Merkwürdiges Routing Problem?
Guten Morgen liebes Forum,
ich als scheidender ITler, stehe gerade in den letzten Zügen vor einem Problem und habe Fragezeichen über dem Kopf!
Kurz zur Infrastruktur, grob umrissen
Mehrere VLANS
VLAN 10 192.168.0.0/24 Server
VLAN 20 192.168.4./24 Entwicklung und Marketing
VLAN 30 192.168.7./24 WLAN (HAUSinterne Geräte)
Es gibt noch mehrere VLANs die lasse ich aber nun mal weg, da die nicht interessant sind hier!
Als Firewall eine Fortigate 100D!
Mehrer Server
2 X Hyper-V dort aufgeteilt die Maschinen die Windows basierend sind (DC1,DC2, Exchange...)
3 X ESXI Server für die Linux ProduktivServer (Ticketsystem, Docker...)
Wir betreiben einen Webhop (selbst gebaut und gepflegt) der bei einem Hoster (OVH) liegt, dorthin sind wir per VPN verbunden!
Ich hoffe das reicht als groben Umriss des Netzwerkes!
Hier KURZ ich habe einen Dockerhost(VLAN 10) auf einem Server aufgesetzt, der nur für die Entwicklung ist und nicht viel tut!
Der DockerHost macht nichts anderes als ein Monitoring unserer System mit Alarm bei kaputt, kein ping, HDD voll und Downtime!
Dieses Monitoring läuft in der Basis auf GRAFANA, Telegraf, InfluxDB und elasticsearch! Als Bestriebssystem UBUNTU 18.04 LTS!
Das Problem ist in diesem Monitoring habe ich ein DASHBOARD welches per Ping prüft und visualisiert, ob ein Live-Server noch da ist und Meldung schlägt wenn nicht mehr erreichbar!
Mein Problem ist wir haben eine Seite test.de die wird aufglöst und wird als Graph und Prozent online angezeigt, aber die Seite test24.com nicht!
Als logisch denkender ITler um nicht tippfehler oder fehlkonfig in der Telegraf - Konfig auszuschließen, habe ich mich per SSH auf den Host verbunden und von dort als root die besagten Seiten angepingt test.de mit richtiger IP aufgelöst und sieht alles gut aus auch ein traceroute ging!
Beim test24.com wurde beim ping die IP richtig aufgelöst, aber der ping geht nicht durch und traceroute nichts. habe mir dann mal die IP von test24.com genommen und auch von dem Host gepingt, gleiches Verhalten!
Naja dann bin ich mal auf eine andere Linux Schüssel gegangen und habe das gleiche ausprobiert und ging nicht! Auch von einem Windows-Server nicht.
Nehme ich jetzt verschiedene Rechner aus dem Entwicklungs- oder Marketingbereich kann ich die Seite test24.com anpingen, gehe ich in das WLAN - Netz kann ich es wiederum nicht!
In der Firewall sind die Seite als Addresses angelegt und werden auch aufgelöst!
Die Seite ist online und öffnet sich !
Die Seiten test.de und test24.com liegen auf dem gleichen WEBServer haben aber andere externe IPs!
Habt ihr noch ein groben Tipp wo ich suchen kann?
Ja ich weiß mein Deutsch ist nicht gut und die Überschrift vll. nicht ganz aussagekräftig, bin aber ein Mann der tat und nicht der Worte!
Im Endeffekt kann es mir auch egal sein, woran es liegt aber ich will es halt wissen und eventuell lernen!
ich als scheidender ITler, stehe gerade in den letzten Zügen vor einem Problem und habe Fragezeichen über dem Kopf!
Kurz zur Infrastruktur, grob umrissen
Mehrere VLANS
VLAN 10 192.168.0.0/24 Server
VLAN 20 192.168.4./24 Entwicklung und Marketing
VLAN 30 192.168.7./24 WLAN (HAUSinterne Geräte)
Es gibt noch mehrere VLANs die lasse ich aber nun mal weg, da die nicht interessant sind hier!
Als Firewall eine Fortigate 100D!
Mehrer Server
2 X Hyper-V dort aufgeteilt die Maschinen die Windows basierend sind (DC1,DC2, Exchange...)
3 X ESXI Server für die Linux ProduktivServer (Ticketsystem, Docker...)
Wir betreiben einen Webhop (selbst gebaut und gepflegt) der bei einem Hoster (OVH) liegt, dorthin sind wir per VPN verbunden!
Ich hoffe das reicht als groben Umriss des Netzwerkes!
Hier KURZ ich habe einen Dockerhost(VLAN 10) auf einem Server aufgesetzt, der nur für die Entwicklung ist und nicht viel tut!
Der DockerHost macht nichts anderes als ein Monitoring unserer System mit Alarm bei kaputt, kein ping, HDD voll und Downtime!
Dieses Monitoring läuft in der Basis auf GRAFANA, Telegraf, InfluxDB und elasticsearch! Als Bestriebssystem UBUNTU 18.04 LTS!
Das Problem ist in diesem Monitoring habe ich ein DASHBOARD welches per Ping prüft und visualisiert, ob ein Live-Server noch da ist und Meldung schlägt wenn nicht mehr erreichbar!
Mein Problem ist wir haben eine Seite test.de die wird aufglöst und wird als Graph und Prozent online angezeigt, aber die Seite test24.com nicht!
Als logisch denkender ITler um nicht tippfehler oder fehlkonfig in der Telegraf - Konfig auszuschließen, habe ich mich per SSH auf den Host verbunden und von dort als root die besagten Seiten angepingt test.de mit richtiger IP aufgelöst und sieht alles gut aus auch ein traceroute ging!
Beim test24.com wurde beim ping die IP richtig aufgelöst, aber der ping geht nicht durch und traceroute nichts. habe mir dann mal die IP von test24.com genommen und auch von dem Host gepingt, gleiches Verhalten!
Naja dann bin ich mal auf eine andere Linux Schüssel gegangen und habe das gleiche ausprobiert und ging nicht! Auch von einem Windows-Server nicht.
Nehme ich jetzt verschiedene Rechner aus dem Entwicklungs- oder Marketingbereich kann ich die Seite test24.com anpingen, gehe ich in das WLAN - Netz kann ich es wiederum nicht!
In der Firewall sind die Seite als Addresses angelegt und werden auch aufgelöst!
Die Seite ist online und öffnet sich !
Die Seiten test.de und test24.com liegen auf dem gleichen WEBServer haben aber andere externe IPs!
Habt ihr noch ein groben Tipp wo ich suchen kann?
Ja ich weiß mein Deutsch ist nicht gut und die Überschrift vll. nicht ganz aussagekräftig, bin aber ein Mann der tat und nicht der Worte!
Im Endeffekt kann es mir auch egal sein, woran es liegt aber ich will es halt wissen und eventuell lernen!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 498170
Url: https://administrator.de/forum/merkwuerdiges-routing-problem-498170.html
Ausgedruckt am: 22.12.2024 um 15:12 Uhr
22 Kommentare
Neuester Kommentar
Hi
es gibt die Host die lassen keine Ping-Antwort zu -> Firewall, haben wir auch, die meisten öffentlichen Adressen von uns reagieren nicht auf Ping Anfragen.
Gruß
@clSchak
PS: Eine Tastatur beinhaltet mehr Satzzeichen wie das Ausrufezeichen, jeden Satz damit zu beenden sieht eher unschön aus .
es gibt die Host die lassen keine Ping-Antwort zu -> Firewall, haben wir auch, die meisten öffentlichen Adressen von uns reagieren nicht auf Ping Anfragen.
Gruß
@clSchak
PS: Eine Tastatur beinhaltet mehr Satzzeichen wie das Ausrufezeichen, jeden Satz damit zu beenden sieht eher unschön aus .
Ist test24.com auch eine öffentliche Seite, sprich die IP dieses Hosts eine Öffentliche und keine lokale ?
Die Tatsache das du den test24.com Host von anderen Systemen deines Netzes pingen kannst aber nicht von deinem Monitoring Host zeigt das du vermutlich ein Problem mit deiner lokalen Fortigate Firewall hast und den ICMP Regeln dort.
Vermutlich wird ICMP aus diesem Subnetz geblockt aber dem widerspricht dann das du test.com pingen kannst von genau diesem Host. Es kann aber nur an den Firewall Regeln liegen.
Um ICMP Regeln auszuschliessen solltest du mal einen TCP basierten Ping machen, der vermutlich dann nicht in den FW Regeln hängen bleibt.
Es geht mit dem stinknormalen Traceroute: traceroute -T -p 80 test24.com
Oder du installierst auf dem Ubuntu echoping oder auch mtr über apt install.
https://www.thomas-krenn.com/de/wiki/Linux_Netzwerk_Analyse_mit_tracerou ...
Mit echoping -v test24.com machst du dann ein TCP basiertes Ping. mtr ist ein Traceroute mit TCP. Analog bei mtr dann mit mtr -4 -T test24.com oder wenn du TCP Port 80 nimmst dann mtr -4 -T -P 80 test24.com
Wenn das dann durchkommt hast du eine falsche FW Regel für ICMP.
Die Tatsache das du den test24.com Host von anderen Systemen deines Netzes pingen kannst aber nicht von deinem Monitoring Host zeigt das du vermutlich ein Problem mit deiner lokalen Fortigate Firewall hast und den ICMP Regeln dort.
Vermutlich wird ICMP aus diesem Subnetz geblockt aber dem widerspricht dann das du test.com pingen kannst von genau diesem Host. Es kann aber nur an den Firewall Regeln liegen.
Um ICMP Regeln auszuschliessen solltest du mal einen TCP basierten Ping machen, der vermutlich dann nicht in den FW Regeln hängen bleibt.
Es geht mit dem stinknormalen Traceroute: traceroute -T -p 80 test24.com
Oder du installierst auf dem Ubuntu echoping oder auch mtr über apt install.
https://www.thomas-krenn.com/de/wiki/Linux_Netzwerk_Analyse_mit_tracerou ...
Mit echoping -v test24.com machst du dann ein TCP basiertes Ping. mtr ist ein Traceroute mit TCP. Analog bei mtr dann mit mtr -4 -T test24.com oder wenn du TCP Port 80 nimmst dann mtr -4 -T -P 80 test24.com
Wenn das dann durchkommt hast du eine falsche FW Regel für ICMP.
Zeigt aber klar das dann grundsätzlich Connectivity besteht. TCP SYN Pings auf Port 80 laufen ja dann fehlerfrei durch. Vermutlich klappt das dann auch mit TCP 443 (HTTPS) sofern der Zielserver test24.com auch HTTPS kann ?! mtr -4 -T -P 443 test24.com
Das echoping hängen bleibt ist allerdings ungewöhlich. Es nutzt aber einen anderen TCP Port als 80 und 443, nämlich 7. Siehe hier:
https://de.wikipedia.org/wiki/Echo_(Netzwerkdienst)
Das erhärtet aber die Firewall These das nur 80 oder 443 durchgeht.
Checke mal ein echoping -h / test24.com Was passiert da ?
Das würde dann aber letztlich zeigen das es klar ein Firewall Problem ist und das aus dem Subnetz vermutlich nur TCP 80 und TCP 443 Traffic erlaubt ist.
Firewall wäre also der erste Ansatz zu suchen...wie üblich
Das echoping hängen bleibt ist allerdings ungewöhlich. Es nutzt aber einen anderen TCP Port als 80 und 443, nämlich 7. Siehe hier:
https://de.wikipedia.org/wiki/Echo_(Netzwerkdienst)
Das erhärtet aber die Firewall These das nur 80 oder 443 durchgeht.
Checke mal ein echoping -h / test24.com Was passiert da ?
Das würde dann aber letztlich zeigen das es klar ein Firewall Problem ist und das aus dem Subnetz vermutlich nur TCP 80 und TCP 443 Traffic erlaubt ist.
Firewall wäre also der erste Ansatz zu suchen...wie üblich
Lass das / mal weg, das zeigt nur den HTML Text der Startseite. Also
echoping -4 -h test24.com
Das sollte dann klappen. Ist aber mehr oder minder auch egal, denn MTR hat ja schon gezeigt das HTTP und HTTPS durchkommen.
Es bleibt bei der Firewall...
iptables hast du hoffentlich NICHT aktiv auf dem Ubuntu, oder ?
echoping -4 -h test24.com
Das sollte dann klappen. Ist aber mehr oder minder auch egal, denn MTR hat ja schon gezeigt das HTTP und HTTPS durchkommen.
Es bleibt bei der Firewall...
iptables hast du hoffentlich NICHT aktiv auf dem Ubuntu, oder ?