12
Routing - Netzwerk Problem - zwischen Filiale und Zentrale
Hallo,
ich habe zwei Netze, welche per Provider MPLS geschaltet wird. Bzw. es nur am Hauptstandort ein Outbreak gibt.
Die Filiale hat das Netz 10.200.0.0 /16 Mein Test Client die IP 10.200.100.120 255.255.0.0 GW 10.200.6.2
Der normale Router vom Provider ist gleichzeitig auch unser Standardgateway dort. Somit die 10.200.30.99.
Der Hauptstandort hat das Netz 10.100.0.0 /16 Dort mein Test Client 10.100.20.100 GW 10.100.30.99
Da an der Filiale ist nun eine neue zusätzliche Internetanbindung geschaffen worden, wir haben eine eigene Firewall dort installiert. Diese hat einen eigenen Internet Ausgang. Somit dort zwei Routen mit dem Netz 10.100.0.0 /16 nach 10.200.30.99 (um den bestehenden Weg über die MPLS Anbindung zu schaffen) und eine für den Internet Access default alles an seinen WAN Port.
Mein Problem derzeit. Ich kann mit meinem Cient aus dem 10.100. Netz den Test Client in der Filiale anpingen und Tracern. Jedoch keine anderen Dienste Freigaben etc. erreichen. Auf der neuen Firewall tauche ich zudem auch nicht im Log auf.
Von dem Client in der Filiale kann ich aber alles auf meinem Client im 10.100. Netz anstellen. Dort erreiche ich sämtliche Ports, Freigaben, Dienste.
Was wie wo fehlen mir Routen oder was muss ich in der Firewall noch richtig einstellen damit ich Zugriff bekomme? Bin etwas verzweifelt.
ich habe zwei Netze, welche per Provider MPLS geschaltet wird. Bzw. es nur am Hauptstandort ein Outbreak gibt.
Die Filiale hat das Netz 10.200.0.0 /16 Mein Test Client die IP 10.200.100.120 255.255.0.0 GW 10.200.6.2
Der normale Router vom Provider ist gleichzeitig auch unser Standardgateway dort. Somit die 10.200.30.99.
Der Hauptstandort hat das Netz 10.100.0.0 /16 Dort mein Test Client 10.100.20.100 GW 10.100.30.99
Da an der Filiale ist nun eine neue zusätzliche Internetanbindung geschaffen worden, wir haben eine eigene Firewall dort installiert. Diese hat einen eigenen Internet Ausgang. Somit dort zwei Routen mit dem Netz 10.100.0.0 /16 nach 10.200.30.99 (um den bestehenden Weg über die MPLS Anbindung zu schaffen) und eine für den Internet Access default alles an seinen WAN Port.
Mein Problem derzeit. Ich kann mit meinem Cient aus dem 10.100. Netz den Test Client in der Filiale anpingen und Tracern. Jedoch keine anderen Dienste Freigaben etc. erreichen. Auf der neuen Firewall tauche ich zudem auch nicht im Log auf.
Von dem Client in der Filiale kann ich aber alles auf meinem Client im 10.100. Netz anstellen. Dort erreiche ich sämtliche Ports, Freigaben, Dienste.
Was wie wo fehlen mir Routen oder was muss ich in der Firewall noch richtig einstellen damit ich Zugriff bekomme? Bin etwas verzweifelt.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 314497
Url: https://administrator.de/contentid/314497
Ausgedruckt am: 26.11.2024 um 05:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
!
LG, Thomas
Was wie wo fehlen mir Routen
da fehlt noch das Wieso, Weshalb,Warum, sonst hat die Sesamstrasse geschlossen !Bin etwas verzweifelt.
Bin ich nach dem Lesen Deiner Lyrik auch - Kopf hoch!LG, Thomas
2
Hallo,
Ging es denn bevor ihr euren zusätzlichen WWW Router geholt habt?
Gruß,
Peter
Zitat von @clonex:
Ich kann mit meinem Cient aus dem 10.100. Netz den Test Client in der Filiale anpingen und Tracern. Jedoch keine anderen Dienste Freigaben etc. erreichen.
Firewall an den Rechnern blockt dich?Ich kann mit meinem Cient aus dem 10.100. Netz den Test Client in der Filiale anpingen und Tracern. Jedoch keine anderen Dienste Freigaben etc. erreichen.
Ging es denn bevor ihr euren zusätzlichen WWW Router geholt habt?
Auf der neuen Firewall tauche ich zudem auch nicht im Log auf.
Was sagt ein Tracert oder ein Mitschnitt per Wireshark um zu sehen welchen weg das Antwort Paket denn nimmt - sofern die Anfrage (Echo Request) an dein Zielrechner/Gerät überhaupt ankommt. Das dürfte ein Routing Problem sein .Was wie wo fehlen mir Routen oder was muss ich in der Firewall noch richtig einstellen damit ich Zugriff bekomme? Bin etwas verzweifelt.
Packetmittschnitte und Wireshark auf den beteiligten Geräte sagt dir was wohin und zurück gehen tut.Gruß,
Peter
Hallo,
Was nur zeigt dass das Netz erstmal funktioniert....
Was nur zeigt das die Friewall(s) alles richtig machen... oder ist irgendetwas explizit erlaubt was du nciht erreichen kannst?
Nun, dein ping und trace ist nicht verboten, wieso soltle der dann auch im Log auftauchen? Oder was meinst du?
brammer
ich kann mit meinem Cient aus dem 10.100. Netz den Test Client in der Filiale anpingen und Tracern.
Was nur zeigt dass das Netz erstmal funktioniert....
jedoch keine anderen Dienste Freigaben etc. erreichen.
Was nur zeigt das die Friewall(s) alles richtig machen... oder ist irgendetwas explizit erlaubt was du nciht erreichen kannst?
Auf der neuen Firewall tauche ich zudem auch nicht im Log auf.
Nun, dein ping und trace ist nicht verboten, wieso soltle der dann auch im Log auftauchen? Oder was meinst du?
brammer
Routen fehlen nicht, denn sonst könntest du logischerweise ja auch nicht pingen !!
Wie immer ist das die lokale Firewall. Oder auch die HW Firewall davor bzw. beides.
Wenn du Winblows einsetzt blockt die alles was von fremden IP Netzen kommt ! Folglich also natürlich auch dein Traffic, da du ja ne andere Absender IP hast.
Hier musst du schlicht und einfach die Firewall beim Datei- und Sharing Dienst usw. anpassen und z.B. per Schrotschuss erlauben das da alle 10er Netze dürfen oder dediziert eben 10.100.0.0 oder 10.200.0.0 vice versa.
Der klassische Fehler...!
Wie immer ist das die lokale Firewall. Oder auch die HW Firewall davor bzw. beides.
Wenn du Winblows einsetzt blockt die alles was von fremden IP Netzen kommt ! Folglich also natürlich auch dein Traffic, da du ja ne andere Absender IP hast.
Hier musst du schlicht und einfach die Firewall beim Datei- und Sharing Dienst usw. anpassen und z.B. per Schrotschuss erlauben das da alle 10er Netze dürfen oder dediziert eben 10.100.0.0 oder 10.200.0.0 vice versa.
Der klassische Fehler...!
Nein, die Windows Firewall ist es nicht. Diese ist deaktiviert. Somit wird es vermutlich an der HW Firewall liegen
Die Idee mit Wireshark war gut.
Ich sehe auf meinem Ziel Client die ankomende anfrage. SYN und SYN, ACK funktionierte doch danach kommt etwas mir umbekannte.
Ein TCP Spurious Retransmission. Also wenn ich das richtig verstanden habe ist das ein "Neuaufbau der TCP Connection". Aber warum tut er dies? Auf meinem Sender Host habe ich auch solch einen TCP Retransmission Fehler.
Die Idee mit Wireshark war gut.
Ich sehe auf meinem Ziel Client die ankomende anfrage. SYN und SYN, ACK funktionierte doch danach kommt etwas mir umbekannte.
Ein TCP Spurious Retransmission. Also wenn ich das richtig verstanden habe ist das ein "Neuaufbau der TCP Connection". Aber warum tut er dies? Auf meinem Sender Host habe ich auch solch einen TCP Retransmission Fehler.
Ja das sieht nicht gut aus. Der 3way Handshake bei TCP kommt sauber zustande die Daten Transmission scheitert dann aber mit diesem retransmission Error. Das ist irgendwas oberfaul...!
Man müsste mal weiter ins Paket sehen woran das liegt.
Man müsste mal weiter ins Paket sehen woran das liegt.
Hallo,
Switchfehler
Kontaktprobleme
Autonegotiation fehlerhaft
NIC am Sterben
TCPIP Stack probleme
LAN überlastung
Chips leiden an Burnout
Retransmissions können vielfältige Ursachen haben
http://www.netcraftsmen.com/application-analysis-using-tcp-retransmissi ...
http://serverfault.com/questions/143910/finding-cause-of-tcp-retransmis ...
http://stackoverflow.com/questions/12956685/what-are-the-retransmission ...
https://ask.wireshark.org/questions/17730/retransmissions
https://learningnetwork.cisco.com/thread/39235
https://help.dynatrace.com/monitor-cloud-virtualization-and-hosts/networ ...
http://www.streppone.it/cosimo/blog/2011/07/how-to-detect-tcp-retransmi ...
http://revision3.com/haktip/tcp-retransmissions-and-duplicates
Gruß,
Peter
Zitat von @clonex:
Ich sehe auf meinem Ziel Client die ankomende anfrage. SYN und SYN, ACK funktionierte doch danach kommt etwas mir umbekannte.
Falsch, ausser du hast uns Information enthalten. Auf dein (Bild)auszug sieht man nur SYN und SYN, ACK. Das 3te Paket mit ACK ist nicht zu sehen.Ich sehe auf meinem Ziel Client die ankomende anfrage. SYN und SYN, ACK funktionierte doch danach kommt etwas mir umbekannte.
Ein TCP Spurious Retransmission. Also wenn ich das richtig verstanden habe ist das ein "Neuaufbau der TCP Connection". Aber warum tut er dies?
KabelfehlerSwitchfehler
Kontaktprobleme
Autonegotiation fehlerhaft
NIC am Sterben
TCPIP Stack probleme
LAN überlastung
Chips leiden an Burnout
Retransmissions können vielfältige Ursachen haben
http://www.netcraftsmen.com/application-analysis-using-tcp-retransmissi ...
http://serverfault.com/questions/143910/finding-cause-of-tcp-retransmis ...
http://stackoverflow.com/questions/12956685/what-are-the-retransmission ...
https://ask.wireshark.org/questions/17730/retransmissions
https://learningnetwork.cisco.com/thread/39235
https://help.dynatrace.com/monitor-cloud-virtualization-and-hosts/networ ...
http://www.streppone.it/cosimo/blog/2011/07/how-to-detect-tcp-retransmi ...
http://revision3.com/haktip/tcp-retransmissions-and-duplicates
Gruß,
Peter
Hi
Laut Bild vom TO nur zu 2/3 zustande. SYN - SYN, ACK..... Da fehlt das 3te Paket mit ACK....oder sehe ich ein anderes Bild hier?
Gruß,
Peter
Laut Bild vom TO nur zu 2/3 zustande. SYN - SYN, ACK..... Da fehlt das 3te Paket mit ACK....oder sehe ich ein anderes Bild hier?
Man müsste mal weiter ins Paket sehen woran das liegt.
ACK Gruß,
Peter
Das ist leider richtig. Das 3te Paket fehlt und wird auch nicht geschickt.
Jetzt müsste man noch in der Lage sein das Paket zu analysieren. Wodrauf soll ich dort achten?
Source und Destination sind soweit die richten IPs...
Jetzt müsste man noch in der Lage sein das Paket zu analysieren. Wodrauf soll ich dort achten?
Source und Destination sind soweit die richten IPs...
Das 3te Paket fehlt und wird auch nicht geschickt.
Fehler bzw. Bug im TCP/IP Stack. Triftiger Grund für einen Support Case !Wodrauf soll ich dort achten?
Frame Sequence und ACK Bit. Sieh dir mal den TCP Header genauer an !
3te Paket wurde von der Firewall weggeblockt da es aus dem gleichen Netz kam. Zwei Gateways in einem Netz.
Wenn jemand ein ähnliches Problem mal hat nach "Reject Non-SYN TCP" ausschau halten....
Wenn jemand ein ähnliches Problem mal hat nach "Reject Non-SYN TCP" ausschau halten....
Hallo,
Also ein Design Problem und damit vermutlich kein Bug der Firewall!
2 Gateways in einem Netz hat noch nie funktioniert.
brammer
Zwei Gateways in einem Netz.
Also ein Design Problem und damit vermutlich kein Bug der Firewall!
2 Gateways in einem Netz hat noch nie funktioniert.
brammer
