Routingproblem

Hehe whity, meinen Post habe ich entfernt und du hast trotzdem geantwortet. So schlecht war deine Idee gar nicht, denn er sagt er hätte die "gegenüberliegenden" Interfaces gepingt... und die erreicht er nur mit dem richtigen Gateway. Ich habe das aber auch erst anders interpretiert und dann gepostet bis mir aufgefallen ist, dass du wahrscheinlich recht hast! Oder antwortet die ASG in diesen Fällen trotzdem? Da bin ich gerade nicht sicher. 

Ich denke es läuft auf problematische Filter-Regeln hinaus.

Moin,

ich bin gerade bei meiner aktuellen Fehlersuche über dieses Thema gestolpert, vielleicht kann mir ja bei meinem Problem jemand weiter helfen.

Wir routen bei uns auch mehrere Netze, einige davon sind über eine WLan Strecke mit ´ner ASG120 angebunden, hier wurde zusätzlich eine net2net Verbindung mit x509 konfiguriert. Ein weiteres LAN hängt intern direkt an der ASTARO.

Es handelt sich um das Hauptnetz 192.168.250.0/24, das Remote LAN hinter der WLan Strecke ist 192.168.251.0/24, zwar gibt es da noch mehrere Netze, diese bereiten aber nicht das folgt geschilderte Problem. Das intern geroutete Netz welches direkt an der ASTARO hängt ist das 192.168.249.0/24.
Im Hauptnetz, also im 250er Netz, stehen alle Server, und alle anderen Netze sollen nun diese Server erreichen können.

Erwähnt werden sollte vielleicht noch, dass die aktuelle Version der ASTARO auf einem ESX läuft, weiß nicht, ob´s vielleicht da irgendwo klemmen könnte.

Grundsätzlich ist das Problem, oder das Schöne, dass generell erst einmal alles funktioniert. Es gibt Filterregel im Paketfilter, 249 --> 250 any, 250 --> 249 any und 251 --> 250 any, 250 --> 251 any. Masquerading ist nicht konfiguriert, ist hier ja auch nicht notwendig.

Nun zum Problem. Grundsätzlich funktioniert erstmal alles. Irgendwann, sporadisch, warum auch immer, erreichen die Clients aus den anderen Netzen das 250er Netz nicht mehr. Meint konkret, dass z.B. ´nen Ping immer funktioniert. Nicht nur auf das Interface, sondern auch auf irgendeinen Server oder Switch im 250er Netz. Probleme gibt´s aber wenn z.B. auf Laufwerksfreigaben zugegriffen werden soll die per net use beim Anmelden des Users verbunden wurden. Ebenfalls haben Anwendungen die z.B. "srv003" suchen Schwierigkeiten, und die Anwendung macht Probleme. Öffne ich den Explorer und versuche z.B. ´ne Freigabe über \srv001 zu erreichen, oder auch als FQDN, dann funktioniert das manchmal, manchmal auch nicht, zumindest in dem Moment, wo der Fehler gerade akut da ist. Grundsätlich klappt das aber. Versuche ich das Ganze dann über die IP Adresse, z.B. mit \192.168.250.21, dann dauert das ewig, funktioniert dann aber auch.
An bzw. Abmelden ist in dem Fall garnicht möglich, wir arbeiten mit servergespeicherten Profilen, es dauert eine ganze Zeit, gibt dann ´ne Fehlermeldung, und dann wird der User auch abgemeldet.
Aber, dass Problem ist halt, dass dieser Fehler nur sporadisch auftaucht. Generell funktioniert es einwandfrei.
Wir hatten schon die Idee, dass es irgendwie mit  Kerberos und UDP zusammen hängt, zumindest beim Remote Standort, haben das schon auf TCP umgestellt (Windows 2003 Domäne), hat aber auch nichts gebracht. Das Problem tritt mal ein oder zwei Tage vielleicht garnicht auf, dann vielleicht am dritten Tag alle zwei Stunden.

Ich glaube fast nicht, dass es irgendwo mit der ASTARO zusammen hängt, vermute eher irgendwo ein Problem mit der Domäne, aber da geben die Protokolle leider nichts her.

Hat soetwas vielleicht irgendjemand schonmal gesehen oder eine Idee was man ggf. machen oder versuchen könnte?

Mfg, Pit