Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 4774 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routingproblem verschiedene Subnetze

pit-hf
Moin Forum,

wir suchen, leider bisher ohne Erfolg, nach einem sporadischen auftretenden Fehler der bei uns beim Routing unterschiedlicher Netze auftritt.
Blöd ist dabei das der Fehler leider nicht reproduzierbar ist, man kann nicht sagen wann und warum er auftritt.

Wir routen bei uns mehrere Netze da Produktions- und Verwaltungsbereiche getrennt sind. Eins davon ist über eine WLan Strecke auf der anderen Seite mit ´ner ASG120 angebunden, hier wurde zusätzlich eine net2net VPN Verbindung mit x509 konfiguriert. Zwei weitere LANs hängen intern direkt an der ASTARO, ein Produktions- und ein internes WLan Netz.

Es handelt sich um das Hauptnetz 192.168.250.0/24, das Remote LAN hinter der WLan Strecke ist 192.168.251.0/24, zwar gibt es da noch mehrere Netze, diese bereiten aber nicht das folgt geschilderte Problem. Das intern geroutete Netz welches direkt an der ASTARO hängt ist das 192.168.249.0/24.
Im Hauptnetz, also im 250er Netz, stehen alle Server, und alle anderen Netze sollen nun diese Server erreichen können.

Erwähnt werden sollte vielleicht noch, dass die aktuelle Version der ASTARO auf einem ESX läuft, weiß nicht, ob´s vielleicht da irgendwo klemmen könnte. Als Adapter ist ein e1000 bei den NIC´s eingerichtet. Laut VMware ist das wohl die beste Variante. Die Astaro Appliance ist zwar anders konfiguriert, aber auch im Forum habe ich irgendwo gelesen das man die e1000 nehmen sollte.

Unser Umgebung ist weitestgehend Microsoft, alles Windows 2003 bzw. 2008 Server, aktuell handelt es sich um eine Windows 2003 Domäne. Die betroffenen Clients haben alle Windows XP.

Grundsätzlich ist das Problem, oder das Schöne, dass generell erst einmal alles funktioniert. Es gibt Filterregel im Paketfilter, 249 --> 250 any, 250 --> 249 any und 251 --> 250 any, 250 --> 251 any. Masquerading ist nicht konfiguriert, ist hier ja auch nicht notwendig.
Generell funktioniert erstmal alles, Domänenanmeldung, Profile ziehen, Daten speichern usw. funktioniert grundsätzlich erstmal. Das bedeutet, dass eigentlich alle Konfigurationen sauber sind.

Nun zum Problem. Irgendwann, sporadisch, warum auch immer, erreichen die Clients aus den anderen Netzen das 250er Netz nicht mehr. Meint konkret, dass z.B. ´nen Ping immer funktioniert. Nicht nur auf das Interface, sondern auch auf irgendeinen Server oder Switch im 250er Netz. Probleme gibt´s aber wenn z.B. auf Laufwerksfreigaben zugegriffen werden soll die per net use beim Anmelden des Users verbunden wurden. Ebenfalls haben Anwendungen die z.B. "srv003" suchen Schwierigkeiten, und die Anwendung macht Probleme. Öffne ich den Explorer und versuche z.B. ´ne Freigabe über \srv001 zu erreichen, oder auch als FQDN, dann funktioniert das manchmal, manchmal auch nicht, zumindest in dem Moment, wo der Fehler gerade akut da ist. Grundsätlich klappt das aber. Versuche ich das Ganze dann über die IP Adresse, z.B. mit \192.168.250.21, dann dauert das ewig, funktioniert dann aber auch.
An bzw. Abmelden ist in dem Fall garnicht möglich, wir arbeiten mit servergespeicherten Profilen, es dauert eine ganze Zeit, gibt dann ´ne Fehlermeldung, und dann wird der User auch abgemeldet.
Versucht in dem Moment ein User sich an zu melden erhält dieser eine Meldung das der Domänenbenutzer nicht gefunden werden kann. Logisch wäre dann vielleicht noch wenn in diesem Moment garnichts mehr funktionieren würde. Merkwürdigerweise kann es aber sein, dass ein anderer Client der schon länger angemeldet ist und ohne Probleme arbeitet dies auch noch weiter tun kann. Das kann eine ganze Zeit gut gehen, kann dann aber auch sein das er wenige Sekunden später auch nicht mehr auf seine Laufwerke zugreifen kann.

Aber, dass Problem ist halt, dass dieser Fehler nur sporadisch auftaucht. Generell funktioniert es eigentlich alles einwandfrei.

Wir hatten schon die Idee, dass es irgendwie mit Kerberos Authentifizierung und UDP zusammen hängt, bei 2003 läuft die im Standard wohl noch über UDP, und irgendwo konnte man in diesem Zusammenhang was von fragmentierten Paketen lesen. Zumindest beim Remote Standort gingen wir davon aus, haben das schon auf TCP umgestellt, hat aber auch nichts gebracht. Das Problem tritt mal ein oder zwei Tage vielleicht garnicht auf, dann vielleicht am dritten Tag alle zwei Stunden.

Das Einzige, was wir in dem Fall tun können, ist die ASTARO neu zu starten. Irgendwie fehlt hier momentan der Ansatz was zu tun ist um das Problem zu lösen.

Gedanklich ist einfach die Frage ob´s an der ASTARO liegt, ob´s irgendwo mit der ESX Umgebung zusammen hängt, oder ob´s auf der Windows Ebene zu suchen ist.

Hat soetwas vielleicht irgendjemand schonmal gesehen oder eine Idee was man ggf. machen oder versuchen könnte?

Danke für eure Antworten im Voraus.

Mfg, Pit


This thread was automatically locked due to age.
  • 0
    Hallo Pit,
    Langer und schwieriger Post. Vielleicht hat sich bisher daher keiner getraut sich die Sache näher anzuschauen. Vielleicht versuchst Du das Problem noch einmal kürzer und auf das wichtigste reduziert zu schildern.
    Ich habe auch nur kurz überflogen.
    Da ein Ping in alle gewünschte Netze zu funktionieren scheint ist die Astaro eigentlich raus. Zuerst hatt ich auf Routing Probleme getippt.
    Lange Wartezeiten im Netz sind oft DNS Probleme. Funktioniert die Namensauflösung zu allen Clients und Servern zwischen den verschiedenen Netzen. Hast Du mehrere Domänen Controller? Wie replizieren diese? 
    Ist die Astaro in Namensauflösung eingebunden? Dies könnte für die Domänen/Active Directory Verbindungen problematisch sein.
    Gruß Nathan
  • 0
    Hallo Nathan,

    ja, stimmt schon, ist recht lang. Ich habe versucht das so gut wie möglich zu beschreiben. Dummerweise musste ich dann aber feststellen, dass es "kurz" mal garnicht so einfach ist.

    Aber dennoch danke für Deine Antwort!

    Also, es stimmt, der Ping zwischen den Netzen funktioniert. Auch komme ich von dem Hauptnetz, dem 250.0/24 in´s in die anderen Netze auf Freigaben. Auch, wenn der Fehler da ist! Von den anderen Netzen dann aber nicht in das 250er Hauptnetz.

    Ich denke also auch das die Astaro eigentlich schon fast raus ist.

    Die Namensauflösung der Clients zu den DNS Servern funktioniert generell, allerdings nicht in dem Fall wo der Fehler gerade auftritt. Das haben wir mal getestet, da hatten wir den Effekt das Anfragen teilweise beantwortet wurde, und teilweise nicht. Also auch wieder so ein Dingen was man nicht klar mit ja oder nein beantworten kann. Die ASTARO habe ich beim DNS nicht mit eingebunden. Die ASTARO macht zwar für die Subnetze DHCP, als DNS sind aber die beiden Windows 2003 DNS, die auch DC sind, im 250er Netz angegeben. Bei einem Subnetz war die ASTARO als 2. DNS eingetragen, ich weiß nicht ob das die Ursache gewesen sein könnte, habe ich aber gerade raus genommen.

    DC´s haben wir zwei, beide im 250er Netz. Was meinst Du aber mit "Wie replizieren diese"? Stehe ich jetzt ehrlich gesagt gerade auf dem Schlauch.

    Bis dann, Pit
  • 0 in reply to pit-hf
    Hallo Pit,
    Machen denn auch die Rechner in den Subnetzten auch eine Anmeldung an der Domäne also an den beiden DC im 250er Netz?

    DCs replizieren die AD untereinander. DNS gehört zwingens zur AD. Ich dachte, Du hättest vielleicht in jedem Subnetz einen eigenen DC. Bei Dir sollte die Replkation bei den DCs im gleichen Netz ohne Probleme klappen.

    Ich hab den langen Post noch mal 'durchgearbeitet'. Du schreibst das Problem ist weg, wenn man die VM-Astaro neu bootet?
    Vielleicht doch ein Netzwerk Problem? 
    Werden die die Routen richtig gesetzt? Ändern sich die IPs, die per DHCP vergeben werden? Sind diese im DNS (der DCs) dazu passend? Kann es sein, dass sich eine IP eines Clients ändert, der DC aber davon nicht mitbekommt und dann den Client nicht findet...
    Kniffig...
    Gruß Nathan
  • 0
    Hallo Nathan,

    ja, auch die Rechner in den Subnetzen hängen in der Domäne und melden sich an den DC´s im 250er Netz an. Die Überlegung, ob wir noch DC´s in die Unternetze packen sollten hatten wir auch schon, ich denke aber, dass es nicht unbedingt notwendig wäre.

    DC´s ist klar, AD ohne DNS funzt ja auch nicht. Nein, eigene DC´s im Subnetz gibt´s nicht, die DC´s können somit direkt replizieren, und da gibt´s auch keine Fehler.

    Genau das ist es, was mich wundert. Das Problem ist nach dem Neustart sofort weg. Ein Netzwerkproblem ist hier sicherlich nicht ausgeschlossen, merkwürdig an der ganzen Sache ist nur, dass das Routing ja generell funktioniert, und auch der Zugriff aus dem 250er Netz auf Freigaben im Remotenetz. Nur umgekehrt geht´s halt nicht, und das ist irgendwie unlogisch.

    Routen sind ja nicht wirklich notwendig, dass macht ja die ASL durch den Tunnel und kennt ja ihre Netze, da passt aber auch alles, sonst würd´s ja generell nicht gehen. IP´s und Namen haben wir schon geprüft, dass scheint alles zu passen. Wir haben auch in einem Netz Rechner mit fester IP, der passt im DNS auch, und wenn das Problem da ist dann hat er auch das Problem.

    Der Test sieht dann so aus, dass ich mit per RDP auf den 2k3 Server (Memberserver) verbinde, was auch funktioniert. Ich kann mich halt nur nicht dort anmelden da das System die Domäne nicht kennt. Das bedeutet, ich übertrage ja schon die RDP Daten durch den Tunnel, generell muss da also alles passen.

    Ich stimme Dir zu, sehr kniffelig das Ganze!

    Bis dann, Pit
  • 0 in reply to pit-hf

    Der Test sieht dann so aus, dass ich mit per RDP auf den 2k3 Server (Memberserver) verbinde, was auch funktioniert. Ich kann mich halt nur nicht dort anmelden da das System die Domäne nicht kennt. Das bedeutet, ich übertrage ja schon die RDP Daten durch den Tunnel, generell muss da also alles passen.

    Ist der 2k3 im 250er Netz oder in einem Subnetz?
    Was bedeutet, Du kannst Dich verbinden, aber nicht anmelden? Du bekommst das Loginfenster und der Login will nicht, oder erst die Laufwerkfreigabe?
    Gruß Nathan
  • 0
    Okay, dass hätte ich erwähnen können. Der 2k3 Server steht in einem Subnetz, in dem 251er welches per WLan/VPN angebunden ist.
    Genau, die RDP Verbindung wird aufgebaut, also vom 250er --> 251er Netz, der Userlogin 251er --> 250er Netz zu den DC´s geht dann praktisch nicht. Es scheitert schon beim Login, genauen Fehler kann ich jetzt nicht sagen, aber sinngemäß lautet´s da, dass die Anmeldung nicht erfolgen kann weil die Domäne nicht gefunden wird.
    Aber, was halt trotzdem geht, ist der Zugriff auf eine auf diesem Server gesetzte Freigabe, also auch wieder 250er --> 251er Netz.
    Das ist halt merkwürdig, sieht ein bischen so aus als wäre das Ganze eine Einbahnstraße. Zugriffe auf Freigaben vom 251er in´s 250er Netz funktionieren nicht, so melden das dann die Clients die dort normalerweise arbeiten. Gucke ich mir das auf dem Client per VNC an funktioniert das dann aber auch, generell also ist die Verbindung da.

    Bis dann, Pit
  • 0
    So, da gerade aktuell der Fehler wieder aufgetreten ist habe ich nochmal etwas weiter getestet.

    Es scheint, als klemmt´s irgendwo bei den DNS Anfragen.

    Ich habe mich per RDP auf den 2k3 Server im 251er Netz angemeldet, mit ´nem lokalen login war das problemlos möglich. Von dort habe ich dann den Zugriff auf Freigaben im 250er Netz getestet. Das funktionierte über die IP Adresse sofort, wenn ich´s über den Rechnernamen versucht habe dauert es eine ganze Zeit, funktionierte dann aber auch.

    Aber, was ganz klar nicht geht, dass waren DNS Anfragen. Der 251er Server müsste die DC´s im 250er Netz fragen die als DNS hinterlegt sind. Das tut er auch, bekommt aber keine Antwort. Egal nach was ich frage, ob nach einem Client im Netz oder nach heise.de, per nslookup gibt´s da auf nichts eine Antwort.
    Nun habe ich, wie dann momentan leider so üblich, die ASTARO neu gestartet, und dann funktioniert wieder alles einwandfrei.

    Jetzt müsste man also noch wissen wo es da klemmt. Kann die ASTARO diese DNS Anfragen "verschlucken"? Ich weiß nicht ob´s an einem der 2k3 DNS liegen kann, aber da Neustart der ASTARO hilft ist die Frage, ob soetwas passieren kann das die DNS Anfragen, bzw. die UDP Pakete, nicht durch gehen. Klingt zwar komisch, ist jetzt aber erstmal eine Idee.

    Bis dann, Pit
  • 0 in reply to pit-hf
    Ist ja schon mal eine Erkenntnis weiter.

    Vielleicht doch Routing? Ich tippe mal, dass die DNS Anfragen ankommen aber der DNS Server nicht richtig antworten kann.
    Vielleicht bekommst Du was mit tcpdump auf der Astaro Shell raus.
    Warum auch immer das nach einem Neustart nicht ist, oder nach gewisser Zeit nicht mehr geht. Sind irgendwelche zeitabhängige Dinge eingestellt / Einwahl?
  • 0
    Sorry, I can't get my German-speaking brain turned on.)

    What about the logs?  'Packet Filter',  'Intrusion Prevention' & 'Content Filter (HTTP/S)'?

    Also, you might be interested in Post #3 in https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32566.

    MfG - Bob (Bitte, auf Deutsch weiterhin!)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi,

    sorry, dass hier lange Funkstille war, ich hatte aber zwischenzeitlich ein paar andere Probleme und konnte mich daher um das Thema bzw. Ergänzungen zu dem Thema nicht kümmern!

    Nochmal sorry, aber nun zurück zum Thema.

    Um auf Bob´s Fragen zurück zu kommen. Die Log´s zeigen leider alle nichts an. Zumindest nichts, was auf den Fehler hingedeutet hätte.
    Generell sieht unsere DNS Konfigurtion so aus, dass die Windows Server gefragt werden sollen, hierüber laufen die internen Anfragen der Clients. Die Windows DNS haben dann ´nen Forwarder auf die ASTARO für die unbekannten, normalerweise also die externen Adressen. Das sollte ja generell erstmal alles so passen und funktionieren.

    Auch habe ich mal tcpdump laufen lassen, auch da hat´s nichts ergeben, auch dort lassen sich keine Probleme erkennen, es scheint auf der ASTARO Seite alles einwandfrei zu funktionieren, zumindest behaupten die Log´s nichts gegenteiliges.

    Nun kommt aber das eigentlich dumme, oder in dem Fall das Schöne, der Fehler ist weg! Wir haben allerdings nicht so recht eine Erklärung warum. Okay, wir haben unsere Domäne von 2003 auf 2008 umgestellt. Wir haben Schritt für Schritt umgestellt, also neue DC´s rein, die alten runter gestuft und raus, also keine neue Domäne aufgesetzt. Nun war es so, dass nachdem wir die Domäne durch preppen vorbereitet haben, der Fehler auf einmal nicht mehr auftrat. Das war irgendwo anfang Juni. Nun ist zwischenzeitlich zwar alles auf 2k8, aber zu dem Zeitpunkt haben wir an den alten Servern erstmal noch nichts gemacht, lediglich hoch gestuft und den ersten neuen 2k8 DC hinzu gefügt.

    Für uns gut das der Fehler weg ist, schade nur, dass man keine Möglichkeit hatte konkret zu ermitteln wo das Problem lag. Ich kann mir eigentlich jetzt garnicht so richtig vorstellen, dass beim Preppen wirklich irgendwo ein Parameter oder Wert verändert wurde der für diesen Fehler verantwortlich war. Es macht aber fast den Eindruck, seid nun insgesamt vier Wochen läuft alles absolut rund. Ich vermute jetzt also mal, dass die ASTARO vermutlich garnicht Schuld an dem Problem hatte, sondern es irgendwo in der Domäne klemmte.

    Ist mir momentan aber nicht so ganz klar.

    Bis dann, Pit
Cookie Information Banner