22
Zyxel VPN 50 - temporäre Internetausfälle
Hallo!
Zu allererst: Ich bin in unserer Firma nicht der Administrator, aber unsere IT hat keine Idee und (scheinbar) auch keine Lust, sich wirklich mit dem Problem zu beschäftigen.
Wir haben seit zwei Wochen eine Zyxel Firewall VPN 50 im Einsatz und seitdem habe ich regelmässig ein Problem. Anfangs schien es, dass ich der einzige bin, aber mittlerweile kristallisiert sich heraus, dass auch andere Kollegen schon davon betroffen waren. Ob es bei denen so oft/regelmässig auftritt wie bei mir habe ich noch nicht herausgefunden.
Das Problem:
1-2 mal am Tag komme ich von meinem Rechner aus nicht mehr ins Internet. Der Browser meldet Servertimeouts, Thunderbird zeigt beim Verschicken einen "Connect Error 10061" (was ich sehr mysteriös finde, denn das ist ein "aktiver" Fehler, es kam nicht einfach keine Verbindung zustande sondern der Server hat die Verbindung aktiv abgelehnt!), Telegram Messenger verliert die Verbindung.
Die Netzwerkverbindung in Windows 7 wird als bestehend und fehlerfrei angezeigt, innerhalb unseres Firmennetzwerkes kann ich alle Server problemlos erreichen.
Ganz mysteriös ist das Ping-Verhalten:
Nach ein paar Minuten (geschätzt zwischen 3 und 10 Minuten) ist der Spuk dann auch wieder vorbei und alles funktiniert wieder.
Die einzige Antwort, die ich von unserer IT bekommen habe ist, dass meine IP im Logfile der firewall nicht aufgeführt ist (Ich hatte die vage Vermutung, dass mein Rechner vielleicht ab und zu mit irgendetwas floodet und die Firewall mich als Massnahme kurz abklemmt, so lange das der Fall ist, aber dann würde ich erwarten, dass das auch im Logfile auftaucht.
Hat irgendwer eine Idee, die ich an unsere IT weitergeben könnte?
Zu allererst: Ich bin in unserer Firma nicht der Administrator, aber unsere IT hat keine Idee und (scheinbar) auch keine Lust, sich wirklich mit dem Problem zu beschäftigen.
Wir haben seit zwei Wochen eine Zyxel Firewall VPN 50 im Einsatz und seitdem habe ich regelmässig ein Problem. Anfangs schien es, dass ich der einzige bin, aber mittlerweile kristallisiert sich heraus, dass auch andere Kollegen schon davon betroffen waren. Ob es bei denen so oft/regelmässig auftritt wie bei mir habe ich noch nicht herausgefunden.
Das Problem:
1-2 mal am Tag komme ich von meinem Rechner aus nicht mehr ins Internet. Der Browser meldet Servertimeouts, Thunderbird zeigt beim Verschicken einen "Connect Error 10061" (was ich sehr mysteriös finde, denn das ist ein "aktiver" Fehler, es kam nicht einfach keine Verbindung zustande sondern der Server hat die Verbindung aktiv abgelehnt!), Telegram Messenger verliert die Verbindung.
Die Netzwerkverbindung in Windows 7 wird als bestehend und fehlerfrei angezeigt, innerhalb unseres Firmennetzwerkes kann ich alle Server problemlos erreichen.
Ganz mysteriös ist das Ping-Verhalten:
- Ping auf Ziele innerhalb des Firmennetzwerks: schnelle und regelmässige Antworten.
- Ping auf Ziele ausserhalb des Firmennetzwerks (egal ob domain oder IP): Erste Antwort "Reply from #router: Destination host unreachable.", danach schnelle und regelmässige Antworten.
- Sofortiger erneuter Ping auf das gleiche Ziel ausserhalb des Firmennetzwerks (egal ob domain oder IP): sofort schnelle und regelmässige Antworten.
- Erneuter Ping auf ein bereits gepingtes Ziel ausserhalb des Firmennetzwerks (egal oder domain oder IP) nach einer Wartezeit von ca. 10 Sekunden oder nachdem zwischendurch ein anderes Ziel gepingt wurde: Erste Antwort "Reply from #router: Destination host unreachable.", danach schnelle und regelmässige Antworten.
Nach ein paar Minuten (geschätzt zwischen 3 und 10 Minuten) ist der Spuk dann auch wieder vorbei und alles funktiniert wieder.
Die einzige Antwort, die ich von unserer IT bekommen habe ist, dass meine IP im Logfile der firewall nicht aufgeführt ist (Ich hatte die vage Vermutung, dass mein Rechner vielleicht ab und zu mit irgendetwas floodet und die Firewall mich als Massnahme kurz abklemmt, so lange das der Fall ist, aber dann würde ich erwarten, dass das auch im Logfile auftaucht.
Hat irgendwer eine Idee, die ich an unsere IT weitergeben könnte?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 574967
Url: https://administrator.de/contentid/574967
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
22 Kommentare
Neuester Kommentar
Ohne die genaue Konfig des Zyxels zu kennen, speziell das Firewall Regelwerk ist ein Troubleshooting unmöglich. Das leuchtet dir sicher auch ein. Wenn du deiner Autowerkstatt ein Motorenproblem am Telefon schilderst aber nicht auf der Diagnosebühne bist steht der Mechaniker vor dem gleichen Dilemma wie wir hier. Da hilft dann, wie immer, nur die berühmte Kristallkugel was dir dann aber wiederum nicht hilft.
Hi,
die Ping-Antwort "Destination host unreachable" deutet immer auf ein Routingproblem hin. Heißt, dass du das nächste Mal keinen Ping, sondern ein Traceroute auf ein externes Ziel absetzt.
Ein temporäres/spontanes Routingproblem kann idR bei vermurksten Routingkonfigurationen wie WANFailover/BGP/OSPF entstehen.
An dieser Stelle erfolgt dann die Ausstellung eines Armutszeugnis' an eure IT-Abteilung.
VG
die Ping-Antwort "Destination host unreachable" deutet immer auf ein Routingproblem hin. Heißt, dass du das nächste Mal keinen Ping, sondern ein Traceroute auf ein externes Ziel absetzt.
Ein temporäres/spontanes Routingproblem kann idR bei vermurksten Routingkonfigurationen wie WANFailover/BGP/OSPF entstehen.
An dieser Stelle erfolgt dann die Ausstellung eines Armutszeugnis' an eure IT-Abteilung.
VG
Hat irgendwer eine Idee, die ich an unsere IT weitergeben könnte?
Die Frage ist erstmal keine technische, sondern eine organisatorische - darfst du diese Daten nach aussen geben, mit welcher Befugnis? Hast du genug Entscheidungsgewalt und Einsicht um das abschätzen zu können?
Ich hab hier leider auch einen Kunden, den quält die ganze Zeit ein vorsintflutliches Netz, kann man aber (bisher) nichts machen. Daher das in den Raum gestellt.
Unabhängig davon: Windows 7?
In Summe, wenn du Abhilfe willst, prüf obiges, bring ggf. einen weiteren IT-Dienstleister ins Gespräch und lass es klären. Aber hier bringt das so wohl eher nichts.
Grüße,
Christian
certifiedit.net
mit "immer" Aussagen sollte man vorsichtig sein, kann auch nur ein tatsächlicher Internetausfall sein, soll es ja geben in diesem Land 
"man kanns ja mal probieren" könnte hier ein gutes Motto sein.
Zitat von @chgorges:
An dieser Stelle erfolgt dann die Ausstellung eines Armutszeugnis' an eure IT-Abteilung.
An dieser Stelle erfolgt dann die Ausstellung eines Armutszeugnis' an eure IT-Abteilung.
Zitat von @certifiedit.net:
mit "immer" Aussagen sollte man vorsichtig sein, kann auch nur ein tatsächlicher Internetausfall sein, soll es ja geben in diesem Land
Ist es nicht, zeitgleich können andere Kollegen ganz normal weiterarbeiten.mit "immer" Aussagen sollte man vorsichtig sein, kann auch nur ein tatsächlicher Internetausfall sein, soll es ja geben in diesem Land
Zitat von @certifiedit.net:
Die Frage ist erstmal keine technische, sondern eine organisatorische - darfst du diese Daten nach aussen geben, mit welcher Befugnis? Hast du genug Entscheidungsgewalt und Einsicht um das abschätzen zu können?
Ich gebe ja keine Konkreten Informationen nach draussen, da ich ja gar keine konkreten Informationen habe. Ich habe keinen Zugriff auf die Firewall, kenne keine ihrer Regeln, deswegen kann ich ja nur mutmassen.Hat irgendwer eine Idee, die ich an unsere IT weitergeben könnte?
Die Frage ist erstmal keine technische, sondern eine organisatorische - darfst du diese Daten nach aussen geben, mit welcher Befugnis? Hast du genug Entscheidungsgewalt und Einsicht um das abschätzen zu können?
Meine Hoffnung war halt, dass irgendwer das Fehlerbild, das ich habe, auch schon einmal erlebt hat.
Unabhängig davon: Windows 7?
Hat Gründe. Wir sind nicht froh drum, aber wir können aktuell noch nicht upgraden. Ist für Ende des Jahres geplant.In Summe, wenn du Abhilfe willst, prüf obiges, bring ggf. einen weiteren IT-Dienstleister ins Gespräch und lass es klären. Aber hier bringt das so wohl eher nichts.
Die Entscheidungsgewalt habe ich leider nicht. Daher war meine Hoffnung, es mit "Schaut doch mal nach Einstellung XY" bei unserer momentanen IT anschubsen zu können.Zitat von @chgorges:
die Ping-Antwort "Destination host unreachable" deutet immer auf ein Routingproblem hin. Heißt, dass du das nächste Mal keinen Ping, sondern ein Traceroute auf ein externes Ziel absetzt.
Zur Firewall ist es ein Hop, danach kommt nix mehr zurück.die Ping-Antwort "Destination host unreachable" deutet immer auf ein Routingproblem hin. Heißt, dass du das nächste Mal keinen Ping, sondern ein Traceroute auf ein externes Ziel absetzt.
Zitat von @aqui:
Ohne die genaue Konfig des Zyxels zu kennen, speziell das Firewall Regelwerk ist ein Troubleshooting unmöglich. Das leuchtet dir sicher auch ein. Wenn du deiner Autowerkstatt ein Motorenproblem am Telefon schilderst aber nicht auf der Diagnosebühne bist steht der Mechaniker vor dem gleichen Dilemma wie wir hier. Da hilft dann, wie immer, nur die berühmte Kristallkugel was dir dann aber wiederum nicht hilft.
Ich erwarte kein Troubleshooting. Ich hoffe auf ein Wunder in der Form "Ja, hatte ich auch mal, was dieses und jenes!"Ohne die genaue Konfig des Zyxels zu kennen, speziell das Firewall Regelwerk ist ein Troubleshooting unmöglich. Das leuchtet dir sicher auch ein. Wenn du deiner Autowerkstatt ein Motorenproblem am Telefon schilderst aber nicht auf der Diagnosebühne bist steht der Mechaniker vor dem gleichen Dilemma wie wir hier. Da hilft dann, wie immer, nur die berühmte Kristallkugel was dir dann aber wiederum nicht hilft.
Zitat von @zimbosmurf:
Zitat von @aqui:
Ohne die genaue Konfig des Zyxels zu kennen, speziell das Firewall Regelwerk ist ein Troubleshooting unmöglich. Das leuchtet dir sicher auch ein. Wenn du deiner Autowerkstatt ein Motorenproblem am Telefon schilderst aber nicht auf der Diagnosebühne bist steht der Mechaniker vor dem gleichen Dilemma wie wir hier. Da hilft dann, wie immer, nur die berühmte Kristallkugel was dir dann aber wiederum nicht hilft.
Ich erwarte kein Troubleshooting. Ich hoffe auf ein Wunder in der Form "Ja, hatte ich auch mal, was dieses und jenes!"Ohne die genaue Konfig des Zyxels zu kennen, speziell das Firewall Regelwerk ist ein Troubleshooting unmöglich. Das leuchtet dir sicher auch ein. Wenn du deiner Autowerkstatt ein Motorenproblem am Telefon schilderst aber nicht auf der Diagnosebühne bist steht der Mechaniker vor dem gleichen Dilemma wie wir hier. Da hilft dann, wie immer, nur die berühmte Kristallkugel was dir dann aber wiederum nicht hilft.
Für Wunder musst du um die Ecke. Ich glaub die Evangelikalen und sonstige Vereine glauben da nicht so stark dran.
Für das technisch Mögliche, falls du doch mal jemanden direkt drauf schauen lassen willst, hier.
Grüße
1
Zitat von @zimbosmurf:
Nach ein paar Minuten (geschätzt zwischen 3 und 10 Minuten) ist der Spuk dann auch wieder vorbei und alles funktiniert wieder.
Die einzige Antwort, die ich von unserer IT bekommen habe ist, dass meine IP im Logfile der firewall nicht aufgeführt ist (Ich hatte die vage Vermutung, dass mein Rechner vielleicht ab und zu mit irgendetwas floodet und die Firewall mich als Massnahme kurz abklemmt, so lange das der Fall ist, aber dann würde ich erwarten, dass das auch im Logfile auftaucht.
Hat irgendwer eine Idee, die ich an unsere IT weitergeben könnte?
Nach ein paar Minuten (geschätzt zwischen 3 und 10 Minuten) ist der Spuk dann auch wieder vorbei und alles funktiniert wieder.
Die einzige Antwort, die ich von unserer IT bekommen habe ist, dass meine IP im Logfile der firewall nicht aufgeführt ist (Ich hatte die vage Vermutung, dass mein Rechner vielleicht ab und zu mit irgendetwas floodet und die Firewall mich als Massnahme kurz abklemmt, so lange das der Fall ist, aber dann würde ich erwarten, dass das auch im Logfile auftaucht.
Hat irgendwer eine Idee, die ich an unsere IT weitergeben könnte?
Hier könnte das per default recht knapp eingestellte Session-Limit zuschlagen.
https://support.zyxel.eu/hc/de/articles/360001390354-Verbindung-ist-lang ...
Sollte aber im Logfile auftauchen, wenn dieser Fall eintritt.
Gruß
sk
1
Hi,
hast du einen PC oder einen Laptop (mit WLAN) ?
Fehler in der Art können auftreten wenn WLAN und LAN gleichzeitig verwendet werden.
CH
hast du einen PC oder einen Laptop (mit WLAN) ?
Fehler in der Art können auftreten wenn WLAN und LAN gleichzeitig verwendet werden.
CH
1Zitat von @certifiedit.net:
> Für das technisch Mögliche, falls du doch mal jemanden direkt drauf schauen lassen willst, hier.
Liegt wie gesagt leider ausserhalb meiner Entscheidungsgewalt. Trotzdem danke!> Für das technisch Mögliche, falls du doch mal jemanden direkt drauf schauen lassen willst, hier.
Danke, ich habe den Link mal (samt beschreibung der Logmeldung) weitergegeben. Mal schauen, ob das etwas hilft!
Zitat von @ChriBo:
Hi,
hast du einen PC oder einen Laptop (mit WLAN) ?
Fehler in der Art können auftreten wenn WLAN und LAN gleichzeitig verwendet werden.
CH
Nein, ist ein PC ohne WLAn und auch nur einer LAN-Verbindung.Hi,
hast du einen PC oder einen Laptop (mit WLAN) ?
Fehler in der Art können auftreten wenn WLAN und LAN gleichzeitig verwendet werden.
CH
Man muss NICHT in unübersichtlichen Einzelthreads im Minutenrythmus antworten sondern kann diese auch intelligent mit einem @... vor dem Nickname zu einem zusammenfassen !! 
Zitat von @aqui:
Man muss NICHT in unübersichtlichen Einzelthreads im Minutenrythmus antworten sondern kann diese auch intelligent mit einem @... vor dem Nickname zu einem zusammenfassen !!
Man muss NICHT in unübersichtlichen Einzelthreads im Minutenrythmus antworten sondern kann diese auch intelligent mit einem @... vor dem Nickname zu einem zusammenfassen !!
Nein Aqui da liegst Du falsch. Genau genommen handelt er sogar völlig korrekt!
Wie man unter "Antworten" sehen kann, gibt es unterhalb der Ausgangsfrage mehrere parallel laufende Gesprächsfäden. Zum Zeitpunkt meiner Antwort gab es beispielsweise bereits zwei parallele Antwortstränge, welche sich jedoch beide nicht dazu eigneten, meine (vermutete) Lösung zu platzieren. Deshalb habe ich unmittelbar auf die Eröffnungsfrage geantwortet und damit einen dritten unabhängigen Gesprächsfaden eröffnet.
Wenn erstmal mehrere parallele Gesprächsfäden existieren, ist es für den TO unmöglich, diese wieder zusammenzuführen. Wenn er nur einen Gesprächsfaden weiterführen würde, würde dies von den Teilnehmern der dann verwaisten Gesprächsfäden u.U. als unhöflich empfunden, weil diese die Antworten in den anderen Gesprächsfäden u.U. gar nicht verfolgen.
Für alte Hasen, die das Internet noch nicht fälschlich mit dem www gleichsetzen und noch etwas anderes als Webforen kennen, ist dies selbstverständlich und offenkundig. Die Verwirrung entsteht nur, weil im hiesigen Webforum sämtliche Postings zweidimensional dargestellt werden und nur chronologisch oder nach Bewertung sortiert werden können. In den meisten anderen Forensystemen kann man hingegen auch eine Darstellung in Baumstruktur aktivieren. Ich meine mich auch zu erinnern, dass das auch hier früher schon mal möglich war - scheint aber wegrationalisiert worden zu sein.
Gruß
sk
1Wenn erstmal mehrere parallele Gesprächsfäden existieren, ist es für den TO unmöglich, diese wieder zusammenzuführen. Wenn er nur einen Gesprächsfaden weiterführen würde, würde dies von den Teilnehmern der dann verwaisten Gesprächsfäden u.U. als unhöflich empfunden, weil diese die Antworten in den anderen Gesprächsfäden u.U. gar nicht verfolgen.
Dann sollten wir wohl sofort eine Therapiesitzung anbieten, immerhin stört das deren persönliche Balance.
Wenn der TO die jeweiligen letzten Poster der jeweiligen "Fäden" per @ referenziert ist das sauberer als das, was er nun macht, vor allem, da wir ja nicht nach den "Fäden" mit Benachrichtigung zugespammt werden, sondern generell.
Quote from @sk:
Hier könnte das per default recht knapp eingestellte Session-Limit zuschlagen.
https://support.zyxel.eu/hc/de/articles/360001390354-Verbindung-ist-lang ...
Sollte aber im Logfile auftauchen, wenn dieser Fall eintritt.
Gruß
sk
Zitat von @zimbosmurf:
Nach ein paar Minuten (geschätzt zwischen 3 und 10 Minuten) ist der Spuk dann auch wieder vorbei und alles funktiniert wieder.
Die einzige Antwort, die ich von unserer IT bekommen habe ist, dass meine IP im Logfile der firewall nicht aufgeführt ist (Ich hatte die vage Vermutung, dass mein Rechner vielleicht ab und zu mit irgendetwas floodet und die Firewall mich als Massnahme kurz abklemmt, so lange das der Fall ist, aber dann würde ich erwarten, dass das auch im Logfile auftaucht.
Hat irgendwer eine Idee, die ich an unsere IT weitergeben könnte?
Nach ein paar Minuten (geschätzt zwischen 3 und 10 Minuten) ist der Spuk dann auch wieder vorbei und alles funktiniert wieder.
Die einzige Antwort, die ich von unserer IT bekommen habe ist, dass meine IP im Logfile der firewall nicht aufgeführt ist (Ich hatte die vage Vermutung, dass mein Rechner vielleicht ab und zu mit irgendetwas floodet und die Firewall mich als Massnahme kurz abklemmt, so lange das der Fall ist, aber dann würde ich erwarten, dass das auch im Logfile auftaucht.
Hat irgendwer eine Idee, die ich an unsere IT weitergeben könnte?
Hier könnte das per default recht knapp eingestellte Session-Limit zuschlagen.
https://support.zyxel.eu/hc/de/articles/360001390354-Verbindung-ist-lang ...
Sollte aber im Logfile auftauchen, wenn dieser Fall eintritt.
Gruß
sk
Ich gebe hier mal ein sehr spätes Feedback, da ich - als Monate später das Problem tatsächlich gelöst wurde - diesen Thread hier vergessen hatte:
Es war das Session Limit, und es tauchte nicht im Logfile auf, da das Logfile des VPN50 winzig ist und nur etwa die letzten 15 Minuten abdeckt. Es stellte sich irgendwann raus, dass ich doch nicht der einzige bin, der betroffen ist und dann konnte ich unsere IT überzeugen, dass wir zusammen das Problem analysieren. Mit einem höheren Sessionlimit trat das Problem dann nicht mehr auf.
Danke für den Tipp damals!
2
Hallo,
danke für die Rückmeldung. Freut mich, dass ich helfen konnte.
Dann markiere bitte meine damalige Antwort als Lösung, damit der Thread als "gelöst" gekennzeichnet wird.
Gruß
sk
P.S.
Das Echtzeitlog der Zywall ist nicht zeitlich limitiert, sondern hinsichtlich des Speichers. Oft wird aber der Fehler gemacht, auf sämtlichen oder vielen Firewallregeln permanent zu loggen, was eben u.a. dazu führt, dass die wirklich interessanten Einträge viel zu schnell überschrieben und deshalb bei der Fehlersuche nicht gesehen werden. Letztlich sollte man aber ohnehin immer die Logs z.B. per Syslog nach extern wegschreiben.
danke für die Rückmeldung. Freut mich, dass ich helfen konnte.
Dann markiere bitte meine damalige Antwort als Lösung, damit der Thread als "gelöst" gekennzeichnet wird.
Gruß
sk
P.S.
Das Echtzeitlog der Zywall ist nicht zeitlich limitiert, sondern hinsichtlich des Speichers. Oft wird aber der Fehler gemacht, auf sämtlichen oder vielen Firewallregeln permanent zu loggen, was eben u.a. dazu führt, dass die wirklich interessanten Einträge viel zu schnell überschrieben und deshalb bei der Fehlersuche nicht gesehen werden. Letztlich sollte man aber ohnehin immer die Logs z.B. per Syslog nach extern wegschreiben.
2
Danke, ja, Du hast Recht, das Logfile ist in der Anzahl der Einträge limitiert. Aber in der Konfiguration, wie ich sie vorgefunden habe, reichte die Anzahl Einträge gerade für ca. 15 Minuten.
