10
Reiseauskunft der Bahnseite aus unserem Netzwerk nicht erreichbar
Hallo zusammen,
meine Kollegen und ich stehen ein wenig auf dem Schlauch. Die Reiseauskunft der deutschen Bahn kann bei uns im Netzwerk meistens nicht ausgeführt werden. Und da unsere Chefs die doch regelmäßig nutzen und brauchen ist es natürlich ein großes Problem.
Von den meisten Computern aus ist es gar nicht möglich eine Reiseauskunft durchzuführen.
Von meinem Arbeitsplatz aus war es bis gestern über den Internet Explorer 8.0 möglich, jedoch nicht über den Firefox oder Opera usw..
Seit dem ich gestern im Rahmen der Problemfindung mehrere externe DNS Server ausprobiert habe geht es über den FireFox gar nicht mehr. Ich komme nicht einmal mehr zum Suchformular! Der IE kommt noch bis zum Suchformular ober die Suche kann nicht durchgeführt werden. Wenn man das ganze mit dem Microsoft Netzwerk Monitor 3.3 sich anschaut fällt auf, das irgendwann die Server von deutschebahn.com nicht mehr antworten bis dann endlich die eigene IP irgendwann ein reset Flag sendet.
Beim durchprobieren der externen DNS Server hatte ich das Phänomen, dass es plötzlich Zeitweise wieder ging. Ich also über den FireFox und IE eine Reiseauskunft mehrfach hintereinander durchführen konnte. Als ich dann zu einem anderen wechselte ging nichts mehr.
A) Kurze Erläuterung zu unserem Netzwerk:
1 x Windows 2003 SP1 Server (primärer AD Server und DNS, Druckserver usw.)
1 x Windows 2003 SP1 Server (sekundär AD Server, Exchange 2003 Server)
1 x Windows 2003 SP1 Server (hier läuft unser GEO Informationssystem)
1 x Windows 2003 R2 Server (BlackBerry Server)
1 x Windows NT 4.0 (Fileserver)
1 x Linux Ubuntu 9.10 Server (Intranet, OCS Inventory NG)
1 x Linux Ubuntu 9.10 Server (Videoserver)
einen Proxy gibt es nicht!
1 x Juniper Firewall (Konfiguration mir Unbekannt, da von einem externen Rechenzentrum)
1 x Cisco Serie 800 Router (Konfiguration mir Unbekannt, da vom Provider konfiguriert und verwaltet. Eigentum von unserem Provider)
Der Juniper routet stumpf weiter zum Cisco welcher das Routing ins www übernimmt.
5 x HP ProCurve Swtich (2510-48 und 2524) (mit VLANs)
B) Wie haben bereits getestet:
- externer DNS (kein Erfolg)
- direkt an die Juniper Firewall/Router (kein Erfolg)
- Firewall für eine IP Komplett geöffnet (kein Erfolg)
- anderes Betriebssystem Ubuntu 9.10 Desktop (kein Erfolg)
- einen PC aus unserem Netzwerk an einem anderen Standpunkt und somit auch anderer Internetzugang (geht ohne Probleme)
- Fehler auf einem Switch (der Port, an dem der NT Server angeschlossen ist verursacht viele Fehler! Innerhalb von 12 Tagen ca. 17000, davon 800 FCS RX Error, mögliche Ursache?)
C) Jetzt seit ihr gefragt:
Ich bekomme da irgendwie keinen roten Pfaden rein.
Habt ihr irgendwelche Ideen? Kennt ihr zufällig ähnliches oder gar das gleiche Problem?
Werde als nächstes erst einmal versuchen die Netzwerkprobleme in den Griff zu bekommen. Wobei ich mich dann Frage, warum es direkt von der Firewall/Router aus ebenfalls nicht geht. Es ist mir ein großes Rätzel und um alles zu verstehen habe ich zu große Wissenslücken.
Gruß
Jörg
meine Kollegen und ich stehen ein wenig auf dem Schlauch. Die Reiseauskunft der deutschen Bahn kann bei uns im Netzwerk meistens nicht ausgeführt werden. Und da unsere Chefs die doch regelmäßig nutzen und brauchen ist es natürlich ein großes Problem.
Von den meisten Computern aus ist es gar nicht möglich eine Reiseauskunft durchzuführen.
Von meinem Arbeitsplatz aus war es bis gestern über den Internet Explorer 8.0 möglich, jedoch nicht über den Firefox oder Opera usw..
Seit dem ich gestern im Rahmen der Problemfindung mehrere externe DNS Server ausprobiert habe geht es über den FireFox gar nicht mehr. Ich komme nicht einmal mehr zum Suchformular! Der IE kommt noch bis zum Suchformular ober die Suche kann nicht durchgeführt werden. Wenn man das ganze mit dem Microsoft Netzwerk Monitor 3.3 sich anschaut fällt auf, das irgendwann die Server von deutschebahn.com nicht mehr antworten bis dann endlich die eigene IP irgendwann ein reset Flag sendet.
Beim durchprobieren der externen DNS Server hatte ich das Phänomen, dass es plötzlich Zeitweise wieder ging. Ich also über den FireFox und IE eine Reiseauskunft mehrfach hintereinander durchführen konnte. Als ich dann zu einem anderen wechselte ging nichts mehr.
A) Kurze Erläuterung zu unserem Netzwerk:
1 x Windows 2003 SP1 Server (primärer AD Server und DNS, Druckserver usw.)
1 x Windows 2003 SP1 Server (sekundär AD Server, Exchange 2003 Server)
1 x Windows 2003 SP1 Server (hier läuft unser GEO Informationssystem)
1 x Windows 2003 R2 Server (BlackBerry Server)
1 x Windows NT 4.0 (Fileserver)
1 x Linux Ubuntu 9.10 Server (Intranet, OCS Inventory NG)
1 x Linux Ubuntu 9.10 Server (Videoserver)
einen Proxy gibt es nicht!
1 x Juniper Firewall (Konfiguration mir Unbekannt, da von einem externen Rechenzentrum)
1 x Cisco Serie 800 Router (Konfiguration mir Unbekannt, da vom Provider konfiguriert und verwaltet. Eigentum von unserem Provider)
Der Juniper routet stumpf weiter zum Cisco welcher das Routing ins www übernimmt.
5 x HP ProCurve Swtich (2510-48 und 2524) (mit VLANs)
B) Wie haben bereits getestet:
- externer DNS (kein Erfolg)
- direkt an die Juniper Firewall/Router (kein Erfolg)
- Firewall für eine IP Komplett geöffnet (kein Erfolg)
- anderes Betriebssystem Ubuntu 9.10 Desktop (kein Erfolg)
- einen PC aus unserem Netzwerk an einem anderen Standpunkt und somit auch anderer Internetzugang (geht ohne Probleme)
- Fehler auf einem Switch (der Port, an dem der NT Server angeschlossen ist verursacht viele Fehler! Innerhalb von 12 Tagen ca. 17000, davon 800 FCS RX Error, mögliche Ursache?)
C) Jetzt seit ihr gefragt:
Ich bekomme da irgendwie keinen roten Pfaden rein.
Habt ihr irgendwelche Ideen? Kennt ihr zufällig ähnliches oder gar das gleiche Problem?
Werde als nächstes erst einmal versuchen die Netzwerkprobleme in den Griff zu bekommen. Wobei ich mich dann Frage, warum es direkt von der Firewall/Router aus ebenfalls nicht geht. Es ist mir ein großes Rätzel und um alles zu verstehen habe ich zu große Wissenslücken.
Gruß
Jörg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 136748
Url: https://administrator.de/contentid/136748
Printed on: April 23, 2024 at 22:04 o'clock
10 Comments
Latest comment
Hi !
Des Redsels Verzwickung wird wohl in der "externen" Firewall stecken. Schon mal das ganze Netz von der FW abgehängt und nur einen PC probiert (natürlich nach dem die Mitarbeiter Feierabend haben) und wenn Ihr doch schon einen externen Anbieter für die Firewall habt, warum den nicht um Hilfe bitten...
Edit: Du könnest ja auch mal die Gegenprobe machen, einen PC der ständig diese Probleme macht, an einen einfachen NAT-Router (z.B. die Fritzbox) hängen und schauen was da passiert. Wenn der dort dann fehlerfrei funtzt, bist Du zumindest einen minimalen Schritt weiter, so wie ich das herauslese habt ihr an zu vielen "Schrauben" gleichzeitig gedehnt und dann wird es echt schwierig so einen Fehler zu finden. Einen Portspiegel am Switch setzen (oder einen alten HUB verwenden) und Wireshark mitlaufen lassen, wäre auch noch eine Möglichkeit...
mrtux
Zitat von @Curver:
direkt von der Firewall/Router aus ebenfalls nicht geht. Es ist mir ein großes Rätzel und um alles zu verstehen habe
direkt von der Firewall/Router aus ebenfalls nicht geht. Es ist mir ein großes Rätzel und um alles zu verstehen habe
Des Redsels Verzwickung wird wohl in der "externen" Firewall stecken. Schon mal das ganze Netz von der FW abgehängt und nur einen PC probiert (natürlich nach dem die Mitarbeiter Feierabend haben) und wenn Ihr doch schon einen externen Anbieter für die Firewall habt, warum den nicht um Hilfe bitten...
Edit: Du könnest ja auch mal die Gegenprobe machen, einen PC der ständig diese Probleme macht, an einen einfachen NAT-Router (z.B. die Fritzbox) hängen und schauen was da passiert. Wenn der dort dann fehlerfrei funtzt, bist Du zumindest einen minimalen Schritt weiter, so wie ich das herauslese habt ihr an zu vielen "Schrauben" gleichzeitig gedehnt und dann wird es echt schwierig so einen Fehler zu finden. Einen Portspiegel am Switch setzen (oder einen alten HUB verwenden) und Wireshark mitlaufen lassen, wäre auch noch eine Möglichkeit...
mrtux
Oh, habe vergessen zu erwähnen, dass wir dies bereits getan haben.
Also, der Herr der die Firewall verwaltet hat seine Konfigurationen überprüft, hat aber nichts gefunden. Er hat uns eine IP auch komplett frei geschaltet, um die Regeln der Firewall auszuschließen, ohne Erfolg. Zumal von der Logik her müsste doch eine Regel auf einer Firewall greifen oder nicht greifen. Wie kann es dann sein, dass es bei einigen gar nicht geht, bei anderen wiederum es im IE läuft bei anderen nicht usw.?
Wir dachten auch zuerst die Firewall sei schuld, da diese vor kurzem erst ausgetauscht wurde und uns bald danach das Problem durch einen Mitarbeiter bekannt gegeben wurde.
Ach ja, wir hatten auch schon die Antivirensoftware in Verdacht, aber es hat sich ja herausgestellt, dass es unter Ubuntu ebenfalls nicht funktioniert und auch frisch aufgesetzte PCs die gleiche Problematik aufweisen. Die können wir denke ich auch ausschließen.
Also, der Herr der die Firewall verwaltet hat seine Konfigurationen überprüft, hat aber nichts gefunden. Er hat uns eine IP auch komplett frei geschaltet, um die Regeln der Firewall auszuschließen, ohne Erfolg. Zumal von der Logik her müsste doch eine Regel auf einer Firewall greifen oder nicht greifen. Wie kann es dann sein, dass es bei einigen gar nicht geht, bei anderen wiederum es im IE läuft bei anderen nicht usw.?
Wir dachten auch zuerst die Firewall sei schuld, da diese vor kurzem erst ausgetauscht wurde und uns bald danach das Problem durch einen Mitarbeiter bekannt gegeben wurde.
Ach ja, wir hatten auch schon die Antivirensoftware in Verdacht, aber es hat sich ja herausgestellt, dass es unter Ubuntu ebenfalls nicht funktioniert und auch frisch aufgesetzte PCs die gleiche Problematik aufweisen. Die können wir denke ich auch ausschließen.
Das ist sehr wahrscheinlich ein MTU Problem auf dem 800er Router wie so oft. Stelle sicher beim Provider das die folgenden Parameter dort eingetragen sind:
interface Ethernet0
description Lokales LAN (Firmen LAN)
ip address 192.168.0.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
no cdp enable
!
interface Dialer0
description Internet Provider
ip address negotiated
ip mtu 1492
ip nat outside
ip inspect FW out
encapsulation ppp
Damit sollte dann jede Webseite klappen ! Was der Grund dafür ist kannst du hier nachlesen.
interface Ethernet0
description Lokales LAN (Firmen LAN)
ip address 192.168.0.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
no cdp enable
!
interface Dialer0
description Internet Provider
ip address negotiated
ip mtu 1492
ip nat outside
ip inspect FW out
encapsulation ppp
Damit sollte dann jede Webseite klappen ! Was der Grund dafür ist kannst du hier nachlesen.
Die Software der Bahn (HaCon HAFAS) hat in der URL 
"query.exe", da springt eine falsch konfigurierte Firewall (UTM und Konsorten) gerne mal drauf an...
Habe mal die Reiseauskunft www.weser-ems-bus.de getestet und diese funktioniert. Benutzt ebenfalls die HaCon HAFAS Software. Dann kann es daran schon einmal nicht mehr liegen, denke ich. Schade
Das Problem ist gelöst. Deine Lösung war die richtige, nur am falschen Router. Es war nicht die vom Provider, sonder der Router (Juniper Netscreen) dort hinter. Dort war der MTU Wert auf 1456 gestellt.
Hast du die MTU und MSS angepasst ?? Ansonsten kannst du das auch mal manuell auf einem Einzel PC testen mit der SW Dr. TCP:
http://www.dslreports.com/drtcp
Dort kannst du mal die MTU auf 1400 einstellen oder kleiner auf dem Ethernet und checken ob das dann durchgeht.
Nur mal blöd nachgefragt: Um ein IE Problem sicher auszuschliessen hast du es wenigstens alternativ mal mit einem "richtigen" Browser wie Firefox, Safari oder Opera getestet ??
http://www.dslreports.com/drtcp
Dort kannst du mal die MTU auf 1400 einstellen oder kleiner auf dem Ethernet und checken ob das dann durchgeht.
Nur mal blöd nachgefragt: Um ein IE Problem sicher auszuschliessen hast du es wenigstens alternativ mal mit einem "richtigen" Browser wie Firefox, Safari oder Opera getestet ??
Hehe, natürlich habe ich das ganze in "richtigen" Browsern getestet. Aber das Problem ist ja behoben und es lag an der MTU an der Juniper Netscreen Firewall. Dort war sie zu klein eingestellt. Die ganze Internetverbindung läuft jetzt irgendwie performanter. Vieles wo man zuvor warten musste geht es jetzt richtig schnell.
Vielen Dank für eure Hilfe!
Vielen Dank für eure Hilfe!
Hi !
Ups, der Aqui halt, der denkt halt immer an alles!
An so was simples, wie eine falsch gesetzte MTU habe ich natürlich nicht gedacht, obwohl es ja eigentlich genau den von dir beschriebenen Effekten entspricht......Sorry, wollte dich mit meinem Wireshark "Tipp" nicht durcheinander bringen oder gar auf eine falsche Fährte lenken...
mrtux
Zitat von @Curver:
Hehe, natürlich habe ich das ganze in "richtigen" Browsern getestet. Aber das Problem ist ja behoben und es lag an
der MTU an der Juniper Netscreen Firewall. Dort war sie zu klein eingestellt. Die ganze Internetverbindung läuft jetzt
Hehe, natürlich habe ich das ganze in "richtigen" Browsern getestet. Aber das Problem ist ja behoben und es lag an
der MTU an der Juniper Netscreen Firewall. Dort war sie zu klein eingestellt. Die ganze Internetverbindung läuft jetzt
Ups, der Aqui halt, der denkt halt immer an alles!
An so was simples, wie eine falsch gesetzte MTU habe ich natürlich nicht gedacht, obwohl es ja eigentlich genau den von dir beschriebenen Effekten entspricht......Sorry, wollte dich mit meinem Wireshark "Tipp" nicht durcheinander bringen oder gar auf eine falsche Fährte lenken...
mrtux
Hallo Curver,
wie hast du denn festgestellt das der Wert zu klein war? Und vor allem wie hast du den passenden Wert ermittelt. Und welchen Wert hast du an welchem Interface eingestellt.
Ich habe hier ein 10 Mbit Company Connect der ja eigentlich ziemlich Flott sein sollte. Leider hat man immer den Eindruck alles zieht sich wie Kaugummi wenn man eine Seite aufruft. Die selben Seiten zuhause aufgerufen werden wesentlich flotter übertragen.....
Ich habe hier auch eine Juniper und auf beiden Interfaces (WAN/ Lan) ist die MTU auf 1500 gestellt.
Gruß
Daniel
wie hast du denn festgestellt das der Wert zu klein war? Und vor allem wie hast du den passenden Wert ermittelt. Und welchen Wert hast du an welchem Interface eingestellt.
Ich habe hier ein 10 Mbit Company Connect der ja eigentlich ziemlich Flott sein sollte. Leider hat man immer den Eindruck alles zieht sich wie Kaugummi wenn man eine Seite aufruft. Die selben Seiten zuhause aufgerufen werden wesentlich flotter übertragen.....
Ich habe hier auch eine Juniper und auf beiden Interfaces (WAN/ Lan) ist die MTU auf 1500 gestellt.
Gruß
Daniel
