derwowusste
Goto Top

Nur von Telekom-WLANS kann einer unserer Server nicht angepingt werden

Es geht mir um Ideenfindung bevor ich mich mit den Telekomikern auseinandersetze

Hallo an alle Kollegen!

Wir haben ein sehr ärgerliches Problem, was sich meiner Logik entzieht: einer unserer (Inhouse-) Server hostet open VPN. Funktioniert leider regelmäßig nicht, wenn sich Geschäftsreisende an Telekom-WLAN-Accesspoints befinden (Fehler: "TLS Handshake failed"). Um das Ganze bizarr werden zu lassen: der Server ist dann nicht einmal pingbar, während alle anderen unserer Server (bei denen es vorgesehen ist) pingbar sind! Zeitgleich ist er von anderen Accesspoints aus (nicht-Telekom, Accesspoint erstellt z.B. über das Smartphone) von den selben Rechnern aus erreichbar!

Zusammengefasst:
An Telekom-Accesspoints
Ping OVPN-Server: timeout (Name wird jedoch aufgelöst)
Ping an mehrere andere inhouse-Server: ok!
TLS-Handshake mit OVPN-Server: fehlgeschlagen

An Nicht-Telekom-Accesspoints
Ping OVPN-Server: ok!
Ping an mehrere andere inhouse-Server: ok!
TLS-Handshake mit OVPN-Server: ok!

Was könnte das bedeuten?
Nebeninfo: auch wir sind Kunde der Telekom, was die eigenen IPs angeht.
Edit: Weitere Info: auch http://www.just-ping.com/ kann unseren Server zur selben Zeit von überall anpingen.

Content-Key: 205146

Url: https://administrator.de/contentid/205146

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: Dani
Dani 17.04.2013 um 13:53:27 Uhr
Goto Top
Moin DWW,
wie sieht ein Traceroute vom Telekom-AP zu eueren Servern aus?

Zeitgleich ist er von anderen Accesspoints aus (nicht-Telekom, Accesspoint erstellt z.B. über das Smartphone) von den selben Rechnern aus erreichbar!
Das Smartphone geht über GPRS/UMTS ins Internet oder über den Telekom-AP?


Grüße,
Dani
Mitglied: DerWoWusste
DerWoWusste 17.04.2013 um 13:55:07 Uhr
Goto Top
Hi Dani.

wie sieht ein Traceroute vom Telekom-AP zu eueren Servern aus
Er kommt bis zum Accesspoint und nicht weiter.
Das Smartphone geht über UMTS rein und bildet danach den Accesspoint für den Laptop.
Mitglied: Onitnarat
Onitnarat 17.04.2013 um 13:57:52 Uhr
Goto Top
Servus,
frag doch mal Deinen netten T-Mobile-Kundenberater ob man über die T-Com-Hotspots überhaupt VPN-Verbindungen aufbauen darf.
Gruß
Marcus
Mitglied: DerWoWusste
DerWoWusste 17.04.2013 um 13:59:11 Uhr
Goto Top
Hi Onitnarat.
Es geht in dieser Frage nicht um ovpn. Es geht erstmal um Ping.
Mitglied: 108012
108012 17.04.2013 um 13:59:35 Uhr
Goto Top
Hallo DWW,

normalerweise sollten die APs doch eigentlich keine Rolle spielen dürfen, oder irre ich mich jetzt so sehr?

Man geht in ein Cafe und meldet sich über einen HotSpot an und verbindet sich mit dem Internet, richtig?
Danach startet man eine VPN Verbindung zu Eurem OpenVPN Server, richtig?

Also wenn dem so ist wie ich es eben geschildert habe würde ich sagen das hängt zu einhundert Prozent mit den Telekom APs oder zumindest mit deren Konfiguration oder der Grundkonfiguration zusammen!
Eventuell ist das dort eben nicht erwünscht und wird daher geblockt oder unterdrückt?

Gruß
Dobby
Mitglied: Dani
Dani 17.04.2013 aktualisiert um 14:05:39 Uhr
Goto Top
Du schreibst oben:
Um das Ganze bizarr werden zu lassen: der Server ist dann nicht einmal pingbar, während andere unserer Server pingbar sind!
Der Ping an die anderen Server laufen ebenfalls über den gleichen Telekom-AP oder verstehe ich dich falsch?

Haben die Server bei euch alle eine IP-Adresse aus einem Subnetz oder gibt es mehrere Subnetze?
Mitglied: DerWoWusste
DerWoWusste 17.04.2013 aktualisiert um 14:06:50 Uhr
Goto Top
Hallo Dobby.
Eventuell ist das dort eben nicht erwünscht und wird daher geblockt oder unterdrückt?
Was "das" - OVPN? Es geht nicht um ein VPN, es geht um Ping. Und zeitgleich ist ja der Ping von eben diesem Accesspoint zu ALLEN anderen Servern von uns möglich, nur nicht zu dem, den wir mit OVPN nutzen wollen... face-sad
Mitglied: DerWoWusste
DerWoWusste 17.04.2013 um 14:03:44 Uhr
Goto Top
Der Ping an die anderen Server laufen ebenfalls über den gleichen Telekom-AP oder verstehe ich dich falsch?
Das verstehst Du richtig.
Mitglied: Dani
Dani 17.04.2013 um 14:07:21 Uhr
Goto Top
Okay...
Haben die Server bei euch alle eine IP-Adresse aus einem Subnetz oder gibt es mehrere Subnetze?
Was passiert wenn du einen Traceroute umgekehrt durchführst?
Mitglied: 108012
108012 17.04.2013 um 14:08:02 Uhr
Goto Top
Es geht nicht um ein VPN, es geht um Ping.
Ahh, danke, so nun bin ich auch wieder dabei.

Und zeitgleich ist ja der Ping von eben diesem Accesspoint zu ALLEN anderen Servern möglich,
Ok jetzt hab ich es auch verstanden!

nur nicht zu dem, den wir mit OVPN nutzen wollen...
Aber der reagiert sonst, wenn ein nicht Telekom WLAN AP benutzt wird, ganz normal und lässt sich auch anpingen.

Tja aber dann muss man trotzdem an den Telekom AP einmal ran kommen um zu sehen was denn da nun anders
konfiguriert worden ist, oder? oder eben doch bei den magentafarbenen anrufen!

Gruß
Dobby
Mitglied: DerWoWusste
DerWoWusste 17.04.2013 um 14:24:38 Uhr
Goto Top
Hi Dani.

Es gibt mehrere Subnetze, ja. Die IP des Servers ist 62.153.155.xxx
Den Traceroute kann ich derzeit nicht umgekehrt durchführen, haben keine Telekom AP hier.
Mitglied: Dani
Dani 17.04.2013 um 14:31:14 Uhr
Goto Top
Es gibt mehrere Subnetze, ja. Die IP des Servers ist 62.153.155.xxx
Liegt der Server wo der Ping funktioniert im selben Subnetz?
Mitglied: DerWoWusste
DerWoWusste 17.04.2013 um 14:42:56 Uhr
Goto Top
...hätte ich mal gleich schreiben können...
Nein, aus diesem Subnetz ist er der Einzige, wo Ping vorgesehen ist.
Nur was könnte das bedeuten? Die Telekom wird doch nicht unseren Server blacklisten? face-smile
Mitglied: 108012
108012 17.04.2013 um 14:54:18 Uhr
Goto Top
Nur was könnte das bedeuten?
Ein Konfigurationsfehler bei Euch weil ja nur der eine Server anpingbar sein soll?

Die Telekom wird doch nicht unseren Server blacklisten?
Dann ginge das mit WLAN APs von den anderen Herstellern, aber einem Internetzugang von der Telekom ja auch nicht oder?


Gruß
Dobby
Mitglied: DerWoWusste
DerWoWusste 17.04.2013 um 15:00:05 Uhr
Goto Top
Hi Dobby...komme nicht ganz mit...
Ping zu dem OVPN-Server geht gleichzeitig von allen möglichen Geräten und Providern, wie wir über eigene Tests und über just-ping.com festestellen konnten.
Dani fragte, ob in dem Subnetz noch andere anpingbare Server stehen - ich schreib "nein", denn alle anderen dortigen lassen keinen Ping zu. Was meinst Du mit Konfigfehler?
Mitglied: Dani
Dani 17.04.2013 um 15:14:39 Uhr
Goto Top
Ein Konfigurationsfehler bei Euch weil ja nur der eine Server anpingbar sein soll?
Kann nicht sein, weil der Rest funktioniert wohl problemlos.

Nein, aus diesem Subnetz ist er der Einzige, wo Ping vorgesehen ist.
Kannst du zum Testen einen anderen Server für PING-Antworten zulassen? Dann wäre schon einmal klar, ob es am IP-Bereich liegt.

Von Blacklists für Hotspots bei der DTAG weiß ich nichts.
Mitglied: DerWoWusste
DerWoWusste 17.04.2013 um 15:32:59 Uhr
Goto Top
Kannst du zum Testen einen anderen Server für PING-Antworten zulassen?
Klar, kann ich temporär machen. Werde mich mal nach einem Kollegen mit Telekom-Iphone umsehen, mal sehen, wie schnell ich den finde...
Mitglied: 108012
108012 17.04.2013 um 18:29:30 Uhr
Goto Top
Hallo nochmal,

ne ne ne das ist aber auch ein kniffliges Thema.

Also, ich denke es hat etwas mit der Einwahl am HotSpot zu tun!

Wenn man sich am HotSpots der Telekom einwählt, dann benutzt man ja in der Regel schon ein VPN Tool, nämlich dieses hier Telekom HotSpot VPN

Und bei den anderen HotSpot Anbietern mit anderer Hardware, also anderen WLAN APs verbindet man sich
nur via WLAN und eventuell einem Voucher und startet dann Eure eigene VPN Verbindung!

Kann es denn daran liegen?

Gruß
Dobby
Mitglied: Dani
Dani 17.04.2013 um 18:37:12 Uhr
Goto Top
Huhu,
jein, kann man verwenden musst du aber nicht. Ich habe hier einen Hotsport um die Ecke mit dem ich mich einfach per WLAN verbinde, eine Website aufrufe und meine Logindaten eingebe -fertig.


Grüße,
Dani
Mitglied: 108012
108012 17.04.2013 um 18:41:31 Uhr
Goto Top
eine Website aufrufe und meine Logindaten eingebe -fertig.
Richtig. Genau so sehe ich das ja auch, also man gibt seine Login Daten ein und wenn man möchte kann
man dann ja eine VPN Sitzung starten oder sein eigenes VPN Tool, was aber ist wenn die Mitarbeiter sich
schon via VPN Tool eingewählt haben und nun danach noch einmal eine VPN Sitzung starten wollen?

Ich meine es kann ja irgend wie nicht sein das man andere Hardware (WLAN AP) an einem anderen HotSpot
benutzt und dann die Verbindung nicht zustande kommt, irgend wo muss ja ein Unterschied sein oder?
Na und da dachte ich das es etwas mit der VPN Software zu tun haben könnte, oder liege ich mal wieder daneben?

Gruß
Dobby
Mitglied: DerWoWusste
DerWoWusste 17.04.2013 um 18:44:21 Uhr
Goto Top
Ich habe ja beschrieben, was getan wird, wenn es nicht geht: Handy nutzt UMTS (Telekom SIMkarte) und stellt nach Verbindung selbst den Access Point für das Notebook. Also kein zweites VPN weit und breit.
Mitglied: DerWoWusste
DerWoWusste 26.04.2013 aktualisiert um 12:40:45 Uhr
Goto Top
Ursache gefunden, Fehler lag bei einem Kollegen, der die Firewall administriert und A nicht überblickte, was für Routen gelegt waren (edit: nämlich extra eine für den Telekomnetzbereich 87.187.x.x) und B schlicht einen Fehler gemacht hatte, als er mit TCPDump analysiert hatte, ob die pings überhaupt ankommen - da muss er sich wohl verguckt haben.

Tja, wie so oft hausgemachte Probleme.
Danke an alle. Da der Ping an andere Rechner des Subnetzes ging, wurden wir langsam hellhörig und haben es dann erneut geprüft und so gefunden.