ungewöhnliches Netzwerkproblem - Gerät online, aber nicht pingbar

9

Hier ist also eine merkwürdige Situation. Vergib mir, wenn es offensichtlich ist und ich es vielleicht einfach vermisse.

Ich habe ein Client-Gerät (Surface Pro 4), das, soweit ich das beurteilen kann, online ist. Der Benutzer kann im Internet surfen, E-Mails empfangen und jedes andere Gerät im Netzwerk anpingen.

Wenn nun jemand im selben LAN versucht, mit dem Gerät zu kommunizieren, reagiert es nicht mehr oder ist offline.

Geben Sie hier die Bildbeschreibung ein

Pings an den Hostnamen oder die IP-Adresse werden als "Zeitüberschreitung bei Anforderung" zurückgegeben. Der Versuch, über IP oder Hostname (RDP, DNTU) eine Remote-Verbindung herzustellen, reagiert nicht mehr usw.

Unten finden Sie die ipconfig / all-Ergebnisse des Geräts.

Geräte-IPCONFIG-Ergebnisse

That being said, ich kann remote eine Anwendung bei der Verwendung in dem der Benutzer eine Webseite zuzugreifen und downloaden Sie ein Applet (LogMeIn Rescue).

Siehe unten für den Netzwerkstatus des Geräts.

Gerätestatus

Irgendeine Idee, was hier los ist? Das Gerät ist über die Surface Pro Docking Station mit Ethernet verbunden.

Jacob K.
quelle
3
Ist auf dem Gerät eine Firewall aktiviert?
Alex
Warum ist das ungewöhnlich? Dies ist ein völlig normales Verhalten für ein Gerät mit aktivierter
Basissicherheit

Antworten:

15

TL; DR:

Der Host ist online, antwortet jedoch aufgrund einer Firewall nicht. Verwenden Sie ARP, um zu überprüfen, ob eine Verbindung zum Netzwerk besteht.

Eingehender Verkehr ist blockiert

Auf der Oberfläche ist eine Software-Firewall aktiviert (z. B. Windows-Firewall), die so konfiguriert ist, dass unerwünschter eingehender Datenverkehr, einschließlich ICMP-Echoanforderungen (Ping), blockiert wird. Dies erklärt auch, warum Ihre anderen Verbindungsversuche fehlschlagen. Die Verbindung über einen Dienst wie LogMeIn funktioniert jedoch, da die Oberfläche in diesem Fall technisch die Verbindung initiiert.

So finden Sie mit ARP verbundene, aber Firewall-Knoten

Wenn Sie sich im selben Subnetz wie das Gerät befinden, können Sie sich selbst beweisen, dass der Computer mit dem Netzwerk verbunden ist, auch wenn er nicht auf Ping-Anforderungen reagiert. Gehen Sie dazu wie folgt vor:

  1. Pingen Sie das Gerät an. Dies führt dazu, dass Ihr Computer eine ARP-Anfrage an das lokale Subnetz sendet und fragt: "Welches Gerät hat die IP-Adresse X?" Wenn der Knoten trotz konfigurierter Firewall online ist, sendet er eine Antwort an Ihren Computer mit der Meldung "Meine MAC-Adresse ist Y und ich habe die IP-Adresse X." Diese Antwort wird im ARP-Cache Ihres lokalen Computers gespeichert .
  2. Führen Sie den Befehl ausarp -a und beobachten Sie, ob ein Eintrag für die IP-Adresse des Geräts vorhanden ist. Wenn ja, ist das Gerät online.

Ein Hinweis zum ARP-Caching

ARP-Einträge können zwischengespeichert werden. In Windows Vista und höher beträgt das Cache-Zeitlimit jedoch weniger als 45 Sekunden . Wenn Sie jedoch wirklich sicherstellen möchten, dass der Remote-Knoten genau zu dem Zeitpunkt online ist, zu dem Sie Ihren Ping-Befehl ausgeben, führen Sie vor Schritt 1 oben einen der folgenden Schritte aus:

Führen Sie Folgendes aus, um nur den Eintrag des Zielknotens aus Ihrem ARP-Cache zu entfernen:

arp -d <remote_ip>

Oder führen Sie Folgendes aus, um den gesamten ARP-Cache zu löschen:

arp -d *
Ich sage Reinstate Monica
quelle
Das hat es geschafft! Ich konnte überprüfen, ob sich die IP- und MAC-Adresse in der ARP-Tabelle befanden und mit den Informationen vom Gerät übereinstimmten. Ich habe die Windows-Firewall-Einstellungen aufgerufen und sie in Domänennetzwerken deaktiviert, da wir eine eigene Hardware-Firewall im Netzwerk haben. Vielen Dank!
Jacob K
4
Ich bin froh, dass das geholfen hat. Ich möchte Sie ermutigen, den Wert einer Firewall auf einzelnen Geräten in Betracht zu ziehen, selbst wenn das gesamte Netzwerk durch eine mit dem Internet verbundene Firewall geschützt ist. Wenn ein Knoten kompromittiert wird, sind andere Geräte leichter zu infizieren, wenn sie Ports freigeben, die nicht geöffnet werden müssen. Nur ein Gedanke.
Ich sage Reinstate Monica
Kann keine arp -aAntwort von einem ARP-Cache sein und daher nicht den tatsächlichen Status des Computers anzeigen?
Alex
2
@Alex Absolut, jedoch ist das ARP-Cache-Timeout unter Windows Vista und neuer ein zufälliger Wert zwischen 15 und 45 Sekunden, was dies zu einem vernachlässigbaren Faktor macht.
Ich sage Reinstate Monica
1
@ Alex Antwort aktualisiert, um Ihre Beobachtung zu adressieren.
Ich sage Reinstate Monica