arti
Goto Top

Plötzlicher Internetausfall an einzelnen Rechnern

Hallo zusammen,

ich betreue einen Kunden mit mehreren Außenstellen und einer Zentrale.
Jede Außenstelle verfügt über eine JUNIPER VPN-Firewall (Modell SSG-5) und wird hierüber per VPN an die Zentrale angebunden, dies läuft auch an allen Standorten (bis auf eine) völlig problemlos.
Gestern war ich bei dieser Außenstelle bei der es zu folgendem Phänomen kommt:
2 Mitarbeiter arbeiten mir Ihren PCs über VPN auf dem Terminalserver in der Zentrale und plötzlich wird die Verbindung unterbrochen, jedoch nicht bei beiden PCs gleichzeitig, sondern voneinander völlig unabhängig und unregelmäßig.
Wenn an einem der PCs dieser Fehler auftritt, kann man trotzdem einen PING auf die IP der Firewall absetzen und erhält auch eine Antwort, aber ein PING auf z.B. 8.8.8.8, also hinter die Firewall ist mit diesem PC dann nicht mehr möglich. Auch das WEB-Interface der Firewall kann dann nicht mehr aufgerufen werden.
Zunächst habe ich die Treiber der Netzwerkkarten aktualisiert => ohne Erfolg. Dann die Energieeinstellungen der Netzwerkkarte deaktiviert => ohne Erfolg. IP-Änderung, PC-Namensänderung => ohne Erfolg. Immer das selbe Verhalten, sporadisch geht die Internetverbindung für einen der beiden PCs verloren, der andere kann weiterarbeiten. An diesem Standort hat es auch noch einen EDV-Raum mit 30 PCs, diese habe nie das beschriebene Problem. Ich habe dann die beiden PCs im jeweiligen Büro abgebaut und im EDV-Raum angeschlossen, auch hier trat der Fehler nach kurzer Zeit auf, also kann es eigentlich auch nicht an der LAN-Zuleitung zur Firewall liegen. Ich habe dann einen neuen PC vorbereitet, die IP-Adresse entsprechend vergeben, Software angepasst und hatte nach kurzer Zeit das selbe Phänomen, auch dieser PC verlor sporadisch den Internetzugang. Meist kann man dieses Probelm damit beheben, indem man die Netzwerkkarte deaktiviert und wieder aktiviert, oder indem man die IP-Einstellungen speichert und dabei den Haken setzt, dass die Einstellungen beim Speichern geprüft werden sollen. Dann kam zwar immer der Fehler, dass der DNS-Server (IP der Firewall) nicht antworten würde, aber danach war ein PING ins Internet wieder möglich.
Ich muss dazu sagen, dass diese PCs alle mit Windows7-64-Bit installiert sind, Updates installiert sind, Office 2013 installiert ist und sonst nichts. Lediglich die beiden PCs die diesen Fehler haben, haben zusätzlich den ThinPrint-Client in der aktuellen Version installiert. Da auch der PC, den ich neu installieren wollte diesen ThinPrint-Client installiert hatte, frage ich mich ob es in irgendeiner Weise sein kann, dass das die Ursache ist? Dieser ThinPrint-Client ist aber auch auf allen anderen Verwaltungsrechnern der anderen Außenstellen installiert und dort tritt dieser Fehler nirgendwo auf.

Da ich mit meinem Latein am Ende bin, hoffe ich auf diesem Wege einen Lösungsansatz zu bekommen...

Schon mal vorab vielen Dank für Eure Hilfe

Arti

Content-ID: 256749

Url: https://administrator.de/contentid/256749

Ausgedruckt am: 25.11.2024 um 13:11 Uhr

aqui
aqui 04.12.2014 aktualisiert um 18:39:22 Uhr
Goto Top
Einen Internet Fehler direkt kannst du mit 99,9% Sicherheit ausschliessen denn dann könnten andere auch nicht arbeiten. Also Die Juniper Firewall, DSL Router und der Provider Anschluss an sich sind schon mal raus.

Für dich scheint dann aber ab PC das "Internet" irgendwie vorbei zu sein, denn vom dann folgenden lokalen LAN bzw. lokalen Switch der diese Geräte ja bedient kein Sterbenswörtchen von dir als mögliche Ursache ! face-sad
Vermutlich liegt die aber genau hier ?! Billigste Taiwan Gurke die in den letzten Zügen liegt oder was auch immer... Da du das Thema ja geflissentlich ignoriert hast bleiben jetzt eine Menge an Optionen. Also fangen wir mal fröhlich an mit raten:
  • Passive Komponenten kaptutt wie Anschlussdose, Patchkabel, Verlegekabel
  • Switchport defekt
  • Switch als solches defekt
  • Switch oder NIC hat ein Autonegotiation Problem mit der NIC Karte der betroffenen PCs (Speed und Duplex Mismatch)
  • Wenn diese Rechner nicht mehr arbeiten können (Internet) funktioniert dann das lokale LAN (Ping einer lokalen IP Adresse, Router, Server etc.) ?
  • Hast du den NIC Treiber direkt von der Chipsatz Hersteller Seite geladen und installiert ?? (Realtek, Intel, Atheros etc.)
  • Ist auf den PCs sowas wie Kaspersky Security oder ein anderer Security Unsinn installiert der ggf. Amok läuft ?
  • Hast du testweise mal eine 2te NIC in den Rechner gesteckt (sowas kostet 4 Euro !) und die alte deaktiviert und getestet ob diese NIC dann fehlerfrei rennt ?
  • Hast du testweise mal ein Linux Live System gebootet wie z.B. Knoppix und mal geschekct ob damit die Ausfälle auch passieren (um OS Fehler als solches auszuschliessen) ?
Hast du wenigstens all diese möglichen Fehlerquellen mal geprüft ?
Pjordorf
Pjordorf 04.12.2014 um 18:41:29 Uhr
Goto Top
Hallo,

Zitat von @arti:
ich betreue einen Kunden
OK...

eine JUNIPER VPN-Firewall (Modell SSG-5)
OK.

hierüber per VPN
Macht die SSG ein Standort zu Standort VPN oder machen die Clients was die wollen?

2 Mitarbeiter arbeiten mir Ihren PCs über VPN auf dem Terminalserver in der Zentrale
2 Clients die gleichzeitig per RDP zugange sind, richtig?

unterbrochen, jedoch nicht bei beiden PCs gleichzeitig, sondern voneinander völlig unabhängig
Also eine der 2 Clients hat nach wie vor eine funktionierende RDP Sitzung zum TS und kann tatsächlich damit Arbeiten (nicht das dort gerade im Hintergrund der RDP Client versucht die Verbindung wieder herzustellen) während am anderen Client kein RDP mehr funktioniert? Was sagt dann ein ping auf euren TS von beiden Clients aus wenn dieses Problem eintritt?

aber ein PING auf z.B. 8.8.8.8, also hinter die Firewall ist mit diesem PC dann nicht mehr möglich.
Geht das restliche Internet über den VPN Tunnel oder nicht? Routing? Ping auf die Externe IP der SSG oder auf die WAN IP eures Routers/Modems je nach dem was ihr habt?

Auch das WEB-Interface der Firewall kann dann nicht mehr aufgerufen werden.
CLI geht aber noch? Telnet?

Dann kam zwar immer der Fehler, dass der DNS-Server (IP der Firewall)
habt ihr keine Domäne und entsprechende DNS?

ich auf diesem Wege einen Lösungsansatz zu bekommen...
SSG austauschen....

Gruß,
Peter
arti
arti 04.12.2014 um 22:40:39 Uhr
Goto Top
Hallo Pjordorf,


Deine Frage: Macht die SSG ein Standort zu Standort VPN oder machen die Clients was die wollen?
Antwort: Die SSG ist Firewall+VPN-Router in einem, sie stellt eine VPN-Verbindung zur Zentrale her über deren Verbindung sich die entsprechenden Verwaltungs-PCs in der Zentrale auf dem Terminalserver einwählen.

Deine Frage: 2 Clients die gleichzeitig per RDP zugange sind, richtig?
Antwort: Ja richtig, ist auch normalerweise nie ein Problem. Das ganze lief auch schon nahezu ein Jahr stabil...

Deine Frage: Also eine der 2 Clients hat nach wie vor eine funktionierende RDP Sitzung zum TS und kann tatsächlich damit Arbeiten (nicht das dort gerade im Hintergrund der RDP Client versucht die Verbindung wieder herzustellen) während am anderen Client kein RDP mehr funktioniert? Was sagt dann ein ping auf euren TS von beiden Clients aus wenn dieses Problem eintritt?
Deine Frage: Geht das restliche Internet über den VPN Tunnel oder nicht? Routing? Ping auf die Externe IP der SSG oder auf die WAN IP eures Routers/Modems je nach dem was ihr habt?
Deine Frage: CLI geht aber noch? Telnet?

Antwort: Es ist genau so: während der eine Client abstürzt, kann der andere, bzw. alle anderen weiter arbeiten, d.h. der Absturz eines PCs beschränkt sich wirklich nur auf diesen einen PC, die anderen Rechner sind davon nicht betroffen; der abgestürtzte kann keine RDP-Sitzung mehr herstellen, kann weder den Terminalserver anpingen noch sonst irgend eine IP-Adresse die außerhalb des LANs liegt bzw. keine IP die hinter der LAN-seitigen IP der Firewall liegt, jedoch funktioniert die LAN-seitige Kommunikation tadellos, ein Netzwerkdrucker kann angepingt werden, andere PCs im Netz können angepingt werden, auch die IP-Adresse der Firewall kann noch angepingt werden, jedoch kann das WEB-Interface der Firewall von dem abgestürtzten PC aus nicht mehr angesprochen werden, während es von jedem anderen "funktionierenden" PC aufgerufen werden kann. Der VPN-Tunnel steht weiterhin, denn die nicht betroffenen PCs können weiterhin mit dem Termianlserver arbeiten, welcher aber nur über die VPN-Verbindung erreichbar ist. Ob eine Telnetsitzung vom abestürzten PC noch funktioniert habe ich nicht getestet, aber die Firewall reagiert gegenüber den anderen Rechnerweiterhin völlig normal.

Deine Frage: habt ihr keine Domäne und entsprechende DNS?
Antwort: Nein, das ist nur ein stupides WORKGROUP-Netzwerk, die Domäne gibt es nur in der Zentrale, ist aber für die Anwendung auch überhaupt kein Problem.

Deine Lösung: SSG austauschen....
Antwort: hatte ich bereits gestern gemacht, aber vergessen in meinem ersten Beitrag zu erwähnen. Getauscht wurden bereit: - Firewall/Router, - DSL-Modem, durch den Anschluss der betroffenen Rechner in einem anderen Raum wurde auch Anschlußdose und PATCH-Kabel und PORT am Switch getauscht, ich habe auch den PC getauscht (s.o.), IP-Adresse und PC-Name geändert. Durch den Tausch des Rechners ist eigentlich auch evtl. Malware ausgeschlossen...

Für mich bleiben eigentlich nur noch folgende Überlegungen: - es könnte theoretisch noch der zentrale Switch bei der Firewall sein, aber warum betrifft es dann nicht alle PCs sondern nur die beiden angesprochenen; - selbst ein neuer PC der mit Windows 7, Office 2013 und dem ThinPrint-Client installiert ist zeigt nach ein paar Minuten erste Ausfälle, einziger Unterschied zu den PCs die nicht ausfallen ist dieser ThinPrint-Client, der ist auf den restlichen PCs nicht installiert (jedoch auf ca. 150 anderen Pcs die an anderen Standorten eingesetzt sind und auf die selbe Art und Weise betrieben werden

... Ihr seht, ich stelle meine eigene Überlegungen selbst sofort wieder in Frage...
aqui
aqui 05.12.2014 um 08:55:00 Uhr
Goto Top
Antwort: Es ist genau so: während der eine Client abstürzt, kann der andere, bzw. alle anderen weiter arbeiten,
Und genau deswegen ist die gesamte Diskussion über die Juniper FW und was sie macht oder nicht macht, ob Tunnel oder nicht und welche Farbe sie hat völlig obsolet, denn daran liegt es de facto nicht.
es könnte theoretisch noch der zentrale Switch bei der Firewall sein, aber warum betrifft es dann nicht alle PCs sondern nur die beiden angesprochenen;
Weil ggf. der Port oder der Part ASIC des Switches defekt ist. Ist aber auch Unsinn, denn oben schreibst du ja selber: "Anschlußdose und PATCH-Kabel und PORT am Switch getauscht"
Wenn das z.B. ein Port war der mit einem anderen Rechner tadellos funktionierte kannst du auch den Switch als Fehlerursache ausschliessen.
Bei solcherlei "Phänomenen" riecht das eher nach einer Amok laufenden Security Suite auf dem Rechner wie Kaspersky oder Norton usw.
Deshalb der Tip: Live Linux Booten und checken !
arti
arti 05.12.2014 um 09:21:28 Uhr
Goto Top
Hallo aqui,

auf den beiden betroffenen Rechnern ist die Windows-interne Firewall deaktiviert und als Virenschutz ist lediglich F-SECURE Antivirus for Workstation in Vers. 11.5 installiert, diese beinhaltet keine Firewall-Komponente. Außerdem hatte ich auch schon den PC gegen einen anderen getauscht und hatte ja mit dem neuen PC nach kurzer Zeit das selbe Problem...

Mit LINUX habe ich leider überhaupt keine Erfahrung, daher komme ich auf diese Weise nicht wirklich weiter.

Ich hatte schon den Gedanken, dass irgend etwas passiert und der betroffene PC dann über eine andere IP mit der Firewall kommuniziert und deßhalb die Firewall blockt, weil diese IP nicht definiert ist. Ich habe aber gestern morgen eine Firewallregel erstellt, die allen IP-Adressen aus dem lokalen LAN erlaubt über alle Dienste an alle Zieladressen zu kommunizieren, also im Prinzip die Firewall komplett geöffnet und trotzdem trat der Fehler wieder auf...
Chonta
Chonta 05.12.2014 um 10:51:27 Uhr
Goto Top
Hallo,

also die Rechner haben das selbe Problem egal wo die stehen.
Die beiden rechner verlieren nicht das netzwerk sondern nur die Verbindung in das Internet und zur Firewall.

Was sagt denn die Fireall? Blockt die evtl ab und zu die PCs, wegen was auch immer?
Oder etwas auf den PCs blockt die Firewall.

Wenn das lokale Netzwerk geht (Freigaben, Ping auf Drucker etc.)...
Installiere mal wireshark und wenn das problem auftaucht schaus Dir mal an.
Oder schneller wenn das problem auftaucht, arp -d und dann einen Ping auf die Firewall.
Wenn die Macadresse von der auftaucht wird der Rechner wegen irgendwas geblockt.

Logs der Firewall
Logs der PCs.

Gruß

Chonta
brammer
brammer 05.12.2014 um 11:50:14 Uhr
Goto Top
Hallo,

hast du die Netzwerkeinstellungen geprüft?
Passen die IP oder DHCP Einstellungen?
Gibt es sowas wie eine secondary IP oder ist einer der Rechner irgendwo noch an einem Netzwerk mit einem 2ten Gateway angebunden?

brammer
arti
arti 05.12.2014 um 12:23:11 Uhr
Goto Top
Hallo,
Ja die IP-Einstellungen habe ich als erstes kontrolliert. Jeder PC hat nur eine feste IP, DHCP ist nicht vorhanden und einen zweiten Gateway gibt es auch nicht...

Gruß arti
brammer
brammer 05.12.2014 um 12:56:20 Uhr
Goto Top
Hallo,

dann mach das was @aqui sagt!
Nimm dir eine Linux Live CD (Knoppix, Ubuntu o.ä.) und teste mal damit.
Da braucht man auch keine Linux Freak für zu sein.. die bedienen sich fast genauso wie ein Windows....

brammer