ludaku
Goto Top

PowerChute Clients können nicht hinzugefügt werden

Hi

Ich habe hier den folgenden Netzwerkaufbau:
diagramm

Nun wollte ich den Server in der DMZ mit AutoShutdown ausstatten. Also PowerChute auf dem Server installiert und dann wollte ich es konfigurieren. Hier das Ergebnis:
error

Ich habe mal Wireshark auf dem Server angeschmissen und suchte nach Paketen mit dem Filter "ip.dst == 192.168.3.4" (dies ist die IP der USV). Dies liefert aber kein einziges Paket... Habe dann sogar mal die Windows Firewall ausgeschaltet, aber auch dann sehe ich kein einziges ausgehendes Paket zu der IP der USV...

Der Switch für die DMZ unterstützt glücklicherweise Port Mirroring. Also habe ich die Ports welche zu pfsense/USV/Server gehen auf einen freien Port gespiegelt, dort einen Laptop rangehängt und das selbe mit Wireshark nochmals probiert. Gleiches Ergebnis: Ich sehe kein Paket mit ip.dst = USV....

Hat jemand eine Idee? Evtl. eine andere Idee wonach ich filtern könnte im Kabelhai? Wo könnte das Problem beim Server liegen wenn nicht an der Windows Firewall?

LG MbGb

PS: Auch beim hinzufügen des Servers aus dem LAN habe ich ein ähnliches Problem wenn auch nicht das gleiche. Evtl. hilft diese Zusatzinfo ja so jemandem etwas. Ich möchte aber (noch) nicht auf die Probleme mit dem anderen Server eingehen.

Content-ID: 344286

Url: https://administrator.de/forum/powerchute-clients-koennen-nicht-hinzugefuegt-werden-344286.html

Ausgedruckt am: 22.12.2024 um 02:12 Uhr

ashnod
ashnod 24.07.2017 um 14:23:16 Uhr
Goto Top
Moin ...

Um was für eine USV handelt es sich?

VG
Ashnod
ludaku
ludaku 24.07.2017 um 14:28:39 Uhr
Goto Top
Sorry stimmt, das wäre auch noch eine hilfreiche Info für euch gewesen....

Ist eine APC SMT1500I

Greetings
chgorges
chgorges 24.07.2017 um 14:39:56 Uhr
Goto Top
Netzwerkkonfiguration der APC NIC passt?
Heißt, du kannst den gewünschten Server von der APC-NIC-Konsole anpingen und der Server kann auch die APC-NIC anpingen?
ludaku
ludaku 24.07.2017 aktualisiert um 15:06:32 Uhr
Goto Top
Zitat von @chgorges:
Netzwerkkonfiguration der APC NIC passt?
Ich habe die Netzwerkkonfiguration nochmals angeschaut und alles was die USV vom DHCP holt stimmt: IP, Gateway, Subnetz

Heißt, du kannst den gewünschten Server von der APC-NIC-Konsole anpingen und der Server kann auch die APC-NIC anpingen?
Vom Server aus erreiche ich die USV gar nicht. Weder via PowerChute, noch Webinterface, noch Ping. Gar nichts. von der Konsole der APC kann ich z.B. die pfsense anpingen, den Server aber nicht.
Nachtrag: Okay der Server kann auch nur die pfsense anpingen habe ich gerade gemerkt.
chiefteddy
chiefteddy 24.07.2017 um 15:36:32 Uhr
Goto Top
Hallo,

wenn die Netzwerkkarte in der USV (welche?) ihre Konfiguration über DHCP (wo im Netzwerk ist denn der DHCP-Server?) bezieht, scheint sie ja phy. iO. zu sein. Wie hast Du denn die Konfiguration der NIC in der USV überprüft, wenn Du nicht auf sie zugreifen kannst?

Warum sollte die USV über ihre NIC irgendwelche Datenpakete versenden, die Du mit Wireshark sehen willst?

Kann denn Server 1 über den Router/ Firewall der Server 2 erreichen (ping)?

Versuche über Telnet oder HTTP von einem PC (nicht der Server) im gleichen Subnetz die USV zu erreichen.

Jürgen
ludaku
ludaku 24.07.2017 aktualisiert um 16:30:10 Uhr
Goto Top
Zitat von @chiefteddy:
USV (welche?)
Oben nachgetragen, dort hat es auch noch andere überschneidende Fragen face-smile

Wie hast Du denn die Konfiguration der NIC in der USV überprüft, wenn Du nicht auf sie zugreifen kannst?
Ich kann vom Server aus nicht darauf zugreifen! Vom LAN allerdings problemlos.

Warum sollte die USV über ihre NIC irgendwelche Datenpakete versenden, die Du mit Wireshark sehen willst?
Nein, aber während des Zugriffs auf das Webinterface bzw. während PowerChute Kontakt zur USV aufnimmt, sollte der Server ja Datenpakete verschicken... Ich sehe aber au dem Server keine ausgehenden Pakete mit der USV als Ziel.

Kann denn Server 1 über den Router/ Firewall der Server 2 erreichen (ping)?
Wie gesagt würde ich den Server im LAN (vorerst) aussen vor lassen, aber aus dem LAN (allgemein) erreiche ich den Server in der DMZ problemlos.

Versuche über Telnet oder HTTP von einem PC (nicht der Server) im gleichen Subnetz die USV zu erreichen.
Ich erreiche die USV via Telnet/HTTP ja bereits aus dem LAN sogar! Trotzdem habe ich nun den Laptop in die DMZ gehangen und ich kann weder den Server noch die USV erreichen.

LG
chgorges
chgorges 25.07.2017 um 10:19:29 Uhr
Goto Top
Zitat von @ludaku:
Vom Server aus erreiche ich die USV gar nicht. Weder via PowerChute, noch Webinterface, noch Ping. Gar nichts. von der Konsole der APC kann > ich z.B. die pfsense anpingen, den Server aber nicht.
Nachtrag: Okay der Server kann auch nur die pfsense anpingen habe ich gerade gemerkt.

Ich erreiche die USV via Telnet/HTTP ja bereits aus dem LAN sogar! Trotzdem habe ich nun den Laptop in die DMZ gehangen und ich kann > weder den Server noch die USV erreichen.

Ja gut, die Tests zeigen dir ja, wo du ansetzen musst. Nimm die DMZ-ACEs der pfSense auseinander und schau, woran es hakt.
ludaku
ludaku 25.07.2017 aktualisiert um 11:48:11 Uhr
Goto Top
Habe ich schon probiert, kriege es aber irgendwie nicht hin. Was ich schon mal sehr speziell finde ist folgendes:

Ich habe folgende Regel erstellt, um Pings zu loggen:
rule

Ich sehe nun zum Beispiel in den Logs, wenn ich vom Server die pfsense anpinge, aber nicht wenn ich vom Server die USV anpinge... Ich müsste ja zumindest sehen, dass die pfsense letzteres ablehnt.. Also kommt doch der Ping erst gar nicht bei der pfsense an..
ludaku
ludaku 26.07.2017 aktualisiert um 08:51:24 Uhr
Goto Top
Nochmals:
Bin ich irgendwie auf den Kopf gefallen oder kann es dann nicht an der pfsense liegen wie von euch vermutet? (Bei dem Verhalten das ich geschildert habe)
chiefteddy
chiefteddy 26.07.2017 um 15:38:17 Uhr
Goto Top
Hallo,

nimm´ einen Switch, spiegle einen Port, schließe dort einen PC mit Wireshark an (KEINE Firewall aktivieren!!), schließe einen anderen PC an den 2. Port an und pinge die pfsens an. Was aus dem 2. PC raus geht (ping) siehst Du in Wireshark (oder es kommt nichts raus) und die Antwort der pfsens siehst Du auch in Wireshark!

Das gleiche in der DMZ.


Jürgen
ludaku
ludaku 26.07.2017 um 16:40:00 Uhr
Goto Top
Zitat von @chiefteddy:
nimm´ einen Switch, spiegle einen Port, schließe dort einen PC mit Wireshark an (KEINE Firewall aktivieren!!), schließe einen anderen PC an den 2. Port an und pinge die pfsens an. Was aus dem 2. PC raus geht (ping) siehst Du in Wireshark (oder es kommt nichts raus) und die Antwort der pfsens siehst Du auch in Wireshark!
1. Die pfsense kann ich ja ohne Probleme anpinge...
2. Das habe ich ja sozusagen bereits gemacht... Ich habe an Port 1 die USV angeschlossen und an Port 2 den Server. Dann habe ich beide Ports gespiegelt auf Port 3 und dort einen Laptop angeschlossen mit Wireshark. Dort dann den Verkehr mitgeschnitten, aber ich sehe nur Pings von oder zu der pfsense. Andere Pings sehe ich nicht

Ich verstehe es nicht... face-sad

LG
chiefteddy
chiefteddy 26.07.2017 um 18:50:23 Uhr
Goto Top
Hallo,

dann tausche doch mal den Server gegen einen anderen PC/ Laptop. Nur was "raus geht", kann Wireshark auch aufzeichnen. Wenn der Server keinen Ping sendet, kann die USV auch nicht antworten. Und Wireshark kann somit auch nichts aufzeichnen.

Und spiegele nur einen Port auf den Mirror-Port 3.

Ich habe für solche Fälle einen Raspberry Pi. Bei dem Raspbian-/ Debian-Linux weiß man, was man hat. Da spielen nicht irgend welche Windows-Einstellungen, die man nicht kennt, ihr Spielchen.

Jürgen

PS: Unabhängig von Deinem Problem würde ich die USV ins LAN stellen und nicht in die DMZ. Nicht das Dir jemand die USV hackt und Deine Server runter fährt. face-wink
ludaku
ludaku 27.07.2017 aktualisiert um 09:03:11 Uhr
Goto Top
Zitat von @chiefteddy:
Hallo,
Guten Morgen face-smile

dann tausche doch mal den Server gegen einen anderen PC/ Laptop. Nur was "raus geht", kann Wireshark auch aufzeichnen. Wenn der Server keinen Ping sendet, kann die USV auch nicht antworten. Und Wireshark kann somit auch nichts aufzeichnen.
Ich habe leider keinen PC über, den ich einfach anhängen könnte. (Dies ist für solche Fälle eigentlich der Laptop, aber den brauche ich ja für Wireshark) Ich habe aber nun noch folgendes probiert:
- Port wo der Server dran hängt gespiegelt und dann von der USV versucht den Server anzupingen. Kein entsprechendes Paket in Wireshark zu sehen.
- Port wo die PBX (es hat noch eine PBX in der DMZ) dran hängt gespiegelt und dann versucht von der USV und dem Server die PBX anzupingen. Kein entsprechendes Paket in Wireshark zu sehen.
- Port wo die USV dran hängt gespiegelt und dann vom Server versucht die USV anzupingen. Kein entsprechendes Paket in Wireshark zu sehen.

Dann habe ich den Port in der DMZ gespiegelt, an dem die pfsense dran hängt und habe folgende Tests durchgeführt:
- Vom Server versucht PBX sowie USV anzupingen. Kein entsprechendes Paket in Wireshark zu sehen.
- Von der USV versucht PBX sowie Server anzupingen. Kein entsprechendes Paket in Wireshark zu sehen.
- Von Server sowie USV versucht pfsense anzupingen. Gingen beide durch, und es sind entsprechende Pakete in Wireshark zu sehen.

Dann habe ich mal (ohne Portspiegelung etc.) einfach den Laptop in die DMZ gehängt, den Wireshark auf dem Laptop laufen lassen und versucht Server, PBX, USV sowie pfsense anzupingen. Dabei gingen alle Pings nicht durch und es erschien auch kein entsprechendes Paket in Wireshark. Ausser als ich die pfsense anpingte, dort kam ich durch und bekam auch die Pakete in Wireshark.

Ich habe bei all diesen Tests nach ICMP Paketen gefiltert.

Und spiegele nur einen Port auf den Mirror-Port 3.
Alles klar. Gibt es einen bestimmten Grund dafür? face-smile

PS: Unabhängig von Deinem Problem würde ich die USV ins LAN stellen und nicht in die DMZ. Nicht das Dir jemand die USV hackt und Deine Server runter fährt. face-wink
Wenn ich die USV ins LAN stelle muss ich aber was für Verkehr von der DMZ ins LAN aufmachen um den Server in der DMZ herunterfahren zu können. So ein Loch bzgl. der Sicherheit würde ich nur ungern aufreissen....
chiefteddy
chiefteddy 27.07.2017 um 11:43:27 Uhr
Goto Top
PS: Unabhängig von Deinem Problem würde ich die USV ins LAN stellen und nicht in die DMZ. Nicht das Dir jemand die USV hackt und Deine >> Server runter fährt.
Wenn ich die USV ins LAN stelle muss ich aber was für Verkehr von der DMZ ins LAN aufmachen um den Server in der DMZ herunterfahren
zu können. So ein Loch bzgl. der Sicherheit würde ich nur ungern aufreissen....

Welches Risiko größer ist (die ungeschützte USV in der DMZ wird gehackt und alle Server werden runtergefahren oder jemand kommt durch die Firewall an die USV im LAN) ist ja wohl "Ansichts-Sache".


Wenn in einer Broadcast-Domäne ein Rechner ein Ping aussendet und das geht auch raus, ist es in Wireshark zu sehen. Entweder der Spiegelport im Switch funktioniert nicht richtig oder dein PC/ Firewall macht nicht das, was er soll oder du bedienst Wireshark nicht korrekt.

Ob auf das ausgesendete Ping eine Antwort kommt, steht auf einem anderen Blatt. Aber wenn es kommt, dann ist es auch zu "sehen"!


Und spiegele nur einen Port auf den Mirror-Port 3.
Alles klar. Gibt es einen bestimmten Grund dafür?

Du hast ein Problem und mußt die Ursache eingrenzen. Also vereinfache die Situation auf das unbedingt Notwendige um Fehlerquellen auszuschließen.

Wenn der Server ein Ping aussendet, siehst du es am Spiegelport. Wenn er eine Antwort auf sein Ping erhält, siehst du es auch am Spiegelport. Da mußt du nicht auch noch die USV oder die pfsens auf den Spiegelport legen!


Jürgen
ludaku
ludaku 27.07.2017 um 13:50:40 Uhr
Goto Top
Zitat von @chiefteddy:
PS: Unabhängig von Deinem Problem würde ich die USV ins LAN stellen und nicht in die DMZ. Nicht das Dir jemand die USV hackt und Deine >> Server runter fährt.
Wenn ich die USV ins LAN stelle muss ich aber was für Verkehr von der DMZ ins LAN aufmachen um den Server in der DMZ herunterfahren
zu können. So ein Loch bzgl. der Sicherheit würde ich nur ungern aufreissen....
Welches Risiko größer ist (die ungeschützte USV in der DMZ wird gehackt und alle Server werden runtergefahren oder jemand kommt durch die Firewall an die USV im LAN) ist ja wohl "Ansichts-Sache".
OT: Ich erstelle also eine Regel: ALLOW from DMZ-Net to <IP-USV> nun kommt der Hacker durch diese Regel von der DMZ auf die USV im LAN. Von dort kommt er dann überall sonst wo hin im LAN.... (Ausschalten kann er dann sowieso alles, das ist dann sogar noch das kleinere Problem) Evtl. sehe ich das falsch, ich lerne immer gerne etwas neues dazu face-smile

Wenn in einer Broadcast-Domäne ein Rechner ein Ping aussendet und das geht auch raus, ist es in Wireshark zu sehen. Entweder der Spiegelport im Switch funktioniert nicht richtig oder dein PC/ Firewall macht nicht das, was er soll oder du bedienst Wireshark nicht korrekt.
Glaube ich irgendwie nicht, wieso erkläre ich jetzt:
Ich habe Wireshark auf dem Server laufen lassen und die PBX sowie die USV angepingt. Es hat aber keine ICMP Pakete in Wireshark mitgeloggt.
Wenn ich nun die pfsense anpinge klappt es und ich sehe die Pakete in Wireshark.
Bei einem Ping an PBX/USV erhalte ich auch nicht ein Timeout o.Ä., sondern eine Response vom Client selber: "Antwort von <IP-Server/localhost>: Zielhost nicht erreichbar."

Und spiegele nur einen Port auf den Mirror-Port 3.
Alles klar. Gibt es einen bestimmten Grund dafür?
Du hast ein Problem und mußt die Ursache eingrenzen. Also vereinfache die Situation auf das unbedingt Notwendige um Fehlerquellen auszuschließen.
Ahh okay, ich dachte schon das hat einen funktionellen Grund... Ich habe alle gespiegelt um krampfhaft einen ICMP Request irgendwo mitzuschneiden.

LG face-smile
chiefteddy
chiefteddy 27.07.2017 um 14:20:41 Uhr
Goto Top
Hallo,

Wireshark nutz nicht die im Laptop verbaute Kamera um zu erkennen, wer vor dem Laptop sitzt und den dann gezielt zu ärgern. face-smile

Wenn ein PING (ICMP-Paket) raus geht, wird das auch aufgezeichnet. Also entweder geht kein PING raus oder Wireshark bzw. der Rechner, auf dem Wireshark läuft, ist falsch konfiguriert.

Hänge den Laptop in die DMZ, starte Wireshark und pinge vom Laptop nacheinander alle Geräte in der DMZ an. Sorge aber vorher dafür, das diese Geräte auch ICMP-Pakete annehmen (Windows Firewall).

Wenn das funktioniert, kannst du dich deinem eigentlichen Problem zuwenden.

Jürgen
ludaku
ludaku 27.07.2017 aktualisiert um 14:53:35 Uhr
Goto Top
Zitat von @chiefteddy:
Wenn ein PING (ICMP-Paket) raus geht, wird das auch aufgezeichnet. Also entweder geht kein PING raus oder Wireshark bzw. der Rechner, auf dem Wireshark läuft, ist falsch konfiguriert.
Und genau DA liegt das Problem. Es geht kein Ping raus, ausser an das Gateway. Bei keinem Gerät in der DMZ. Die Windows Firewall habe ich bereits ausgeschlossen. Was kann es aber sonst noch sein??
Dass das komisch klingt ist mir durchaus bewusst, aber sonst wäre ich wohl kaum hier :D Auch das das der böse Wille der Technik ist glaube ich nicht :D

Hänge den Laptop in die DMZ, starte Wireshark und pinge vom Laptop nacheinander alle Geräte in der DMZ an. Sorge aber vorher dafür, das diese Geräte auch ICMP-Pakete annehmen (Windows Firewall).
Das hab ich ja bereits gemacht und auch oben kommentiert.
Es wird in Wireshark nichts angezeigt, ausser wenn ich das Gateway anpinge....
chiefteddy
chiefteddy 27.07.2017 um 16:11:32 Uhr
Goto Top
Hallo,

wenn ich mit meinem Laptop einen Ping absetze, egal ob das Ziel im gleichen Subnetz, irgendwo im LAN oder im Internet ist, Wireshark hat die Pakete erfaßt.

Nutze doch mal statt ping das Programm tracert.

Tausche den Switch mal gegen einen unmanaged Switch oder besser gegen einen alten Hub.

Sortiere den aufgezeichneten Trace in Wireshark mal nach Protollen und schaue, ob wirklich keine ICMP-Pakete aufgezeichnet sind.

Nochmal: wenn der PC auf dem Wireshark läuft, ein PING aussendet, wird das auch aufgezeichnet. Und dabei ist es unerheblich, ob das Ziel erreichbar ist oder nicht. Ansonsten ist etwas falsch konfiguriert.

Jürgen
ludaku
ludaku 27.07.2017 aktualisiert um 16:51:15 Uhr
Goto Top
Zitat von @chiefteddy:
wenn ich mit meinem Laptop einen Ping absetze, egal ob das Ziel im gleichen Subnetz, irgendwo im LAN oder im Internet ist, Wireshark hat die Pakete erfaßt.
Das es so sein sollte ist mir durchaus bewusst. Und dass es nicht so ist wundert mich ja genau so..

Nutze doch mal statt ping das Programm tracert.
Bekomme ich bei jedem Host in der DMZ die folgende Rückmeldung über:
1  <Name-localhostr> [<IP-localhost>]  meldet: Zielhost nicht erreichbar.
Ausser wenn ich einen tracert zum Gateway (pfsense) mache, dann bekomme ich diese Rückmeldung:
1    <1 ms    <1 ms    <1 ms  192.168.3.1

Tausche den Switch mal gegen einen unmanaged Switch oder besser gegen einen alten Hub.
Das könnte noch eine Idee sein... Allerdings habe ich gerade nichts so "dummes" da...

Sortiere den aufgezeichneten Trace in Wireshark mal nach Protollen und schaue, ob wirklich keine ICMP-Pakete aufgezeichnet sind.
Nein, nichts da... Das einzige was ich habe sind ein paar ARP-Requests die mit den Pings zusammenhängen könnten:
wireshark
(192.168.3.4 ist die USV und 192.168.3.2 ist der Server)

Nochmal: wenn der PC auf dem Wireshark läuft, ein PING aussendet, wird das auch aufgezeichnet. Und dabei ist es unerheblich, ob das Ziel erreichbar ist oder nicht. Ansonsten ist etwas falsch konfiguriert.
Was könnte da falsch konfiguriert sein?

LG face-smile
chiefteddy
chiefteddy 27.07.2017 aktualisiert um 17:15:26 Uhr
Goto Top
Hallo,

wie bekommen denn die Geräte in der DMZ ihre IP-Einstellungen?

Sind die korrekt? (IP, Mask und Gateway)


1 <Name-localhostr> [<IP-localhost>] meldet: Zielhost nicht erreichbar.

Der tracert lief auf die IP, nicht auf den DNS-Namen?

Auf den Geräten sind keine Firewalls oä. aktiviert?

Das Netzwerk ist physisch genau wie in der Zeichnung aufgebaut? L2-Switche ohne VLANs, kein Routing in den Switchen, keine ACLs.

Wenn das in der DMZ wirklich ein L2-Switch ist, setze ihn auf die Werkseinstellungen zurück, damit du sicher bist, dass da nicht irgendwelche alten Einstellungen rumgeistern.

Funktioniert denn von den Geräten in der DMZ ein Ping ins Internet?


Jürgen
ludaku
ludaku 04.08.2017 um 10:01:41 Uhr
Goto Top
Zitat von @chiefteddy:
Moin face-smile

wie bekommen denn die Geräte in der DMZ ihre IP-Einstellungen?
Die bekommen die IP-Settings via DHCP. Den DHCP Server spielt hier die pfsense.

Sind die korrekt? (IP, Mask und Gateway)
IP-Adresse, Subnetzmaske und Gateway sind korrekt.

1 <Name-localhostr> [<IP-localhost>] meldet: Zielhost nicht erreichbar.
Der tracert lief auf die IP, nicht auf den DNS-Namen?
Korrekt, ja.

Auf den Geräten sind keine Firewalls oä. aktiviert?
Habe ich deaktiviert zu Testzwecken.

Das Netzwerk ist physisch genau wie in der Zeichnung aufgebaut? L2-Switche ohne VLANs, kein Routing in den Switchen, keine ACLs.
Ja ist es. Layer2-Switche ohne VLAN, Routing ACLs, QOS usw.

Wenn das in der DMZ wirklich ein L2-Switch ist, setze ihn auf die Werkseinstellungen zurück, damit du sicher bist, dass da nicht irgendwelche alten Einstellungen rumgeistern.
Das wäre noch eine Idee, allerdings lässt sich dort wirklich kaum etwas einstellen, da es kein Full Managed Switch ist.

Funktioniert denn von den Geräten in der DMZ ein Ping ins Internet?
Ja, problemlos.

LG