22
Internetprobleme im Unternehmen (sporadisch)
Guten Tag,
wir haben im Unternehmen (Zwei Standorte) seit Monaten sporadisch bei den Usern und Server Internetabbrüche (Dauern dann 3-4 Minuten an und dann geht wieder alles. Ist überhaupt nicht nachvollziehbar bei wem oder wann es passiert.
Die Laufwerke und die Verbindung zum Rechenzentrum scheinen zu funktionieren.
Wir haben bisher Switche, Router, usw geupdatet.. es scheint an der Firewall abzubrechen.
Ein Tracert sieht dann so aus:
G:\>tracert 8.8.8.8
Routenverfolgung zu dns.google [8.8.8.8]
über maximal 30 Hops:
1 7 ms 9 ms 8 ms 192.168.181.254
2 8 ms 8 ms 7 ms 192.168.223.18
3 11 ms 8 ms 9 ms 192.168.223.9
4 12 ms 12 ms 12 ms 192.168.222.30
5 31 ms 54 ms 12 ms 192.168.222.14
6 * * * Zeitüberschreitung der Anforderung.
7 * * * Zeitüberschreitung der Anforderung.
8 * * * Zeitüberschreitung der Anforderung.
9 * * * Zeitüberschreitung der Anforderung.
10 20 ms 19 ms 20 ms ae8.irt1.fra44.de.0013237.net [217.71.XX.XX]
11 19 ms 19 ms 18 ms ae7.irt1.fra19.de.0013237.net [217.71.XX.XX]
12 137 ms 62 ms 24 ms ipv4.de-cix.fra.de.as15169.google.com [80.81.192.108]
13 25 ms 23 ms 22 ms 108.170.252.65
14 20 ms 20 ms 20 ms 142.251.241.77
15 49 ms 19 ms 48 ms dns.google [8.8.8.8]
So sieht es aus wenn es funktioniert:
G:\>tracert 8.8.8.8
Routenverfolgung zu dns.google [8.8.8.8]
über maximal 30 Hops:
1 <1 ms <1 ms <1 ms 192.168.166.254
2 <1 ms <1 ms <1 ms 192.168.223.9
3 5 ms 5 ms 5 ms 192.168.222.30
4 12 ms 5 ms 7 ms 192.168.222.14
5 5 ms 5 ms 5 ms 37.60.XXX.XXX (Firewall)
6 5 ms 5 ms 5 ms xxxxxxxx.ng.rzowl.de [37.XX.XXX.XXX] (RZ)
7 5 ms 5 ms 5 ms 188.111.XXX.XXX
8 10 ms 10 ms 10 ms 92.79.XXX.XXX
9 15 ms 16 ms * 145.254.2.195
10 16 ms 15 ms 15 ms 74.125.32.52
11 15 ms 15 ms 15 ms 108.170.235.151
12 15 ms 15 ms 15 ms 142.250.214.191
13 15 ms 15 ms 15 ms dns.google [8.8.8.8]
Hat jemand eine Idee wo wir noch suchen könnten?
wir haben im Unternehmen (Zwei Standorte) seit Monaten sporadisch bei den Usern und Server Internetabbrüche (Dauern dann 3-4 Minuten an und dann geht wieder alles. Ist überhaupt nicht nachvollziehbar bei wem oder wann es passiert.
Die Laufwerke und die Verbindung zum Rechenzentrum scheinen zu funktionieren.
Wir haben bisher Switche, Router, usw geupdatet.. es scheint an der Firewall abzubrechen.
Ein Tracert sieht dann so aus:
G:\>tracert 8.8.8.8
Routenverfolgung zu dns.google [8.8.8.8]
über maximal 30 Hops:
1 7 ms 9 ms 8 ms 192.168.181.254
2 8 ms 8 ms 7 ms 192.168.223.18
3 11 ms 8 ms 9 ms 192.168.223.9
4 12 ms 12 ms 12 ms 192.168.222.30
5 31 ms 54 ms 12 ms 192.168.222.14
6 * * * Zeitüberschreitung der Anforderung.
7 * * * Zeitüberschreitung der Anforderung.
8 * * * Zeitüberschreitung der Anforderung.
9 * * * Zeitüberschreitung der Anforderung.
10 20 ms 19 ms 20 ms ae8.irt1.fra44.de.0013237.net [217.71.XX.XX]
11 19 ms 19 ms 18 ms ae7.irt1.fra19.de.0013237.net [217.71.XX.XX]
12 137 ms 62 ms 24 ms ipv4.de-cix.fra.de.as15169.google.com [80.81.192.108]
13 25 ms 23 ms 22 ms 108.170.252.65
14 20 ms 20 ms 20 ms 142.251.241.77
15 49 ms 19 ms 48 ms dns.google [8.8.8.8]
So sieht es aus wenn es funktioniert:
G:\>tracert 8.8.8.8
Routenverfolgung zu dns.google [8.8.8.8]
über maximal 30 Hops:
1 <1 ms <1 ms <1 ms 192.168.166.254
2 <1 ms <1 ms <1 ms 192.168.223.9
3 5 ms 5 ms 5 ms 192.168.222.30
4 12 ms 5 ms 7 ms 192.168.222.14
5 5 ms 5 ms 5 ms 37.60.XXX.XXX (Firewall)
6 5 ms 5 ms 5 ms xxxxxxxx.ng.rzowl.de [37.XX.XXX.XXX] (RZ)
7 5 ms 5 ms 5 ms 188.111.XXX.XXX
8 10 ms 10 ms 10 ms 92.79.XXX.XXX
9 15 ms 16 ms * 145.254.2.195
10 16 ms 15 ms 15 ms 74.125.32.52
11 15 ms 15 ms 15 ms 108.170.235.151
12 15 ms 15 ms 15 ms 142.250.214.191
13 15 ms 15 ms 15 ms dns.google [8.8.8.8]
Hat jemand eine Idee wo wir noch suchen könnten?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 44180241662
Url: https://administrator.de/contentid/44180241662
Printed on: April 27, 2024 at 18:04 o'clock
22 Comments
Latest comment
Beim ISP?
Externe Firewall? auch spannend...
Beim ISP?
würde ich auch sagen
Es tritt nicht bei allen gleichzeitig auf, immer mal bei wem anders, macht ISP dann trotzdem sinn?
192.168.222.14
Was istn das? Hat der vielleicht nen Schluckauf oder bannt der deine/jene IP aus Gründen für ne Weile?Gruß
Zitat von @accessViolation:
Gruß
192.168.222.14
Was istn das? Hat der vielleicht nen Schluckauf oder bannt der deine/jene IP aus Gründen für ne Weile?Gruß
Scheint ein Router zu sein "Linksys WRT45G" Inwiefern könnte die IP gebannt oder gesperrt sein?
Schau doch auf deiner Firewall nach. Alles andere ist raten.
Wonach genau würde man suchen?
Selbst der Dienstleister der unsere Firewall und das RZ verwaltet hat ihrer Meinung an allen Stellen gesucht
Linksys WRT45G
Scheinbar hängt es bei dem Kollegen. Kurz danach oder kurz vor der Firewall.Ich tippe stumpf darauf, dass der iwie halbtod ist, Ports blockt oder glaubt, es sei Freitag und macht nach belieben Feierabend. Wie Kollege @Spirit-of-Eli bereits sagte: Logs lesen. Ggf. sogar auf dem Linksys WRT45G, warum Er die Pakete nicht weiterschickt oder weiterschicken kann. (Vielleicht blockt die Firewall aus Gründen kurzzeitig deinen Linksys WRT45G - dann ist an der Stelle auch Feierabend).
Gruß
Also wenn nach 192.168.222.14 die IP 37.60.x.x kommt und nicht erreichbar ist, dann liegt es am letzten funktionierenden Hop, dass keine Verbindung zu Stande kommt. In deinem Fall wohl der Linksys Router und du meinst sicher WRT54G und nicht "45G".
Vielleicht ist der Router schon in Frührente, denn zumindest die Hardware ist Anno ~2003 oder so.
Vielleicht ist der Router schon in Frührente, denn zumindest die Hardware ist Anno ~2003 oder so.
Zitat von @DerMaddin:
Also wenn nach 192.168.222.14 die IP 37.60.x.x kommt und nicht erreichbar ist, dann liegt es am letzten funktionierenden Hop, dass keine Verbindung zu Stande kommt. In deinem Fall wohl der Linksys Router und du meinst sicher WRT54G und nicht "45G".
Vielleicht ist der Router schon in Frührente, denn zumindest die Hardware ist Anno ~2003 oder so.
Also wenn nach 192.168.222.14 die IP 37.60.x.x kommt und nicht erreichbar ist, dann liegt es am letzten funktionierenden Hop, dass keine Verbindung zu Stande kommt. In deinem Fall wohl der Linksys Router und du meinst sicher WRT54G und nicht "45G".
Vielleicht ist der Router schon in Frührente, denn zumindest die Hardware ist Anno ~2003 oder so.
IP Scanner schmeißt mir den 45G raus:
Scheint ein Router zu sein
Inwiefern könnte
Wonach genau
.. mir machen diese Aussagen als Admin etwas sorge ^^
Hardware ist Anno ~2003 oder so.
yes. Das Ding ausm Netz - idealerweise vom Planet nehmen, vernünftig bauen. Nochmal prüfen.Gruß
Edit: Das Ding (Linksys) stellt nen OVPN Server zur Verfügung? schmiert der Tunnel zur Firewall vielleicht regelmäßig ab? Ehh, diese Raterei.. :D
Lern erstmal deine Umgebung, dann gehen paar Lichter auf und Du kannst sinnvoll die Fragen beantworten.
2
Schau mal hier: https://en.wikipedia.org/wiki/Linksys_routers da ist kein "45" gelistet.
Die Zahl steht für das Wifi bzw. 802.11g mit 54 MBit, deswegen auch offiziell WRT54G
Die Zahl steht für das Wifi bzw. 802.11g mit 54 MBit, deswegen auch offiziell WRT54G
Moin,
wie schauts mit SNMP auf dem Gerät aus? Vielleicht für einige Tage mal den Switch mittels SNMP bzw. RMON ins Monitoring aufnehmen und schauen, was dort protokolliert wird?
Wenn etwas nicht geht, dann ist "drop" oder "deny" bei Firewalls immer ein guter Anlaufpunkt.
Gruß
Doskias
wie schauts mit SNMP auf dem Gerät aus? Vielleicht für einige Tage mal den Switch mittels SNMP bzw. RMON ins Monitoring aufnehmen und schauen, was dort protokolliert wird?
Zitat von @accessViolation:
Kann ich nachvollziehen. Als Admin sollte man wissen was seine Router sind. Und wenn nicht, dann prüfe ich das, bevor ich hier im Forum blankziehe Scheint ein Router zu sein
Inwiefern könnte
Wonach genau
.. mir machen diese Aussagen als Admin etwas sorge ^^Inwiefern könnte
Wonach genau
Wenn etwas nicht geht, dann ist "drop" oder "deny" bei Firewalls immer ein guter Anlaufpunkt.
Selbst der Dienstleister der unsere Firewall und das RZ verwaltet hat ihrer Meinung an allen Stellen gesucht
Aha... Ihrer Meinung nach also. Welches der Geräte liegen denn in deiner Hand und welche beim DL bzw. RZ?Gruß
Doskias
Fehlalarm. Die 192.168.222.14 ist Port 1 bei unsere Firewall (Sophos)
Sorry bei diesem Problem sehe ich schon nicht mehr die Bäume vor lauter Wald und deswegen in manchen Sachen nicht 100% sicher. Bin auch nicht der einzige Admin, hab da noch hilfe von meinen Kollegen die sich damit besser auskennen - ich wollt jetzt das Forum zur Hilfe ausfragen weil anscheinend niemand weiterkommt.
@Doskias Bis zum Coreswitch -> Mikrotec Router ist es in unsere Hand, Danach geht es zu einem Mikrotec Router im Rechenzentrum, und dann an die Firewall und dann ins Internet
Sorry bei diesem Problem sehe ich schon nicht mehr die Bäume vor lauter Wald und deswegen in manchen Sachen nicht 100% sicher. Bin auch nicht der einzige Admin, hab da noch hilfe von meinen Kollegen die sich damit besser auskennen - ich wollt jetzt das Forum zur Hilfe ausfragen weil anscheinend niemand weiterkommt.
@Doskias Bis zum Coreswitch -> Mikrotec Router ist es in unsere Hand, Danach geht es zu einem Mikrotec Router im Rechenzentrum, und dann an die Firewall und dann ins Internet
Also doch kein Linksys Router sondern eine Firewall. Und was sagen die Logs und evtl. tcpdump so?
Bis zum Coreswitch -> Mikrotec Router ist es in unsere Hand, Danach geht es zu einem Mikrotec Router im Rechenzentrum, und dann an die Firewall und dann ins Internet
Was genau ist in deiner Auszählung die Firewall?Zitat von @DerMaddin:
Also doch kein Linksys Router sondern eine Firewall. Und was sagen die Logs und evtl. tcpdump so?
Also doch kein Linksys Router sondern eine Firewall. Und was sagen die Logs und evtl. tcpdump so?
Bis zum Coreswitch -> Mikrotec Router ist es in unsere Hand, Danach geht es zu einem Mikrotec Router im Rechenzentrum, und dann an die Firewall und dann ins Internet
Was genau ist in deiner Auszählung die Firewall?Routenverfolgung zu dns.google [8.8.8.8]
über maximal 30 Hops:
1 <1 ms <1 ms <1 ms 192.168.166.254 (Büro)
2 <1 ms <1 ms <1 ms 192.168.223.9 (MikroTik Router Unser Standort)
3 5 ms 5 ms 5 ms 192.168.222.30 (MikroTik Router Rechenzentrum)
4 12 ms 5 ms 7 ms 192.168.222.14 (Sophos Firewall Intern Port)
5 5 ms 5 ms 5 ms 37.60.XXX.XXX (Sophos Firewall extern Port)
6 5 ms 5 ms 5 ms xxxxxxxx.ng.rzowl.de [37.XX.XXX.XXX] (ISP RZ)
Nachdem nun das geklärt ist und die Sophos Firewall im RZ des Dienstleisters ist und unter deren Verantwortung, müssen die auf die Fehlersuche gehen. Immerhin endet der Trace bei der Firewall. Betreiben die etwa mehrere Standorte über eine Firewall und evtl. einen ISP?
Zitat von @DerMaddin:
Nachdem nun das geklärt ist und die Sophos Firewall im RZ des Dienstleisters ist und unter deren Verantwortung, müssen die auf die Fehlersuche gehen. Immerhin endet der Trace bei der Firewall. Betreiben die etwa mehrere Standorte über eine Firewall und evtl. einen ISP?
Nachdem nun das geklärt ist und die Sophos Firewall im RZ des Dienstleisters ist und unter deren Verantwortung, müssen die auf die Fehlersuche gehen. Immerhin endet der Trace bei der Firewall. Betreiben die etwa mehrere Standorte über eine Firewall und evtl. einen ISP?
Ja genau 3 Standorte über eine Firewall.
Hätte hier noch jemand eine Idee??
Wenn man in Teamviewer oder Teamssitzungen befindet wird das nicht abgebrochen, kann aber keine neue Website öffnen.
Naja, dem RZ Betreiber Auf die Füße treten wenn da alles durch läuft. Von dem wirst du ja vermutlich keine Logs bekommen.
Ansonsten hast du bisher leider noch nicht wirklich viele Logs gezeigt
Ansonsten hast du bisher leider noch nicht wirklich viele Logs gezeigt
Zitat von @Spirit-of-Eli:
Naja, dem RZ Betreiber Auf die Füße treten wenn da alles durch läuft. Von dem wirst du ja vermutlich keine Logs bekommen.
Ansonsten hast du bisher leider noch nicht wirklich viele Logs gezeigt
Naja, dem RZ Betreiber Auf die Füße treten wenn da alles durch läuft. Von dem wirst du ja vermutlich keine Logs bekommen.
Ansonsten hast du bisher leider noch nicht wirklich viele Logs gezeigt
Hallo,
der DL hat jetzt bei der Sophos Firewall den STA Agent ausgemacht, seit dem scheint es zu laufen. Im Log hatten zwei Kollegen die gleiche IP (eine angemeldet als name@domain.de und die andere als domäne/name.)
Es waren nicht alle IP Netze im STA Agent hinterlegt (Das WLAN Netz fehlte zum beispiel), wir werden das jetzt beobachten.
