zimbosmurf
Goto Top

Zyxel VPN 50 - temporäre Internetausfälle

Hallo!

Zu allererst: Ich bin in unserer Firma nicht der Administrator, aber unsere IT hat keine Idee und (scheinbar) auch keine Lust, sich wirklich mit dem Problem zu beschäftigen.

Wir haben seit zwei Wochen eine Zyxel Firewall VPN 50 im Einsatz und seitdem habe ich regelmässig ein Problem. Anfangs schien es, dass ich der einzige bin, aber mittlerweile kristallisiert sich heraus, dass auch andere Kollegen schon davon betroffen waren. Ob es bei denen so oft/regelmässig auftritt wie bei mir habe ich noch nicht herausgefunden.

Das Problem:
1-2 mal am Tag komme ich von meinem Rechner aus nicht mehr ins Internet. Der Browser meldet Servertimeouts, Thunderbird zeigt beim Verschicken einen "Connect Error 10061" (was ich sehr mysteriös finde, denn das ist ein "aktiver" Fehler, es kam nicht einfach keine Verbindung zustande sondern der Server hat die Verbindung aktiv abgelehnt!), Telegram Messenger verliert die Verbindung.
Die Netzwerkverbindung in Windows 7 wird als bestehend und fehlerfrei angezeigt, innerhalb unseres Firmennetzwerkes kann ich alle Server problemlos erreichen.
Ganz mysteriös ist das Ping-Verhalten:
  • Ping auf Ziele innerhalb des Firmennetzwerks: schnelle und regelmässige Antworten.
  • Ping auf Ziele ausserhalb des Firmennetzwerks (egal ob domain oder IP): Erste Antwort "Reply from #router: Destination host unreachable.", danach schnelle und regelmässige Antworten.
  • Sofortiger erneuter Ping auf das gleiche Ziel ausserhalb des Firmennetzwerks (egal ob domain oder IP): sofort schnelle und regelmässige Antworten.
  • Erneuter Ping auf ein bereits gepingtes Ziel ausserhalb des Firmennetzwerks (egal oder domain oder IP) nach einer Wartezeit von ca. 10 Sekunden oder nachdem zwischendurch ein anderes Ziel gepingt wurde: Erste Antwort "Reply from #router: Destination host unreachable.", danach schnelle und regelmässige Antworten.

Nach ein paar Minuten (geschätzt zwischen 3 und 10 Minuten) ist der Spuk dann auch wieder vorbei und alles funktiniert wieder.

Die einzige Antwort, die ich von unserer IT bekommen habe ist, dass meine IP im Logfile der firewall nicht aufgeführt ist (Ich hatte die vage Vermutung, dass mein Rechner vielleicht ab und zu mit irgendetwas floodet und die Firewall mich als Massnahme kurz abklemmt, so lange das der Fall ist, aber dann würde ich erwarten, dass das auch im Logfile auftaucht.

Hat irgendwer eine Idee, die ich an unsere IT weitergeben könnte?

Content-ID: 574967

Url: https://administrator.de/forum/zyxel-vpn-50-temporaere-internetausfaelle-574967.html

Ausgedruckt am: 25.12.2024 um 20:12 Uhr

aqui
aqui 27.05.2020 um 11:55:36 Uhr
Goto Top
Ohne die genaue Konfig des Zyxels zu kennen, speziell das Firewall Regelwerk ist ein Troubleshooting unmöglich. Das leuchtet dir sicher auch ein. Wenn du deiner Autowerkstatt ein Motorenproblem am Telefon schilderst aber nicht auf der Diagnosebühne bist steht der Mechaniker vor dem gleichen Dilemma wie wir hier. Da hilft dann, wie immer, nur die berühmte Kristallkugel was dir dann aber wiederum nicht hilft.
chgorges
chgorges 27.05.2020 aktualisiert um 12:02:38 Uhr
Goto Top
Hi,

die Ping-Antwort "Destination host unreachable" deutet immer auf ein Routingproblem hin. Heißt, dass du das nächste Mal keinen Ping, sondern ein Traceroute auf ein externes Ziel absetzt.
Ein temporäres/spontanes Routingproblem kann idR bei vermurksten Routingkonfigurationen wie WANFailover/BGP/OSPF entstehen.

An dieser Stelle erfolgt dann die Ausstellung eines Armutszeugnis' an eure IT-Abteilung.

VG
certifiedit.net
certifiedit.net 27.05.2020 um 12:49:56 Uhr
Goto Top
Hat irgendwer eine Idee, die ich an unsere IT weitergeben könnte?

Die Frage ist erstmal keine technische, sondern eine organisatorische - darfst du diese Daten nach aussen geben, mit welcher Befugnis? Hast du genug Entscheidungsgewalt und Einsicht um das abschätzen zu können?

Ich hab hier leider auch einen Kunden, den quält die ganze Zeit ein vorsintflutliches Netz, kann man aber (bisher) nichts machen. Daher das in den Raum gestellt.

Unabhängig davon: Windows 7?

In Summe, wenn du Abhilfe willst, prüf obiges, bring ggf. einen weiteren IT-Dienstleister ins Gespräch und lass es klären. Aber hier bringt das so wohl eher nichts.

Grüße,

Christian
certifiedit.net
certifiedit.net
certifiedit.net 27.05.2020 um 12:50:35 Uhr
Goto Top
mit "immer" Aussagen sollte man vorsichtig sein, kann auch nur ein tatsächlicher Internetausfall sein, soll es ja geben in diesem Land face-smile
certifiedit.net
certifiedit.net 27.05.2020 um 12:51:00 Uhr
Goto Top
"man kanns ja mal probieren" könnte hier ein gutes Motto sein.
zimbosmurf
zimbosmurf 27.05.2020, aktualisiert am 04.09.2023 um 14:05:22 Uhr
Goto Top
Zitat von @chgorges:
An dieser Stelle erfolgt dann die Ausstellung eines Armutszeugnis' an eure IT-Abteilung.
zimbosmurf
zimbosmurf 27.05.2020 um 13:09:02 Uhr
Goto Top
Zitat von @certifiedit.net:

mit "immer" Aussagen sollte man vorsichtig sein, kann auch nur ein tatsächlicher Internetausfall sein, soll es ja geben in diesem Land face-smile
Ist es nicht, zeitgleich können andere Kollegen ganz normal weiterarbeiten.
zimbosmurf
zimbosmurf 27.05.2020 um 13:12:42 Uhr
Goto Top
Zitat von @certifiedit.net:

Hat irgendwer eine Idee, die ich an unsere IT weitergeben könnte?

Die Frage ist erstmal keine technische, sondern eine organisatorische - darfst du diese Daten nach aussen geben, mit welcher Befugnis? Hast du genug Entscheidungsgewalt und Einsicht um das abschätzen zu können?
Ich gebe ja keine Konkreten Informationen nach draussen, da ich ja gar keine konkreten Informationen habe. Ich habe keinen Zugriff auf die Firewall, kenne keine ihrer Regeln, deswegen kann ich ja nur mutmassen.
Meine Hoffnung war halt, dass irgendwer das Fehlerbild, das ich habe, auch schon einmal erlebt hat.

Unabhängig davon: Windows 7?
Hat Gründe. Wir sind nicht froh drum, aber wir können aktuell noch nicht upgraden. Ist für Ende des Jahres geplant.

In Summe, wenn du Abhilfe willst, prüf obiges, bring ggf. einen weiteren IT-Dienstleister ins Gespräch und lass es klären. Aber hier bringt das so wohl eher nichts.
Die Entscheidungsgewalt habe ich leider nicht. Daher war meine Hoffnung, es mit "Schaut doch mal nach Einstellung XY" bei unserer momentanen IT anschubsen zu können.
zimbosmurf
zimbosmurf 27.05.2020 um 13:14:19 Uhr
Goto Top
Zitat von @chgorges:
die Ping-Antwort "Destination host unreachable" deutet immer auf ein Routingproblem hin. Heißt, dass du das nächste Mal keinen Ping, sondern ein Traceroute auf ein externes Ziel absetzt.
Zur Firewall ist es ein Hop, danach kommt nix mehr zurück.
zimbosmurf
zimbosmurf 27.05.2020 um 13:15:15 Uhr
Goto Top
Zitat von @aqui:

Ohne die genaue Konfig des Zyxels zu kennen, speziell das Firewall Regelwerk ist ein Troubleshooting unmöglich. Das leuchtet dir sicher auch ein. Wenn du deiner Autowerkstatt ein Motorenproblem am Telefon schilderst aber nicht auf der Diagnosebühne bist steht der Mechaniker vor dem gleichen Dilemma wie wir hier. Da hilft dann, wie immer, nur die berühmte Kristallkugel was dir dann aber wiederum nicht hilft.
Ich erwarte kein Troubleshooting. Ich hoffe auf ein Wunder in der Form "Ja, hatte ich auch mal, was dieses und jenes!"
certifiedit.net
certifiedit.net 27.05.2020 um 13:17:46 Uhr
Goto Top
Zitat von @zimbosmurf:

Zitat von @aqui:

Ohne die genaue Konfig des Zyxels zu kennen, speziell das Firewall Regelwerk ist ein Troubleshooting unmöglich. Das leuchtet dir sicher auch ein. Wenn du deiner Autowerkstatt ein Motorenproblem am Telefon schilderst aber nicht auf der Diagnosebühne bist steht der Mechaniker vor dem gleichen Dilemma wie wir hier. Da hilft dann, wie immer, nur die berühmte Kristallkugel was dir dann aber wiederum nicht hilft.
Ich erwarte kein Troubleshooting. Ich hoffe auf ein Wunder in der Form "Ja, hatte ich auch mal, was dieses und jenes!"

Für Wunder musst du um die Ecke. Ich glaub die Evangelikalen und sonstige Vereine glauben da nicht so stark dran.

Für das technisch Mögliche, falls du doch mal jemanden direkt drauf schauen lassen willst, hier.

Grüße
sk
Lösung sk 27.05.2020 aktualisiert um 13:22:05 Uhr
Goto Top
Zitat von @zimbosmurf:

Nach ein paar Minuten (geschätzt zwischen 3 und 10 Minuten) ist der Spuk dann auch wieder vorbei und alles funktiniert wieder.

Die einzige Antwort, die ich von unserer IT bekommen habe ist, dass meine IP im Logfile der firewall nicht aufgeführt ist (Ich hatte die vage Vermutung, dass mein Rechner vielleicht ab und zu mit irgendetwas floodet und die Firewall mich als Massnahme kurz abklemmt, so lange das der Fall ist, aber dann würde ich erwarten, dass das auch im Logfile auftaucht.

Hat irgendwer eine Idee, die ich an unsere IT weitergeben könnte?

Hier könnte das per default recht knapp eingestellte Session-Limit zuschlagen.
https://support.zyxel.eu/hc/de/articles/360001390354-Verbindung-ist-lang ...

Sollte aber im Logfile auftauchen, wenn dieser Fall eintritt.

Gruß
sk
ChriBo
ChriBo 27.05.2020 um 13:33:00 Uhr
Goto Top
Hi,
hast du einen PC oder einen Laptop (mit WLAN) ?
Fehler in der Art können auftreten wenn WLAN und LAN gleichzeitig verwendet werden.

CH
zimbosmurf
zimbosmurf 28.05.2020 um 10:08:18 Uhr
Goto Top
Zitat von @certifiedit.net:
> Für das technisch Mögliche, falls du doch mal jemanden direkt drauf schauen lassen willst, hier.
Liegt wie gesagt leider ausserhalb meiner Entscheidungsgewalt. Trotzdem danke!
zimbosmurf
zimbosmurf 28.05.2020 um 10:18:50 Uhr
Goto Top
Danke, ich habe den Link mal (samt beschreibung der Logmeldung) weitergegeben. Mal schauen, ob das etwas hilft!
zimbosmurf
zimbosmurf 28.05.2020 um 10:19:26 Uhr
Goto Top
Zitat von @ChriBo:

Hi,
hast du einen PC oder einen Laptop (mit WLAN) ?
Fehler in der Art können auftreten wenn WLAN und LAN gleichzeitig verwendet werden.

CH
Nein, ist ein PC ohne WLAn und auch nur einer LAN-Verbindung.
aqui
aqui 28.05.2020 um 13:20:06 Uhr
Goto Top
Man muss NICHT in unübersichtlichen Einzelthreads im Minutenrythmus antworten sondern kann diese auch intelligent mit einem @... vor dem Nickname zu einem zusammenfassen !! face-sad
sk
sk 29.05.2020 aktualisiert um 09:02:08 Uhr
Goto Top
Zitat von @aqui:

Man muss NICHT in unübersichtlichen Einzelthreads im Minutenrythmus antworten sondern kann diese auch intelligent mit einem @... vor dem Nickname zu einem zusammenfassen !! face-sad

Nein Aqui da liegst Du falsch. Genau genommen handelt er sogar völlig korrekt!
Wie man unter "Antworten" sehen kann, gibt es unterhalb der Ausgangsfrage mehrere parallel laufende Gesprächsfäden. Zum Zeitpunkt meiner Antwort gab es beispielsweise bereits zwei parallele Antwortstränge, welche sich jedoch beide nicht dazu eigneten, meine (vermutete) Lösung zu platzieren. Deshalb habe ich unmittelbar auf die Eröffnungsfrage geantwortet und damit einen dritten unabhängigen Gesprächsfaden eröffnet.
Wenn erstmal mehrere parallele Gesprächsfäden existieren, ist es für den TO unmöglich, diese wieder zusammenzuführen. Wenn er nur einen Gesprächsfaden weiterführen würde, würde dies von den Teilnehmern der dann verwaisten Gesprächsfäden u.U. als unhöflich empfunden, weil diese die Antworten in den anderen Gesprächsfäden u.U. gar nicht verfolgen.
Für alte Hasen, die das Internet noch nicht fälschlich mit dem www gleichsetzen und noch etwas anderes als Webforen kennen, ist dies selbstverständlich und offenkundig. Die Verwirrung entsteht nur, weil im hiesigen Webforum sämtliche Postings zweidimensional dargestellt werden und nur chronologisch oder nach Bewertung sortiert werden können. In den meisten anderen Forensystemen kann man hingegen auch eine Darstellung in Baumstruktur aktivieren. Ich meine mich auch zu erinnern, dass das auch hier früher schon mal möglich war - scheint aber wegrationalisiert worden zu sein.


Gruß
sk
certifiedit.net
certifiedit.net 29.05.2020 um 09:51:07 Uhr
Goto Top
Wenn erstmal mehrere parallele Gesprächsfäden existieren, ist es für den TO unmöglich, diese wieder zusammenzuführen. Wenn er nur einen Gesprächsfaden weiterführen würde, würde dies von den Teilnehmern der dann verwaisten Gesprächsfäden u.U. als unhöflich empfunden, weil diese die Antworten in den anderen Gesprächsfäden u.U. gar nicht verfolgen.

Dann sollten wir wohl sofort eine Therapiesitzung anbieten, immerhin stört das deren persönliche Balance. face-big-smile

Wenn der TO die jeweiligen letzten Poster der jeweiligen "Fäden" per @ referenziert ist das sauberer als das, was er nun macht, vor allem, da wir ja nicht nach den "Fäden" mit Benachrichtigung zugespammt werden, sondern generell.
zimbosmurf
zimbosmurf 26.07.2024 um 11:40:33 Uhr
Goto Top
Quote from @sk:

Zitat von @zimbosmurf:

Nach ein paar Minuten (geschätzt zwischen 3 und 10 Minuten) ist der Spuk dann auch wieder vorbei und alles funktiniert wieder.

Die einzige Antwort, die ich von unserer IT bekommen habe ist, dass meine IP im Logfile der firewall nicht aufgeführt ist (Ich hatte die vage Vermutung, dass mein Rechner vielleicht ab und zu mit irgendetwas floodet und die Firewall mich als Massnahme kurz abklemmt, so lange das der Fall ist, aber dann würde ich erwarten, dass das auch im Logfile auftaucht.

Hat irgendwer eine Idee, die ich an unsere IT weitergeben könnte?

Hier könnte das per default recht knapp eingestellte Session-Limit zuschlagen.
https://support.zyxel.eu/hc/de/articles/360001390354-Verbindung-ist-lang ...

Sollte aber im Logfile auftauchen, wenn dieser Fall eintritt.

Gruß
sk

Ich gebe hier mal ein sehr spätes Feedback, da ich - als Monate später das Problem tatsächlich gelöst wurde - diesen Thread hier vergessen hatte:
Es war das Session Limit, und es tauchte nicht im Logfile auf, da das Logfile des VPN50 winzig ist und nur etwa die letzten 15 Minuten abdeckt. Es stellte sich irgendwann raus, dass ich doch nicht der einzige bin, der betroffen ist und dann konnte ich unsere IT überzeugen, dass wir zusammen das Problem analysieren. Mit einem höheren Sessionlimit trat das Problem dann nicht mehr auf.

Danke für den Tipp damals!
sk
sk 26.07.2024 aktualisiert um 13:04:02 Uhr
Goto Top
Hallo,

danke für die Rückmeldung. Freut mich, dass ich helfen konnte.
Dann markiere bitte meine damalige Antwort als Lösung, damit der Thread als "gelöst" gekennzeichnet wird.

Gruß
sk

P.S.
Das Echtzeitlog der Zywall ist nicht zeitlich limitiert, sondern hinsichtlich des Speichers. Oft wird aber der Fehler gemacht, auf sämtlichen oder vielen Firewallregeln permanent zu loggen, was eben u.a. dazu führt, dass die wirklich interessanten Einträge viel zu schnell überschrieben und deshalb bei der Fehlersuche nicht gesehen werden. Letztlich sollte man aber ohnehin immer die Logs z.B. per Syslog nach extern wegschreiben.
zimbosmurf
zimbosmurf 30.07.2024 um 13:45:40 Uhr
Goto Top
Danke, ja, Du hast Recht, das Logfile ist in der Anzahl der Einträge limitiert. Aber in der Konfiguration, wie ich sie vorgefunden habe, reichte die Anzahl Einträge gerade für ca. 15 Minuten.