11
Netzwerkprobleme zwischen Clients und Server
Hallo,
folgendes als Information um ggf. das Problem besser zu verstehen:
Ich habe vor ca. einer Woche bei einem Kunden auf eine neue Firewall Struktur gewechselt. Davor hatten wir eine Endian im Einsatz und jetzt sind es zwei Sophos als Front Firewalls und zwei Fortigates als Back Firewalls.
Davor hatten wir nur ein Netz (192.168.16.0/24), nun werden wir aber Segmentieren. Damit haben wir schon zum Teil begonnen, jedoch haben wir bei der Umstellung letzte Woche das bisherige Netz mehr oder weniger 1 zu 1 übernommen, um jetzt Schritt für Schritt zu segmentieren.
Bisher wurde das 192.168.16.0/24 Netz von unseren Switchen über das VLAN mit der ID »1« verteilt. Wir haben (unter anderem aus bennenungsgründen) nach der Umstellung das VLAN mit der ID »2016« zu unserem Default VLAN gemacht und jetzt wird logischerweise über das VLAN 2016 das 192.168.16.0/24 Netz verteilt.
Des Weiteren noch die Information, dass sich sowohl die Clients als auch die Server im bisher benannten Netz befinden.
Jetzt besteht folgendes Problem: Beim Kunden wird mit einem Programm gearbeitet, dass eine Datenbank auf einem virtuellen Server hat. Die Clients greifen darauf zu. Jetzt verhält es sich so, dass seit diesem Montag sporadisch die Verbindung zum Server abbricht/ unterbrochen wird. Anschließend hängt sich das Programm auf und kann erst wieder durch einen Neustart gestartet werden.
Ich habe keinen Anhaltspunkt woran es liegen könnte. Ich habe seit Montag fast durchgehend einen Dauerping auf den Server laufen und bisher maximal mal einen Ping Aussetzer. Nun war ich vorhin bei einem anderen Client, da hatte ich dann zum ersten Mal 4 Aussetzer.
Letztendlich bin ich mir sicher, dass es an der Firewall + Switch Konfiguration liegen muss, da dieses Problem davor noch nie aufgetreten ist.
Ich wäre dankbar für jeden Troubleshooting Ansatz, den ihr mir geben könnt. Vielleicht gibt es ja auch schon ähnliche Erfahrungen.
Vielen Dank für die Hilfe!
folgendes als Information um ggf. das Problem besser zu verstehen:
Ich habe vor ca. einer Woche bei einem Kunden auf eine neue Firewall Struktur gewechselt. Davor hatten wir eine Endian im Einsatz und jetzt sind es zwei Sophos als Front Firewalls und zwei Fortigates als Back Firewalls.
Davor hatten wir nur ein Netz (192.168.16.0/24), nun werden wir aber Segmentieren. Damit haben wir schon zum Teil begonnen, jedoch haben wir bei der Umstellung letzte Woche das bisherige Netz mehr oder weniger 1 zu 1 übernommen, um jetzt Schritt für Schritt zu segmentieren.
Bisher wurde das 192.168.16.0/24 Netz von unseren Switchen über das VLAN mit der ID »1« verteilt. Wir haben (unter anderem aus bennenungsgründen) nach der Umstellung das VLAN mit der ID »2016« zu unserem Default VLAN gemacht und jetzt wird logischerweise über das VLAN 2016 das 192.168.16.0/24 Netz verteilt.
Des Weiteren noch die Information, dass sich sowohl die Clients als auch die Server im bisher benannten Netz befinden.
Jetzt besteht folgendes Problem: Beim Kunden wird mit einem Programm gearbeitet, dass eine Datenbank auf einem virtuellen Server hat. Die Clients greifen darauf zu. Jetzt verhält es sich so, dass seit diesem Montag sporadisch die Verbindung zum Server abbricht/ unterbrochen wird. Anschließend hängt sich das Programm auf und kann erst wieder durch einen Neustart gestartet werden.
Ich habe keinen Anhaltspunkt woran es liegen könnte. Ich habe seit Montag fast durchgehend einen Dauerping auf den Server laufen und bisher maximal mal einen Ping Aussetzer. Nun war ich vorhin bei einem anderen Client, da hatte ich dann zum ersten Mal 4 Aussetzer.
Letztendlich bin ich mir sicher, dass es an der Firewall + Switch Konfiguration liegen muss, da dieses Problem davor noch nie aufgetreten ist.
Ich wäre dankbar für jeden Troubleshooting Ansatz, den ihr mir geben könnt. Vielleicht gibt es ja auch schon ähnliche Erfahrungen.
Vielen Dank für die Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 52521579332
Url: https://administrator.de/contentid/52521579332
Printed on: May 19, 2024 at 16:05 o'clock
11 Comments
Latest comment
Behält dieses Programm die Verbindung dauerhaft offen? Könnte sein, dass eine der Firewalls eine Inaktivität erkennt und die Verbindung "trennt", der Client aber weiter denkt die Verbindung sei offen.
Da könnte man vielleicht einmal einen Test-Client mit der Software hinstellen, Wireshark laufen lassen und gucken was passiert wenn es hängt.
Da könnte man vielleicht einmal einen Test-Client mit der Software hinstellen, Wireshark laufen lassen und gucken was passiert wenn es hängt.
2
Ping ist kein wirklicher Netzwerktest, sondern nur ein Indiz, ob die Kommunikation grundsätzlich funktioniert. Bei Aussetzern im Ping kann es wirklich ein Aussetzer sein, oder aber auch eine Überlastung z.B, durch Broadcaststürme. Verwende also Wireshark um das zu prüfen.
1
Vielleicht erstmal in der Firewall Log zwischen den Subnetzen schauen ob da etwas geblockt wird.
PS: Die Beschreibung des Netzaufbaus ist auch etwas dürftig.
PS: Die Beschreibung des Netzaufbaus ist auch etwas dürftig.
1
Danke für die schnellen Antworten. Ich konnte bisher feststellen, dass es nichts mit dem einen Server an sich zu tun hat. Sporadisch fällt das gesamte Netz für meistens 4 Pings aus (D.h. Ping von Client zu Server, aber auch Server zu Client, aber auch Client zu Client.
Nur die Verbindung zwischen Server und Server fällt nicht aus.
Ich hab jetzt mal Wireshark auf einem Server und zwei Clients am Laufen. Ich melde mich nochmal, wenn es wieder ausgefallen ist.
Nur die Verbindung zwischen Server und Server fällt nicht aus.
Ich hab jetzt mal Wireshark auf einem Server und zwei Clients am Laufen. Ich melde mich nochmal, wenn es wieder ausgefallen ist.
Sporadisch fällt das gesamte Netz für meistens 4 Pings aus
Sieht ggf. nach Spanning Tree Problemen aus?! Wie ist denn der STP konfiguriert in deinem Netz bei den Infrastrukturgeräten wie Switch, Router, Firewalls etc.?Insbesondere betrifft das die beiden Firewall Cluster! WIE sind diese konfiguriert mit welchen HA Konzept? Active/Active oder Active/Passive und wie verhält sich der Spanning Tree in den Clustern?
Es sieht ein bischen danach aus das ein Loop besteht und je nachdem redundante Leitungen wechselweise in den STP Blocking State gehen. Ist aber alles erstmal nur frei geraten weil alle relevanten und zielführenden Troubleshooting Informationen fehlen wie z.B. die Logs der Switches, Firewalls, der oben genannte Wireshark Trace, etc.
1
Ich hab nun Wireshark ab 10:30 Uhr laufen lassen bis gerade eben, als der Fehler wieder aufgetreten ist.
Ich hab keinen Anhaltspunkt, was es ist oder woran es liegen kann. Leider verstehe ich jedoch auch kaum etwas von dem, was mir dort angezeigt wird. In dem Zeitfenster, in dem der Ping ausfällt und kurzzeitig nichts mehr erreichbar ist sehe ich auf dem Server folgendes:
Das ist das einzige, das heraussticht. Was bedeutet das?
@ukulele-7 ich habe hier den Aufbau des Netzes schnell aufgezeichnet:
Ich kann gerne auch mehr aus dem Wireshark Protokoll teilen oder das Capture File zur Verfügung stellen.
Entschuldigung für das fehlende Fachwissen... ich bin trotzdem über jede Hilfe dankbar.
Ich hab keinen Anhaltspunkt, was es ist oder woran es liegen kann. Leider verstehe ich jedoch auch kaum etwas von dem, was mir dort angezeigt wird. In dem Zeitfenster, in dem der Ping ausfällt und kurzzeitig nichts mehr erreichbar ist sehe ich auf dem Server folgendes:
Das ist das einzige, das heraussticht. Was bedeutet das?
@ukulele-7 ich habe hier den Aufbau des Netzes schnell aufgezeichnet:
Ich kann gerne auch mehr aus dem Wireshark Protokoll teilen oder das Capture File zur Verfügung stellen.
Entschuldigung für das fehlende Fachwissen... ich bin trotzdem über jede Hilfe dankbar.
Ui, wenn du das aufgebaut hast und keine Ahnung von Netzwerktechnik hast, dann wette ich, dass du mehrere Loops gebaut hast 
@aqui Danke für die Antwort. Die Firewalls sind beide in einem Aktiva/Passive cluster konfiguriert.
Ich muss auch hier leider sagen, dass ich hier deine Fragen nicht wirklich beantworten kann..
Ich habe bei Wireshark nochmal nach STP gefiltert. Hier sieht man die Veränderung, die auftritt, wenn das Netzwerk ausfällt. Das hilft mir aber auch erstmal nicht weiter, weil ich das ebenso wenig verstehe...
@NordicMike ich bin erst seit kurzem ausgelernt und habe das daher nicht alleine umgesetzt. Grundsätzlich war das mein Kollege mit einem externen Dienstleister. Mein Kollege ist ungünstigerweise aber nun längere Zeit nicht in der Lage mir bei dem Problem zu helfen.
Mir ist bewusst, dass mein fehlendes Wachwissen hier ein Problem darstellt. Aber es muss schließlich niemand Helfen, den das stört.
Um deine Aussage also zu beantworten, ich denke nicht, dass bei der Firewall Konfiguration etwas falsch gelaufen ist, was die HA Konfiguration angeht. Ich halte es jedoch auch für möglich, dass bei der Switch Konfiguration (die mein Kollege alleine gemacht hat) ein Fehler besteht.
Ich muss auch hier leider sagen, dass ich hier deine Fragen nicht wirklich beantworten kann..
Ich habe bei Wireshark nochmal nach STP gefiltert. Hier sieht man die Veränderung, die auftritt, wenn das Netzwerk ausfällt. Das hilft mir aber auch erstmal nicht weiter, weil ich das ebenso wenig verstehe...
@NordicMike ich bin erst seit kurzem ausgelernt und habe das daher nicht alleine umgesetzt. Grundsätzlich war das mein Kollege mit einem externen Dienstleister. Mein Kollege ist ungünstigerweise aber nun längere Zeit nicht in der Lage mir bei dem Problem zu helfen.
Mir ist bewusst, dass mein fehlendes Wachwissen hier ein Problem darstellt. Aber es muss schließlich niemand Helfen, den das stört.
Um deine Aussage also zu beantworten, ich denke nicht, dass bei der Firewall Konfiguration etwas falsch gelaufen ist, was die HA Konfiguration angeht. Ich halte es jedoch auch für möglich, dass bei der Switch Konfiguration (die mein Kollege alleine gemacht hat) ein Fehler besteht.
Dass du seit Kurzem dabei bist, ist ja nicht schlimm. Aber dann sind es ganz sicher Loops. Du hast ja auch STP Technisch etwas gesehen. Durchforsche mal die Logs der Switche ob sie Ports wegen STP blockiert haben.
Leider verstehe ich jedoch auch kaum etwas von dem, was mir dort angezeigt wird.
Na ja, Source und Destination IP Adressen, TCP/UDP Ports und Inhalte wirst du ja wohl noch ablesen können, das ist ja quasi selbsterklärend...?!Diese Lektüre sollte dir zusätzlich helfen:
https://www.heise.de/ratgeber/Fehler-erschnueffeln-221587.html
dass ich hier deine Fragen nicht wirklich beantworten kann..
Dann sagt einem der gesunde IT Verstand: frage doch den Projektleiter oder denjenigen der das Projekt umgesetzt hat! Solche einfachen Dinge sollte der doch genau wissen bzw. kann auch in der Doku dazu nachsehen. Zur Not einzeln in den Konfig Setups der beteiligten Geräte wie Switches etc.
Hier als kurze Rückmeldung, was wahrscheinlich der Fehler war.
Die beiden ESXi Host Systeme waren redundant 2x per LWL und 2x per LAN Kabel an einem alten Core Switch angeschlossen.
Letztendlich trat das Problem ja nur sehr sporadisch auf und hat auch nur die Verbindung zum produktiven Host unterbrochen. Und da auch nur die zum VM Netzwerk (wir haben auf den beiden Hosts eine Trennung zwischen VM-Netzwerk und Managmanet-Netzwerk eingerichtet.
Durch verschiedene Test fiel dann auf, dass die Verbindungen zwischen Clients z. B. immer stabil blieb. Außerdem fiel auf, dass wenn die Host nur über die LAN Verbindung laufen, keinerlei Probleme auftreten. Wir haben dann den produktiv Host per LWL Kabel an einen anderen Core Switch angeschlossen. Da blieb die Verbindung ebenfalls stabil.
Wir denken aktuell also, dass es eventuell an dem alten Core Switch liegt.
Letztendlich haben wir bei einem anderen Kunden ein ähnliches Problem. Da ist ebenfalls eine Hochverfügbarkeit und die Trennung zwischen Management- und VM-Netzwerk eingerichtet.
Dort verhält es sich jedoch so, dass die Verbindung zum Management Netzwerk andauernd abbricht. Zudem gibt es hier noch keine LWL Verkabelung, d. h. dieser Host läuft von Anfang an per LAN Kabel.
Wir haben diese 3 Hostsysteme und noch ein weiteres zeitgleich oder zumindest in sehr kurzen Abständen hintereinander mit derselben Hardware eingekauft. Auf allen 4 Host-Systemen befindet sich dieselbe Release Version. Nur auf dem Host System, bei dem keine Hochverfügbarkeit und nicht die Trennung zwischen Management- und VM-Netzwerk eingerichtet wurde, läuft stabil.
Daher besteht auch noch die Vermuten, dass es ggf. am release oder dieser Konfiguration liegt.
Vielen Dank für die Unterstützung!
Die beiden ESXi Host Systeme waren redundant 2x per LWL und 2x per LAN Kabel an einem alten Core Switch angeschlossen.
Letztendlich trat das Problem ja nur sehr sporadisch auf und hat auch nur die Verbindung zum produktiven Host unterbrochen. Und da auch nur die zum VM Netzwerk (wir haben auf den beiden Hosts eine Trennung zwischen VM-Netzwerk und Managmanet-Netzwerk eingerichtet.
Durch verschiedene Test fiel dann auf, dass die Verbindungen zwischen Clients z. B. immer stabil blieb. Außerdem fiel auf, dass wenn die Host nur über die LAN Verbindung laufen, keinerlei Probleme auftreten. Wir haben dann den produktiv Host per LWL Kabel an einen anderen Core Switch angeschlossen. Da blieb die Verbindung ebenfalls stabil.
Wir denken aktuell also, dass es eventuell an dem alten Core Switch liegt.
Letztendlich haben wir bei einem anderen Kunden ein ähnliches Problem. Da ist ebenfalls eine Hochverfügbarkeit und die Trennung zwischen Management- und VM-Netzwerk eingerichtet.
Dort verhält es sich jedoch so, dass die Verbindung zum Management Netzwerk andauernd abbricht. Zudem gibt es hier noch keine LWL Verkabelung, d. h. dieser Host läuft von Anfang an per LAN Kabel.
Wir haben diese 3 Hostsysteme und noch ein weiteres zeitgleich oder zumindest in sehr kurzen Abständen hintereinander mit derselben Hardware eingekauft. Auf allen 4 Host-Systemen befindet sich dieselbe Release Version. Nur auf dem Host System, bei dem keine Hochverfügbarkeit und nicht die Trennung zwischen Management- und VM-Netzwerk eingerichtet wurde, läuft stabil.
Daher besteht auch noch die Vermuten, dass es ggf. am release oder dieser Konfiguration liegt.
Vielen Dank für die Unterstützung!
