clonex
Sep 06, 2016
view3644
view12
0
Goto Top

Routing - Netzwerk Problem - zwischen Filiale und Zentrale

GermansolvedQuestionRouters, RoutingNetworks
Hallo,

ich habe zwei Netze, welche per Provider MPLS geschaltet wird. Bzw. es nur am Hauptstandort ein Outbreak gibt.
Die Filiale hat das Netz 10.200.0.0 /16 Mein Test Client die IP 10.200.100.120 255.255.0.0 GW 10.200.6.2
Der normale Router vom Provider ist gleichzeitig auch unser Standardgateway dort. Somit die 10.200.30.99.

Der Hauptstandort hat das Netz 10.100.0.0 /16 Dort mein Test Client 10.100.20.100 GW 10.100.30.99

Da an der Filiale ist nun eine neue zusätzliche Internetanbindung geschaffen worden, wir haben eine eigene Firewall dort installiert. Diese hat einen eigenen Internet Ausgang. Somit dort zwei Routen mit dem Netz 10.100.0.0 /16 nach 10.200.30.99 (um den bestehenden Weg über die MPLS Anbindung zu schaffen) und eine für den Internet Access default alles an seinen WAN Port.

Mein Problem derzeit. Ich kann mit meinem Cient aus dem 10.100. Netz den Test Client in der Filiale anpingen und Tracern. Jedoch keine anderen Dienste Freigaben etc. erreichen. Auf der neuen Firewall tauche ich zudem auch nicht im Log auf.

Von dem Client in der Filiale kann ich aber alles auf meinem Client im 10.100. Netz anstellen. Dort erreiche ich sämtliche Ports, Freigaben, Dienste.

Was wie wo fehlen mir Routen oder was muss ich in der Firewall noch richtig einstellen damit ich Zugriff bekomme? Bin etwas verzweifelt.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 314497

Url: https://administrator.de/contentid/314497

Printed on: April 19, 2024 at 17:04 o'clock

12 Comments
Latest comment
Goto Top
Member: keine-ahnung
keine-ahnung Sep 06, 2016 at 09:47:15 (UTC)
Goto Top
Moin,
Was wie wo fehlen mir Routen
da fehlt noch das Wieso, Weshalb,Warum, sonst hat die Sesamstrasse geschlossen face-smile!
Bin etwas verzweifelt.
Bin ich nach dem Lesen Deiner Lyrik auch - Kopf hoch!

LG, Thomas
heart2
Member: Pjordorf
Pjordorf Sep 06, 2016 at 11:22:58 (UTC)
Goto Top
Hallo,

Zitat von @clonex:
Ich kann mit meinem Cient aus dem 10.100. Netz den Test Client in der Filiale anpingen und Tracern. Jedoch keine anderen Dienste Freigaben etc. erreichen.
Firewall an den Rechnern blockt dich?
Ging es denn bevor ihr euren zusätzlichen WWW Router geholt habt?

Auf der neuen Firewall tauche ich zudem auch nicht im Log auf.
Was sagt ein Tracert oder ein Mitschnitt per Wireshark um zu sehen welchen weg das Antwort Paket denn nimmt - sofern die Anfrage (Echo Request) an dein Zielrechner/Gerät überhaupt ankommt. Das dürfte ein Routing Problem sein .

Was wie wo fehlen mir Routen oder was muss ich in der Firewall noch richtig einstellen damit ich Zugriff bekomme? Bin etwas verzweifelt.
Packetmittschnitte und Wireshark auf den beteiligten Geräte sagt dir was wohin und zurück gehen tut.

Gruß,
Peter
Member: brammer
brammer Sep 06, 2016 at 11:31:24 (UTC)
Goto Top
Hallo,

ich kann mit meinem Cient aus dem 10.100. Netz den Test Client in der Filiale anpingen und Tracern.

Was nur zeigt dass das Netz erstmal funktioniert....

jedoch keine anderen Dienste Freigaben etc. erreichen.

Was nur zeigt das die Friewall(s) alles richtig machen... oder ist irgendetwas explizit erlaubt was du nciht erreichen kannst?

Auf der neuen Firewall tauche ich zudem auch nicht im Log auf.

Nun, dein ping und trace ist nicht verboten, wieso soltle der dann auch im Log auftauchen? Oder was meinst du?

brammer
Member: aqui
aqui Sep 06, 2016 updated at 14:00:24 (UTC)
Goto Top
Routen fehlen nicht, denn sonst könntest du logischerweise ja auch nicht pingen !!
Wie immer ist das die lokale Firewall. Oder auch die HW Firewall davor bzw. beides.
Wenn du Winblows einsetzt blockt die alles was von fremden IP Netzen kommt ! Folglich also natürlich auch dein Traffic, da du ja ne andere Absender IP hast.
Hier musst du schlicht und einfach die Firewall beim Datei- und Sharing Dienst usw. anpassen und z.B. per Schrotschuss erlauben das da alle 10er Netze dürfen oder dediziert eben 10.100.0.0 oder 10.200.0.0 vice versa.
Der klassische Fehler...!
Member: clonex
clonex Sep 09, 2016 at 13:54:18 (UTC)
Goto Top
Nein, die Windows Firewall ist es nicht. Diese ist deaktiviert. Somit wird es vermutlich an der HW Firewall liegen

Die Idee mit Wireshark war gut.
Ich sehe auf meinem Ziel Client die ankomende anfrage. SYN und SYN, ACK funktionierte doch danach kommt etwas mir umbekannte.

unbenannt

Ein TCP Spurious Retransmission. Also wenn ich das richtig verstanden habe ist das ein "Neuaufbau der TCP Connection". Aber warum tut er dies? Auf meinem Sender Host habe ich auch solch einen TCP Retransmission Fehler.
Member: aqui
aqui Sep 09, 2016 at 16:22:34 (UTC)
Goto Top
Ja das sieht nicht gut aus. Der 3way Handshake bei TCP kommt sauber zustande die Daten Transmission scheitert dann aber mit diesem retransmission Error. Das ist irgendwas oberfaul...!
Man müsste mal weiter ins Paket sehen woran das liegt.
Member: Pjordorf
Pjordorf Sep 09, 2016 at 20:11:34 (UTC)
Goto Top
Hallo,

Zitat von @clonex:
Ich sehe auf meinem Ziel Client die ankomende anfrage. SYN und SYN, ACK funktionierte doch danach kommt etwas mir umbekannte.
Falsch, ausser du hast uns Information enthalten. Auf dein (Bild)auszug sieht man nur SYN und SYN, ACK. Das 3te Paket mit ACK ist nicht zu sehen.

Ein TCP Spurious Retransmission. Also wenn ich das richtig verstanden habe ist das ein "Neuaufbau der TCP Connection". Aber warum tut er dies?
Kabelfehler
Switchfehler
Kontaktprobleme
Autonegotiation fehlerhaft
NIC am Sterben
TCPIP Stack probleme
LAN überlastung
Chips leiden an Burnout
Retransmissions können vielfältige Ursachen haben
http://www.netcraftsmen.com/application-analysis-using-tcp-retransmissi ...
http://serverfault.com/questions/143910/finding-cause-of-tcp-retransmis ...
http://stackoverflow.com/questions/12956685/what-are-the-retransmission ...
https://ask.wireshark.org/questions/17730/retransmissions
https://learningnetwork.cisco.com/thread/39235
https://help.dynatrace.com/monitor-cloud-virtualization-and-hosts/networ ...
http://www.streppone.it/cosimo/blog/2011/07/how-to-detect-tcp-retransmi ...
http://revision3.com/haktip/tcp-retransmissions-and-duplicates

Gruß,
Peter
Member: Pjordorf
Pjordorf Sep 09, 2016 at 20:13:19 (UTC)
Goto Top
Hi

Zitat von @aqui:
Der 3way Handshake bei TCP kommt
Laut Bild vom TO nur zu 2/3 zustande. SYN - SYN, ACK..... Da fehlt das 3te Paket mit ACK....oder sehe ich ein anderes Bild hier?face-smile

Man müsste mal weiter ins Paket sehen woran das liegt.
ACK face-smile

Gruß,
Peter
Member: clonex
clonex Sep 13, 2016 at 13:19:51 (UTC)
Goto Top
Das ist leider richtig. Das 3te Paket fehlt und wird auch nicht geschickt.

Jetzt müsste man noch in der Lage sein das Paket zu analysieren. Wodrauf soll ich dort achten?
Source und Destination sind soweit die richten IPs...
Member: aqui
Solution aqui Sep 13, 2016 at 13:53:35 (UTC)
Goto Top
Das 3te Paket fehlt und wird auch nicht geschickt.
Fehler bzw. Bug im TCP/IP Stack. Triftiger Grund für einen Support Case !
Wodrauf soll ich dort achten?
Frame Sequence und ACK Bit. Sieh dir mal den TCP Header genauer an !
Member: clonex
clonex Sep 28, 2016 updated at 15:07:24 (UTC)
Goto Top
3te Paket wurde von der Firewall weggeblockt da es aus dem gleichen Netz kam. Zwei Gateways in einem Netz.
Wenn jemand ein ähnliches Problem mal hat nach "Reject Non-SYN TCP" ausschau halten....
Member: brammer
brammer Sep 29, 2016 at 07:04:18 (UTC)
Goto Top
Hallo,


Zwei Gateways in einem Netz.

Also ein Design Problem und damit vermutlich kein Bug der Firewall!

2 Gateways in einem Netz hat noch nie funktioniert.

brammer
GermansolvedQuestionRouters, RoutingNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment