11
Verbindung zum Router vom Server bricht jede 5 Minuten ab
Hallo zusammen,
nach interner Umstellung unserer Firewall und Netzwerkes, hat sich folgende Infrastruktur bei uns gebildet:
Lancom Router -> FIREWALL -> HP Switch (Von hieraus sind alle Endgeräte angeschlossen, inklusive access points)
Installiert ist ein Windows Server 2016 mit Hyper-V und VMs, die als Fileserver, Terminalserver und Exchangeserver fungieren.
Jedoch musste ich nach der Anbindung der Firewall durchden Errichtern feststellen, dass die Verbindung vom Server sowohl zum Router als auch zur Firewall für paar Sekunden bzw. maximal eine Minute unterbrochen wird. Der Paketverlust liegt somit bei ungefähr 2-3%. Dies hat jedoch zur Folge, dass die User jede 5 Minuten vom Terminal geschmissn werden, auch wenn die Verbindung nach maximal einer Minute wieder funktioniert.
Da die Verbindung untereinander abbricht und nicht nach außerhalb, ist laut den Firewall-Errichtern die Firewall nicht schuld.
Das einzige was sich nach der Umstellung geändert hat, ist sozusagen die IP-Adresse des Routers (nicht mehr im gleichen Subnetz) und dass der Switch nicht mehr am Router direkt, sondern an der Firewall angeschlosse ist.
Habe diverese Updates auf dem Switch und Router bereits durchgeführt. Welche LOG-Dateien liefern mir eventuell mehr informationen aus?
Vielen Dank!
nach interner Umstellung unserer Firewall und Netzwerkes, hat sich folgende Infrastruktur bei uns gebildet:
Lancom Router -> FIREWALL -> HP Switch (Von hieraus sind alle Endgeräte angeschlossen, inklusive access points)
Installiert ist ein Windows Server 2016 mit Hyper-V und VMs, die als Fileserver, Terminalserver und Exchangeserver fungieren.
Jedoch musste ich nach der Anbindung der Firewall durchden Errichtern feststellen, dass die Verbindung vom Server sowohl zum Router als auch zur Firewall für paar Sekunden bzw. maximal eine Minute unterbrochen wird. Der Paketverlust liegt somit bei ungefähr 2-3%. Dies hat jedoch zur Folge, dass die User jede 5 Minuten vom Terminal geschmissn werden, auch wenn die Verbindung nach maximal einer Minute wieder funktioniert.
Da die Verbindung untereinander abbricht und nicht nach außerhalb, ist laut den Firewall-Errichtern die Firewall nicht schuld.
Das einzige was sich nach der Umstellung geändert hat, ist sozusagen die IP-Adresse des Routers (nicht mehr im gleichen Subnetz) und dass der Switch nicht mehr am Router direkt, sondern an der Firewall angeschlosse ist.
Habe diverese Updates auf dem Switch und Router bereits durchgeführt. Welche LOG-Dateien liefern mir eventuell mehr informationen aus?
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 577062
Url: https://administrator.de/contentid/577062
Printed on: May 4, 2024 at 14:05 o'clock
11 Comments
Latest comment
Was soll der tiefere Sinn dieser unsinnigen Kaskade mit Router und Firewall sein ?! Ein überflüssiger "Durchlauferhitzer" und Performance Killer.
Doppeltes NAT und Router Kaskade ist immer kontraproduktiv und sollte man besser nicht machen. Der Firewall "Errichter" hat euch da recht schlecht beraten...
Was sagt denn der FW "Errichter" zu dem Problembild ?? Der ist doch hier als Erstes in der Pflicht wenn er etwas abliefert was nicht sauber funktioniert.
Grundlagen Infos zu solchen problematischen Kaskaden Setups findest du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Für eine zielgerichtete Hilfe ist die Beschreibung zu oberflächlich und zu weitgefasst !
Doppeltes NAT und Router Kaskade ist immer kontraproduktiv und sollte man besser nicht machen. Der Firewall "Errichter" hat euch da recht schlecht beraten...
Welche LOG-Dateien liefern mir eventuell mehr informationen aus?
Die des Routers und der Firewall obs dort irgendwelche Auffälligkeiten an den Koppelinterfaces gibt. (Phys. Link Loss, Autonegotiation etc.)Was sagt denn der FW "Errichter" zu dem Problembild ?? Der ist doch hier als Erstes in der Pflicht wenn er etwas abliefert was nicht sauber funktioniert.
Grundlagen Infos zu solchen problematischen Kaskaden Setups findest du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Für eine zielgerichtete Hilfe ist die Beschreibung zu oberflächlich und zu weitgefasst !
Moin,
Da die Firewall ja vermutlich das Routing in der Errichtung macht, würde ich mir die Logs da mal näher anschauen. Eine Minute Unterbrechung reicht ja schon für einen kompletten Reboot einer Firewall.
Was für eine Firewall ist da denn errichtet worden? Und welche Komponente macht denn den VPN-Server?
Gruß
Bernhard
Da die Firewall ja vermutlich das Routing in der Errichtung macht, würde ich mir die Logs da mal näher anschauen. Eine Minute Unterbrechung reicht ja schon für einen kompletten Reboot einer Firewall.
Was für eine Firewall ist da denn errichtet worden? Und welche Komponente macht denn den VPN-Server?
Gruß
Bernhard
Moin,
Und tut alles wieder normal, wenn Du die Firewall testweise rausnimmst?
lks
Und tut alles wieder normal, wenn Du die Firewall testweise rausnimmst?
lks
Hallo,
ist das Netzwerk mittels VLANs strukturiert (wenn JA, wie)?
Wenn VLANs, wer routet zwichen ihnen? Die Firewall oder der HP-Switch als L3-Switch?
Wenn keine VLANs oder L3-Switch, kappe die Verbindung zw. Switch und Firewall. Wenn es dann auch nicht geht, ist der Switch "schuld".
Wenn VLANs und die Firewall routet, dürfte dort das Problem liegen.
Jürgen
ist das Netzwerk mittels VLANs strukturiert (wenn JA, wie)?
Wenn VLANs, wer routet zwichen ihnen? Die Firewall oder der HP-Switch als L3-Switch?
Wenn keine VLANs oder L3-Switch, kappe die Verbindung zw. Switch und Firewall. Wenn es dann auch nicht geht, ist der Switch "schuld".
Wenn VLANs und die Firewall routet, dürfte dort das Problem liegen.
Jürgen
Vielen Dank für die schnellen Antworten. Die Firewall läuft über ein MSP, sprich Zugang darauf habe ich leider nicht. Der Errichter konnte auf seiner Übersicht auch erkennen, dass es bei den Pings zu ausfällen kam, und vermutete auf ein defekten Kabel oder "etwas mit dem Switch".. Kabel gingen auch vorher und beim Switch wurde ein Upgrade gemacht. In den Logs war auch nichts auffäliges zu sehen.
Schaue ich mir gleich an, danke!
Hallo,
das beantwortet aber nicht die Frage, ob ihr mit VLANs segmentiert habt und wer dann routet.
Was ist das denn für ein HP-Switch?
Jürgen
das beantwortet aber nicht die Frage, ob ihr mit VLANs segmentiert habt und wer dann routet.
Was ist das denn für ein HP-Switch?
Jürgen
moin...
Stecker ziehen, kiste abschrauben- kann der MSP abholen!
Frank
Zitat von @libados:
Vielen Dank für die schnellen Antworten. Die Firewall läuft über ein MSP, sprich Zugang darauf habe ich leider nicht.
sowas geht überhaubt nicht....kein zugang, aber fehler! und dann dafür noch zahlen!Vielen Dank für die schnellen Antworten. Die Firewall läuft über ein MSP, sprich Zugang darauf habe ich leider nicht.
Stecker ziehen, kiste abschrauben- kann der MSP abholen!
Der Errichter konnte auf seiner Übersicht auch erkennen, dass es bei den Pings zu ausfällen kam, und vermutete auf ein defekten Kabel oder "etwas mit dem Switch".. Kabel gingen auch vorher und beim Switch wurde ein Upgrade gemacht. In den Logs war auch nichts auffäliges zu sehen.
hast du mal ohne die Firewall getestet?Frank
Die Firewall läuft über ein MSP, sprich Zugang darauf habe ich leider nicht.
Typisch mal wieder sinnfreier Freitags Thread ! 
Kann man eigentlich gleich
How can I mark a post as solved?
klicken !
Kurzes Update:
Habe diesmal ein hilfsbereiten Kollegen vom MSP der Firewall erwischt. Haben gemeinsam ein Blick auf den Switch geworfen und folgende Info ablesen können: "Spanning Tree Topology Change: 0, Unit: 1".
Am Switch sind ebenfalls ein weiterer Switch (Spanning Tree disabled) und 3 weitere Access Points verbunden, die jedoch ständig die Port-Verbindung verlieren. Darauf erfolgt auch die Meldung Spanning Tree Meldung auf. Diese Meldung taucht tatsächlich jede 3-5 Minuten auf, woraufhin die Verbindung unterbrochen worde.
Im Moment haben wir die Switch Priority auf 0 gesetzt und die Verbindung bricht diesmal laut Log "nur" alle 30 Minuten ab. Ich werde somit als nächstes die Access Points unter Lupe nehmen und versuchen die Verbindung stabil zu halten. Anschließend schaue ich mir nochmal den zweiten Switch an, vielleicht hat sich dort eine nicht kompatible Einstellung versteckt.
Habe diesmal ein hilfsbereiten Kollegen vom MSP der Firewall erwischt. Haben gemeinsam ein Blick auf den Switch geworfen und folgende Info ablesen können: "Spanning Tree Topology Change: 0, Unit: 1".
Am Switch sind ebenfalls ein weiterer Switch (Spanning Tree disabled) und 3 weitere Access Points verbunden, die jedoch ständig die Port-Verbindung verlieren. Darauf erfolgt auch die Meldung Spanning Tree Meldung auf. Diese Meldung taucht tatsächlich jede 3-5 Minuten auf, woraufhin die Verbindung unterbrochen worde.
Im Moment haben wir die Switch Priority auf 0 gesetzt und die Verbindung bricht diesmal laut Log "nur" alle 30 Minuten ab. Ich werde somit als nächstes die Access Points unter Lupe nehmen und versuchen die Verbindung stabil zu halten. Anschließend schaue ich mir nochmal den zweiten Switch an, vielleicht hat sich dort eine nicht kompatible Einstellung versteckt.
"Spanning Tree Topology Change: 0, Unit: 1".
OK, bedeutet Spanning Tree Topology Changes im Layer 2. Kein gutes Zeichen... Am Switch sind ebenfalls ein weiterer Switch (Spanning Tree disabled)
Tödlich !Solchen Unsinn sollte man im Spanning Tree Umfeld niemals machen ! Ein Kardinalsfehler. Denn dann ist der STP deaktivierte Switch nur passiv und nimmt nicht aktiv am STP teil. Sowas führt dann zu genau solchen unkontrollierten STP Topology Changes und genau zu diesen Ausfällen im Netz wenn der STP Baum sich neu berechnet.
Zeugt von einer sehr schlecht konfigurierten Netzwerk Infrastruktur und wenig Know How !
So fixt du das:
- Spanning Tree immer auf allen Switches im Netzwerk aktivieren.
- Zwingend darauf achten das alle Switches das gleiche Spanning Tree Protokoll sprechen. Dies sollte aktuell immer RSTP sein !
- Vorsicht wenn Switches von Cisco (Catalyst) und einigen anderen Herstellern im Netz sind die PVST (Per VLAN Spanning Tree) sprechen was NICHT kompatibel ist zum Single Span Verfahren der allermeisten Billighersteller ! Es darf nur ein gemeinsames STP Verfahren im Netzwerk geben. Achte darauf !!
- Wichtig ist das ein Switch als Spanning Tree Root Switch definiert ist. Diese sollte global eine Spanning Tree Priority von 8192 bekommen !!
Wenn du das entsprechend den obigen Schritten so sauber komplett umsetzt verschwinden auch sofort diese Aussetzer !
Von der Fahrlässigkeit Firewalls von Fremden betreiben zu lassen reden wir jetzt mal besser nicht...
