florian961988
Goto Top

Merkwürdiges Routing Problem?

Guten Morgen liebes Forum,

ich als scheidender ITler, stehe gerade in den letzten Zügen vor einem Problem und habe Fragezeichen über dem Kopf!

Kurz zur Infrastruktur, grob umrissen

Mehrere VLANS

VLAN 10 192.168.0.0/24 Server
VLAN 20 192.168.4./24 Entwicklung und Marketing
VLAN 30 192.168.7./24 WLAN (HAUSinterne Geräte)

Es gibt noch mehrere VLANs die lasse ich aber nun mal weg, da die nicht interessant sind hier!

Als Firewall eine Fortigate 100D!

Mehrer Server
2 X Hyper-V dort aufgeteilt die Maschinen die Windows basierend sind (DC1,DC2, Exchange...)
3 X ESXI Server für die Linux ProduktivServer (Ticketsystem, Docker...)

Wir betreiben einen Webhop (selbst gebaut und gepflegt) der bei einem Hoster (OVH) liegt, dorthin sind wir per VPN verbunden!

Ich hoffe das reicht als groben Umriss des Netzwerkes!

Hier KURZ ich habe einen Dockerhost(VLAN 10) auf einem Server aufgesetzt, der nur für die Entwicklung ist und nicht viel tut!
Der DockerHost macht nichts anderes als ein Monitoring unserer System mit Alarm bei kaputt, kein ping, HDD voll und Downtime!
Dieses Monitoring läuft in der Basis auf GRAFANA, Telegraf, InfluxDB und elasticsearch! Als Bestriebssystem UBUNTU 18.04 LTS!

Das Problem ist in diesem Monitoring habe ich ein DASHBOARD welches per Ping prüft und visualisiert, ob ein Live-Server noch da ist und Meldung schlägt wenn nicht mehr erreichbar!

Mein Problem ist wir haben eine Seite test.de die wird aufglöst und wird als Graph und Prozent online angezeigt, aber die Seite test24.com nicht!
Als logisch denkender ITler face-smile um nicht tippfehler oder fehlkonfig in der Telegraf - Konfig auszuschließen, habe ich mich per SSH auf den Host verbunden und von dort als root die besagten Seiten angepingt test.de mit richtiger IP aufgelöst und sieht alles gut aus auch ein traceroute ging!
Beim test24.com wurde beim ping die IP richtig aufgelöst, aber der ping geht nicht durch und traceroute nichts. habe mir dann mal die IP von test24.com genommen und auch von dem Host gepingt, gleiches Verhalten!

Naja dann bin ich mal auf eine andere Linux Schüssel gegangen und habe das gleiche ausprobiert und ging nicht! Auch von einem Windows-Server nicht.

Nehme ich jetzt verschiedene Rechner aus dem Entwicklungs- oder Marketingbereich kann ich die Seite test24.com anpingen, gehe ich in das WLAN - Netz kann ich es wiederum nicht!

In der Firewall sind die Seite als Addresses angelegt und werden auch aufgelöst!
Die Seite ist online und öffnet sich !
Die Seiten test.de und test24.com liegen auf dem gleichen WEBServer haben aber andere externe IPs!

Habt ihr noch ein groben Tipp wo ich suchen kann?

Ja ich weiß mein Deutsch ist nicht gut und die Überschrift vll. nicht ganz aussagekräftig, bin aber ein Mann der tat und nicht der Worte!

Im Endeffekt kann es mir auch egal sein, woran es liegt aber ich will es halt wissen und eventuell lernen!

Content-ID: 498170

Url: https://administrator.de/forum/merkwuerdiges-routing-problem-498170.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

em-pie
Lösung em-pie 25.09.2019 aktualisiert um 09:59:14 Uhr
Goto Top
Moin,

ICMP ist zu test24.com möglich und test24.com darf auch die ICMP-Pakete zurückschicken?

Prüfe dies bitte einmal in der Firewall. Ich tippe, hier Ist reglementiert, wer ICMP spielen darf und wer nicht.


Edit:
Wenn du das Routing in Verdacht hast-> traceroute ist dein Freund;)

Gruß
em-pie
Florian961988
Florian961988 25.09.2019 um 09:59:25 Uhr
Goto Top
OH,
klar ich gucke mal bei dem Hoster in die FW!
Danke bin etwas Betriebsblind heute!
clSchak
Lösung clSchak 25.09.2019 um 10:00:07 Uhr
Goto Top
Hi

es gibt die Host die lassen keine Ping-Antwort zu -> Firewall, haben wir auch, die meisten öffentlichen Adressen von uns reagieren nicht auf Ping Anfragen.

Gruß
@clSchak

PS: Eine Tastatur beinhaltet mehr Satzzeichen wie das Ausrufezeichen, jeden Satz damit zu beenden sieht eher unschön aus face-wink.
Florian961988
Florian961988 25.09.2019 um 10:09:32 Uhr
Goto Top
Habe nee Ausrufezeichen schwäche
Florian961988
Florian961988 25.09.2019 um 10:17:38 Uhr
Goto Top
OKAY an der FW bei Hoster kann es nicht liegen, ich komme ja per ping aus dem Entwicklungsnetz dahin
em-pie
em-pie 25.09.2019 um 10:23:30 Uhr
Goto Top
Und was ist mit eurer?
Florian961988
Florian961988 25.09.2019 um 10:38:31 Uhr
Goto Top
Oh Kommando zurück, aus dem Entwicklernetz geht auch nicht.

Und unsere FW schließe ich gerade aus, da ich mein Notebook benutzt habe und mein Handy als Hotspot, somit komme ich ja von irgendwo von der Welt mit dem PING, also nicht aus dem Netzwerk der Firma.

Ich denke liegt beim Hoster der Fehler, eigentlich ist das je kein Fehler, den Ping zu blocken/verwerfen ist meiner Meinung nach ja richtig,somit muss ich mal ein bisschen mich mit der FW da beschäftigen.
rzlbrnft
rzlbrnft 25.09.2019 um 10:51:10 Uhr
Goto Top
Wenn du nur aus einem Netz eine Antwort auf deinen Ping bekommst, aus allen anderen nicht, ist die Wahrscheinlichkeit höher, das dieses Netz lügt.

Ein Ping muss nicht korrekt sein, es heißt lediglich das sich irgendein Gerät gemeldet hat, das muss aber nicht das gewünschte Gerät sein.
Florian961988
Florian961988 25.09.2019 um 10:55:29 Uhr
Goto Top
Das lügen kommt eher von einem Pseudo-Entwickler der mein Monitoring kaputt macht, der hat behautet, dass es aus dem EntwicklerNetz geht und ich dummerweise erst gerade selber geprüft, dafür Entschuldige ich mich!
aqui
Lösung aqui 25.09.2019 aktualisiert um 11:21:06 Uhr
Goto Top
Ist test24.com auch eine öffentliche Seite, sprich die IP dieses Hosts eine Öffentliche und keine lokale ?
Die Tatsache das du den test24.com Host von anderen Systemen deines Netzes pingen kannst aber nicht von deinem Monitoring Host zeigt das du vermutlich ein Problem mit deiner lokalen Fortigate Firewall hast und den ICMP Regeln dort.
Vermutlich wird ICMP aus diesem Subnetz geblockt aber dem widerspricht dann das du test.com pingen kannst von genau diesem Host. Es kann aber nur an den Firewall Regeln liegen.
Um ICMP Regeln auszuschliessen solltest du mal einen TCP basierten Ping machen, der vermutlich dann nicht in den FW Regeln hängen bleibt.
Es geht mit dem stinknormalen Traceroute: traceroute -T -p 80 test24.com
Oder du installierst auf dem Ubuntu echoping oder auch mtr über apt install.
https://www.thomas-krenn.com/de/wiki/Linux_Netzwerk_Analyse_mit_tracerou ...

Mit echoping -v test24.com machst du dann ein TCP basiertes Ping. mtr ist ein Traceroute mit TCP. Analog bei mtr dann mit mtr -4 -T test24.com oder wenn du TCP Port 80 nimmst dann mtr -4 -T -P 80 test24.com
Wenn das dann durchkommt hast du eine falsche FW Regel für ICMP.
Florian961988
Florian961988 25.09.2019 um 11:41:06 Uhr
Goto Top
Hier wird es nun spannend und man lernt etwas!

echoping -v test24.com -> hier kommt ein Can't connect to server (Connection Timeout)
mtr -4 -T -P 80 test24.com -> läuft durch ohne Verlust
traceroute -T -p 80 test24.com -> Pfade werde angezeigt
traceroute -> bis Hop 9 werden noch namen aufgelöst und ab da bis hop30 nur noch Sterne!
aqui
Lösung aqui 25.09.2019 aktualisiert um 11:51:39 Uhr
Goto Top
Zeigt aber klar das dann grundsätzlich Connectivity besteht. TCP SYN Pings auf Port 80 laufen ja dann fehlerfrei durch. Vermutlich klappt das dann auch mit TCP 443 (HTTPS) sofern der Zielserver test24.com auch HTTPS kann ?! mtr -4 -T -P 443 test24.com
Das echoping hängen bleibt ist allerdings ungewöhlich. Es nutzt aber einen anderen TCP Port als 80 und 443, nämlich 7. Siehe hier:
https://de.wikipedia.org/wiki/Echo_(Netzwerkdienst)
Das erhärtet aber die Firewall These das nur 80 oder 443 durchgeht.
Checke mal ein echoping -h / test24.com Was passiert da ?
Das würde dann aber letztlich zeigen das es klar ein Firewall Problem ist und das aus dem Subnetz vermutlich nur TCP 80 und TCP 443 Traffic erlaubt ist.
Firewall wäre also der erste Ansatz zu suchen...wie üblich face-wink
Florian961988
Florian961988 25.09.2019 um 11:50:28 Uhr
Goto Top
mtr -4 -T -P 443 test24.com das geht ohne probleme durch!

Das heißt ja eigentlich, in der übersichtlichen Einstellung der FW beim Hoster face-sad scheint ja auf der IP von außen irgendwo in den Regeln ein Fehler zu sein!
Der erst jetzt auffällt!
aqui
Lösung aqui 25.09.2019 aktualisiert um 11:54:07 Uhr
Goto Top
Was ist mit:
echoping -4 -h / test24.com

In der Regel betreiben Hoster keine Firewall. Es sei denn ihr selber habt eine auf eurem Host installiert.
Florian961988
Florian961988 25.09.2019 um 11:57:09 Uhr
Goto Top
HTTP error "HTTP/1.1 301 Moved Permanently
"
der kommt dann
aqui
Lösung aqui 25.09.2019 aktualisiert um 12:11:54 Uhr
Goto Top
Lass das / mal weg, das zeigt nur den HTML Text der Startseite. Also
echoping -4 -h test24.com

Das sollte dann klappen. Ist aber mehr oder minder auch egal, denn MTR hat ja schon gezeigt das HTTP und HTTPS durchkommen.
Es bleibt bei der Firewall... face-wink
iptables hast du hoffentlich NICHT aktiv auf dem Ubuntu, oder ?
Florian961988
Florian961988 25.09.2019 um 13:05:25 Uhr
Goto Top
kein iptable!

echoping -4 -h test24.com funktioniert nicht
Florian961988
Florian961988 25.09.2019 um 13:05:58 Uhr
Goto Top
ich werde mal bei der Hoster (ja der hat eine Firewall) prüfen, was da so drinne steht!
aqui
Lösung aqui 25.09.2019 um 15:36:12 Uhr
Goto Top
(ja der hat eine Firewall)
Sehr ungewöhnlich...aber da wird der Fehler liegen.
Florian961988
Florian961988 26.09.2019 um 07:10:29 Uhr
Goto Top
Finde ich auch.

Was da genau für eine hintersteckt weiß ich nicht, allerdings ist das ding nicht so toll zu bedienen wie eine Forti, Sophos oder Securepoint, ein Unterpunkt im Webportal mit rudimentären Einstellungen.

Fummel mich da gerade noch durch.
aqui
Lösung aqui 26.09.2019 um 09:45:44 Uhr
Goto Top
Wir sind gespannt... face-wink
Florian961988
Florian961988 26.09.2019 um 11:28:11 Uhr
Goto Top
So nach dem ich die Regeln durch gekämmt habe, konnte ich sehn, dass für alle öffentliche IPS der Ping erlaubt war nur für die eine nicht!
Dafür musste ich nee gesonderte Regel anlegen.
Nun sind da 15 Seiten Tabelle, die man nicht mal nach Begriffen durchsuchen kann!