Connectivity Probleme

1. offizieller Beitrag

    Hallo,

    ich bin langsam verzweifelt. Ich habe hier ein Problem, das anscheinend mit der EFW zusammenhängt:

    Ich habe hier zwei IP Netze. Netz A besteht aus einem DSL Router und dem roten IF der EFW. Netz B beinhaltet das grüne IF, sowie File-, Mail-, DNS-Server und Clients.

    Mein Problem besteht darin, dass (vornehmlich Windows-) Clients nach dem Start z. B. keine Webseiten öffnen können. Die Fehlermeldungen der Browser (IE und Firefox) sagen aus, dass die Internetkonnektivität verloren gegangen sei, bzw. die Netzwerkverbindung während des Verbindungsaufbaus unterbrochen wurde. Es ist jedoch stets möglich auf der Kommandozeile ein Ping auf eine Webseite im Internet (z. B. ping web.de) abzusetzen. Im Fall von web.de antwortet die Webseite dann auch und anschließend kann jede beliebige Seite im Browser aufgerufen werden und wird korrekt angezeigt.
    Wir kein Ping abgesetzt, ist ein Verbindungsaufbau meist nach einigen Minuten möglich.

    Linux Clients scheinen von dem Problem i. A. nicht betroffen zu sein. Hier funktioniert der Browser meist ohne Probleme. Manchmal hakt es hier jedoch auch.

    Ich habe heute mal Wireshark mit laufen lassen. Nachfolgend das Protokoll:

    Das Problem ist hier gut reproduzierbar. Wenn die Verbindung funktioniert, und dann das Netzwerkkabel gezogen und neu gesteckt wird, ist das Problem wieder da. Ebenso nach einem Neustart. Auch im Betrieb kann es hin und wieder vorkommen, dass die Verbindung wegbricht und mit einem Ping wiederbelebt werden kann.

    Ach so: Interne Verbindungen (z. B. auf die Konfigurationsseite der EFW) funktionieren immer!

    Ich würde mich freuen, wenn ich hier den einen oder anderen Tipp bekommen würde.
    Vielen Dank schonmal...

    Gruß
    Thomas

    Einmal editiert, zuletzt von rut (20. Mai 2009 um 08:06)

    • Offizieller Beitrag

    Hallo Thomas,

    damit ich das ganze richtig verstehe.

    WAN ==> DSL ROUTER ==> IF ROT EFW ==> GRÜN (MAIL,FILE,Clients...)
    dh der DSL Router hängt vor der Firewall? Router ==> Router ..?

    gruß Frank

    Hallo Frank,

    ja, genau so ist die Konfiguration. Ursprünglich sollte der DSL-Router nur als DSL-Modem arbeiten und die EFW sollte die Verbindung herstellen. Das hat aber leider nicht funktioniert. Grundsätzlich funktioniert die Konfiguration ja auch. - Nur auf das anfängliche Verhalten kann ich mir keinen Reim machen...

    Gruß
    Thomas

    • Offizieller Beitrag

    Wie hast du den das gemacht?

    DSL Router nehme mal an das ist ne Fritz!Box, an ROTES IF der EFW und als Router laufen und in der EFW dann auf ETHERNET DHCP somit bekommt die EFW eine IP Adresse von der Fritz!Box oder?

    Wie sehen die DNS Einträge aus?
    Er löst den namen nicht korrekt auf bei den Versuchen.
    http://www.web.de würde dann im Browser nicht funktionieren, sowie ein Ping kein Ergebnis bringt. Dann schon mal die IP der Adresse versucht in dem Fall ( 217.72.195.42 ) ?

    Gib mal als Versuchszweck die IP Adresse des DNS Servers am Roten IF z.B. FritzBox IP als DNS GW bei deinen Grünen Clients an.

    Was klappte nicht als du versucht hast die FritzBox als Modem zu verwenden ?


    gruß Frank

    Hallo Frank,

    es ist nicht ganz so, wie Du ausführst. Bei dem DSL-Router handelt es sich um ein älteres Modell von Draytek. Der stellt die Verbindung zum Provider her und bekommt von dort eine IP Adresse und DNS Server zugewiesen. Intern hat das Teil eine fixe IP Adresse aus Netz A.
    Bei der EFW ist IF rot ebenfalls mit einer fixen IP Adresse aus Netz A konfiguriert. Die Standard Route zeigt auf den Draytek Router. Ein weitere Route ist von Netz A in das interne Netz B konfiguriert, in dem IF grün eine fixe Adresse hat. Grundsätzlich benutzt die EFW meinen internen DNS Server in Netz B.
    Der interne DNS Server ist primary für das interne Netz B und hat zwei Forwarder für das Internet eingetragen.
    Die Clients in Netz B nutzen die EFW als Standard Gateway und den internen DNS zur Namensauflösung.

    Anders als in Deinem Post beschrieben, ist die Namensauflösung das Einzige, was ohne Probleme funktioniert. In dem Mitschnitt von Wireshark ist in den "Zeilen" 7 und 8 ein DNS Request und die entsprechende Antwort inkl. IP Adresse zu sehen.
    Wenn ich statt meines internen DNS direkt die externen eintrage, funktioniert die Namensauflösung nicht mehr!
    Ich bin nicht zu 100% sicher, ob ich schon versucht habe im Browser direkt die IP für http://www.gmx.net einzugeben. Das muss ich nochmal versuchen, glaube aber nicht, dass das einen Unterschied macht, denn die Namensauflösung funktioniert ja. Das ist ja im Wireshark Protokoll eindeutig zu ersehen.

    Ich habe vorgestern noch einmal versucht, den Verbindungsaufbau durch die EFW vornehmen zu lassen. Das Problem ist, dass ich die Verbindung manuell herstellen muss. Nach dem Systemstart bleibt die Verbindung getrennt, bis ich sie manuell über die Webseite aufbaue, obwohl der entsprechende Haken im Assistenten nicht gesetzt ist.
    Nichts desto trotz war diese Konfiguration ja zunächst ausreichend, um zu testen, ob das etwas an meinem Problem ändert. - Das ist leider nicht der Fall! Die beschriebenen Probleme bleiben nach wie vor bestehen.

    Ich habe auch einmal einen Windows Client manuell in Netz A konfiguriert. Als Standard Gateway und DNS Server wurde der Draytek DSL Router genutzt. In dieser Konfig funktioniert der Browserzugriff sofort. Es muss also irgendwie entweder an der EFW oder an meiner Netzwerkkonfig liegen.

    Für weitere Tips bin ich jederzeit dankbar.

    Gruß
    Thomas

    Einmal editiert, zuletzt von rut (20. Mai 2009 um 08:33)

    • Offizieller Beitrag

    Hallo Thomas,

    ah ok hätt ja sein können das es sich um ne FritzBox handelt :)

    Was mich wundert ist ja schon mal das wenn die efw direkt angeschlossen ist die Verbindung nicht aufbaut und du diese immer Manuell herstellen musst.

    Die beiden Hacken in der GUI ( Aktiv und Verwaltet ) sind aktiv?.(( Aktiv verschwindet wenn Verwaltet aktiviert wird )).
    Wenn beim start die Verbidnung nicht aufgebaut wird, wird im Systemlog ( Protokolle => System => Red ) irgend eine Meldung angezeit
    die vll. aufschluss gibt darüber warum Verbindung nicht aufgebaut werden konnte?

    Wenn du die efw die Verbindung aufbauen lässt hast du dann dort ein normales DSL Modem angeschlossen?

    Wenn ich

    Zitat

    Nichts desto trotz war diese Konfiguration ja zunächst ausreichend, um zu testen, ob das etwas an meinem Problem ändert. - Das ist leider nicht der Fall! Die beschriebenen Probleme bleiben nach wie vor bestehen.


    richtig verstehe beides mal hast du Probleme wie im Post 1 beschrieben das keine webseite geöffnet werden kann erst nachdem du via ping
    einen ping auf eine Webseite gelassen hast.?

    gruß Frank

    Hallo Frank,

    das ist ja mal 'ne prompte Antwort... ;)

    Was den Verbindungsaufbau durch die EFW angeht: Ich kann jetzt nicht genau sagen, welche Haken wo gesetzt sind. Ich habe eine ältere Version der EFW im Einsatz. Versionsnr. müsste ich auch prüfen. Habe im Augenblick keinen Zugriff auf mein Netz. Allerdings ist dort dann kein DSL Modem angeschlossen, sondern am Draytek ist dann PPPoE Passthrough aktiviert.

    In der Tat bleibt das Problem aus Post 1 bestehen, egal, ober der Draytek oder die EFW die Verbindung mit dem Internet herstellen.

    Gruß
    Thomas

    • Offizieller Beitrag

    Hallo Thomas,

    wenn du die Versions Nummer noch ausfindig machen könntest wär das klasse.
    ist es denn 2.2rc2/rc3 oder vll eine 2.1?

    Auch wäre der Versuch eines DSL Modems von vorteil, ich habe des öfteren gelesen das es manchmal zu merkwürdigen Fehlern kommt beim PPPoE Passthrough.

    Wenn ein Ping geschickt wird und dann das Internet geht ist das nur an den Clients so.
    Jetzt müsste man prüfen ob.

    # sich nach dem Ping an dem Arbeitsplatz was ändert.
    # gehen nach dem Ping alle Arbeitsplätze oder nur der PC an dem der ping ausgeführt worden ist.
    # sind neue Routen nach dem ping und dem erfolgreichen verbinden ins internet am Arbeitsplatz entstanden?
    # sind neue Routen an der Firewall entsanden?

    gruß Frank

    • Offizieller Beitrag

    Hallo, damit ich das richtig verstehe :
    Dein DSL- Router bekommt die IP Adresse und DNS Server vom Provider zugewiesen. OK.
    Du hast einen weiteren DNS- Server laufen der im gleichen Netz ist wie EFW, also in Netz B.
    Grundsätzlich benutzt die EFW meinen internen DNS Server in Netz B ? ?
    Das heißt du hast den DNS- Server aus Netz B im Roten Interface der EFW eingetragen, der sich in Netz A befindet. Nur sieht die EFW deine Internen DNS- Server nicht weil der ja in einem anderen Netz ist.
    Hier liegt der Hund begraben !

    Gruß Sabine

    Hallo,

    die EFW ist eine V 2.1.1. Wurde damals mit dem c't Server mitgeliefert.

    Sabine: Ich sehe nicht ein, warum die EFW den DNS Server nicht finden sollte. Die Routen in der EFW sehen wie folgt aus:

    Code
    Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.A.96    *               255.255.255.248 U     0      0        0 eth1
192.168.B.0     *               255.255.255.0   U     0      0        0 br0
default         DSL-Router      0.0.0.0         UG    0      0        0 eth1

    Laut Zeile 4 sollte die EFW in der Lage sein, den DNS Server zu finden. Und das tut sie auch.

    Frank: Ein DSL Modem, mit dem ich testen könnte, steht mir leider nicht zur Verfügung. Ist ja auch nebensächlich. Das Problem bleibt ja das gleiche.

    • Nach dem Ping "funktioniert" das Internet nur an dem entsprechenden Windows-PC. Andere Windows-PCs sind weiter außen vor. Linux Clients funktionieren i. A. auch ohne Ping.
    • Nach dem Ping gibt es keine neuen Routen am Client.
    • Nach dem Ping gibt es keine neuen Routen an der EFW. Das macht ja auch wenig Sinn, da der Internetzugriff an Linux Clients quasi immer funktioniert.

    Gruß und schönen "Vatertag"
    Thomas

    • Offizieller Beitrag

    Hallo, in deiner ersten Anfrage schreibst du:
    Die Linux Clients scheinen von dem Problem i. A. nicht betroffen zu sein. Hier funktioniert der Browser meist ohne Probleme. Manchmal hakt es hier jedoch auch.
    Also wenn das mit den Linux- Client immer klappt, kann es an den Netzwerkkarten der Windows- Clients liegen oder am Treiber, kannst mal eine andere Karte in den Rechner einbauen oder einen neuen Treiber installieren. Für mich sieht es aber erstmal nach einem DNS- Problem aus. Ping geht nämlich, der braucht auch keine DNS- Server, der Server antwortet auch wenn kein DNS auf dem Server läuft .
    Hast du mal Port 53 auf der EFW aufgemacht ?
    Hast du mal den DNS- Cache auf den Clients gelöscht ? Befehl: Ipconfig /flushdns
    Hast du den DNS- Server und die IP- Adressen auf den Clients eingetragen ? Oder bekommen die Clients die per DHCP ? Was sagt ein nslookup auf den Clients ?

    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    Hallo Sabine,

    entschuldige, aber ich kann Dir nicht folgen. Natürlich nutzt auch ping DNS, wenn ich es auf einen Namen statt einer IP absetze:

    Code
    c:\ ping www.gmx.net

    Ich glaube auch nicht, dass die Netzwerkkarten als solche das Problem darstellen. Zunächst mal habe ich das Problem min. fünf Windows Clients. Davon haben min. drei andere Netzwerkhardware (Broadcom, 3com, Intel...). Das schließt eigentlich auch schon ein Treiberproblem fast aus. Dazu kommt, dass wenigstens einer der Clients sowohl unter Windows und Linux betrieben wird. Unter Windows tritt das Problem auf, unter Linux nicht.

    Die Clients werden mit DHCP konfiguriert. DNS Server werden auch zugeordnet. Die Namensauflösung funktioniert ja auch.

    Schon seltsam...

    Gruß
    Thomas