7
Zywall 110 einzelne websites nicht erreichbar
hallo zusammen
wir haben in unserer firma 3 standorte mit gleicher konfiguration:
wan - zywall 110 - lokales netzwerk
einzelne websiten können nicht oder nur sehr langsam aufgerufen werden, die meisten jedoch regulär und ohne probleme. lokales netz dns, etc scheint i,o zu sein.
die seiten können auch nicht erreicht werden, wenn ein pc mit manueller netzwerkkonfig auf 8.8.8.8 google dns zeigt. mit anderer firewall sind die seiten normal erreichbar.
der bug muss also in der zywall 110 sein. schalte ich die vorhandenen firewall regeln aus, ändert das ebenfalls nichts.
hat jemand eine idee?
vielen dank!
lieber gruss reto
wir haben in unserer firma 3 standorte mit gleicher konfiguration:
wan - zywall 110 - lokales netzwerk
einzelne websiten können nicht oder nur sehr langsam aufgerufen werden, die meisten jedoch regulär und ohne probleme. lokales netz dns, etc scheint i,o zu sein.
die seiten können auch nicht erreicht werden, wenn ein pc mit manueller netzwerkkonfig auf 8.8.8.8 google dns zeigt. mit anderer firewall sind die seiten normal erreichbar.
der bug muss also in der zywall 110 sein. schalte ich die vorhandenen firewall regeln aus, ändert das ebenfalls nichts.
hat jemand eine idee?
vielen dank!
lieber gruss reto
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 331174
Url: https://administrator.de/contentid/331174
Ausgedruckt am: 26.11.2024 um 12:11 Uhr
7 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
die seiten können auch nicht erreicht werden, wenn ein pc mit manueller netzwerkkonfig auf 8.8.8.8 google dns zeigt.
Wichtig dabei ist, dass es eine Regel auf der Firewall gibt, welche einen DNS Redirect veranlasst. Sonst ist der Test nämlich für die Tonne.mit anderer firewall sind die seiten normal erreichbar.
Welches Modell hast du dafür genommen? hat jemand eine idee?
Firmware up/downgrade der Zyxel USG110 schon versucht?Gruß,
Dani
Hast du mal ein Beispiel welche Seiten nicht gehen?
Ein guter Ansatz ist immer, die MTU zu verringern und ggf. MSS-Clamping zu aktivieren. Falls die Firewall blind ICMP verwirft, solltest du das testweise auch mal ausschalten.
Ein guter Ansatz ist immer, die MTU zu verringern und ggf. MSS-Clamping zu aktivieren. Falls die Firewall blind ICMP verwirft, solltest du das testweise auch mal ausschalten.
hallo
lordgurke
es war die mtu size habe sie gemäss:
http://www.tp-link.com/us/FAQ-190.html
erruiert und eingestellt und gut ist. einzig die max mtu plus 28 wie im artikel bei tp-link scheint bei zyxel nicht dasselbe, ich hatte an einem standort 1472 plus 28 wären ja die standard 1500, das war aber zu hoch 1470 ist gut. rechnet die zywall die 28 gleich selber hinzu?
danke vielmals!!
lordgurke
es war die mtu size habe sie gemäss:
http://www.tp-link.com/us/FAQ-190.html
erruiert und eingestellt und gut ist. einzig die max mtu plus 28 wie im artikel bei tp-link scheint bei zyxel nicht dasselbe, ich hatte an einem standort 1472 plus 28 wären ja die standard 1500, das war aber zu hoch 1470 ist gut. rechnet die zywall die 28 gleich selber hinzu?
danke vielmals!!
Vermutlich wird dort nur der Payload ohne Overhead durch IP-Header, PPPoE-Kapselung, Ethernet-Frames... angegeben, nicht das gesamte Paket inklusive Overhead.
Nur für mich aus Interesse: Lässt du an der Zywall ICMP auf WAN-Seite filtern?
Nur für mich aus Interesse: Lässt du an der Zywall ICMP auf WAN-Seite filtern?
also die default regel macht da vermutlich zu. da ist alles von any deny.
sollte ich icmp öffnen? pingen kann ich von innen regulär.
sollte ich icmp öffnen? pingen kann ich von innen regulär.
Gute Frage - ich habe mit Zywalls so gut wie nie zu tun...
Was steht denn in der Service-Definition für "Default_Allow_WAN_To_Zywall"?
Der Grund weshalb ich das frage ist: Wenn ohne Sinn und Verstand wirklich das gesamte ICMP-Protokoll verworfen wird statt nur einzelne Nachrichtentypen hat man eine deutlich erhöhte Chance in solche Probleme zu rennen, weil einen die "Fragmentation-needed"-Nachrichten nicht erreichen die die Reduzierung der MTU vorschlagen.
Was steht denn in der Service-Definition für "Default_Allow_WAN_To_Zywall"?
Der Grund weshalb ich das frage ist: Wenn ohne Sinn und Verstand wirklich das gesamte ICMP-Protokoll verworfen wird statt nur einzelne Nachrichtentypen hat man eine deutlich erhöhte Chance in solche Probleme zu rennen, weil einen die "Fragmentation-needed"-Nachrichten nicht erreichen die die Reduzierung der MTU vorschlagen.
hallo
also in der default allow ist gar kein icmp drin...
danke!
also in der default allow ist gar kein icmp drin...
danke!
