Interne Website kann nicht über MPLS geladen werden

Wir haben ein MPLS zwischen zwei Subnetzen eingerichtet. Alles (das heißt, ich habe RDP in beide Richtungen sowie Dateifreigabe) scheint korrekt zu funktionieren, mit Ausnahme von zwei Dingen, die möglicherweise miteinander zusammenhängen.

• Windows-Computer füllen das "Netzwerk" nicht mit Geräten aus dem anderen Subnetz.
• Auf dem Remotecomputer können wir unsere interne Website im Host-Netzwerk nicht laden.

WINS ist aktiviert und funktioniert , und beide Computer wissen, wer der DNS-Server und wer der WINS-Server ist.

Der Webserver befindet sich in 192.168.1.20(Windows Server 2003) und der Computer (Windows 7) im Remote-Subnetz in 192.168.2.249. Filesharing und RDP funktionieren in beide Richtungen.

Das Host-Subnetz ist also 192.168.0.0/23und das Remote-Subnetz ist 192.168.2.0/23. Jeder der Windstream-Router verfügt über zwei Ports - einen für MPLS und einen für das Internet. Derzeit ist der Internetanschluss an der Fernbedienung nicht verbunden. Der Internet-Port des Host-Routers wird vor dem Betreten des Host-Netzwerks über unseren Firewall-Router ausgeführt, der MPLS-Port des Hosts wird jedoch direkt an den Switch-Trunk angeschlossen.

Die beiden Windstream-Router verfügen jeweils über einen MPLS-Port:

• 192.168.1.2 = Host MPLS
• 192.168.2.2 = Remote MPLS

Die Windstream-Router haben auch jeweils einen offenen Internet-Port, an den ich einen Firewall-Router angeschlossen habe, um das Internet zu filtern und die Internet-Gateways zu erstellen:

• 192.168.1.1 = Host Gateway
• 192.168.2.1 = Remote Gateway

Ich habe hier gelesen, dass ich die Subnetze in Active Directory-Standorten und -Diensten auflisten musste, also habe ich die beiden Subnetze als Mitglieder eines Standorts erstellt.

Für meine Tests sind die Firewalls auf beiden Computern sowie auf dem Webserver ausgeschaltet.

Der ISP (Windstream) bestätigt, dass die MTU auf 1500 eingestellt ist, und bei ihren Tests werden ihre Pings immer mit einer Größe von 1500 gesendet.

Was kann ich also versuchen, um diese beiden Probleme zu lösen?

Hier ist eine Karte:

[Update] Wenn ich Wireshark auf dem Webserver ausführe und die Anforderung für die Webseite beobachte, werden bei den http-Aufrufen viele Neuübertragungen angezeigt. Hier ist der Bericht:

Es sieht so aus, als würde der HTTP-Verkehr von der Fernbedienung zum Host erneut übertragen. Aber ich habe keine Ausrüstung, die es blockieren kann. Die Firewalls sind alle ausgeschaltet.

Ich kann also von einem Computer im selben Subnetz zum Webserver telneten, aber ich kann nicht von einem Computer im Remote-Subnetz zu ihm telneten - es wird berichtet:

c:\>telnet 192.168.1.20 80
Connecting To 192.168.1.20...Could not open connection to the host, on port 80: Connect failed

Trace-Route vom Webserver zum Remote-Computer:

Trace-Route vom Remote-Computer zum Webserver:

[Update] Ich aktivierte IIS auf dem Remote - Laptop, und ich bin die Lage , diese Webseite von einem Computer auf dem Host - Standort zu ziehen. Dies war jedoch bei meinen Tests immer der Fall. Der http-Verkehr ist daher nur eine Möglichkeit.

Die beiden Windstream-Router verfügen jeweils über einen MPLS-Port:

• 192.168.1.2 = Host MPLS
• 192.168.2.2 = Remote MPLS

Die Windstream-Router haben auch jeweils einen offenen Internet-Port, an den ich einen Firewall-Router angeschlossen habe, um das Internet zu filtern und die Internet-Gateways zu erstellen:

• 192.168.1.1 = Host Gateway
• 192.168.2.1 = Remote Gateway

Problemübersicht

Ihr Problem ist, dass Sie mehrere Router im selben Subnetz haben:

• Das Internet-Gateway unter 192.168.1.1
• Der Windstream MPLS-Router unter 192.168.1.2

Dies ist ein fehlerhaftes Design. Ich verstehe vollkommen, dass es "so scheint", als ob daran nichts falsch ist, aber wie Sie feststellen, ist dies ein schwieriger Weg, das Netzwerk aufzubauen.

Nach unserer Chat-Diskussion besteht das genaue Problem darin, dass die TCP-SYN-Pakete von SAINTJOSEPH korrekt zugestellt werden. Bei einer Stateful Inspection Ihrer PaloAlto-Firewall wird jedoch die TCP SYN-ACK-Antwort von SAINTSERVIUS aufgrund des asymmetrischen Routings in Ihrer Umgebung gelöscht. Dies ist in den beiden folgenden Diagrammen dargestellt.

TCP SYN von SAINTJOSEPH zu SAINTSERVIUS :

Ihre PaloAlto-Firewall löscht das TCP-SYN-ACK von SAINTSERVIUS zu SAINTJOSEPH :

Dies tracertmacht sehr deutlich, dass SAINTSERVIUS standardmäßig 192.168.1.1 (die PaloAlto-Firewall) verwendet:

Langfristige Lösungen

Sie sollten für jedes Subnetz nur einen einzigen Router im nächsten Hop haben . Derzeit haben Sie jedoch zwei. Dies führt zu den Tropfen, die in Ihrer Wireshark-Bildschirmaufnahme angezeigt werden (was darauf hinweist, dass TCP-SYN-ACK-Pakete niemals das MPLS-Netzwerk von Windstream erreichen).

Dies sind zwei langfristige Lösungen, die wir besprochen haben ... Ich schließe auch den schnellen Hack ein, den wir durchgeführt haben, um zu überprüfen, ob das Problem Stateful Packet Drop auf dem PaloAltos ist. Ich gehe davon aus, dass Sie auf dem PaloAlto mehrere Schnittstellen verwenden.

• Option A: Halten Sie die PaloAlto-Firewalls mit Ihren Interoffice-Verbindungen in Einklang (mehr Wartung)
• Option B: Stellen Sie die PaloAlto-Firewalls vor die Internetverbindung (weniger Wartung, aber auch weniger komfortabel).
• Option C: Schneller statischer Windows-Routing-Hack

Besseres Design, Option A (MPLS-Neuadressierung erforderlich)

Dies ist eine weitere Möglichkeit, das Subnetz für SAINTSERVIUS zu gestalten (Beibehaltung Ihres Nummerierungsschemas mit / 23-Subnetzen, obwohl dies nicht erforderlich ist ...). Mit dieser Option wird das Interoffice-Routing auf den PaloAlto-Firewalls beibehalten, was Ihnen derzeit vertrauter erscheint.

Dies ist eine langfristige Lösung. Sie müssten mit Windstream zusammenarbeiten, um Ihre Infrastruktur neu auszurichten. Das ist viel Arbeit. Meiner Meinung nach ist es weniger vorzuziehen, die Firewalls in der Mitte Ihres Interoffice-Verkehrs zu halten.

Besseres Design, Option B (MPLS-Neuadressierung erforderlich)

Dies ist eine weitere Möglichkeit, das Subnetz für SAINTSERVIUS zu gestalten (Beibehaltung Ihres Nummerierungsschemas mit / 23-Subnetzen, obwohl dies nicht erforderlich ist ...). Diese Option verlagert das LAN-Routing zwischen den Büros auf Ihre PowerConnect-Switches und verwendet die PaloAlto-Firewalls zum Schutz vor Internetbedrohungen.

Dies ist eine langfristige Lösung. Sie müssten mit Windstream zusammenarbeiten, um Ihre Infrastruktur neu auszurichten. Dies ist eine Menge Arbeit, bietet jedoch den Vorteil, dass Sie sich nicht mit Firewalls für Ihre Kommunikation zwischen den Büros befassen müssen.

Suboptimale Problemumgehung, Option C (was Sie nach unserem Chat verwendet haben)

Öffnen Sie ein cmd.exeFenster und fügen Sie diese Route in SAINTSERVIUS als Administrator hinzu:

route ADD 192.168.2.0 MASK 255.255.254.0 192.168.1.2

Schlußbemerkungen

Ich sollte erwähnen, dass Sie eine der wenigen Personen sind, die genügend Details zu Ihrer Frage angegeben haben. Als Sie anfingen, hatten wir nicht genügend Details, um die Frage zu beantworten. Jetzt sind die Probleme sehr klar; Vielen Dank, dass Sie Zeit und Mühe investiert haben, um das Problem gut zu dokumentieren.

Persönlicher Hinweis: Wenn Sie eine elektronische Kopie der Diagramme im SVG / Inkscape- Format wünschen, können Sie mich gerne unter meiner persönlichen E-Mail-Adresse (in meinem Benutzerprofil aufgeführt ) kontaktieren .