Jump to content
Sign in to follow this  
bof

Terminal-Server hinter Firewall und sporadische Probleme

Recommended Posts

Hallo Zusammen,

 

da mir so langsam die Ansätze zum Suchen ausgehen, dachte ich mir frage ich einfach mal hier nach...

 

Folgendes Szenario habe ich derzeit (IP's sind natürlich total fiktiv :)

 

Linux Firewall mit mehreren externen IP's und der 192.x.x.1 als interner

  • 1.1.1.1 -> werden weitegeleitet an FTP 192.x.x.2
  • 1.1.1.2 -> werden weitergeleitet an Terminal Server 192.x.x.3

Weitergeleitet werden natürlich nur die relevanten Ports, also 80 und 3389 an TS und bei dem ersten Server halt FTP.

 

- Terminal Server mit 2 NW Karten, die eine hängt im LAN die andere in der DMZ.

  • NW LAN: 10.x.x.x.222
  • NW DMZ: 192.x.x.3

 

Im Regefall funktioniert das ganze absolut problemlos. Nur sporadisch verliert die NW DMZ vom TS die Verbindung. Physisch ist die Verbindung noch da, der Link auch vorhanden, die Verbindung unter Windows auch wunderbar aktiv als wäre nie was gewesen. Aber von der Firewall ist die 192.x.x.3 nicht mehr erreichbar und dementsprechend kann von außen auch nicht mehr darauf zugegriffen werden. Und das passiert natürlich immer irgendwann Nachts oder am Wochende :-(

 

So und nun kommts: Nach einer deaktivierung und danach einer aktivierung der DMZ Verbindung auf dem Terminal Server ist dann wieder alles in Ordnung und der Zugriff funktioniert wieder problemlos.

 

Und nun seit Ihr dran, hat noch jemand ne Idee für mich, was ich mal prüfen könnte oder evtl. schon mal jemand ein ähnliches Problem gehabt?

 

P.S.: Syslog der Firewall und auch Ereignisprotokolle vom Terminal Server geben absolut nix her... es sieht zu den Zeiten wo es passiert immer alles absolut nach Normalbetrieb aus.

 

Gruß Björn

Share this post


Link to post

Weil er sowohl von Extern als auch Inhouse genutzt wird... ich weiss nicht wirklich DMZ.. sondern mehr Firewall nach außen. Zu meinem Schutz ich habe das ganze System nicht aufgesetzt sondern versuche es jett nur glatt zu biegen bis die strukturellen Änderungen im Serverrraum durchgeführt sind...

Share this post


Link to post

noe wie schon geschrieben nur 2, auf einer hängen die externen adressen und auf der anderen die internen.. das forwarding klappt soweit allerdings ohne probleme weshalb ich eigentlich die firewall als problemquelle fast ausschließe...

Share this post


Link to post

Ich verstehe nicht so ganz, warum der TS 2 Karten hat. Eine ist im internen Netz, wodurch ihn die Clients dort direkt erreichen können. Die Firewall forwarded von aussen zu ihm durch , warum dann die zweite Karte (ein zweites internes Netz vielleicht) ?

Share this post


Link to post

naja weil es halt eine halbe dmz ist ;-) nein du hast recht.. die firewall selbst steht in einem eigenen internen netz 192.x.x.x. das lan selbst hat 10.x.x.x.. ein router gibt es nicht dazwischen.. soll auch nicht da es ja irgendwann mal eine komplette dmz werden soll...

 

die firewall kann also nur auf die 192er adresse forwarden... daher die zweite karte mit diesem netz.. achso... die verbindung aus dem lan auf die erste karte im 10er netz hat noch nie probleme gemacht...

 

soweit so (un)klar? :-)

Share this post


Link to post

Ist diese Karte eigentlich nur von der Firewall nicht mehr erreichbar oder von niemandem aus diesem Netz (sofern sich da überhaupt noch andere Hosts befinden, ist ja nur ne halbe DMZ ;) ). Ist an der Kartenkonfiguration etwas geändert worden, ist eventuell sogar schon mal die Karte ausgetauscht worden ? Wäre auch interessant zu wissen, ob der Server sich bei Verbindungsverlust noch selbst anpingen kann. Die Frage ist ja jetzt, ob das Problem wirklich vom Server ausgeht oder vielleicht vom Firewall und ob es sich nur auf die Ports bezieht, die die Firewall durchleitet (Du meinst aber mit "nicht mehr erreichbar" sicher, dass sie vom Firewall aus gar nicht mehr erreichbar ist, also auch kein Ping)

Share this post


Link to post

so.. problem scheint gelöst.. jedenfalls läuft die verbindung jetzt seit 48 std. stabil und so gut wie nie... und was war es?? na klar ich hab bei den routen erst beim 2ten mal gesehen das eine falsche standardroute eingetragen ist.. seit die route draußen ist sind auch die antwortzeiten ein ticken besser geworden.

 

ich nehme daher einfach mal stark an das der nach einer gewissen zeit irgendwelche anfragen bekommen hat und die über eine falsche route rausschicken wollte und danach nie wieder von dieser zurückgekehrt ist ;-)

 

so weit fürs erste... falls es das doch nicht war meld ich mich wieder bis dahin erstmal danke!

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...