Interne Website kann nicht über MPLS geladen werden

8

Wir haben ein MPLS zwischen zwei Subnetzen eingerichtet. Alles (das heißt, ich habe RDP in beide Richtungen sowie Dateifreigabe) scheint korrekt zu funktionieren, mit Ausnahme von zwei Dingen, die möglicherweise miteinander zusammenhängen.

  • Windows-Computer füllen das "Netzwerk" nicht mit Geräten aus dem anderen Subnetz.
  • Auf dem Remotecomputer können wir unsere interne Website im Host-Netzwerk nicht laden.

WINS ist aktiviert und funktioniert , und beide Computer wissen, wer der DNS-Server und wer der WINS-Server ist.

Der Webserver befindet sich in 192.168.1.20(Windows Server 2003) und der Computer (Windows 7) im Remote-Subnetz in 192.168.2.249. Filesharing und RDP funktionieren in beide Richtungen.

Das Host-Subnetz ist also 192.168.0.0/23und das Remote-Subnetz ist 192.168.2.0/23. Jeder der Windstream-Router verfügt über zwei Ports - einen für MPLS und einen für das Internet. Derzeit ist der Internetanschluss an der Fernbedienung nicht verbunden. Der Internet-Port des Host-Routers wird vor dem Betreten des Host-Netzwerks über unseren Firewall-Router ausgeführt, der MPLS-Port des Hosts wird jedoch direkt an den Switch-Trunk angeschlossen.

Die beiden Windstream-Router verfügen jeweils über einen MPLS-Port:

  • 192.168.1.2 = Host MPLS
  • 192.168.2.2 = Remote MPLS

Die Windstream-Router haben auch jeweils einen offenen Internet-Port, an den ich einen Firewall-Router angeschlossen habe, um das Internet zu filtern und die Internet-Gateways zu erstellen:

  • 192.168.1.1 = Host Gateway
  • 192.168.2.1 = Remote Gateway

Ich habe hier gelesen, dass ich die Subnetze in Active Directory-Standorten und -Diensten auflisten musste, also habe ich die beiden Subnetze als Mitglieder eines Standorts erstellt.

Für meine Tests sind die Firewalls auf beiden Computern sowie auf dem Webserver ausgeschaltet.

Der ISP (Windstream) bestätigt, dass die MTU auf 1500 eingestellt ist, und bei ihren Tests werden ihre Pings immer mit einer Größe von 1500 gesendet.

Was kann ich also versuchen, um diese beiden Probleme zu lösen?

Hier ist eine Karte: Geben Sie hier die Bildbeschreibung ein

[Update] Wenn ich Wireshark auf dem Webserver ausführe und die Anforderung für die Webseite beobachte, werden bei den http-Aufrufen viele Neuübertragungen angezeigt. Hier ist der Bericht: Geben Sie hier die Bildbeschreibung ein

Es sieht so aus, als würde der HTTP-Verkehr von der Fernbedienung zum Host erneut übertragen. Aber ich habe keine Ausrüstung, die es blockieren kann. Die Firewalls sind alle ausgeschaltet.

Ich kann also von einem Computer im selben Subnetz zum Webserver telneten, aber ich kann nicht von einem Computer im Remote-Subnetz zu ihm telneten - es wird berichtet:

c:\>telnet 192.168.1.20 80
Connecting To 192.168.1.20...Could not open connection to the host, on port 80: Connect failed

Trace-Route vom Webserver zum Remote-Computer: Geben Sie hier die Bildbeschreibung ein

Trace-Route vom Remote-Computer zum Webserver: Geben Sie hier die Bildbeschreibung ein

[Update] Ich aktivierte IIS auf dem Remote - Laptop, und ich bin die Lage , diese Webseite von einem Computer auf dem Host - Standort zu ziehen. Dies war jedoch bei meinen Tests immer der Fall. Der http-Verkehr ist daher nur eine Möglichkeit.

bgmCoder
quelle
Wie routen Sie zwischen den beiden Subnetzen? Welche Ausrüstung was IGP usw.
Brett Lykins
Windstream hat seine Cisco-Router an beiden Enden installiert. Ich habe einen Computer direkt an den MPLS-Port der Fernbedienung angeschlossen, und der MPLS-Port des Hosts wird direkt in den Switch-Trunk meines LAN eingespeist.
BgmCoder
1
Welche Geräte sind 192.168.1.1 und 192.168.1.2?
Mike Pennington
Entschuldigung, ich habe gerade diese Adressen mit einer Erklärung hinzugefügt.
bgmCoder

Antworten:

9

Die beiden Windstream-Router verfügen jeweils über einen MPLS-Port:

  • 192.168.1.2 = Host MPLS
  • 192.168.2.2 = Remote MPLS

Die Windstream-Router haben auch jeweils einen offenen Internet-Port, an den ich einen Firewall-Router angeschlossen habe, um das Internet zu filtern und die Internet-Gateways zu erstellen:

  • 192.168.1.1 = Host Gateway
  • 192.168.2.1 = Remote Gateway

Problemübersicht

Ihr Problem ist, dass Sie mehrere Router im selben Subnetz haben:

  • Das Internet-Gateway unter 192.168.1.1
  • Der Windstream MPLS-Router unter 192.168.1.2

Dies ist ein fehlerhaftes Design. Ich verstehe vollkommen, dass es "so scheint", als ob daran nichts falsch ist, aber wie Sie feststellen, ist dies ein schwieriger Weg, das Netzwerk aufzubauen.

Nach unserer Chat-Diskussion besteht das genaue Problem darin, dass die TCP-SYN-Pakete von SAINTJOSEPH korrekt zugestellt werden. Bei einer Stateful Inspection Ihrer PaloAlto-Firewall wird jedoch die TCP SYN-ACK-Antwort von SAINTSERVIUS aufgrund des asymmetrischen Routings in Ihrer Umgebung gelöscht. Dies ist in den beiden folgenden Diagrammen dargestellt.

TCP SYN von SAINTJOSEPH zu SAINTSERVIUS :

sspx_Before02

Ihre PaloAlto-Firewall löscht das TCP-SYN-ACK von SAINTSERVIUS zu SAINTJOSEPH :

sspx_Before03

Dies tracertmacht sehr deutlich, dass SAINTSERVIUS standardmäßig 192.168.1.1 (die PaloAlto-Firewall) verwendet:

Langfristige Lösungen

Sie sollten für jedes Subnetz nur einen einzigen Router im nächsten Hop haben . Derzeit haben Sie jedoch zwei. Dies führt zu den Tropfen, die in Ihrer Wireshark-Bildschirmaufnahme angezeigt werden (was darauf hinweist, dass TCP-SYN-ACK-Pakete niemals das MPLS-Netzwerk von Windstream erreichen).

Dies sind zwei langfristige Lösungen, die wir besprochen haben ... Ich schließe auch den schnellen Hack ein, den wir durchgeführt haben, um zu überprüfen, ob das Problem Stateful Packet Drop auf dem PaloAltos ist. Ich gehe davon aus, dass Sie auf dem PaloAlto mehrere Schnittstellen verwenden.

  • Option A: Halten Sie die PaloAlto-Firewalls mit Ihren Interoffice-Verbindungen in Einklang (mehr Wartung)
  • Option B: Stellen Sie die PaloAlto-Firewalls vor die Internetverbindung (weniger Wartung, aber auch weniger komfortabel).
  • Option C: Schneller statischer Windows-Routing-Hack

Besseres Design, Option A (MPLS-Neuadressierung erforderlich)

Dies ist eine weitere Möglichkeit, das Subnetz für SAINTSERVIUS zu gestalten (Beibehaltung Ihres Nummerierungsschemas mit / 23-Subnetzen, obwohl dies nicht erforderlich ist ...). Mit dieser Option wird das Interoffice-Routing auf den PaloAlto-Firewalls beibehalten, was Ihnen derzeit vertrauter erscheint.

sspx_After01

Dies ist eine langfristige Lösung. Sie müssten mit Windstream zusammenarbeiten, um Ihre Infrastruktur neu auszurichten. Das ist viel Arbeit. Meiner Meinung nach ist es weniger vorzuziehen, die Firewalls in der Mitte Ihres Interoffice-Verkehrs zu halten.

Besseres Design, Option B (MPLS-Neuadressierung erforderlich)

Dies ist eine weitere Möglichkeit, das Subnetz für SAINTSERVIUS zu gestalten (Beibehaltung Ihres Nummerierungsschemas mit / 23-Subnetzen, obwohl dies nicht erforderlich ist ...). Diese Option verlagert das LAN-Routing zwischen den Büros auf Ihre PowerConnect-Switches und verwendet die PaloAlto-Firewalls zum Schutz vor Internetbedrohungen.

sspx_After02

Dies ist eine langfristige Lösung. Sie müssten mit Windstream zusammenarbeiten, um Ihre Infrastruktur neu auszurichten. Dies ist eine Menge Arbeit, bietet jedoch den Vorteil, dass Sie sich nicht mit Firewalls für Ihre Kommunikation zwischen den Büros befassen müssen.

Suboptimale Problemumgehung, Option C (was Sie nach unserem Chat verwendet haben)

Öffnen Sie ein cmd.exeFenster und fügen Sie diese Route in SAINTSERVIUS als Administrator hinzu:

route ADD 192.168.2.0 MASK 255.255.254.0 192.168.1.2

Schlußbemerkungen

Ich sollte erwähnen, dass Sie eine der wenigen Personen sind, die genügend Details zu Ihrer Frage angegeben haben. Als Sie anfingen, hatten wir nicht genügend Details, um die Frage zu beantworten. Jetzt sind die Probleme sehr klar; Vielen Dank, dass Sie Zeit und Mühe investiert haben, um das Problem gut zu dokumentieren.

Persönlicher Hinweis: Wenn Sie eine elektronische Kopie der Diagramme im SVG / Inkscape- Format wünschen, können Sie mich gerne unter meiner persönlichen E-Mail-Adresse (in meinem Benutzerprofil aufgeführt ) kontaktieren .

Mike Pennington
quelle
Die beiden Subnetze sind in verschiedenen Gebäuden etwa eine Meile voneinander entfernt. Der ISP sagte mir, dass ich für jedes Subnetz ein Internet-Gateway haben sollte und das MPLS sie in ihren internen LANs verbinden sollte. Sie sagen also, ich brauche nur einen Internet-Router (Palo-Alto) und beide Subnetze sollten ihn als ein einziges Gateway für das gesamte Netzwerk durchlaufen?
bgmCoder
1
@BGM, bitte besuchen Sie mich in einem Chatraum, der für diese Ausgabe erstellt wurde
Mike Pennington
Vielen Dank, Herr Pennington, Sie haben mir einen großartigen Dienst erwiesen.
bgmCoder