5
Mysql DB Zugriff auf Server in zweitem Subnetz über pfsense
Hallo zusammen,
folgende Situation liegt vor:
Aufgrund des Supportendes von Windows XP wurde ein Rechner mit einer Zeiterfassungssoftware (Terminal) aus dem Firmen-LAN entfernt und in ein getrenntes VLAN mit einem eigenen Subnetz gesteckt. Über die vorhandene pfsense Firewall soll das Terminal nun aber weiterhin auf den mysql-Server sowie den Windows NTP-Serverdienst auf einem Windows Server 2008R2 zugreifen können.
- Terminal: Windows XP Rechner in VLAN10 (IP 192.168.10.10, Subnetz 192.168.10.0/24) an einem untagged Port des Switches
- Server: Windows 2008R2 in VLAN20 (IP 192.168.20.100, Subnetz 192.168.20.0/24) an einem untagged Port des Switches
- pfsense: VLAN10 (IP 192.168.10.254), VLAN20 (IP 192.168.20.254),
Es wurden die folgenden Firewallregeln erstellt:
- IPv4 TCP/UDP - VLAN10 (Subnetz 192.168.10.0/24) - Port * -> 192.168.20.100 - Port 3306
- IPv4 UDP - VLAN10 (Subnetz 192.168.10.0/24) - Port * -> 192.168.20.100 - Port 123
Seit dieser Umstellung reagiert die Zeiterfassungssoftware nur stark verzögert. D.h. die Reaktionszeit auf DB-Anfragen beträgt ca. 3-4s anstatt vormals <<1s.
Da der Zugriff auf die mysql-DB direkt über die IP-Adresse des mysql-Servers erfolgt kann ich ein DNS-Problem ausschließen.
Edit: Zwei Scheunentorregeln, also je eine pro Richtung brachte keine Verbesserungen der Reaktionszeit.
Nun meine Fragen an euch:
- Kann es sein, dass das reine Routing zwischen den Subnetzen diese Verzögerung verursacht?
- Welche Möglichkeiten habe ich um die Zugriffszeiten zu verringern?
Es wäre toll falls ihr eine Lösung oder gerne auch eine alternative Herangehensweise für mein Problem hättet. Fehlende Angaben reiche ich natürlich gerne nach.
Danke und viele Grüße
timmer
folgende Situation liegt vor:
Aufgrund des Supportendes von Windows XP wurde ein Rechner mit einer Zeiterfassungssoftware (Terminal) aus dem Firmen-LAN entfernt und in ein getrenntes VLAN mit einem eigenen Subnetz gesteckt. Über die vorhandene pfsense Firewall soll das Terminal nun aber weiterhin auf den mysql-Server sowie den Windows NTP-Serverdienst auf einem Windows Server 2008R2 zugreifen können.
- Server: Windows 2008R2 in VLAN20 (IP 192.168.20.100, Subnetz 192.168.20.0/24) an einem untagged Port des Switches
- pfsense: VLAN10 (IP 192.168.10.254), VLAN20 (IP 192.168.20.254),
Es wurden die folgenden Firewallregeln erstellt:
- IPv4 TCP/UDP - VLAN10 (Subnetz 192.168.10.0/24) - Port * -> 192.168.20.100 - Port 3306
- IPv4 UDP - VLAN10 (Subnetz 192.168.10.0/24) - Port * -> 192.168.20.100 - Port 123
Seit dieser Umstellung reagiert die Zeiterfassungssoftware nur stark verzögert. D.h. die Reaktionszeit auf DB-Anfragen beträgt ca. 3-4s anstatt vormals <<1s.
Da der Zugriff auf die mysql-DB direkt über die IP-Adresse des mysql-Servers erfolgt kann ich ein DNS-Problem ausschließen.
Edit: Zwei Scheunentorregeln, also je eine pro Richtung brachte keine Verbesserungen der Reaktionszeit.
Nun meine Fragen an euch:
- Kann es sein, dass das reine Routing zwischen den Subnetzen diese Verzögerung verursacht?
- Welche Möglichkeiten habe ich um die Zugriffszeiten zu verringern?
Es wäre toll falls ihr eine Lösung oder gerne auch eine alternative Herangehensweise für mein Problem hättet. Fehlende Angaben reiche ich natürlich gerne nach.
Danke und viele Grüße
timmer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 237305
Url: https://administrator.de/contentid/237305
Printed on: April 26, 2024 at 00:04 o'clock
5 Comments
Latest comment
Guten Abend,
- wie ist die Auslastung der pfSense?
- Baut das Terminal direkt eine SQL-Verbindung auf?
- Wird so ein Konstrukt überhaupt von Hersteller der Z-Software unterstützt?
Grüße,
Dani
- wie ist die Auslastung der pfSense?
- Baut das Terminal direkt eine SQL-Verbindung auf?
- Wird so ein Konstrukt überhaupt von Hersteller der Z-Software unterstützt?
Grüße,
Dani
Hallo Dani,
- Die CPU und RAM Auslastung der pfsense geht gegen Null. Es handelt sich um ein Intel Atom Board mit einem D2700 mit 2,1GHz und 2GB RAM.
- Die Zeiterfassungssoftware auf dem Terminal nutzt die C Bibliothek libmysql.dll um sich direkt mit der mysql-DB zu verbinden.
- Bei der Z-Software handelt es sich um eine etwas betagtere Eigenentwicklung. Da diese aber wie bereits erwähnt mit Hilfe der libmysql.dll auf die mysql-DB zugreift und mir nach einer Recherche keine generellen Probleme mit diesem Konstrukt bekannt geworden sind, würde ich die Z-Software als Ursache vorerst ausschließen.
Grüße
- Die CPU und RAM Auslastung der pfsense geht gegen Null. Es handelt sich um ein Intel Atom Board mit einem D2700 mit 2,1GHz und 2GB RAM.
- Die Zeiterfassungssoftware auf dem Terminal nutzt die C Bibliothek libmysql.dll um sich direkt mit der mysql-DB zu verbinden.
- Bei der Z-Software handelt es sich um eine etwas betagtere Eigenentwicklung. Da diese aber wie bereits erwähnt mit Hilfe der libmysql.dll auf die mysql-DB zugreift und mir nach einer Recherche keine generellen Probleme mit diesem Konstrukt bekannt geworden sind, würde ich die Z-Software als Ursache vorerst ausschließen.
Grüße
Hi timmer,
Gruß orcape
Es wurden die folgenden Firewallregeln erstellt:
- IPv4 TCP/UDP - VLAN10 (Subnetz 192.168.10.0/24) - Port * -> 192.168.20.100 - Port 3306
- IPv4 UDP - VLAN10 (Subnetz 192.168.10.0/24) - Port * -> 192.168.20.100 - Port 123
..schon mal an den Rückweg der Pakete gedacht ?- IPv4 TCP/UDP - VLAN10 (Subnetz 192.168.10.0/24) - Port * -> 192.168.20.100 - Port 3306
- IPv4 UDP - VLAN10 (Subnetz 192.168.10.0/24) - Port * -> 192.168.20.100 - Port 123
Gruß orcape
Hallo orcap,
Vorsichtig gefragt: wieso?
Selbst bei einer UDP Verbindung wird doch in der Firewall eine temporäre Regel (Stichwort "related") für den Antwortpfad erstellt. Die Synchronisierung der Uhr des Terminals mit dem NTP-Serverdienst funktioniert bspw. problemlos.
Ich habe aber vergessen zu erwähnen, dass es mit zwei Scheunentorregeln, also eine je Richtung die gleichen Verzögerungen gibt. -> habe es oben ergänzt
Grüße
Vorsichtig gefragt: wieso?
Selbst bei einer UDP Verbindung wird doch in der Firewall eine temporäre Regel (Stichwort "related") für den Antwortpfad erstellt. Die Synchronisierung der Uhr des Terminals mit dem NTP-Serverdienst funktioniert bspw. problemlos.
Ich habe aber vergessen zu erwähnen, dass es mit zwei Scheunentorregeln, also eine je Richtung die gleichen Verzögerungen gibt. -> habe es oben ergänzt
Grüße
Sollte jemand ein ähnliches Problem haben:
Das Problem tritt seit dem Einspielen eines kürzlich erschienenen Firmware Updates für den HP Switch nicht mehr auf.
Das Problem tritt seit dem Einspielen eines kürzlich erschienenen Firmware Updates für den HP Switch nicht mehr auf.
