Nur Teile eines Netzes erreichbar
Hallo,
zu meinem Problem gab es schon mal einen Beitrag von mir, diesen habe ich geschlossen da das Problem vom Kunden nicht mehr als Problem eingestuft wurde.
Jetzt hat der Kunde aber festgestellt das es doch ein Problem ist.
Folgende Situation.
Lokales Netz ---- Cisco 3900 als VPN Device ---- Internet ----- Cisco 877 VPN Gegenstelle ----- L2 Cisco 2960 Switch --- entferntes Netz
Also ein klassischer VPN Aufbau wie er wohl tausendfach in Betrieb ist.
Nur, im entfernten Netz sind nicht alle Endgeräte erreichbar.
Ich erreiche per netscan den Cisco 877 sowie einen Teil des entfernten Netzes, mit Ausnahme von 8 IP Adressen (aufeinander folgend) , darunter der Switch, die mitten im Netzwerk liegen.
Auch ein direkter Ping auf die Maschinen ist nicht möglich
Vom Router aus kann ich alle Endgeräte im Netz anpingen, inklusive Switch. Auf allen Geräten ist der Cisco 877 als Gateway eingetragen.
Ein Techniker vor Ort konnte alle Geräte über netscan erreichen.
Bei genauerer Analyse habe ich festgestellt das auf dem Switche diverse "runts" also zu kleine Pakete gezählt werden.
Runts sind Pakete die kleiner sind als64 KB und daher vom Switch verworfen werden.
Kennt einer die mögliche Ursachen für runts?
Es gibt in der Verkabelung in den Einzelnen Schaltschränken (Maschinenbau) Hutschienenadapter von R+M auf die das Verlegekabel in Schneidklemmen eingepresst wird.
Bei diesen Adaptern fehlen die Abdeckungen mit denen die Kabel in die Stecker eingepresst werden. Ein Elektriker vor Ort beim Kunden meinte "sieht so aus als wären die Kabel mit dem Schraubendreher eingedrückt worden".
Ich vermute mal das hier zumindest ein Teil des Problems herrührt.
Hat jemand noch eine andere Idee?
Da der Kunde nicht in Europa sitzt ist es ein bisschen umständlich komplett neue Stecker zuliefern und neu auflegen zu lassen.
brammer
zu meinem Problem gab es schon mal einen Beitrag von mir, diesen habe ich geschlossen da das Problem vom Kunden nicht mehr als Problem eingestuft wurde.
Jetzt hat der Kunde aber festgestellt das es doch ein Problem ist.
Folgende Situation.
Lokales Netz ---- Cisco 3900 als VPN Device ---- Internet ----- Cisco 877 VPN Gegenstelle ----- L2 Cisco 2960 Switch --- entferntes Netz
Also ein klassischer VPN Aufbau wie er wohl tausendfach in Betrieb ist.
Nur, im entfernten Netz sind nicht alle Endgeräte erreichbar.
Ich erreiche per netscan den Cisco 877 sowie einen Teil des entfernten Netzes, mit Ausnahme von 8 IP Adressen (aufeinander folgend) , darunter der Switch, die mitten im Netzwerk liegen.
Auch ein direkter Ping auf die Maschinen ist nicht möglich
Vom Router aus kann ich alle Endgeräte im Netz anpingen, inklusive Switch. Auf allen Geräten ist der Cisco 877 als Gateway eingetragen.
Ein Techniker vor Ort konnte alle Geräte über netscan erreichen.
Bei genauerer Analyse habe ich festgestellt das auf dem Switche diverse "runts" also zu kleine Pakete gezählt werden.
Runts sind Pakete die kleiner sind als64 KB und daher vom Switch verworfen werden.
Kennt einer die mögliche Ursachen für runts?
Es gibt in der Verkabelung in den Einzelnen Schaltschränken (Maschinenbau) Hutschienenadapter von R+M auf die das Verlegekabel in Schneidklemmen eingepresst wird.
Bei diesen Adaptern fehlen die Abdeckungen mit denen die Kabel in die Stecker eingepresst werden. Ein Elektriker vor Ort beim Kunden meinte "sieht so aus als wären die Kabel mit dem Schraubendreher eingedrückt worden".
Ich vermute mal das hier zumindest ein Teil des Problems herrührt.
Hat jemand noch eine andere Idee?
Da der Kunde nicht in Europa sitzt ist es ein bisschen umständlich komplett neue Stecker zuliefern und neu auflegen zu lassen.
brammer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 168406
Url: https://administrator.de/contentid/168406
Ausgedruckt am: 13.11.2024 um 22:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
wenn es wirklich an der Verkabelung liegt, dann könnte man doch mal versuchen, die betreffenden Geräte an einen anderen Port des Patchfeldes zu hängen? Deine runts sind definitiv zerstückelte Datenpakete, daher könnte man schon auf mangelhafte Verkabelung / Isolierung tippen.
Funktionieren denn die 8 Geräte im entfernten Netz tadellos?
Viele Grüße
Allyfied
wenn es wirklich an der Verkabelung liegt, dann könnte man doch mal versuchen, die betreffenden Geräte an einen anderen Port des Patchfeldes zu hängen? Deine runts sind definitiv zerstückelte Datenpakete, daher könnte man schon auf mangelhafte Verkabelung / Isolierung tippen.
Funktionieren denn die 8 Geräte im entfernten Netz tadellos?
Viele Grüße
Allyfied
Runts sind in der Regel wirklich Störungen auf dem Layer 1 oder aber Paket Fragemente die durch Störungen ausgelöst werden. Das würde aber im Resultat immer nur einen sehr sporadischen Ausfall bewirken aber niemals einen Komplettausfall das Teile gar nicht erreichbar sind. Die Tatsache das vom lokalen Router alles problemlos pingbar ist erhärtet das ja auch.
Das lässt vermuten das das Problem dann eher auf der WAN Strecke oder den lokalen Komponenten liegt. Ein Klassiker den du in Betracht gezogen hast ist sicher das Thema MTU innerhalb des VPN was aber bei einem Ping mit 64 Byte oder 128 Byte nicht greift. Die sollten auch bei falscher MTU immer sicher durchgehen.
Lokale Firewalls wollen wir mal auch nicht stressen, denn das hast du als Profi Netzwerker sicher gecheckt und im Griff.
Was einmal interessant wäre eins der nicht erreichbaren Clients auf einen Snifferport am Switch zu monitoren und von remote mal einen Ping anzustossen.
Hier müsste man nun den ARP Prozess vom VPN Router und wenigstens das ICMP Echo Request Paket sehen was über die VPN Leitung kommt und an das Ziel geht. Dieser Trace wäre sehr interessant. Auch der ARP Cache des VPN Routers ob dort z.B. diese nicht erreichbaren IPs und ihre Macs sichtbar sind.
Zusätzlich wäre mal zu klären was denn auf dem Rückweg passiert ?? Kann denn z.B. einer der nicht erreichbaren Clients "zurückpingen" also den Sender erreichen ? Auch hier wäre ein Sniffer Trace mal ganz spannend.
Da wirst du dir vermutlich Bits und Bytes ansehen müssen.
Der Vorschlag von oben einmal ein anderes Endgerät mit eben dieser nicht erreichbaren IP auszustatten und erneut testen wäre auch sinnvoll. Vorzugsweise sollte das ein Gerät sein was keinerlei Firewalls oder sowas in SW hat also ein Switch oder Router. Noch besser natürlich eines der Endgeräte die normal erreichbar sind.
Schon ein Problem was etwas strange ist !
Das lässt vermuten das das Problem dann eher auf der WAN Strecke oder den lokalen Komponenten liegt. Ein Klassiker den du in Betracht gezogen hast ist sicher das Thema MTU innerhalb des VPN was aber bei einem Ping mit 64 Byte oder 128 Byte nicht greift. Die sollten auch bei falscher MTU immer sicher durchgehen.
Lokale Firewalls wollen wir mal auch nicht stressen, denn das hast du als Profi Netzwerker sicher gecheckt und im Griff.
Was einmal interessant wäre eins der nicht erreichbaren Clients auf einen Snifferport am Switch zu monitoren und von remote mal einen Ping anzustossen.
Hier müsste man nun den ARP Prozess vom VPN Router und wenigstens das ICMP Echo Request Paket sehen was über die VPN Leitung kommt und an das Ziel geht. Dieser Trace wäre sehr interessant. Auch der ARP Cache des VPN Routers ob dort z.B. diese nicht erreichbaren IPs und ihre Macs sichtbar sind.
Zusätzlich wäre mal zu klären was denn auf dem Rückweg passiert ?? Kann denn z.B. einer der nicht erreichbaren Clients "zurückpingen" also den Sender erreichen ? Auch hier wäre ein Sniffer Trace mal ganz spannend.
Da wirst du dir vermutlich Bits und Bytes ansehen müssen.
Der Vorschlag von oben einmal ein anderes Endgerät mit eben dieser nicht erreichbaren IP auszustatten und erneut testen wäre auch sinnvoll. Vorzugsweise sollte das ein Gerät sein was keinerlei Firewalls oder sowas in SW hat also ein Switch oder Router. Noch besser natürlich eines der Endgeräte die normal erreichbar sind.
Schon ein Problem was etwas strange ist !
Hallo brammer,
es wäre hilfreich, wenn man das Netz und die Subnetmask kennen würde.
Des weiteren welche IP-Bereiche erreichbar sind und welche nicht.
Vielleicht gibt es irgendwo eine ACL oder das Routing bezieht sich nicht auf das gesamte Subnetz vor Ort .
Dies gilt es auch bei den betroffenen Clients und dem remote Router zu prüfen (IP, Mask, Gateway).
So etwas kann passieren, weil man bei Installation ggf. von weniger Endgeräten ausgegeangen ist und hat (kleinere)Subnetze mit anderen Masks verwendet, deren Grenze man jetzt überschritten hat.
Also: erstmal alle Routings, ACLs (auch übers VPN) und lokalen IP-Einstelluingen prüfen.
Zu den runts: Das können physische Fehler sein. Sollten aber nicht die Ursache für dein eig. Problemn sein. Sonst wären die Geräte auch lokal nicht erreichbar !
Runts können auch bei falschen duplex-settings auftreten. Also auch das mal prüfen ...
mfg
x-window
es wäre hilfreich, wenn man das Netz und die Subnetmask kennen würde.
Des weiteren welche IP-Bereiche erreichbar sind und welche nicht.
Vielleicht gibt es irgendwo eine ACL oder das Routing bezieht sich nicht auf das gesamte Subnetz vor Ort .
Dies gilt es auch bei den betroffenen Clients und dem remote Router zu prüfen (IP, Mask, Gateway).
So etwas kann passieren, weil man bei Installation ggf. von weniger Endgeräten ausgegeangen ist und hat (kleinere)Subnetze mit anderen Masks verwendet, deren Grenze man jetzt überschritten hat.
Also: erstmal alle Routings, ACLs (auch übers VPN) und lokalen IP-Einstelluingen prüfen.
Zu den runts: Das können physische Fehler sein. Sollten aber nicht die Ursache für dein eig. Problemn sein. Sonst wären die Geräte auch lokal nicht erreichbar !
Runts können auch bei falschen duplex-settings auftreten. Also auch das mal prüfen ...
mfg
x-window