madmax103
Goto Top

Firewall-Routing-Problem

Hallo,


System: Server 2k3 und EX2K3

Ich habe kürzlich einen Domainen Controller aus dem System entfernt:

Folgende Probleme zeigen sich auf:

- ich kann vom aktuellen ( und nun einzigen ) Domainen Controller die Clients nicht anpingen, jedoch können die Clients problemlos am Server zugreifen.

- Bestimmte Homepages lassen sich nicht anzeigen, obwohl es gehen sollte. (zB www.e-control.at)

- Bestimmte Mail-Server sind nicht erreichbar- Tinmeout-Fehler.


Außerdem habe ich die alte Firewall (Zywall 10) gegen die neue (Zywall 5 UTM mit Anti-Spam) getauscht. Auch wenn ich die ZyWall deaktiviere funktioniert oben beschriebenes nicht?


Wer blockiert hier dieses Anfragen???

beste Grüße

madmax

Content-Key: 82084

Url: https://administrator.de/contentid/82084

Ausgedruckt am: 28.03.2024 um 22:03 Uhr

Mitglied: spacyfreak
spacyfreak 01.03.2008 um 11:07:23 Uhr
Goto Top
Ohne näherer Informationen zur Netztopologie kann man da freilich nur raten.
Wenn zwischen Clients und DC keine Firewall ist, dann kann es wohl nur noch die Client Firewall sein. Den neuen Zyxel Firewall Router updaten und die Regeln genau untersuchen.

Nutze tracert und pathping um zu sehen wo das Signal hängenbleibt wenn man bestimmte Ressourcen nicht erreichen kann. Dann kann man zumindest eingrenzen an welchem Gerät man fummeln muss.
Mitglied: madmax103
madmax103 01.03.2008 um 11:18:01 Uhr
Goto Top
Hall,

danke für deine schnelle Antwort.

mit tracrt sieht das wie folgt aus:

Routenverfolgung zu e-control.at [83.65.230.70] über maximal 30 Abschnitte:

1 97 ms 26 ms 24 ms SERVER1 [192.168.1.3]
2 78 ms 115 ms 138 ms 192.168.1.254
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 *


Heißt dies, das die anfrage über die firewall rausgegangen ist oder nicht?

Topologie der Anfrage:

Client -> Server -> Hardware-Firewall -> Modem -> WAN

lg
Mitglied: kingkong
kingkong 01.03.2008 um 11:32:56 Uhr
Goto Top
Für mich sieht das so aus, als ob die Firewall den Verkehr nicht durchlässt. Ist SERVER1 ein Proxy? Jedenfalls interpretiere ich das so, als ob der Ping über den SERVER1 zur Firewall geht (die .254 hat), und diese lässt ihn dann nicht durch...


kingkong
Mitglied: madmax103
madmax103 01.03.2008 um 11:36:23 Uhr
Goto Top
so sieht es für mich auch aus. server1 ist kein proxy.

wenn ich die firewall ausschalte, gehts trotzdem nicht?
Mitglied: kingkong
kingkong 01.03.2008 um 13:15:31 Uhr
Goto Top
wenn ich deine adresse verfolge kommt folgendes:

Routenverfolgung zu e-control.at [83.65.230.70] über maximal 30 Abschnitte:

1 9 ms 3 ms 3 ms [*hier steht mein Router*] [192.168.2.1]
2 * * * Zeitüberschreitung der Anforderung.
3 44 ms 43 ms 43 ms 217.0.69.162
4 51 ms 50 ms 56 ms vie-sb2.VIE.AT.net.DTAG.DE [62.154.14.78]
5 50 ms 50 ms 50 ms at-vie05b-ri1-pos-5-0.aorta.net [213.46.173.89]
6 51 ms 51 ms 51 ms at-vie01a-ra3-ge-5-1-0-0.aorta.net [213.46.173.201]
7 53 ms 82 ms 56 ms vie1-tg-01-001.shuttle.vien.inode.at [213.46.173.62]
8 53 ms 69 ms 72 ms vie4-po-40-000.shuttle.vien.inode.at [212.41.253.42]
9 * * * Zeitüberschreitung der Anforderung.
10 * * * Zeitüberschreitung der Anforderung.
11 *


Hast du mal versucht, den Ping länger laufen zu lassen? Du siehst ja bei mir, dass ich auch erstmal einen Timeout hatte. Vielleicht braucht deiner dann noch länger, damit der Ping weitergehen kann?!

Welche Seiten gehen denn außerdem nicht?

Und zu guter Letzt: Macht die Zywall das überhaupt, dass die Rechner ins Internet gelassen werden ohne den Firewall-Schutz? Es soll ja auch Geräte geben, in denen man das erst explizit zulassen muss (ich muss selbst gestehen, dass ich keine ZyXEL - Geräte mein Eigen nennen kann).
Mitglied: madmax103
madmax103 01.03.2008 um 13:34:17 Uhr
Goto Top
Hallo,

hab das ping über längere Zeit laufen lassen. Keine Antwort.

Ich habe soeben mit unseren Internet-Anbieter telefoniert und der hatte auch keine Ahnung. Zumindest sagt er, das deren Modem bestimmt nichts blockiert, obwohl es via Trace Route aber so aussieht. - Das Modem ist direkt im Netzwerk des Anbieters und routet nur durch.

entweder funktioniert was im Netzwerk des Betreibers nicht oder ich weis auch nicht mehr. Hab die blockierten seiten den Anbieter übergeben, damit die das mal prüfen sollen.

Bezüglich ZyWall. Ja das kann man deaktivieren.
Auf der Zywall kann man auch domainen prüfen welche blockiert werden. Und diese Domain e-control.at wird eben nicht blockiert.


Sollte irgendwer denken, das das Problem im LAN liegt, dann bitte posten, sonst mach ich den Provider heiß, das sie das in Ordnung bringen sollen.


beste Grüße
Mitglied: aqui
aqui 01.03.2008 um 15:16:05 Uhr
Goto Top
Dur wirfst hier aber ziemlich wild Begriffe durcheinenader die nicht gerade helfen das Problem zu lösen. Was hast du denn nun ein doofes passives Modem oder einen Router ??
Ein Modem was ..nur durchroutet gibt es nicht ! Das kann dann nur ein Router mit integriertem DSL Modem sein...

Auf traceroute darfst du dich nicht verlassen, denn viele Provider filtern diese Packete. Traceroute ist ICMP Typ 30 wie du hier selber nachlesen kannst:
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol

Besser ist du pingst mal einen Host im Internet an der sich sicher pingen lässt wie z.B. der Heise Server unter der 193.99.144.85.
Das sollte in jedem Falle durchgehen, sonst hats du generell ein Problem mit der Konfig der Firewall was das ICMP Protokoll anbetrifft !
Mitglied: kingkong
kingkong 01.03.2008 um 15:55:35 Uhr
Goto Top
Servus aqui, auch mal wieder da :D

Die Aussage mit dem Modem verstehe ich auch nicht ganz. Was meinst du damit? Ein Modem, das im Netz des Providers hängen soll? Habt ihr vielleicht einen direkten Ethernetanschluss, den der Provider ans Haus liefert, und über den ihr dann eure Firewall und den ganzen Rest anschließt? Dementsprechend hinge der "Hauptrouter" dann im Providernetz, aber die ZyWall ist "euer" Router (der dann eben eure Clients zu diesem Hauptrouter routet). Oder hängt vor der ZyWall noch ein Modem?
(@aqui: die ZyWall hat ja kein eingebautes Modem, wie es bei den normalen Consumerroutern der Fall ist, oder?)
Mitglied: madmax103
madmax103 01.03.2008 um 16:06:55 Uhr
Goto Top
folgende struktur liegt vor:


provider Modem (Zyxell Prestige 700)

Firewall (Zywall 5 UTM)

zyxell-switch

dhcp/dns/... server; mail server; clients


wie der kollege beim provider es mir erklärt hat, wählt sich das modem nicht ein, sondern routed alles nur weiter.?! = fixes mitglied des provider netzwerkes
Mitglied: kingkong
kingkong 01.03.2008 um 16:26:31 Uhr
Goto Top
Dann hat dir der Kollege meiner Meinung nach was falsches erzählt. Ein Modem kann nicht routen, sondern moduliert nur Signale ( http://de.wikipedia.org/wiki/Modem ).

Vielleicht habt ihr eine Standleitung, und da das Modem sich dort nicht wie bei einer dynamischen Verbindung jedesmal anmelden muss, um IP,etc. zu bekommen, sagt der Kollege, dass es sich nicht einwählt (ist eigentlich sowieso ein falscher Ausdruck denke ich - bei DSL hat man ja keine Wählverbindungen im herkömmlichen Sinne).

Das Modem leitet die Daten moduliert weiter (es routet aber nicht! ), und die Gegenstelle des Providers routet sie dann weiter. Insofern wäre deine Aussage plausibel, wenn ihr einen Ethernet-Anschluss hättet, aber so ist das Modem kein Teil des Provider-Netzes (auch wenn es der Provider vielleicht stellt).
Mitglied: madmax103
madmax103 01.03.2008 um 16:32:51 Uhr
Goto Top
ja, wir haben eine synchrone Standleitung. Das Modem ist ein Gateway. Ich denk das macht mehr Sinn.

Trotzdem bin ich davon überzeugt, dass das Problem beim Provider liegt.
Mitglied: kingkong
kingkong 01.03.2008 um 16:55:01 Uhr
Goto Top
Alles klar, also die übliche Konstruktion wie auch bei uns in der Arbeit.

Hast du schonmal versucht, heise.de anzupingen bzw. tracert auszuführen. Klappt das alles so wie es soll? Zum Vergleich schonmal mein tracert:


Routenverfolgung zu heise.de [193.99.144.80] über maximal 30 Abschnitte:

1 11 ms 94 ms 98 ms *meinRouter* [192.168.2.1]
2 * * * Zeitüberschreitung der Anforderung.
3 45 ms 83 ms 82 ms 217.0.69.166
4 53 ms 62 ms 113 ms 217.239.40.177
5 55 ms 89 ms 72 ms 193.159.227.118
6 54 ms 100 ms 89 ms heise2.f.de.plusline.net [213.83.46.196]
7 57 ms 74 ms 84 ms redirector.heise.de [193.99.144.80]

Ablaufverfolgung beendet.


Wenn das gehen sollte würde ich auch sagen, dass der Fehler beim Provider liegt...
Mitglied: madmax103
madmax103 01.03.2008 um 17:01:35 Uhr
Goto Top
Hallo,

mein Ergebnis:

Routenverfolgung zu heise.de [193.99.144.80] über maximal 30 Abschnitte:

1 83 ms 184 ms 24 ms SERVER1 [192.168.1.171]
2 73 ms 30 ms 27 ms 192.168.1.254
3 * 134 ms 397 ms [mein gateway]
4 724 ms 207 ms 123 ms 83-64-98-1.klagenfurt.xdsl-line.inode.at [83.64.98.1]
5 164 ms 184 ms 118 ms vie2-vl-00-820.shuttle.vien.inode.at [62.99.171.193]
6 99 ms 35 ms 68 ms otta-po-00-002.shuttle.vien.inode.at [62.99.170.213]
7 91 ms 204 ms 101 ms vix2.above.net [193.203.0.45]
8 124 ms 204 ms 101 ms po-30.mpr1.fra1.de.above.net [64.125.23.173]
9 124 ms 203 ms 101 ms ge-9-7.er2b.fra1.de.above.net [64.125.23.210]
10 123 ms 204 ms 101 ms plusline.fra1.de.above.net [62.4.64.54]
11 124 ms 203 ms 101 ms heise1.f.de.plusline.net [213.83.46.195]
12 123 ms 204 ms 101 ms redirector.heise.de [193.99.144.80]

Ablaufverfolgung beendet.

Funktioniert also.
Der Provider hat uns folgendes Gateway zur Verfügung gestellt:
http://www.zyxel.de/web/product_family_detail.php?PC1indexflag=20040812 ...

Hab gesehen, dass dies auch eine Firewall integriert hat. Kann sein, das die das blockt?


beste Grüße
Mitglied: aqui
aqui 01.03.2008 um 17:02:26 Uhr
Goto Top
Das widerspricht sich ja schon in sich. Ein Modem kann niemals routen !!!

Die Beschreibungen zum Zyxel sind mehr als spärlich und auf der Zyxel Seite selber gibt es das Produkt gar nicht... face-sad

Man kann aber sehr leicht feststellen ob es ein Router oder Modem ist: Relevant dafür ist ob auf diesem Geräte deine Provider Zugangsdaten für den PPPoE Zugang konfiguriert sind oder nicht.
Sind sie es nicht ist zu vermuten, das es wirklich nur ein Modem ist und die eigentliche Einwahl ins DSL Netz des Providers durch die Zywall 5 geschieht.

So oder so ist hier auch vermutlich der Filter. Was bringt ein Ping auf den heise Server ?
Mitglied: madmax103
madmax103 01.03.2008 um 17:09:53 Uhr
Goto Top
aqui, hast du meinen eintrag gelesen? Dort ist der genau link auf das gateway angegeben.

Die ZyWall wählt sich 100% nicht irgenwo ein. da ist nur die IP des gateway angegeben. Was am Gateway selbst eingestllt ist kann ich nicht sagen, ist von provider per passwort geschützt.
Mitglied: kingkong
kingkong 01.03.2008 um 17:17:59 Uhr
Goto Top
@aqui: Ich wollte sehen, ob der Server ganz normal angesprochen werden kann - siehe das Gegenteil oben. Und bei dem heise.de - Server wusste ich, dass das alles grundsätzlich geht!
Interessant auch deine Wortwahl: "... sehr leicht feststellen...ist zu vermuten..." ?!?! Egal, aber dass ein Modem nicht routet habe wir beide ja schon geschrieben, er weiß es jetzt...

madmax103, was ich nicht verstehe: Oben hast du doch geschrieben, ihr habt ein ZyXel Prestige 700 und dahinter kommt direkt die ZyWall 5, jetzt sagst du aber, ihr habt das P-793H noch zwischendrin - was stimmt denn nun? Und sofern ihr den P-793H wirklich im Einsatz habt: Wozu? Kann sein, dass ich da einfach nur auf dem Schlauch stehe, aber bei mir in der Arbeit ist es definitiv so, dass die Firewall auch routet, und direkt am SHDSL-Modem hängt.

In jedem Fall kannst du wirklich mal versuchen, testweise die Firewall dort auszuschalten...
Mitglied: madmax103
madmax103 01.03.2008 um 17:31:03 Uhr
Goto Top
zyxel prestige 700 series => zyxel P-793H (exakte bezeichnung)

dann

firewall (zywall 5 utm)

...


sry...das ist wirklich verwirrend!
Mitglied: aqui
aqui 01.03.2008 um 17:36:50 Uhr
Goto Top
Ok, dann ist de facto ein Router und kein Modem ! Das steht ja auch so eindeutig in der Produktbeschreibung.
Die provider Zugangsdaten werden also vermutlich hier konfiguriert ?!

Du solltest dann schrittweise vorgehen. Erstmal normal einen Laptop oder PC zum Testen direkt an den Zyxel Router anschliessen und einen Ping etc. auf dein Zielnetz ausführen.
Das muss dann sicher klappen, und damit kannst du dann den Router schonmal komplett aus der Problemkette ausschliessen.

Folglich kann es dann nur noch eine Einstellung an der Zywall 5 sein !
Mitglied: kingkong
kingkong 01.03.2008 um 17:38:35 Uhr
Goto Top
Gut...ich dachte schon, du meinst einen echten prestige 700 (den gibt es nämlich auch, nur ist das ein ziemlich altes Gerät). Oben hattest du das "series" nicht dabei stehen, deshalb hab ich es nicht gewusst.

Kannst du die Firewall in dem Gateway irgendwie abschalten? Oder hat da nur der Provider Zugriff?

EDIT: @aqui: Wenn er doch heise.de ohne Probleme anpingen kann? Warum glaubst du, dass es hilft, wenn er einen lokalen Rechner anpingt? Ich sehe gerade den Nutzen nicht. Vielleicht stehe ich einfach mal wieder auf dem Schlauch, und du kannst es mir erklären.
Mitglied: aqui
aqui 03.03.2008 um 16:23:35 Uhr
Goto Top
@kingkong
Nein, da hast du Recht das wäre Unsinn. Ich meinte auch das er erstmal ohne die FW mit einem einzelnen Test Rechner vor der FW "heise.de" pingen sollte um ein Router Problem sicher auszuschliessen.

Wenn das aber schon geht, dann ist es natürlich kein Router Problem sondern schlicht und einfach vermutlich ein falsche Firewall Setup wie so oft.. face-sad
Mitglied: madmax103
madmax103 03.03.2008 um 22:33:07 Uhr
Goto Top
hallo,

und hier die Lösung:

An der neuen Firewall war die subnetmaske falsch konfiguriert:

Eingestellt war: 255.0.0.0
Statt: 255.255.255.240

Danke für eure Hilfe

beste Grüße
Mitglied: kingkong
kingkong 03.03.2008 um 22:53:29 Uhr
Goto Top
Wie kommt ihr denn auf die Maske?

Jedenfalls das Thema bitte auf gelöst setzen, wenn sonst keine Fragen mehr bestehen. Danke.


Gruß,
kingkong
Mitglied: aqui
aqui 04.03.2008 um 17:44:00 Uhr
Goto Top
Ein Flüchtigkeitsfehler wie in 89% aller Fälle face-wink

Wie das geht steht hier:
Wie kann ich einen Beitrag als gelöst markieren?