so toll zu bedienen wie eine Forti, Sophos oder Securepoint, ein Unterpunkt im Webportal mit rudimentären Einstellungen.
Fummel mich da gerade noch durch.
Wir sind gespannt...
So nach dem ich die Regeln durch gekämmt habe, konnte ich sehn, dass für alle öffentliche IPS der Ping erlaubt war nur für die eine nicht!
Dafür musste ich nee gesonderte Regel anlegen.
Nun sind da 15 Seiten Tabelle, die man nicht mal nach Begriffen durchsuchen kann!
Dafür musste ich nee gesonderte Regel anlegen.
Nun sind da 15 Seiten Tabelle, die man nicht mal nach Begriffen durchsuchen kann!
