Ping wird geblockt
Hallo Leute,
habe ein Problem, daß ein Kunde einen Service, der auf einem Windows VPS läuft, nicht nutzen kann,
da er zu diesem nicht verbinden kann. Ist bisher ein Einzelfall.
Meine Software nutzt einen Service, der auf einem VPS läuft. Dazu muss sie eine TCP/IP Verbindung aufmachen.
Bei diesem Kunden funktioniert das aber nicht. Er kann die IP des Service nicht pingen.
Warum der Ping nur von diesem Kunden geblockt wird, ist mir nicht klar.
Geschieht das irgendwie auf Domänenebene meines Hosters oder in meiner Firewall ? Ist eine Blacklist im Spiel ?
Wie schaffe ich es, daß der Kunde durchkommt ?
Vielen Dank
habe ein Problem, daß ein Kunde einen Service, der auf einem Windows VPS läuft, nicht nutzen kann,
da er zu diesem nicht verbinden kann. Ist bisher ein Einzelfall.
Meine Software nutzt einen Service, der auf einem VPS läuft. Dazu muss sie eine TCP/IP Verbindung aufmachen.
Bei diesem Kunden funktioniert das aber nicht. Er kann die IP des Service nicht pingen.
Warum der Ping nur von diesem Kunden geblockt wird, ist mir nicht klar.
Geschieht das irgendwie auf Domänenebene meines Hosters oder in meiner Firewall ? Ist eine Blacklist im Spiel ?
Wie schaffe ich es, daß der Kunde durchkommt ?
Vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 464818
Url: https://administrator.de/forum/ping-wird-geblockt-464818.html
Ausgedruckt am: 14.03.2025 um 13:03 Uhr
56 Kommentare
Neuester Kommentar
Hi
woher sollen wir das wissen? Glaskugeln sind leider grad aus. Und ohne JEGLICHE Infos brauchen wir die leider.
Frag dem Kunden seine IT. Die haben evtl. Pings ausgehend blockiert.
Aber deine Software wird ja woohl nicht mit Pings funktionieren... das Problem wird also eher woanders liegen. Auch hier: Frag deren IT, ob die irgendwas blockieren
woher sollen wir das wissen? Glaskugeln sind leider grad aus. Und ohne JEGLICHE Infos brauchen wir die leider.
Frag dem Kunden seine IT. Die haben evtl. Pings ausgehend blockiert.
Aber deine Software wird ja woohl nicht mit Pings funktionieren... das Problem wird also eher woanders liegen. Auch hier: Frag deren IT, ob die irgendwas blockieren
Moin,
Aha. Und was ist das für eine Software?
Aha.
Das heißt noch gar nichts. Viele blockieren immer noch Ping. Was sagt denn der Admin des Kunden dazu? Vielleicht wird da was in der FW Deines Kunden blockiert.
Uns auch nicht.
Woher sollen wir das wissen? Dass ein TCP/IP-Verbindung nicht funktioniert, kann viele Gründe haben.
Analyse! Was sagt der Drahthai? Geht "telnet server port" und kommt das zurück, was Du von Deiner Software erwartest? Was steht im Log des Clients? Was steht im Log des Servers? Wie lauten die Fehlermeldungen? Usw. usf.
Liebe Grüße
Erik
Zitat von @bk900042:
habe ein Problem, daß ein Kunde einen Service, der auf einem Windows VPS läuft, nicht nutzen kann,
da er zu diesem nicht verbinden kann. Ist bisher ein Einzelfall.
habe ein Problem, daß ein Kunde einen Service, der auf einem Windows VPS läuft, nicht nutzen kann,
da er zu diesem nicht verbinden kann. Ist bisher ein Einzelfall.
Aha. Und was ist das für eine Software?
Meine Software nutzt einen Service, der auf einem VPS läuft. Dazu muss sie eine TCP/IP Verbindung aufmachen.
Aha.
Bei diesem Kunden funktioniert das aber nicht. Er kann die IP des Service nicht pingen.
Das heißt noch gar nichts. Viele blockieren immer noch Ping. Was sagt denn der Admin des Kunden dazu? Vielleicht wird da was in der FW Deines Kunden blockiert.
Warum der Ping nur von diesem Kunden geblockt wird, ist mir nicht klar.
Uns auch nicht.
Geschieht das irgendwie auf Domänenebene meines Hosters oder in meiner Firewall ? Ist eine Blacklist im Spiel ?
Woher sollen wir das wissen? Dass ein TCP/IP-Verbindung nicht funktioniert, kann viele Gründe haben.
Wie schaffe ich es, daß der Kunde durchkommt ?
Analyse! Was sagt der Drahthai? Geht "telnet server port" und kommt das zurück, was Du von Deiner Software erwartest? Was steht im Log des Clients? Was steht im Log des Servers? Wie lauten die Fehlermeldungen? Usw. usf.
Liebe Grüße
Erik
Windows-Firewall!
Geschieht das irgendwie auf Domänenebene meines Hosters oder in meiner Firewall ? Ist eine Blacklist im Spiel ?
Wie schaffe ich es, daß der Kunde durchkommt ?
Wie schaffe ich es, daß der Kunde durchkommt ?
Deine Kiste als vertrauenswürdig in der Firewall einstufen.
lks
Hallo BK,
da du einer vom Typus, "ich komm nicht weiter und das Forum ist dran Schuld" bist, solltest du dir überlegen, ob du die User hier weiterhin beleidigst, oder ob du dich nicht vielleicht besser entschuldigst, sonst ist hier ziemlich schnell Schluss.
Ansonsten verweise ich darauf, wie man eine Frage richtig stellt (andere Kunden haben kein Problem - hilft nicht!), bzw generell auf den passenden Umgangston (nochmals!).
Alternativ, wenn dir die Beiträge hier nicht passen, besteht immer die Möglichkeit auch in der freien Wirtschaft einen, dir genehmen, Gesprächspartner, entgeltlich, zu suchen.
Schöne Grüße,
Christian
da du einer vom Typus, "ich komm nicht weiter und das Forum ist dran Schuld" bist, solltest du dir überlegen, ob du die User hier weiterhin beleidigst, oder ob du dich nicht vielleicht besser entschuldigst, sonst ist hier ziemlich schnell Schluss.
Ansonsten verweise ich darauf, wie man eine Frage richtig stellt (andere Kunden haben kein Problem - hilft nicht!), bzw generell auf den passenden Umgangston (nochmals!).
Alternativ, wenn dir die Beiträge hier nicht passen, besteht immer die Möglichkeit auch in der freien Wirtschaft einen, dir genehmen, Gesprächspartner, entgeltlich, zu suchen.
Schöne Grüße,
Christian
Zitat von @bk900042:
@Lochkartenstanzer
Wessen Firewall ? Des Kunden ? Wonach schaue ich ? Nach der IP meines VPS ?
@Lochkartenstanzer
Wessen Firewall ? Des Kunden ? Wonach schaue ich ? Nach der IP meines VPS ?
Beide
Also die Software auf dem Kundenrechner kann keine TCP/IP Verbindung mit meinem VPS aufbauen.
Man kann von seiner Maschine auch nicht mein VPS pingen. Gut, Ping ist manchmal generell unterbunden.
Aber hier geht eben beides nicht.
Man kann von seiner Maschine auch nicht mein VPS pingen. Gut, Ping ist manchmal generell unterbunden.
Aber hier geht eben beides nicht.
wireshark?
Aber von einer andere Maschine kann man mein VPS pingen. (Andere Kunden haben kein Problem mit einer TCP/IP).
Was ist bei denen anders?
Und ich kann seine Maschine von meinem PC pingen, aber nicht von meinem VPS.
Selbes Netz?
Also die Verbindung Kunde VPS - mein VPS geht nicht. Beide Richtungen.
Wireshark?
Meine Software trägt sich automatisch in die Firewall des Kunden ein. Habe das per TeamViewer gecheckt.
Also frage ich mich, auf welcher Ebene passiert das ?
Vielen Dank für einen Hinweise wo (genau) ich suche muss.
Wirf auf beiden Maschinen mal Wireshark an und schau swas ankommt.
Und ggf. noch ein traceroute, um routing-probleme festzustellen.
Und wenn die VPS beim gleichen Hoster sind kann es sein, daß er RZ-Interne Kommunikation unterbunden hat, um Malware und allzu neugieriege Kunden auszubremsen.
lks
Zitat von @bk900042:
Hallo Christian,
dem Forum habe ich nicht die Schuld gegeben, mit welchem Satz mache ich das bitte ?
Ich haben einem Poster, der ganz klar nicht hilfreiche Antworten gegeben hat - siehe Link auf die Glaskugel - vielleicht etwas
scharf darum gebeten, den Thread nicht weiter zu kommentieren, da so nämlich schnell brauchbare Information untergeht.
Viele Grüße,
Bk
PS: Jetzt haben wir schon 20 % ca. die nichts mit dem Problem zu tun haben.
Hallo Christian,
dem Forum habe ich nicht die Schuld gegeben, mit welchem Satz mache ich das bitte ?
Ich haben einem Poster, der ganz klar nicht hilfreiche Antworten gegeben hat - siehe Link auf die Glaskugel - vielleicht etwas
scharf darum gebeten, den Thread nicht weiter zu kommentieren, da so nämlich schnell brauchbare Information untergeht.
Viele Grüße,
Bk
PS: Jetzt haben wir schon 20 % ca. die nichts mit dem Problem zu tun haben.
Auch dieser gehört zum Forum, was nicht zum Forum gehört sind inkonkrete Angaben - Wenn bspw bei dir ein spez. TCP/IP Port nicht geht (ICMP ist nochmal etwas "komplett" anderes), dann nenne hier den Port, den Range, ich würde sogar soweit gehen die Software anzuführen, damit du Hilfe bekommst. Wenn du das natürlich nicht lieferst, dann wirst du von "für dich nicht zum Thema gehörendem" viel hören, da es eben einfach alles sein kann.
(Selbiges gilt natürlich auch in der freien Wirtschaft - keine ausreichenden Infos -> falsche Antworten).
Viele Grüße
Zitat von @bk900042:
Ich haben einem Poster, der ganz klar nicht hilfreiche Antworten gegeben hat - siehe Link auf die Glaskugel - vielleicht etwas
scharf darum gebeten, den Thread nicht weiter zu kommentieren, da so nämlich schnell brauchbare Information untergeht.
Keine Ahnung was du da geschrieben hast, aber falls ich gemeint bin: Du hast den Wink mit dem Zaunpfahl nicht verstanden... Wir brauchen mehr Infos als "geht nicht".Ich haben einem Poster, der ganz klar nicht hilfreiche Antworten gegeben hat - siehe Link auf die Glaskugel - vielleicht etwas
scharf darum gebeten, den Thread nicht weiter zu kommentieren, da so nämlich schnell brauchbare Information untergeht.
PS: Jetzt haben wir schon 20 % ca. die nichts mit dem Problem zu tun haben.
Und du hast bisher nur eine einzige brauchbare Info geliefert:
Aber von einer andere Maschine kann man mein VPS pingen.
Und unterschlägst auch hier wieder essentielle Infos, wie z.B ob diese funktionierende Maschine aus dem selben Netz kommt wie die nicht funktionierende.Ausserdem poppt jetzt plötzlich eine neue Info auf
Also die Verbindung Kunde VPS - mein VPS geht nicht. Beide Richtungen.
Heist das, das der Kunde einen VPS irgendwo im Netz stehen/gehostet hat und dieser hat die Probleme? Es geht nicht um Clients?Unter der Annahme das es ein VPS ist, der bei irgendeinem hoster steht, würde ich hier einen Traceroute zu deiner Kiste machen und gucken, bis wohin der Ping "durchgeht". Ab da wo es nicht mehr geht, ist das Problem zu suchen.
Vor dem traceroute aber erst mal Firewall & Co abschalten.
Weiterhin gilt: Ohne brauchbare Informationen ist das alles nur Glaskugellesen
moin...
klar, nach deiner IP... und den port deiner Software!
Also die Software auf dem Kundenrechner kann keine TCP/IP Verbindung mit meinem VPS aufbauen.
bist du sicher?
von welchem Port reden wir eigentlich?
welchen OS?
hat der Kunde evtl. eine Application Firewall oder dergleichen, und der admin steht vor der Firewall und lacht über deine versuche?
was ist das für ein VPS, und was macht deine SW genau?
Aber von einer andere Maschine kann man mein VPS pingen. (Andere Kunden haben kein Problem mit einer TCP/IP).
na ja... nicht jeder Kunde hat offen Holland, und das ist auch gut so!
Also die Verbindung Kunde VPS - mein VPS geht nicht. Beide Richtungen.
was sagen die die guten alten protokolle dazu?
Meine Software trägt sich automatisch in die Firewall des Kunden ein. Habe das per TeamViewer gecheckt.
du meinst auf dem PC.... oder?
Frank
Zitat von @bk900042:
@Lochkartenstanzer
Wessen Firewall ? Des Kunden ? Wonach schaue ich ? Nach der IP meines VPS ?
jo... beide...@Lochkartenstanzer
Wessen Firewall ? Des Kunden ? Wonach schaue ich ? Nach der IP meines VPS ?
Wonach schaue ich
nach Sonderangeboten!klar, nach deiner IP... und den port deiner Software!
Also die Software auf dem Kundenrechner kann keine TCP/IP Verbindung mit meinem VPS aufbauen.
von welchem Port reden wir eigentlich?
welchen OS?
hat der Kunde evtl. eine Application Firewall oder dergleichen, und der admin steht vor der Firewall und lacht über deine versuche?
was ist das für ein VPS, und was macht deine SW genau?
Man kann von seiner Maschine auch nicht mein VPS pingen. Gut, Ping ist manchmal generell unterbunden.
Aber hier geht eben beides nicht.
tja ....Aber hier geht eben beides nicht.
Aber von einer andere Maschine kann man mein VPS pingen. (Andere Kunden haben kein Problem mit einer TCP/IP).
Und ich kann seine Maschine von meinem PC pingen, aber nicht von meinem VPS.
was ja auch gut so ist!Also die Verbindung Kunde VPS - mein VPS geht nicht. Beide Richtungen.
Meine Software trägt sich automatisch in die Firewall des Kunden ein. Habe das per TeamViewer gecheckt.
Also frage ich mich, auf welcher Ebene passiert das ?
was kommt den nach seinem PC?Vielen Dank für einen Hinweise wo (genau) ich suche muss.
im netzwerk des kundenFrank
Er kann die IP des Service nicht pingen.
Der "Service" ist pingbar ?? Sehr verwunderlich !Ein Ping basiert auf ICMP was mit "Service" in Bezug auf TCP Ports nicht das Geringste zu tun hat.
Wie ist der "Ping" also zu verstehen ??
Wenn es ein ICMP Ping ist, dann ist allgemein bekannt das die lokale Winblows Firewall ICMP den per Default blockt. Ganz besonders wenn der Ping auch noch aus fremden IP Netzen kommt und nicht aus dem lokalen LAN wie bei dir.
Mit einem Mausklick im Firewall Setup ist das aber gefixt:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Moin,
Na das mach mir mal vor, wie Du Deine Software z. B. auf unseren Watchguards Portfreigaben eintragen lässt und wie Du das per Teamviewer checkst.
Ich hatte Dir ja ein paar gegeben. Welche hast Du denn schon umgesetzt und was ist dabei herausgekommen?
Liebe Grüße
Erik
Zitat von @bk900042:
Meine Software trägt sich automatisch in die Firewall des Kunden ein. Habe das per TeamViewer gecheckt.
Meine Software trägt sich automatisch in die Firewall des Kunden ein. Habe das per TeamViewer gecheckt.
Na das mach mir mal vor, wie Du Deine Software z. B. auf unseren Watchguards Portfreigaben eintragen lässt und wie Du das per Teamviewer checkst.
Also frage ich mich, auf welcher Ebene passiert das ?
Vielen Dank für einen Hinweise wo (genau) ich suche muss.
Vielen Dank für einen Hinweise wo (genau) ich suche muss.
Ich hatte Dir ja ein paar gegeben. Welche hast Du denn schon umgesetzt und was ist dabei herausgekommen?
Liebe Grüße
Erik
Der Port ist 7498.
Was denn TCP oder UDP ? bitte nicht wörtlich nehmen und daraus einen Vortrag machen
Ist aber schon widersprüchlich ! Du sagst was von Service Ping wobei die Community hier dann an einen dedizierten TCP Ping auf Port 7498 denkt.Nach deinen Outputs unten machst du aber dennoch wohl einen ICMP Ping und ICMP Traceroute der eben nicht auf TCP basiert.
Für einen Firewall und ihre Regel ist das ein riesen Unterschied natürlich.
Auch eine Option die Helfenden hier zu verwirren. Aber egal...
Nochmals, wen du nicht willst, dass jemand auf deine Beiträge schreibt, dann ist dieses Forum nicht der richtige Platz für dich, nicht für @aqui.
Moin,
Ping und tracert auf 89.36.214.231 geht hier problemlos. Auf host231-214-36-89.serverdedicati.aruba.it kommt ein DNS-Fehler.
Na dann würde ich doch mal bei Aruba fragen, ob die irgendwas blockieren und wie 'Du das ändern kannst.
Das ist aber eine komische Ausgabe von tracert. Bei mir sieht die immer so aus:
Tja, dann blockiert hier wohl der Router Deines Providers, bei dem der VPS steht.
Wie wäre es mal mit problemorientierten Antworten auf unsere Fragen? Hast Du schon Wireshark auf das Problem losgelassen und was gibt der Hai zurück? Hast Du schon in die Logs der beteiligten Rechner geschaut? Und was steht drin? Hast Du schon versucht, Deine Software per
anzusprechen (vom VPS des Kunden aus)? Hat sie geantwortet? Entsprach die Antwort dem, was Du erwartet hast?
Liebe Grüße
Erik
Ping und tracert auf 89.36.214.231 geht hier problemlos. Auf host231-214-36-89.serverdedicati.aruba.it kommt ein DNS-Fehler.
Zitat von @bk900042:
Es geht von Windows VPS zu WIndows VPS.
Der Port ist 7498.
Die Software ist propietär und nur bei diesem Kunden, dessen VPS bei ArubaCloud ist, funktioniert es nicht.
Es geht von Windows VPS zu WIndows VPS.
Der Port ist 7498.
Die Software ist propietär und nur bei diesem Kunden, dessen VPS bei ArubaCloud ist, funktioniert es nicht.
Na dann würde ich doch mal bei Aruba fragen, ob die irgendwas blockieren und wie 'Du das ändern kannst.
tracert, ausgeführt beim Kunden, hat nach ein paar erfolgreichen pings (bitte nicht wörtlich nehmen und daraus einen Vortrag machen)
ein timeout.
Letzte Einträge
...arubacloud.fr
...arubacloud.fr
..telia.net
..telia.net
Request timed out
Request timed out
Request timed out
..
Request timed out
ein timeout.
Letzte Einträge
...arubacloud.fr
...arubacloud.fr
..telia.net
..telia.net
Request timed out
Request timed out
Request timed out
..
Request timed out
Das ist aber eine komische Ausgabe von tracert. Bei mir sieht die immer so aus:
...
6 9 ms 13 ms 8 ms 83.231.213.113
7 12 ms 9 ms 8 ms ae-5.r24.amstnl02.nl.bb.gin.ntt.net [129.250.3.54]
8 9 ms 8 ms 9 ms ae-7.r03.amstnl02.nl.bb.gin.ntt.net [129.250.2.103]
9 8 ms 9 ms 9 ms ae-0.telia.amstnl02.nl.bb.gin.ntt.net [129.250.8.50]
10 9 ms 9 ms 9 ms adm-bb3-link.telia.net [62.115.112.124]
11 19 ms 19 ms 19 ms prs-bb3-link.telia.net [213.155.136.21]
12 39 ms 19 ms 19 ms prs-b8-link.telia.net [62.115.138.133]
13 19 ms 19 ms 19 ms aruba-ic-326814-prs-b8.c.telia.net [213.248.85.195]
14 19 ms 19 ms 19 ms host231-214-36-89.serverdedicati.aruba.it [89.36.214.231]
Also vom Kunden aus bleibt es irgendwo hängen.
(Hier verstehe ich nicht ganz, warum ich die timeout IP nicht habe oder ist das der letzte Eintrag oben drüber (also telia.net) ?)
(Hier verstehe ich nicht ganz, warum ich die timeout IP nicht habe oder ist das der letzte Eintrag oben drüber (also telia.net) ?)
tracert zum Kunden auf meinem VPS
Routenverfolgung zu host231-214-36-89.serverdedicati.aruba.it [89.36.214.231]
Über max. 30 Hops:
1 * * * Zeitüberschreitung der Anforderung.
Von meinem VPS aus scheint gleich der 1. Hop nicht zu gehen.
Routenverfolgung zu host231-214-36-89.serverdedicati.aruba.it [89.36.214.231]
Über max. 30 Hops:
1 * * * Zeitüberschreitung der Anforderung.
Von meinem VPS aus scheint gleich der 1. Hop nicht zu gehen.
Tja, dann blockiert hier wohl der Router Deines Providers, bei dem der VPS steht.
Vielen Dank für jeden >problemorientierten< Kommentar.
Wie wäre es mal mit problemorientierten Antworten auf unsere Fragen? Hast Du schon Wireshark auf das Problem losgelassen und was gibt der Hai zurück? Hast Du schon in die Logs der beteiligten Rechner geschaut? Und was steht drin? Hast Du schon versucht, Deine Software per
telnet DeinVPS 7498
anzusprechen (vom VPS des Kunden aus)? Hat sie geantwortet? Entsprach die Antwort dem, was Du erwartet hast?
Liebe Grüße
Erik
Zitat von @bk900042:
@aqui (den unvermeidlichen)
Das macht so ziemlich jede Software, die TCP/IP Verbindungen braucht. Es gibt dafür ja die UAC, die dich fragt,
@aqui (den unvermeidlichen)
Das macht so ziemlich jede Software, die TCP/IP Verbindungen braucht. Es gibt dafür ja die UAC, die dich fragt,
Kaum im prof. Segment.
ob du das akzeptierst. In aller Regel weisst du das auch, weil der Hersteller es kommuniziert.
Dann scheinst du aber Umsetzungsprobleme zu haben.
(Warum die Firewall durch eine spezifische, zertifizierte Anwendung löchrig wird, weisst nur du, nehme ich an).
Weil du Umsetzungsprobleme hast, wenn Sie es nicht ist, siehe oben.
Trotzdem danke für deinen absolut nicht hilfreichen und wie ich finde, sehr polemischen Kommentar.
Du hast nach wie vor keine relevanten Details _näher_ erläutert.
Aber dieser Stil scheint hier erlaubt zu sein.
Im Gegensatz zu dir hat @aqui hier bereits lang und bereit gezeigt, dass er gerne hilfsbereit ist, wenn dies über entsprechende Informationen goutiert wird. Du versuchst mit 0-Informationen kostenlos Hilfe in Anspruch zu nehmen und bist zu dem unhöflich ohne Ende.
Also echt jetzt ...
Dieses Wissen gehört zu den Netzwerkgrundlagen. JEDE Portfreigabe in einer Firewall senkt die Sicherheit ab. Deshalb stehen von außen erreichbare Server auch nicht direkt im trusted net, sondern in der DMZ. Deine Antworten hier machen mir Angst. Du programmierst Software, die Daten über das Internet schickt und hast offenbar keinerlei Kenntnisse über die grundlegensten Funktionsweisen eines TCP/IP-Netzes.
Aquis Kommentare sind sehr hilfreich. Du verstehst sie nur nicht. Das ist das Problem.
Wie man in den Wald hineinruft ...
Zitat von @bk900042:
(Warum die Firewall durch eine spezifische, zertifizierte Anwendung löchrig wird, weisst nur du, nehme ich an).
(Warum die Firewall durch eine spezifische, zertifizierte Anwendung löchrig wird, weisst nur du, nehme ich an).
Dieses Wissen gehört zu den Netzwerkgrundlagen. JEDE Portfreigabe in einer Firewall senkt die Sicherheit ab. Deshalb stehen von außen erreichbare Server auch nicht direkt im trusted net, sondern in der DMZ. Deine Antworten hier machen mir Angst. Du programmierst Software, die Daten über das Internet schickt und hast offenbar keinerlei Kenntnisse über die grundlegensten Funktionsweisen eines TCP/IP-Netzes.
Trotzdem danke für deinen absolut nicht hilfreichen und wie ich finde, sehr polemischen Kommentar.
Aquis Kommentare sind sehr hilfreich. Du verstehst sie nur nicht. Das ist das Problem.
Aber dieser Stil scheint hier erlaubt zu sein.
Wie man in den Wald hineinruft ...
moin...
doch doch... wir nehmen das wörtlich, und antworten auf deinem kauderwelsch!
egal... hast du mal in die ereignisprotokolle geschaut, was ankommt und was nicht?
ich weiß es aber auch... und eigentlich wäre es gut, wenn du e auch wissen würdest!
Frank
Es geht von Windows VPS zu WIndows VPS.
Der Port ist 7498.
und TCP oder UDP?Der Port ist 7498.
Die Software ist propietär und nur bei diesem Kunden, dessen VPS bei ArubaCloud ist, funktioniert es nicht.
ja, und was soll uns das jetzt sagen? wollen wir gemeinsam rausfinden, um was es für software geht?tracert, ausgeführt beim Kunden, hat nach ein paar erfolgreichen pings (bitte nicht wörtlich nehmen und daraus einen Vortrag machen)
ein timeout.doch doch... wir nehmen das wörtlich, und antworten auf deinem kauderwelsch!
Das macht so ziemlich jede Software, die TCP/IP Verbindungen braucht.
nein... und das ist auch gut so....Es gibt dafür ja die UAC, die dich fragt,ob du das akzeptierst. In aller Regel weisst du das auch, weil der Hersteller es kommuniziert.
oha... was machst du unter Linux?egal... hast du mal in die ereignisprotokolle geschaut, was ankommt und was nicht?
(Warum die Firewall durch eine spezifische, zertifizierte Anwendung löchrig wird, weisst nur du, nehme ich an).
uh... sorry aber das tut weh!ich weiß es aber auch... und eigentlich wäre es gut, wenn du e auch wissen würdest!
Frank
Hi,
Also wenn ich einen Tracert auf deinen Windows VPS mache kann ich ihn per IP erreichen.
Über den Hostnamen geht es nicht Host-Fehler/DNS Problem. Das heißt prüfe die DNS Einstellungen. Windows Firewall. Wir haben auch einige Server dort, die Probleme die du beschreibst haben wir nie mit dem Hoster. Welches OS setzt du ein?
Gruß Niklas
Also wenn ich einen Tracert auf deinen Windows VPS mache kann ich ihn per IP erreichen.
Routenverfolgung zu host231-214-36-89.serverdedicati.aruba.it [89.36.214.231]
über maximal 30 Hops:
1 5 ms 1 ms 1 ms fritz.box [10.35.40.254]
2 28 ms 31 ms 36 ms 62.155.245.148
3 16 ms 11 ms 11 ms 217.0.195.197
4 21 ms 16 ms 14 ms 217.0.195.197
5 12 ms 11 ms 11 ms ffm-b4-link.telia.net [213.248.93.186]
6 12 ms 23 ms 12 ms ffm-bb4-link.telia.net [62.115.114.90]
7 22 ms 21 ms 21 ms prs-bb4-link.telia.net [62.115.114.98]
8 25 ms 20 ms 20 ms prs-b8-link.telia.net [62.115.138.139]
9 26 ms 36 ms 21 ms aruba-ic-326814-prs-b8.c.telia.net [213.248.85.195]
10 35 ms 30 ms 46 ms host231-214-36-89.serverdedicati.aruba.it [89.36.214.231]
Ablaufverfolgung beendet.
Über den Hostnamen geht es nicht Host-Fehler/DNS Problem. Das heißt prüfe die DNS Einstellungen. Windows Firewall. Wir haben auch einige Server dort, die Probleme die du beschreibst haben wir nie mit dem Hoster. Welches OS setzt du ein?
Gruß Niklas
Zitat von @bk900042:
Aber, du sagst:
Dann werde ich jetzt erstmal in diese Richtung gehen.
Meinst du den Provider meines VPS oder des Kunden (ArubaCloud).
Aber, du sagst:
Tja, dann blockiert hier wohl der Router Deines Providers, bei dem der VPS steht.
Dann werde ich jetzt erstmal in diese Richtung gehen.
Meinst du den Provider meines VPS oder des Kunden (ArubaCloud).
Wenn das das Problem wäre, dann ginge es bei keinem Kunden. Da Du auf ein tracert schon beim ersten Hop keine Antwort bekommst, heißt lediglich, dass der Router Deines Providers auf die ICMP-Anfrage nicht antwortet. Mehr nicht. Und da sind wir bei den Antworten, die Du als nicht problemorientiert ansiehst:
Es gibt drei auf IP aufsetzende Protokolle:
ICMP - Internet Control Message Protocol
Das ist dafür da, allerlei Nachrichten, ob was nicht geklappt hat, hin- und herzuschicken. Auf diesem Protokoll basieren die Befehle ping und traceroute.
UDP - User Datagram Protocol
Ein verbindungsloses Protokoll. Vorteil: Es ist schnell. Nachteil: Keine Datenflusskontrolle.
TCP - Transmission Control Protocol
Ein verbindungsorientiertes Protokoll mit Sitzungsaufbau, Datenflusskontrolle und Sitzungsabbau. <edit>Nachteil: Langsamer als UDP und es kann eine Menge beim Aufbau, bei der Flusskontrolle und dem Abbau schief gehen.</edit>
Dass was mit dem einen nicht geht, heißt überhaupt nicht, dass es mit einem der anderen beiden Probleme gibt. Deshalb auch die Nachfragen, was denn nun Sache ist.
moin...
warum nicht?
natürlich würde das helfen...
Aber, du sagst:
um das zu beweisen, solltest du erst mal Log´s lesen... mit du etwas beweisen kannst!
Dann werde ich jetzt erstmal in diese Richtung gehen.
falscher weg...
warum nicht?
Auch in die Logs habe ich noch nicht gesehen.
großer Fehler...(Würden die Logs beim Kunden VPS mir Information liefern).
was für eine frage... klar da bekommst du sogar die zahlen von Samstag!natürlich würde das helfen...
Aber, du sagst:
Tja, dann blockiert hier wohl der Router Deines Providers, bei dem der VPS steht.
Dann werde ich jetzt erstmal in diese Richtung gehen.
Meinst du den Provider meines VPS oder des Kunden (ArubaCloud).
beide..Danke
FrankZitat von @bk900042:
Ok, dann werde mal bitte konkret. Natürlich ist das prinzipiell ein Einfallstor. Das betrifft doch aber jede Software
die sich im Netz exponiert oder nicht ?
Gesetz dem Fall, man braucht eine TCP/IP Verbindung (die verschlüsselt ist), wie würde ich das mit der Firewall anders
handhaben, als die Anwendung dort einzutragen, was ja abgefragt wird durch einen Dialog.
(Warum die Firewall durch eine spezifische, zertifizierte Anwendung löchrig wird, weisst nur du, nehme ich an).
uh... sorry aber das tut weh!Ok, dann werde mal bitte konkret. Natürlich ist das prinzipiell ein Einfallstor. Das betrifft doch aber jede Software
die sich im Netz exponiert oder nicht ?
Gesetz dem Fall, man braucht eine TCP/IP Verbindung (die verschlüsselt ist), wie würde ich das mit der Firewall anders
handhaben, als die Anwendung dort einzutragen, was ja abgefragt wird durch einen Dialog.
Genau das meinte ich, als ich sagte, Du machst mir Angst. Du vertreibst Software, die über das Internet kommuniziert und fragst sowas? Ein anständiger Aufbau sähe ansatzweise so aus (bitte @aqui nicht schlagen, wenn das nicht vollständig ist.
| Server, auf dem Deine Software läuft | - | FW1 oder Proxy | - | Webserver (DMZ) | - | FW2 |
- | Internet | -
| FW3 oder Proxy | - | Webclient beim Kunden (DMZ) | - | FW4 | - | Server, der mit Deiner SW Daten austauscht |
Wenn man das anständig macht, kann man die Windows-FW auch ausschalten.
Ich hoffe schwer, dass das keine schützenswerten Daten im Sinne der DSGVO sind, die Du da so über das Netz jagst.
Vielleicht sind hier gar nicht soviele Experten ? Den Eindruck bekomme ich so langsam.
Vielleicht hast du es dir aber auch mit den Experten versaut? Darum erwähnte ich die Entschuldigung an @aqui.
Zitat von @bk900042:
Also, wenn ich in meine Firewall schaue, sehe ich sehr viele Applikationen, die dort eingetragen sind.
Also, wenn ich in meine Firewall schaue, sehe ich sehr viele Applikationen, die dort eingetragen sind.
Du meinst die Desktop-Firewall von Windows. Das ist ja auch ein schweizer Käse, der imho im Firmennetz mehr nervt als nützt.
Wie bringe ich das mit deiner (unbegründeten) Behauptung zusammen, das macht man nicht und sei auch gut so ?
Durch eine intensive Beschäftigung damit, was eine FW ist. Immer noch lesenswert: http://altlasten.lutz.donnerhacke.de/mitarb/lutz/usenet/Firewall.html
Die Aussage ist keineswegs unbegründet, sondern entspricht dem allgemeinen Wissensstand eines Systemadministrators.
Vielleicht sind hier gar nicht soviele Experten ? Den Eindruck bekomme ich so langsam.
Ahja, dann bin ich jetzt raus. Ist sowieso Feierabend.
Hallo zusammen,
mein Gott, was wird das denn hier...
Man muss das Problem erst einmal sauber analysieren und ruhig bleiben. Ich würde so schnell vorgehen:
Teil 1 - kommt man von der VPS-Kiste "raus" - für beide VPS-Kisten prüfen
- hat die Kiste überhaupt ein Netzwerkinterface (ipconfig) ?
- kann man von der Kiste aus Hosts erreichen per ICPM? (ping Google / Tracert)
- kann man von der Kiste aus TCP-Dienste erreichen (http://www.google.de)
Teil 2 - kommt man von aussen auf die VPS-Kiste(1und2) - zu prüfen von einem unbeteiligten neutralen Host aus
- ping/Tracert auf die Kiste
- einen konkreten Dienst (TCP Port ….) testen z.b. mittels Telnet
Teil 3 - kommt man Von Kiste 1 nach Kiste 2 und andersherum
- wieder ICPM, dann konkreten Dienst.
Es sollte danach erkennbar sein, was nicht geht.
Bitte beachte: Tracert muss nicht vollständig anzeigen, siehe auch
https://de.wikipedia.org/wiki/Traceroute
https://de.wikipedia.org/wiki/Pathping
Die mittels ICPM Paketen ermittelten "Datenwege" müssen nicht genau so für TCP/UDP gelten insbesondere wenn Probleme beim Routing auftreten oder NAT-Konfigurationen "anders als geplant" funktionieren, kann das eine oder andere Paket mal durchkommen, das andere nicht. In diesen Fällen kommst Du ohne z.B: Wireshark nicht weiter und kannst nur raten.
Falls also über ICMP und einen TCP-Dienst-Test (Telnet auf Port..) für dich nicht erkennbar ist, wo das Problem liegt, musst Du mit Wireshark weitermachen.
Alternativ oder parallel dazu kann man noch die Firewall- und Systemprotokolle auswerten.
Wenn das nichts wird (oder Dir das zu komplex ist) kannst Du dich an den Support Deines VPS-Anbieters wenden bezüglich eventueller Probleme bei dessen Infrastruktur, und an den IT-Dienstleister Deines Vertrauens bezüglich der Konfiguration des Windows Systems.
Hier im Forum benötigen wir, wenn wir helfen sollen, substantiellere Infos. (welches Betriebssystem, konkrete Angaben zur Netzwerkkonfiguration etc., hat der VPS überhaupt eine Internetanbindung oder nur einen Konsolenzugriff via Webinterface …. )
Grüße
lcer
mein Gott, was wird das denn hier...
Zitat von @bk900042:
Hallo Leute,
habe ein Problem, daß ein Kunde einen Service, der auf einem Windows VPS läuft, nicht nutzen kann,
da er zu diesem nicht verbinden kann. Ist bisher ein Einzelfall.
Meine Software nutzt einen Service, der auf einem VPS läuft. Dazu muss sie eine TCP/IP Verbindung aufmachen.
Bei diesem Kunden funktioniert das aber nicht. Er kann die IP des Service nicht pingen.
Warum der Ping nur von diesem Kunden geblockt wird, ist mir nicht klar.
Geschieht das irgendwie auf Domänenebene meines Hosters oder in meiner Firewall ? Ist eine Blacklist im Spiel ?
Wie schaffe ich es, daß der Kunde durchkommt ?
Hallo Leute,
habe ein Problem, daß ein Kunde einen Service, der auf einem Windows VPS läuft, nicht nutzen kann,
da er zu diesem nicht verbinden kann. Ist bisher ein Einzelfall.
Meine Software nutzt einen Service, der auf einem VPS läuft. Dazu muss sie eine TCP/IP Verbindung aufmachen.
Bei diesem Kunden funktioniert das aber nicht. Er kann die IP des Service nicht pingen.
Warum der Ping nur von diesem Kunden geblockt wird, ist mir nicht klar.
Geschieht das irgendwie auf Domänenebene meines Hosters oder in meiner Firewall ? Ist eine Blacklist im Spiel ?
Wie schaffe ich es, daß der Kunde durchkommt ?
Man muss das Problem erst einmal sauber analysieren und ruhig bleiben. Ich würde so schnell vorgehen:
Teil 1 - kommt man von der VPS-Kiste "raus" - für beide VPS-Kisten prüfen
- hat die Kiste überhaupt ein Netzwerkinterface (ipconfig) ?
- kann man von der Kiste aus Hosts erreichen per ICPM? (ping Google / Tracert)
- kann man von der Kiste aus TCP-Dienste erreichen (http://www.google.de)
Teil 2 - kommt man von aussen auf die VPS-Kiste(1und2) - zu prüfen von einem unbeteiligten neutralen Host aus
- ping/Tracert auf die Kiste
- einen konkreten Dienst (TCP Port ….) testen z.b. mittels Telnet
Teil 3 - kommt man Von Kiste 1 nach Kiste 2 und andersherum
- wieder ICPM, dann konkreten Dienst.
Es sollte danach erkennbar sein, was nicht geht.
Bitte beachte: Tracert muss nicht vollständig anzeigen, siehe auch
https://de.wikipedia.org/wiki/Traceroute
https://de.wikipedia.org/wiki/Pathping
Die mittels ICPM Paketen ermittelten "Datenwege" müssen nicht genau so für TCP/UDP gelten insbesondere wenn Probleme beim Routing auftreten oder NAT-Konfigurationen "anders als geplant" funktionieren, kann das eine oder andere Paket mal durchkommen, das andere nicht. In diesen Fällen kommst Du ohne z.B: Wireshark nicht weiter und kannst nur raten.
Falls also über ICMP und einen TCP-Dienst-Test (Telnet auf Port..) für dich nicht erkennbar ist, wo das Problem liegt, musst Du mit Wireshark weitermachen.
Alternativ oder parallel dazu kann man noch die Firewall- und Systemprotokolle auswerten.
Wenn das nichts wird (oder Dir das zu komplex ist) kannst Du dich an den Support Deines VPS-Anbieters wenden bezüglich eventueller Probleme bei dessen Infrastruktur, und an den IT-Dienstleister Deines Vertrauens bezüglich der Konfiguration des Windows Systems.
Hier im Forum benötigen wir, wenn wir helfen sollen, substantiellere Infos. (welches Betriebssystem, konkrete Angaben zur Netzwerkkonfiguration etc., hat der VPS überhaupt eine Internetanbindung oder nur einen Konsolenzugriff via Webinterface …. )
Grüße
lcer
moin...
Ist eine Windows Software, die sich von einem Windows Service Daten per TCP/IP abholt.
Daten sind AES 256 verschlüsselt-
hat die software auch einen namen?
Wie gesagt, die Firewall bezieht sich auf die Anwendung, nicht auf den Port. Das nur in Bezug auf Löchrigkeit.
natürlich auf den Port....
Es gibt viele Anwendungen die genauso arbeiten. Auch hier hakt es manchmal.
Frank
Zitat von @bk900042:
@eriko
2 Proxies, 2 FW, + Webserver mit DMZ, dann noch Webclient und ein Server, der mit meiner Software Daten tauscht.
Super Tipp.
Hoffentlich schlägt dich der Aqui dafür nicht. Der würde sicher noch 3 Linux Proxies dazwischen schieben,
die untereinander per VPN kommunizieren und quantencryptografisch verschlüsselt sind.
Man hat ja sonst nichts zu tun.
sicher... sicherheit ist aufwändig.... und fordert wissen, und das hört nicht bei der Windows Firewal auf!@eriko
2 Proxies, 2 FW, + Webserver mit DMZ, dann noch Webclient und ein Server, der mit meiner Software Daten tauscht.
Super Tipp.
Hoffentlich schlägt dich der Aqui dafür nicht. Der würde sicher noch 3 Linux Proxies dazwischen schieben,
die untereinander per VPN kommunizieren und quantencryptografisch verschlüsselt sind.
Man hat ja sonst nichts zu tun.
Ist eine Windows Software, die sich von einem Windows Service Daten per TCP/IP abholt.
Daten sind AES 256 verschlüsselt-
Wie gesagt, die Firewall bezieht sich auf die Anwendung, nicht auf den Port. Das nur in Bezug auf Löchrigkeit.
Es gibt viele Anwendungen die genauso arbeiten. Auch hier hakt es manchmal.
Wie in meinem Fall, bei diesem Kunden von AurbaCloud.
Gruß
ich hoffe ja mal nicht, das du RDP ohne VPN nutzt.....Gruß
Frank
Wie gesagt, die Firewall bezieht sich auf die Anwendung, nicht auf den Port.
Was in der Windows Firewall freigegeben ist ist nur die halbe Miete. In unserem Netz (und bei wahrscheinlich allen anderen hier auch) könntest du die Firewall am Client komplett deaktivieren und würdest trotzdem mit deiner Software nicht nach außen kommen. Der von dir genutzte Port käme nämlich nicht durch die zentrale Firewall. Weder rein noch raus.
Und wahrscheinlich ist das auch der Grund weshalb es bei deinem Kunden nicht funktioniert. Daher gab es schon ganz weit oben im Thread den Vorschlag die IT des Kunden zu fragen. Und wenn man denen nicht ganz dumm kommt beißen die normalerweise auch nicht.
Der Vorschlag mal vom Kunden-PC aus ein telnet IP/Hostname Port auf deinen Server zu machen und zu schauen was vom Server zurückkommt war auch nicht schlecht.
Alleine die Aussage, dass man was anpingen kann oder nicht ist in den meisten Fällen ohne weitere Test wenig aussagekräftig oder hilfreich.
Manuel
PS: Neben der Firewall kommt bspw auch noch der Virenscanner/Securitysuite als Spaßbremse in Frage.
Hallo nochmal,
Und
Sorry aber ich glaube Euer Verein braucht dringend jemanden der sich mit Netzwerktechnik und IT-Sicherheit auskennt.
Grüße
lcer
Ok, wenn telnet mehr Informationen bringt als tracert und es Montag nicht von Kundenseite gelöst ist, kann ich auch das probieren.
Und
Obwohl ich das nicht so gerne erwähne: ....
Sorry aber ich glaube Euer Verein braucht dringend jemanden der sich mit Netzwerktechnik und IT-Sicherheit auskennt.
Grüße
lcer
Inzwischen habe ich auch die Freiwall mal beim Kunden deaktiviert und ich komme trotzdem nicht durch.
Das kannst du ja wohl maximal direkt am Client des Kunden gemacht haben ohne den IT-Verantwortlichen zu belästigen. Daher:
Ich fürchte du hast nicht ein Wort von dem verstanden was ich und andere hier, teilweise seitenlang, geschrieben haben
Hallo
hab ich doch geschrieben. Euer Problem liegt im Personal.
Grüße
lcer
Zitat von @bk900042:
hätten wir dann auch ein IT Sicherheitsproblem. Wo genau siehst du das Problem ?
hätten wir dann auch ein IT Sicherheitsproblem. Wo genau siehst du das Problem ?
hab ich doch geschrieben. Euer Problem liegt im Personal.
Grüße
lcer
Moin,
Nachdem Du alle vergrault hast, die Dir helfen wollen und können, noch ein letzter Kommentar von mir in diesem Thread:
Du hast die wesentlichen Punkte genannt bekommen:
Hasta la Vista, Baby
lks
Nachdem Du alle vergrault hast, die Dir helfen wollen und können, noch ein letzter Kommentar von mir in diesem Thread:
Du hast die wesentlichen Punkte genannt bekommen:
- Mit tracroute routen prüfen. Es gibt auch traceroute-Implementationen, die gezielt mit UDP oder TCP und dem gewünschten Zielport arbeiten!
- Firewalls prüfen, auch die Kunden und Providerfirewalls.
- Die FAQ 8.
Hasta la Vista, Baby
lks
Nein, das schließt er daraus das du nicht verstehst was geschrieben wird. Die Problemlösung wird schon im Thread stehen, denn auch wenn du mehrstufige Firewalls für Teufelszeug hälst geht das zum Glück nicht jedem so.
/Thomas
Gern geschehen. Dann noch an
Wie kann ich einen Beitrag als gelöst markieren?
denken.
Nettiquette muss für alle gelten.
Eigene Nase würde ich sagen. Und nicht alles immer persönluch nehmen. Wenn in der Sache kritisiert wird nehmen das viel zu viele als persönlichen Angriff.
Einfavh mal locker bleiben!
lks