Zyxel VPN 50 - temporäre Internetausfälle
Hallo!
Zu allererst: Ich bin in unserer Firma nicht der Administrator, aber unsere IT hat keine Idee und (scheinbar) auch keine Lust, sich wirklich mit dem Problem zu beschäftigen.
Wir haben seit zwei Wochen eine Zyxel Firewall VPN 50 im Einsatz und seitdem habe ich regelmässig ein Problem. Anfangs schien es, dass ich der einzige bin, aber mittlerweile kristallisiert sich heraus, dass auch andere Kollegen schon davon betroffen waren. Ob es bei denen so oft/regelmässig auftritt wie bei mir habe ich noch nicht herausgefunden.
Das Problem:
1-2 mal am Tag komme ich von meinem Rechner aus nicht mehr ins Internet. Der Browser meldet Servertimeouts, Thunderbird zeigt beim Verschicken einen "Connect Error 10061" (was ich sehr mysteriös finde, denn das ist ein "aktiver" Fehler, es kam nicht einfach keine Verbindung zustande sondern der Server hat die Verbindung aktiv abgelehnt!), Telegram Messenger verliert die Verbindung.
Die Netzwerkverbindung in Windows 7 wird als bestehend und fehlerfrei angezeigt, innerhalb unseres Firmennetzwerkes kann ich alle Server problemlos erreichen.
Ganz mysteriös ist das Ping-Verhalten:
Nach ein paar Minuten (geschätzt zwischen 3 und 10 Minuten) ist der Spuk dann auch wieder vorbei und alles funktiniert wieder.
Die einzige Antwort, die ich von unserer IT bekommen habe ist, dass meine IP im Logfile der firewall nicht aufgeführt ist (Ich hatte die vage Vermutung, dass mein Rechner vielleicht ab und zu mit irgendetwas floodet und die Firewall mich als Massnahme kurz abklemmt, so lange das der Fall ist, aber dann würde ich erwarten, dass das auch im Logfile auftaucht.
Hat irgendwer eine Idee, die ich an unsere IT weitergeben könnte?
Zu allererst: Ich bin in unserer Firma nicht der Administrator, aber unsere IT hat keine Idee und (scheinbar) auch keine Lust, sich wirklich mit dem Problem zu beschäftigen.
Wir haben seit zwei Wochen eine Zyxel Firewall VPN 50 im Einsatz und seitdem habe ich regelmässig ein Problem. Anfangs schien es, dass ich der einzige bin, aber mittlerweile kristallisiert sich heraus, dass auch andere Kollegen schon davon betroffen waren. Ob es bei denen so oft/regelmässig auftritt wie bei mir habe ich noch nicht herausgefunden.
Das Problem:
1-2 mal am Tag komme ich von meinem Rechner aus nicht mehr ins Internet. Der Browser meldet Servertimeouts, Thunderbird zeigt beim Verschicken einen "Connect Error 10061" (was ich sehr mysteriös finde, denn das ist ein "aktiver" Fehler, es kam nicht einfach keine Verbindung zustande sondern der Server hat die Verbindung aktiv abgelehnt!), Telegram Messenger verliert die Verbindung.
Die Netzwerkverbindung in Windows 7 wird als bestehend und fehlerfrei angezeigt, innerhalb unseres Firmennetzwerkes kann ich alle Server problemlos erreichen.
Ganz mysteriös ist das Ping-Verhalten:
- Ping auf Ziele innerhalb des Firmennetzwerks: schnelle und regelmässige Antworten.
- Ping auf Ziele ausserhalb des Firmennetzwerks (egal ob domain oder IP): Erste Antwort "Reply from #router: Destination host unreachable.", danach schnelle und regelmässige Antworten.
- Sofortiger erneuter Ping auf das gleiche Ziel ausserhalb des Firmennetzwerks (egal ob domain oder IP): sofort schnelle und regelmässige Antworten.
- Erneuter Ping auf ein bereits gepingtes Ziel ausserhalb des Firmennetzwerks (egal oder domain oder IP) nach einer Wartezeit von ca. 10 Sekunden oder nachdem zwischendurch ein anderes Ziel gepingt wurde: Erste Antwort "Reply from #router: Destination host unreachable.", danach schnelle und regelmässige Antworten.
Nach ein paar Minuten (geschätzt zwischen 3 und 10 Minuten) ist der Spuk dann auch wieder vorbei und alles funktiniert wieder.
Die einzige Antwort, die ich von unserer IT bekommen habe ist, dass meine IP im Logfile der firewall nicht aufgeführt ist (Ich hatte die vage Vermutung, dass mein Rechner vielleicht ab und zu mit irgendetwas floodet und die Firewall mich als Massnahme kurz abklemmt, so lange das der Fall ist, aber dann würde ich erwarten, dass das auch im Logfile auftaucht.
Hat irgendwer eine Idee, die ich an unsere IT weitergeben könnte?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 574967
Url: https://administrator.de/forum/zyxel-vpn-50-temporaere-internetausfaelle-574967.html
Ausgedruckt am: 25.12.2024 um 20:12 Uhr
22 Kommentare
Neuester Kommentar
Ohne die genaue Konfig des Zyxels zu kennen, speziell das Firewall Regelwerk ist ein Troubleshooting unmöglich. Das leuchtet dir sicher auch ein. Wenn du deiner Autowerkstatt ein Motorenproblem am Telefon schilderst aber nicht auf der Diagnosebühne bist steht der Mechaniker vor dem gleichen Dilemma wie wir hier. Da hilft dann, wie immer, nur die berühmte Kristallkugel was dir dann aber wiederum nicht hilft.
Hi,
die Ping-Antwort "Destination host unreachable" deutet immer auf ein Routingproblem hin. Heißt, dass du das nächste Mal keinen Ping, sondern ein Traceroute auf ein externes Ziel absetzt.
Ein temporäres/spontanes Routingproblem kann idR bei vermurksten Routingkonfigurationen wie WANFailover/BGP/OSPF entstehen.
An dieser Stelle erfolgt dann die Ausstellung eines Armutszeugnis' an eure IT-Abteilung.
VG
die Ping-Antwort "Destination host unreachable" deutet immer auf ein Routingproblem hin. Heißt, dass du das nächste Mal keinen Ping, sondern ein Traceroute auf ein externes Ziel absetzt.
Ein temporäres/spontanes Routingproblem kann idR bei vermurksten Routingkonfigurationen wie WANFailover/BGP/OSPF entstehen.
An dieser Stelle erfolgt dann die Ausstellung eines Armutszeugnis' an eure IT-Abteilung.
VG
Hat irgendwer eine Idee, die ich an unsere IT weitergeben könnte?
Die Frage ist erstmal keine technische, sondern eine organisatorische - darfst du diese Daten nach aussen geben, mit welcher Befugnis? Hast du genug Entscheidungsgewalt und Einsicht um das abschätzen zu können?
Ich hab hier leider auch einen Kunden, den quält die ganze Zeit ein vorsintflutliches Netz, kann man aber (bisher) nichts machen. Daher das in den Raum gestellt.
Unabhängig davon: Windows 7?
In Summe, wenn du Abhilfe willst, prüf obiges, bring ggf. einen weiteren IT-Dienstleister ins Gespräch und lass es klären. Aber hier bringt das so wohl eher nichts.
Grüße,
Christian
certifiedit.net
Zitat von @zimbosmurf:
Zitat von @aqui:
Ohne die genaue Konfig des Zyxels zu kennen, speziell das Firewall Regelwerk ist ein Troubleshooting unmöglich. Das leuchtet dir sicher auch ein. Wenn du deiner Autowerkstatt ein Motorenproblem am Telefon schilderst aber nicht auf der Diagnosebühne bist steht der Mechaniker vor dem gleichen Dilemma wie wir hier. Da hilft dann, wie immer, nur die berühmte Kristallkugel was dir dann aber wiederum nicht hilft.
Ich erwarte kein Troubleshooting. Ich hoffe auf ein Wunder in der Form "Ja, hatte ich auch mal, was dieses und jenes!"Ohne die genaue Konfig des Zyxels zu kennen, speziell das Firewall Regelwerk ist ein Troubleshooting unmöglich. Das leuchtet dir sicher auch ein. Wenn du deiner Autowerkstatt ein Motorenproblem am Telefon schilderst aber nicht auf der Diagnosebühne bist steht der Mechaniker vor dem gleichen Dilemma wie wir hier. Da hilft dann, wie immer, nur die berühmte Kristallkugel was dir dann aber wiederum nicht hilft.
Für Wunder musst du um die Ecke. Ich glaub die Evangelikalen und sonstige Vereine glauben da nicht so stark dran.
Für das technisch Mögliche, falls du doch mal jemanden direkt drauf schauen lassen willst, hier.
Grüße
Zitat von @zimbosmurf:
Nach ein paar Minuten (geschätzt zwischen 3 und 10 Minuten) ist der Spuk dann auch wieder vorbei und alles funktiniert wieder.
Die einzige Antwort, die ich von unserer IT bekommen habe ist, dass meine IP im Logfile der firewall nicht aufgeführt ist (Ich hatte die vage Vermutung, dass mein Rechner vielleicht ab und zu mit irgendetwas floodet und die Firewall mich als Massnahme kurz abklemmt, so lange das der Fall ist, aber dann würde ich erwarten, dass das auch im Logfile auftaucht.
Hat irgendwer eine Idee, die ich an unsere IT weitergeben könnte?
Nach ein paar Minuten (geschätzt zwischen 3 und 10 Minuten) ist der Spuk dann auch wieder vorbei und alles funktiniert wieder.
Die einzige Antwort, die ich von unserer IT bekommen habe ist, dass meine IP im Logfile der firewall nicht aufgeführt ist (Ich hatte die vage Vermutung, dass mein Rechner vielleicht ab und zu mit irgendetwas floodet und die Firewall mich als Massnahme kurz abklemmt, so lange das der Fall ist, aber dann würde ich erwarten, dass das auch im Logfile auftaucht.
Hat irgendwer eine Idee, die ich an unsere IT weitergeben könnte?
Hier könnte das per default recht knapp eingestellte Session-Limit zuschlagen.
https://support.zyxel.eu/hc/de/articles/360001390354-Verbindung-ist-lang ...
Sollte aber im Logfile auftauchen, wenn dieser Fall eintritt.
Gruß
sk
Zitat von @aqui:
Man muss NICHT in unübersichtlichen Einzelthreads im Minutenrythmus antworten sondern kann diese auch intelligent mit einem @... vor dem Nickname zu einem zusammenfassen !!
Man muss NICHT in unübersichtlichen Einzelthreads im Minutenrythmus antworten sondern kann diese auch intelligent mit einem @... vor dem Nickname zu einem zusammenfassen !!
Nein Aqui da liegst Du falsch. Genau genommen handelt er sogar völlig korrekt!
Wie man unter "Antworten" sehen kann, gibt es unterhalb der Ausgangsfrage mehrere parallel laufende Gesprächsfäden. Zum Zeitpunkt meiner Antwort gab es beispielsweise bereits zwei parallele Antwortstränge, welche sich jedoch beide nicht dazu eigneten, meine (vermutete) Lösung zu platzieren. Deshalb habe ich unmittelbar auf die Eröffnungsfrage geantwortet und damit einen dritten unabhängigen Gesprächsfaden eröffnet.
Wenn erstmal mehrere parallele Gesprächsfäden existieren, ist es für den TO unmöglich, diese wieder zusammenzuführen. Wenn er nur einen Gesprächsfaden weiterführen würde, würde dies von den Teilnehmern der dann verwaisten Gesprächsfäden u.U. als unhöflich empfunden, weil diese die Antworten in den anderen Gesprächsfäden u.U. gar nicht verfolgen.
Für alte Hasen, die das Internet noch nicht fälschlich mit dem www gleichsetzen und noch etwas anderes als Webforen kennen, ist dies selbstverständlich und offenkundig. Die Verwirrung entsteht nur, weil im hiesigen Webforum sämtliche Postings zweidimensional dargestellt werden und nur chronologisch oder nach Bewertung sortiert werden können. In den meisten anderen Forensystemen kann man hingegen auch eine Darstellung in Baumstruktur aktivieren. Ich meine mich auch zu erinnern, dass das auch hier früher schon mal möglich war - scheint aber wegrationalisiert worden zu sein.
Gruß
sk
Wenn erstmal mehrere parallele Gesprächsfäden existieren, ist es für den TO unmöglich, diese wieder zusammenzuführen. Wenn er nur einen Gesprächsfaden weiterführen würde, würde dies von den Teilnehmern der dann verwaisten Gesprächsfäden u.U. als unhöflich empfunden, weil diese die Antworten in den anderen Gesprächsfäden u.U. gar nicht verfolgen.
Dann sollten wir wohl sofort eine Therapiesitzung anbieten, immerhin stört das deren persönliche Balance.
Wenn der TO die jeweiligen letzten Poster der jeweiligen "Fäden" per @ referenziert ist das sauberer als das, was er nun macht, vor allem, da wir ja nicht nach den "Fäden" mit Benachrichtigung zugespammt werden, sondern generell.
Hallo,
danke für die Rückmeldung. Freut mich, dass ich helfen konnte.
Dann markiere bitte meine damalige Antwort als Lösung, damit der Thread als "gelöst" gekennzeichnet wird.
Gruß
sk
P.S.
Das Echtzeitlog der Zywall ist nicht zeitlich limitiert, sondern hinsichtlich des Speichers. Oft wird aber der Fehler gemacht, auf sämtlichen oder vielen Firewallregeln permanent zu loggen, was eben u.a. dazu führt, dass die wirklich interessanten Einträge viel zu schnell überschrieben und deshalb bei der Fehlersuche nicht gesehen werden. Letztlich sollte man aber ohnehin immer die Logs z.B. per Syslog nach extern wegschreiben.
danke für die Rückmeldung. Freut mich, dass ich helfen konnte.
Dann markiere bitte meine damalige Antwort als Lösung, damit der Thread als "gelöst" gekennzeichnet wird.
Gruß
sk
P.S.
Das Echtzeitlog der Zywall ist nicht zeitlich limitiert, sondern hinsichtlich des Speichers. Oft wird aber der Fehler gemacht, auf sämtlichen oder vielen Firewallregeln permanent zu loggen, was eben u.a. dazu führt, dass die wirklich interessanten Einträge viel zu schnell überschrieben und deshalb bei der Fehlersuche nicht gesehen werden. Letztlich sollte man aber ohnehin immer die Logs z.B. per Syslog nach extern wegschreiben.