zuviele Broadcast Packets (IP=141.40.255.255) im Netz
geschrieben am 02.02.2007 um 08:41 von Markus Luder
unser Netz (20 PCs und ein Win-2000, W2K Server) hat fixe IP Adressen, (einen Netgear oder) einen ASTARO Linux (Internet-, Firewall-, Virenscanner) Router. Die Logs im ASTARO-Router zeigen bei jeder Kommunikation mit Internet oder W2K Server eine Serie von ca 15 Broadcast Packets (IP=141.40.255.255).
Der Router blockt / droped diese Packets. Deshalb funktioniert zwar die Internetverbindung über den Router, aber der Login zu W2K Server ist über den Router nicht möglich, weil er die Broadcast Packets blockt. Ausserdem ist der Netzverkehr 70% ineffizient.
Wie kann ich die Broadcast Packets (IP=141.40.255.255) aus diesem Netz verbannen und eine saubere IP - Adressierung herstellen ? Wo ist der Grund der Serien von jeweils ca 15 Broadcast (IP=141.40.255.255) ?
Der lokale DNS im W2K Server enthält die Computernamen mit den IPs von jedem Arbeitsplatz. Die Namens Auflösung ist demzufolge ok. Ich vermute, dass die Protokollsequenz im Bereich WINS / NETBIOS zu der
Broadcast (IP=141.40.255.255) - Sequenz führt. Weiss aber nicht was ich umstellen soll.
Bitte um Hinweis für ein schrittweisen Vorgehens von der Analyse der Packetfolge bis zum Umstellen der Netzwerkeinstellungen.
Markus Luder
geschrieben am 02.02.2007 um 16:46 von Mirko
Ist 141.40.0.0 euer internes Netz? Was steht denn in den Frames drin?
Mirko
geschrieben am 02.02.2007 um 17:24 von bewa
Re: zuviele Broadcast Packets (IP=141.40.255.255) im Netz
Die Logs im ASTARO-Router zeigen bei jeder Kommunikation mit Internet oder W2K Server eine Serie von ca 15 Broadcast Packets (IP=141.40.255.255).
Wie auch schon von Mirko gefragt - ist das euer internes Netz, also haben die Rechner auch IP-Adressen aus diesem Bereich? (Und wie lautet die Subnetzmaske?) Auf den ersten Blick kam mir das Netz komisch vor, aber lt. whois gehört der Block dem LRZ München, dann macht das schon Sinn.
Hochschulen und nahestehende Einrichtungen haben ja in der Regel den Vorteil dank Adress-Überfluss nicht NATen zu müssen. :-)
Welches Protokoll verursacht die Broadcasts? Was steht drin?
Und vor allem: WER schickt diese Broadcasts? Immer der gleiche Rechner? Was für eine Funktion hat der? (Die von dir genannte IP ist ja nur das Ziel und besagt, das jemand allen etwas mitteilen möchte - Broadcast halt.)
Der Router blockt / droped diese Packets.
Absichtlich - oder ist das irgendein Automatismus? Ein Broadcast ist ja zunächst mal nichts böses und ich wüsste spontan auch nicht, warum die Anmeldung auf einen Broadcast angewiesen sein sollte.
WEN blockt der Router denn eigentlich? Den Absender komplett, oder vernichtet er nur den Broadcast-Verkehr, wenn er bei ihm ankommt?
Deshalb funktioniert zwar die Internetverbindung über den Router, aber der Login zu W2K Server ist über den Router nicht möglich, weil er die Broadcast Packets blockt.
s.o. - Zunächst wäre mal interessant, was für Pakete er blockt und von wem die kommen. Kannst du mal einen kleinen Auszug aus dem Log hier posten?
Ausserdem ist der Netzverkehr 70% ineffizient.
Generell? Oder nur beim Server-Zugriff. Woher kommt diese Wertung? (70%)
Wie kann ich die Broadcast Packets (IP=141.40.255.255) aus diesem Netz verbannen und eine saubere IP - Adressierung herstellen ? Wo ist der Grund der Serien von jeweils ca 15 Broadcast (IP=141.40.255.255) ?
s.o. - Was für Pakete, wer schickt diese Broadcasts.
Bitte um Hinweis für ein schrittweisen Vorgehens von der Analyse der Packetfolge bis zum Umstellen der Netzwerkeinstellungen.
Zunächst müsste man mal die möglichen Ursachen eingrenzen, daher bräuchten wir ein paar Infos. Sieht euer Netz so aus?
Netgear<->Astaro<->Clients
Welche IP-Netze werden wo verwendet? Falls du dir nicht sicher bist, was das genau ist oder wie man es aufschreibt: Bitte mal notieren, welche IPs (wichtig: bitte inkl. Subnetz-Maske und Gateway) von einem Beispiel-Client und den beiden Routern verwendet werden. Meinetwegen auch anonymisiert, solange die Aussagen dann noch eindeutig sind.
Aus dem Bauch heraus:
Es kann ganz andere Ursachen haben, aber für mich "riecht" es danach, das euer Routing falsch konfiguriert und/oder die IP-Adresseinstellungen der Clients falsch sind. Die Broadcast-Adresse die du genannt hast, sieht so aus, als versucht jemand Broadcasts an das ganze 141.40/16 zu senden. (Bevor jemand meckert: Ja, ohne Angabe der Netze ist das natürlich reine Spekulation, das muss nichtmal ne Broadcast-Adresse sein.) Zum einen gibt es sehr wenige Fälle, in denen das überhaupt technisch nötig ist, zum anderen bezweifele ich ganz stark, das ihr das ganze /16 "am Stück" benutzt.
Um nicht weiter wild spekulieren zu müssen, wäre es also zunächst sehr hilfreich, wenn du schematisch (muss nicht schön sein) die Verkabelung zwischen "Internet", den beiden Routern und den Clients beschreibst und erläuterst, welche IP-Netze/IPs wo verwendet werden. Danach kann man den Fehler dann systematisch eingrenzen.
geschrieben am 02.02.2007 um 17:32 von bewa
Ist 141.40.0.0 euer internes Netz?
Ein /16 flat/"am Stück"? Ich habe schon viel merkwürdiges im Uni-Umfeld gesehen, aber das noch nicht. Der Block gehört dem LRZ, daher kann es schon sein, das die Adressen aus diesem Bereich intern verwenden, aber wohl nicht das ganz Netz. (Mir ist keine Hochschule bekannt, die mehr als EIN /16 hat. (Was ja schon reichlich ist.) Das werden die schon deswegen nicht als ein Netz verbraten.)
Was steht denn in den Frames drin?
Frage ich mich auch, ausführlicher s. meinen anderen Beitrag.
Meine Glaskugel tippt ohne weitere Infos auf vermurkstes Routing und/oder falsche IP-Configs. (Zwei) Router in Reihe erfordern deutlich mehr Überlegungen, als nur einer als Gateway. (Transfernetz, wo wird wie geNATed, usw.) Keine spektakuläre technische Herausforderung, aber sehr viele Stolperstellen...
geschrieben am 02.02.2007 um 20:45 von Markus Luder
hier die gefragten Daten:
----------------A --------------
A) ein PC hat beispielsweise
IP 141.40.100.199
Subnetmask 255.255.0.0
DSL Router 141.40.100.100 (Astaro, Internet)
DNS 141.40.100.101 (Server W2K, dieselbe IP-Adresse für WINS)
----------- B --------------------------
B) es liegt nur ein Subnetz vor für die PCS und den Server
die Ips der PCs sind 141.40.100.110 bis 141.40.100.199
---------------C --------------------------
C) Die Packets (Astaro-Log) schauen wie folgt aus:
10:24:14 : DROP: IN=ppp0 OUT= MAC= SRC=84.149.204.191 DST=84.150.75.180 LEN=52 TOS=00 PREC=0x00 TTL=124 ID=54371 CE DF PROTO=TCP SPT=3166 DPT=135 SEQ=3642221698 ACK=0 WINDOW=32768 SYN URGP=0
10:25:23 : DROP: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0c:6e:cb:4d:01:08:00 SRC=141.40.100.111 DST=141.40.255.255 LEN=261 TOS=00 PREC=0x00 TTL=128 ID=59166 CE PROTO=UDP SPT=138 DPT=138 LEN=241
10:26:02 : DROP: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:04:76:12:21:f2:08:00 SRC=141.40.100.119 DST=141.40.255.255 LEN=229 TOS=00 PREC=0x00 TTL=128 ID=3656 PROTO=UDP SPT=138 DPT=138 LEN=209
10:27:06 : DROP: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:10:4b:e8:01:4e:08:00 SRC=141.40.100.123 DST=141.40.255.255 LEN=229 TOS=00 PREC=0x00 TTL=128 ID=2918 PROTO=UDP SPT=138 DPT=138 LEN=209
10:27:12 : DROP: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:04:76:12:22:76:08:00 SRC=141.40.100.118 DST=141.40.255.255 LEN=229 TOS=00 PREC=0x00 TTL=128 ID=5835 PROTO=UDP SPT=138 DPT=138 LEN=209
10:27:23 : ACCEPT: IN=eth2 OUT=eth0 MAC=00:10:f3:08:9a:7a:00:01:02:14:52:78:08:00 SRC=141.41.100.137 DST=141.40.100.101 LEN=1310 TOS=00 PREC=0x00 TTL=127 ID=662 PROTO=UDP SPT=1113 DPT=88 LEN=1290
10:27:28 : DROP: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:13:8f:0b:7e:5e:08:00 SRC=141.40.100.132 DST=141.40.255.255 LEN=229 TOS=00 PREC=0x00 TTL=128 ID=48107 CE PROTO=UDP SPT=138 DPT=138 LEN=209
10:27:42 : DROP: IN=ppp0 OUT= MAC= SRC=221.209.110.48 DST=84.150.75.180 LEN=486 TOS=00 PREC=0x00 TTL=52 ID=0 DF PROTO=UDP SPT=48080 DPT=1026 LEN=466
10:27:51 : DROP: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0c:6e:70:63:97:08:00 SRC=141.40.100.112 DST=141.40.255.255 LEN=229 TOS=00 PREC=0x00 TTL=128 ID=27147 PROTO=UDP SPT=138 DPT=138 LEN=209
10:27:55 : DROP: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0b:6a:d3:9a:08:08:00 SRC=141.40.100.126 DST=141.40.255.255 LEN=229 TOS=00 PREC=0x00 TTL=128 ID=29518 PROTO=UDP SPT=138 DPT=138 LEN=209
10:28:11 : DROP: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:10:4b:db:be:b8:08:00 SRC=141.40.100.124 DST=141.40.255.255 LEN=229 TOS=00 PREC=0x00 TTL=128 ID=8541 PROTO=UDP SPT=138 DPT=138 LEN=209
10:28:18 : DROP: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:30:05:49:4b:cd:08:00 SRC=141.40.100.101 DST=141.40.255.255 LEN=229 TOS=00 PREC=0x00 TTL=128 ID=39728 CE PROTO=UDP SPT=138 DPT=138 LEN=209
10:28:22 : DROP: IN=ppp0 OUT= MAC= SRC=84.150.117.227 DST=84.150.75.180 LEN=48 TOS=00 PREC=0x00 TTL=127 ID=19720 DF PROTO=TCP SPT=3425 DPT=445 SEQ=1786205033 ACK=0 WINDOW=64800 SYN URGP=0
10:29:41 : DROP: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:04:42:e2:74:08:00 SRC=141.40.100.3 DST=141.40.255.255 LEN=229 TOS=00 PREC=0x00 TTL=128 ID=8587 PROTO=UDP SPT=138 DPT=138 LEN=209
10:29:48 : DROP: IN=ppp0 OUT= MAC= SRC=60.11.125.55 DST=84.150.75.180 LEN=485 TOS=00 PREC=0x00 TTL=52 ID=0 DF PROTO=UDP SPT=55947 DPT=1026 LEN=465
10:30:36 : DROP: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:04:76:16:03:fe:08:00 SRC=141.40.100.117 DST=141.40.255.255 LEN=229 TOS=00 PREC=0x00 TTL=128 ID=20518 PROTO=UDP SPT=138 DPT=138 LEN=209
10:31:00 : ACCEPT: IN=ppp0 OUT= MAC= SRC=84.152.235.180 DST=84.150.75.180 LEN=48 TOS=00 PREC=0x00 TTL=123 ID=12170 DF PROTO=TCP SPT=1412 DPT=443 SEQ=1781161106 ACK=0 WINDOW=65535 SYN URGP=0
10:31:18 : ACCEPT: IN=ppp0 OUT= MAC= SRC=84.152.235.180 DST=84.150.75.180 LEN=48 TOS=00 PREC=0x00 TTL=123 ID=12315 DF PROTO=TCP SPT=1424 DPT=443 SEQ=3802234693 ACK=0 WINDOW=65535 SYN URGP=0
10:31:21 : DROP: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:13:8f:51:0f:59:08:00 SRC=141.40.100.136 DST=141.40.255.255 LEN=229 TOS=00 PREC=0x00 TTL=128 ID=32892 CE PROTO=UDP SPT=138 DPT=138 LEN=209
10:32:01 : DROP: IN=ppp0 OUT= MAC= SRC=136.15.193.6 DST=84.150.75.180
geschrieben am 03.02.2007 um 16:19 von Mirko
Poste mal den Inhalt eines dieser NetBIOS-Packete mit DPT 138. Was möchte der Client da?
Mirko
geschrieben am 03.02.2007 um 17:52 von bewa
Re: zuviele Broadcast Packets (IP=141.40.255.255) im Netz
hier die gefragten Daten:
----------------A --------------
A) ein PC hat beispielsweise
IP 141.40.100.199
Subnetmask 255.255.0.0
DSL Router 141.40.100.100 (Astaro, Internet)
DNS 141.40.100.101 (Server W2K, dieselbe IP-Adresse für WINS)
----------- B --------------------------
B) es liegt nur ein Subnetz vor für die PCS und den Server
die Ips der PCs sind 141.40.100.110 bis 141.40.100.199
Bist du dir sicher, das die Subnetzmaske so richtig ist? Das kann richtig sein, ist aber mit sehr hoher Wahrscheinlichkeit falsch bzw technisch unsinnig. (Schon deutlich wahrscheinlicher wäre ein /24 also 255.255.255.0) Das würde auch die Broadcasts mit dem unsinnigen Ziel erklären...
Schau das mal bitte zuerst nach, da wäre schonmal eine dicke Fehlerquelle aus dem Weg. Ihr werdet ja vermutlich irgendwo eine Mail oder schriftliche Aussage haben, wie euer Netz(bereich) lautet, bzw. welche Subnetzmaske ihr verwenden sollt. Den IPs nach müsstet ihr ja am LRZ oder einer Münchener Uni hängen, im Zweifelsfall mal da nach fragen, wie euer Netz lauten sollte. Ich tippe mal auf 141.40.100.0/24
(Oder habt ihr euch einfach dieses Netz ausgesucht und gar nix mit dem LRZ bzw. den Münchener Hochschulen am Hut? Dann ist das eine technisch mehr als fragwürdige Idee und sollte dringend geändert werden. Es macht zum einen keinen Sinn und zum anderen unnötige Probleme. Sowas gibts leider auch, daher frage ich...)
Wie sind die Geräte verkabelt? Alle Geräte hängen an einem Switch, inkl. Server und Router?
Oder sowas? (Server mit zwei Netzwerkkarten):
Router<->Server<->Clients/Switch
Oder mehrere Router-Interfaces? Wieviele Router habt ihr denn im Einsatz? Nur die Astaro? Wieviele Interfaces werden wofür benutzt?
C) Die Packets (Astaro-Log) schauen wie folgt aus:
Die Broadcast-Adresse ist bei der von dir erwähnten (wahrscheinlich falschen) Subnetzmaske logisch.
Ich sehe in diesem Auszug mehrere "Beine" der Astaro - eth0, eth2 und ppp0. Womit wir wieder bei der Frage von oben wären:
Wie ist denn überhaupt die Leitungsführung/Verkabelung und wo terminiert ihr das PPP? Auf der Astaro? Was hängt an eth0/eth2?
geschrieben am 03.02.2007 um 18:24 von bewa
Poste mal den Inhalt eines dieser NetBIOS-Packete mit DPT 138. Was möchte der Client da?
Die Antwort interessiert mich auch, aber ich habe einen starken Verdacht:
SPT=138 DPT=138, an die Broadcast-Adresse(gemäß IP+Subnetzmaske) und das zeitlich ungefähr gleichzeitig von diversen Clients.
Das wird der Computer-Browser sein, der verschickt wenn ich mich recht erinnere standardmäßig alle 12(?) min einen NetBIOS-Broadcast. (Um den Master-Browser auszufeilschen etc.)
Was mir gerade noch auffällt und mich viel mehr stutzig macht:
SRC=141.41.140.137 DST=141.40.100.101, kommt über eth2 rein und geht nach eth0. Er erwähnt als Subnetzmaske aber 255.255.0.0 - demnach wäre der Router mit zwei Eth-Beinen im gleichen IP-Subnetz?! Höchstwahrscheinlich läuft da was falsch. Das ist auch keine der IPs/IP-Bereich die er erwähnt hat, s. drittes Byte (140).
Um das zu entknoten, wäre erstmal die Leitungsführung interessant (an welchen Beinen des Routers hängt was, eth0/eth2/ppp, usw.), bevor wir uns auf die Broadcasts stürzen. Wobei ich natürlich derzeit nicht ausschliessen kann, dass dort auch etwas falsch läuft.
geschrieben am 03.02.2007 um 22:07 von Markus Luder
hier die Antworten:
------------------D-----------
D)
im Protokoll hatte ich falsch editiert, die richtige Zeile lautet nun:
10:27:23 : ACCEPT: IN=eth2 OUT=eth0 MAC=00:10:f3:08:9a:7a:00:01:02:14:52:78:08:00 SRC=141.41.100.137 DST=141.40.100.101 LEN=1310 TOS=00 PREC=0x00 TTL=127 ID=662 PROTO=UDP SPT=1113 DPT=88 LEN=1290
------------------E-----------------
E)
Das Netz ist ein vollkommen privates Netz. Es ist nirgends verbunden. Der Router grenzt das Netz gegen Internet und gegen ein zweites Subnet mit einem einzigen abgesetzten PC ab (140.41.100.137). Das private Netz kann soviel ich weiss beispielsweise ein B-Netz oder ein C-Netz sein. Ich bin einverstanden, dass das B-Netz, welches in einem Subnet 65´000 Rechner unterstützt, hier für 20 Rechner übertrieben ist. Jedoch das Netz ist momentan so aufgebaut und funktioniert. Der erste Netzdesign war B-Netz (Netzmaske 255.255.0.0 oder Broadcast 141.40.255.255). Mit der Adresse 141.40.255.255 werden alle Rechner im Klasse B - Netz 141.40.0.0 gleichzeitig angesprochen. Ich sehe vorläufig keinen dringenden Grund, auf ein C-Netz umzustellen. Verbesserung der Performance (Reaktionszeiten) ist momentan nicht dringend / wird nicht bezahlt. Eine Umstellung ist aber dennoch absehbar.
-----------F-----------------------------
F)
Das zweite Subnet mit einem einzigen PC ( 140.41.100.137), der an ETH2 des Routers angeschlossen ist, soll hier vorläufig ohne Belang sein. Der Traffic dieses PC wird vom Router extra auf Viren gescannt. Der Router (Astaro) hat 3 Netzwerkkarten. An ETH0 sind via Switch 20 PCs und der W2K Server angeschlossen. ETH0 des Router (141.40.100.100) ist der einzige Gateway Abgang. Der Router ändert nichts am Traffic der 20 PCs. An ETH1 ist Internet via DSL angeschlossen.
Subnetz ohne Belang in diesem Forum:
(140.41.100.137) -> Crossover -> Router ETH2 (140.41.100.100)
ETH2 -> Virenscanner -> ETH0 -> 20 PCs
ETH2 -> Virenscanner -> ETH1 -> DSL -> Internet
Subnetz mit Problem "zuviele Broadcast" für dieses Forum:
(140.40.100.110 - 140.40.100.199), (140.40.100.101 W2K Server) -> Switch
Switch-> Router ETH0 (140.40.100.100) -> Virenscanner -> ETH1 -> DSL -> Internet
Ich dachte jemand in diesem Forum hat eine Idee, warum in dem Netz mit den 20 PCs (140.40.100.110 - 140.40.100.199) soviele Broadcasts laufen. Ich glaube die Adressierung in diesem Subnet (SMC-Switch, Halfduplex Mismatch, Netbios, Wins, Internet-Explorer..??) ist nicht richtig aufgesetzt.
Wer hat schon in einem Windows 2000 - Netz soviele Brodcast gesehen, und was kann dagegen unternommen werden ?
geschrieben am 06.02.2007 um 12:17 von bewa
Re: zuviele Broadcast Packets (IP=141.40.255.255) im Netz
10:27:23 : ACCEPT: IN=eth2 OUT=eth0 MAC=00:10:f3:08:9a:7a:00:01:02:14:52:78:08:00 SRC=141.41.100.137 DST=141.40.100.101 LEN=1310 TOS=00 PREC=0x00 TTL=127 ID=662 PROTO=UDP SPT=1113 DPT=88 LEN=1290
Das ist von der Firewall durchgelassene Kerberos-Kommunikation. 141.41.100.137 möchte etwas von einem der Clients, vermutlich eine Authentifizierung für Netzlaufwerk-Zugriff o.ä., das kann man nur in einem kompletten Paket sehen. Ist im Prinzip auch egal - wird ja erlaubt und sollte nirgendwo stören.
Das Netz ist ein vollkommen privates Netz.
Warum benutzt ihr dann den IP-Netz-Block des LRZ München? Das ist eigentlich "verboten", wenn es auch zunächst mal keine Konsequenzen hat - abgesehen davon, das ihr wahrscheinlich schlecht oder gar nicht auf deren Rechner zugreifen könnt. Schlechter Stil ist das allemal - für diesen Zweck gibt es mehr legal frei benutzbaren Adressraum, als ihr je verbraten könnt. (z.B. 192.168./24)
Der Router grenzt das Netz gegen Internet und gegen ein zweites Subnet mit einem einzigen abgesetzten PC ab (140.41.100.137).
Vorausgesetzt, auf allen PCs und dem Router ist überall die korrekte Subnetzmaske eingetragen (255.255.0.0 bzw. /16) spricht zunächst mal nichts dagegen, wenn die Routing-Tabelle auch sauber ist, bzw. entsprechende Routen angelegt wurden. (Verkehr zwischen 140.41/16, 140.40/16 und "Internet".) Wenn der Router filtert, sollte man natürlich den gewünschten Anteil durchlassen...
Was ist für die PCs Standardgateway - nur die Astaro? Ist Server oder Astataro Proxy-Server?
Wer ist für die Clients DNS? Nur der Server? Welche DNS-Server befragt der?
Mit der Adresse 141.40.255.255 werden alle Rechner im Klasse B - Netz 141.40.0.0 gleichzeitig angesprochen.
Klasseneinteilung gibt es seit mehr als zehn Jahren nicht mehr. Für 141.40./16 ist die Aussage aber so richtig.
Das zweite Subnet mit einem einzigen PC ( 140.41.100.137), der an ETH2 des Routers angeschlossen ist, soll hier vorläufig ohne Belang sein.
Wie ist von dort die Anbindung zum Internet und zum Server? Problemlos?
An ETH0 sind via Switch 20 PCs und der W2K Server angeschlossen.
Sind die Duplex-Einstellungen zwischen Switch und Astaro korrekt? Gibt es L2-Fehler?
ETH0 des Router (141.40.100.100) ist der einzige Gateway Abgang.
Du meinst das Gateway für die Clients und den Server?
Wohin wird das geroutet - grundsätzlich nach ppp0?
An ETH1 ist Internet via DSL angeschlossen.
Auch hier wieder: Ist die Routing-Table zwischen Eth0, Eth1 und Eth2 sauber?
ETH2 -> Virenscanner -> ETH0 -> 20 PCs
ETH2 -> Virenscanner -> ETH1 -> DSL -> Internet
Funktioniert dieser Teil ohne Einschränkungen oder hat er die gleichen Probleme?
Subnetz mit Problem "zuviele Broadcast" für dieses Forum:
Wie schonmal gefragt: Wann gibt es zuviele Broadcasts und was soll das sein? In dem Log-Auszug den du hier eingestellt hast, befindet sich nichts problematisches. Es gibt dort wenn ich mich nicht verzählt habe zwölf Broadcasts in vier Minuten. Bei mehr als zehn Broadcasts PRO SEKUNDE gilt die Faustregel, das es zuviele sind.
Das der Router die Broadcasts wegschmeisst (DROP) ist auch richtig - die sind an 141.40/16 gerichtet und das Netz hört an ETH0 auf, da ETH0 Gateway dafür ist. Abgesehen davon kann ein Netbios-Broadcast nicht den Internet-Zugriff (funktional) stören.
Switch-> Router ETH0 (140.40.100.100) -> Virenscanner -> ETH1 -> DSL -> Internet
Wer sorgt dafür, das der Verkehr von ETH0 durch den Virenscanner nach ETH1 und zurück geroutet wird? Macht das die Astaro selbständig? Wo sitzt in der Kette PPP0?
Die einzelnen Stationen am besten mal mit einer Anzahl von mindestens 10 Pings (unter Windows kann man mit ping -n 10 die Anzahl vorgeben) testen und schauen wo die Paketverluste auftreten. Dabei sowohl Hostnamen als auch IP testen.
Ich dachte jemand in diesem Forum hat eine Idee, warum in dem Netz mit den 20 PCs (140.40.100.110 - 140.40.100.199) soviele Broadcasts laufen.
Die paar die du aufgezeigt hast sind völlig normal. Wieviele entstehen denn, wenn es problematisch wird? (Pro Minute oder Sekunde)
Ich glaube die Adressierung in diesem Subnet (SMC-Switch, Halfduplex Mismatch, Netbios, Wins, Internet-Explorer..??) ist nicht richtig aufgesetzt.
Was macht denn der IE in der Aufzählung? Egal, zunächst sollte man die L2-Funktionalität testen (Fehler-Zähler ETH-Eigenschaften, Switchlog).
Duplex MUSS auf beiden Seiten FEST (Half oder Full) ODER auf BEIDEN Seiten auf Auto stehen. Alles andere (Half<->Full, Auto<->Manuell) geht schief.
Wenn das klappt, die L3-Funktionalität in diesem Teilnet (140.41./16) testen, also zuerst von einem Client einen längeren Ping (10 oder mehr) auf das Gateway, mit und ohne Namensauflösung. Wenn das klappt, dann auf das letzte innere Gateway vor dem "Internet" (wenn der Router das zulässt), dann auf einen Host im Internet, alles wieder jeweils erst ohne dann mit Namensauflösung. So kann man die Fehler recht schnell eingrenzen. Wenn L2 und L3 (bis hier) sauber läuft, DANN kann man sich den Rest genauer anschauen.[/quote]
geschrieben am 07.02.2007 um 08:35 von Markus Luder
zum Router: die Routing Tabellen sind übersichtlich und einfach im Menu mit Internet Explorer / im Router mit der Astaro / Linux - Software konfigurierbar. So wie Routing zum Internet (ETH1, ppp0) kann auch Routing zwischen Subnetzen eingestellt werden (ETH2, 141.41/16 und ETH0 141.40/16).
vorerst herzlichen Dank. Ich werde nach den Untersuchungen mit mehr Details zurückkommen.
geschrieben am 11.02.2007 um 05:11 von Weihnachtsmann
Also du solltest auf alle Fälle dieses offizielle Netz los werden und gegen ein Private Netz austauschen (siehe: http://de.wikipedia.org/wiki/Private_IP-Adresse) und der Einsatz eines WINS Servers sollte auch den ganzen sinnlosen Netbios Broadcast im LAN elimenieren.
Gruß Weihnachtsmann
geschrieben am 11.02.2007 um 14:08 von Markus Luder
Ja, vielen Dank, Weinachtsmann
Wer ein privates Netz aufbaut mit Adressen, welche im Internet vergeben werden, zum Beispiel
er benützt 141.40.xxx.xxx, der läuft Gefahr, dass die im Internet vergebenen Adressen (Hosts) mit
seinen internen Hosts kommunizieren? Ja, Der Router ist nicht verpflichtet, dies zu verhindern? Er könnte annehmen, dass es sich um eine interne Kommunikation handelt?
Der Astaro Router ist ein DSL - Router ist, welcher üblicherweise vom Provider IP Adressen dynamisch für
einmal nach dem Einschalten des Router und maximal für die Dauer eines Tages, zugewiesen erhalt,
so werden im Internet die Adressräume des Providers verwendet, die diesem Zweck einer dynamischen IP-
Zuweisung dienen. Solche Adressen dürfen intern keinesfalls verwendet werden.
intern NAT extern (Internet)
ip1 Router ip3 (vom Provider dynamisch dem Router zugeteilt)
141.40.140.112 ip1 + Port + ip2 85.64.58.221 + Port + ip2
141.40.140.113 85.64.58.221
141.40.140.114 85.64.58.221
141.40.140.115 85.64.58.221
zuviele Broadcast Packets (IP=141.40.255.255) im Netz
Wir haben bisher den DNS auf dem W2K Server laufen. Wir werden nun den WINS Server richtig aufsetzen (..er wird die ganzen sinnlosen Netbios Broadcast eliminieren).
geschrieben am 11.02.2007 um 17:17 von bewa
Re: zuviele Broadcast Packets (IP=141.40.255.255) im Netz
Wer ein privates Netz aufbaut mit Adressen, welche im Internet vergeben werden, zum Beispiel er benützt 141.40.xxx.xxx, der läuft Gefahr, dass die im Internet vergebenen Adressen (Hosts) mit seinen internen Hosts kommunizieren?
Das sollte dein Provider verhindern. Die Betonung liegt auf sollte - in der Praxis wird da viel gepfuscht.
Normalerweise wirst du "nur" das Problem haben, das du auf die Adressbereiche die dir nicht gehören nicht zugreifen kannst. Die meisten können damit erstaunlich gut leben. Das haben auch große, sehr bekannte Läden gemacht. BTST. Inzwischen ist der Blödsinn dort korrigiert.
Es kann also gut sein, das du damit Jahrzente arbeiten kannst, ohne Probleme zu kriegen. Machen würde ich das trotzdem nicht. Es erschwert auch jedem der dir helfen möchte - so wie wir hier gerade - die Arbeit, da man sich immer wieder rein denken muss, was denn jetzt welches Netz ist.
Ja, Der Router ist nicht verpflichtet, dies zu verhindern?
Nein, dann könnten ja auch diejenigen nicht mehr damit arbeiten, denen diese Netze rechtmäßig gehören.
Er könnte annehmen, dass es sich um eine interne Kommunikation handelt?
Du kannst deinem Router grundsätzlich beibringen, "Lass nie Zugriffe von außen auf Windows-Netzwerkfreigaben zu", usw. - das ist aber unabhängig davon, welche IP-Netze du verwendest.
Der Astaro Router ist ein DSL - Router ist, welcher üblicherweise vom Provider IP Adressen dynamisch für einmal nach dem Einschalten des Router und maximal für die Dauer eines Tages, zugewiesen erhalt,
Naja, soweit zumindest für das übliche Heimanwender-DSL richtig.
so werden im Internet die Adressräume des Providers verwendet,
Richtig. Der Provider gibt dir eine IP-Adresse aus seinem "Vorrat", den Netzen die derzeit für ihn reserviert sind.
Solche Adressen dürfen intern keinesfalls verwendet werden.
Richtig. Das macht dir nur Probleme, wenn du sie gar nicht gebrauchen kannst. Insbesondere besteht keine Notwendigkeit, wenn du sowieso NAT machst. Dann kannst du das auch gleich standardkonform machen.
intern NAT extern (Internet)
[...]
Ich verstehe jetzt nicht ganz, was du mit der Tabelle sagen willst, sie sieht aber logisch richtig aus. ;-) Der Router hat (mindestens) eine Adresse innen und eine außen, also in Richtung Internet.
zuviele Broadcast Packets (IP=141.40.255.255) im Netz
Wieviele sind denn zuviele? Wie schonmal erwähnt: Die paar Broadcasts die aus dem Log hervorgehen, das du beim letzten Mal gepostet hast, sind weit davon entfernt ein Problem zu werden. Trotzdem kann man wie schon von Weihnachtsmann bemerkt durch Umstellung auf WINS diese Brodcasts rauswerfen. Damit dürfte aber dein eigentliches Problem nicht verschwinden. Nenn mal bitte Zahlen: Wieviele (pro Minute oder Sekunde) erscheinen denn, wenn das Problem auftaucht?
Die Broadcasts können durchaus irgendwie mit dem Problem zusammenhängen - bis jetzt glaube ich aber nicht, das sie die Ursache oder das eigentliche Problem sind.
Wir haben bisher den DNS auf dem W2K Server laufen. Wir werden nun den WINS Server richtig aufsetzen (..er wird die ganzen sinnlosen Netbios Broadcast eliminieren).
Da spricht nichts gegen.
Was machen die Tests? Gibt es schon (Teil-)Ergebnisse?
[ Dieses Thema im Live-Forum aufrufen ]
|
