NAT: mal geht's - mal geht's nicht. Strange!!!

[Klaus Charlier 10]

Tach zusammen.

 

Folgende Config:

Diverse Windows XP Clients

W2K Server SP4 mit:

- AVM DSL (T-Offline / DSL Flat 768)

- DNS

- DHCP

- AD

- RRAS

- NAT

- Jana Proxy Server

 

Sämtliche HTTP Zugriffe der Clients im LAN erfolgen über den Jana Proxy und funktionieren ohne Ausahme einwandfrei.

 

Das Problem:

Zugriffe vom Client im LAN auf POP3, SMTP, NRPC oder irgendwelche anderen Protokolle im Web gestalten sich so:

z.B. Telnet <Server> 25

1. Versuch = connect

2. bis 5. Versuch = kein Connect

6. Versuch = Connect

7. Versuch = Connect

8. bis 13. Versuch = kein Connect

 

Die Anzahl gelungener / misslungener Versuche variiert nach Protokoll und Hochwasserstand des Rheins.

 

Zugriffe vom Server aus auf die verschiedenen Protokolle funktionieren ausnahmslos einwandfrei.

 

Das Problem ist Service Pack-unabhängig. DSL Treiber auf neuestem Stand.

 

Somit muss irgendetwas im NAT im Argen liegen. Aber was......???

 

Ich bin für jeden Tip dankbar!

Gruss - Klaus

[zuschauer 10]

Hi Klaus !

 

Ich hab den Verdacht, Jana und NAT beißen sich da.

Generell sollte man Proxy und NAT auf einer Maschine nur fahren, wenn die "beiden" sich kennen (z.B. WinRoute) - oder andersrum, Proxy und NAT-Router ansonsten lieber nicht auf einer Maschine laufen lassen.

[Klaus Charlier 10]

Hallo.

 

Ich auf dem Server einen Proxy installiert, weil ich vorher das allgemein bekannte Problem hatte, dass die Clients nicht alle Webseiten anschauen konnten. Da ich nicht so richtig vom Herumschrauben am MTU Wert überzeugt bin, habe ich den Weg mit einem Proxy gewählt. Aber wie gesagt, HTTP, HTTPS etc. funktioniert ja alles über den Proxy einwandfrei. Andere Protokolle, die nicht über den Proxy routen sind betroffen.

 

So habe ich ich auch Probleme mit FTP, wenn ich etwas von AVM aus den Hilfsprogrammen downladen möchte.

 

Irgendeine Idee, wie ich so was tracen könnte?

 

Gruss

[Jedy 10]

Hi!

 

Das Problem ist, dass der Jana von Haus aus kein NAT kann - es ist schliesslich nur ein Proxy ... was meinst in deiner Auflistung der laufenden Dienste auf deinem 2k server mit NAT - hast du irgendwelche Zusatzsoftware laufen?!

 

Also beim Zusamenspiel Jana und 2k Server hab ich schon öfter von Problemen gehört (z.b. im Zusammenhang DNS-Sever etc.)- die sind eigentlich nicht füreinander geschaffen. Auf nem 2k Server hat der ISA o.ä. zu laufen .. ;)

 

Hast du RAS konfiguriert und wenn ja wie!?

 

Gruß

 

Jedy

[Klaus Charlier 10]

Hallo zusammen.

Zunächst recht herzlichen Dank für die Antworten. Hier also noch ein paar detailliertere Info's zum Setup:

 

Auf dem W2K Server ist RRAS installiert. Die AVM DSL Card liefert hier die Schnittstelle zu T-Offline.

 

Innerhalb von RRAS ist NAT installiert und routed zwischen dem LAN und T-Offline.

 

In der Anfangsphase hat das augenscheinlich funktioniert, bis einige User meinten, sie könnten bestimmte WebSeiten nicht erreichen. Daraufhin habe ich Jana als HTTP-Proxy und NUR als solchen installert. Ergebnis: Alle Webseiten einwandfrei zu erreichen. Ich habe die Proxy Lösung gewählt, weil ich seinerzeit festgestellt hatte, dass dieses "nicht erreichen" von einzelnen Webseiten nur auf den Clients im LAN vorkam, jedoch nicht auf dem Server selbst.

 

Später dann stellten sich Probleme mit POP3 heraus, wenn User im LAN einen POP3-Account vom Web abholen wollten. Probleme der Art, dass es mal funktioniert und mal nicht. (Siehe Beschreibungen früher in diesem Thread.)

 

Ich habe gestern Abend auch das Ganze mal ohne Jana versucht -also native IP Routing - jedoch mit dem selben Misserfolg.

 

Ich wäre schon bereit, an der MTU Size zu schrauben, nur bin ich mir nicht ganz ssicher, muss ich die MTU verändern auf den Clients im LAN oder auf dem Server?

 

GIbt es irgendwelche brauchbaren tools, um festzustellen, wo die Pakete "versumpfen" ?

 

Gruss - Klaus

[Klaus Charlier 10]

Die geht das alles natürlich nichts an. Sind auch nicht daran interessiert, sich an einer Lösung zu beteiligen....Es könnten ja noch weitere Kunden mit Auftrag drohen....

Und - mit welcher Config erfolgreich getestet????

 

 

 

AVM Support-Call CID556731

 

Sehr geehrter Herr Charlier,

 

vielen Dank für Ihre Anfrage.

 

Das von Ihnen beschriebene Fehlerbild deutet auf ein Problem des Routing

und RAS oder eine unpassende Konfiguration des Jana Proxy Servers hin.

Bitte wenden Sie sich daher zur Lösung Ihres Problems an Microsoft bzw. den

Hersteller des Proxy Servers.

 

Hinweis: Der Einsatz der FRITZ!Card DSL unter Windows 2000 Server sollte,

bei Nutzung der aktuellen Treiber von unserer Internetseite (03.11.02),

problemlos möglich sein und wurde von uns auch erfolgreich getestet. Bitte

beachten Sie jedoch, dass es sich hierbei weder um eine offizielle noch

zugesicherte Produkteigenschaft der FRITZ!Card DSL handelt. Daher können

wir Ihnen bei evtl. auftretenden Problemen keinen Support gewähren. Vielen

Dank für Ihr Verständnis.

 

Mit freundlichen Grüßen

 

Uwe Grabowski (AVM Support)

[Jedy 10]

Hi Klaus!

 

Also wenn du vor dem Jana nicht noch einen Router hängen hast, der sich um die MTU kümmert, würde ich die MTU mal an den Clients runterschrauben ... bei Freemail Providern wie z.b. gmx hatte ich schon dieselben Probleme!

 

Die MTU kannst du direkt in der registry oder mit Zusatztools wie z.b. dr tcp verändern!

 

Den Aspekt MTU hatte ich das letzte mal überlesen ... sorry ...!

 

Gruß

 

Jedy

[zuschauer 10]

Original geschrieben von Jedy

Den Aspekt MTU hatte ich das letzte mal überlesen ... sorry ...!

@Jedy: Geht mir genauso !

 

@Klaus:

Da der Server keine Probleme hat, wurde mit der AVM-SW-Installation der MTU-Wert dort mit geändert. Du müßtest also an allen Clients den MTU-Wert runtersetzen auf 1492 (oder noch geringer - das kommt jetzt auf den AVM-Treiber an), um Dein Problem zu lösen.

 

Die Jana solltest Du auch wieder abschaffen - Proxy und NAT auf einer Maschine verträgt sich nicht.

 

Alternativ dazu könntest Du statt der AVM-Lösung den DSL-Treiber von Schlabbach installieren. Der zerlegt automatisch zu große Pakete in mehrere kleinere - kommt jetzt darauf an, um wieviele Clients es sich bei Dir handelt.

[Klaus Charlier 10]

Hallo Zuaschauer & Jedy.

 

Ich gehe davon aus, wenn ich das mit einer Änderung der MTU Size geregelt bekomme, brauche ich den Jana ja auch für HTTP nicht mehr.

 

Ich werde das mit der MTU mal versuchen und halte Euch auf dem Laufenden. Denke Anfang nächste Woche....

 

Vielen Dank so weit schon mal.

 

Gruss - Klaus

[Bombjack 10]

hi also hoert sich für mich nicht so nach nem mtu problem an (was aber trotzdem sein kann)

das mit dem jana server +rras mit nat würde ich sofort abschaffen da das keine lösung sondern ein krampf ist und dir noch mehr probleme breiten kann als es löst

deinstalliere jana

und konfiguriere dir den rras server nochmal neu(komplett also alles im rras wmi löschen) schau bei google nach einer anleitung wie zb. "win2k routing und ras für t-online einrichten" gibt es sehr gute und detailierte anleitungen hab die einzelnen schritte grad nicht im kopf.

doch meine persöhnliche meinung ist das ein 2k server nicht als dc und router in einem wirklich funzt da ich selber und einige andere nur probleme hatten im netzwerk nach rras installation.

 

greetz

bombjack

[Klaus Charlier 10]

Hallo Zusammen.

 

Nun habe ich um alle nur denkbaren Fehlerquellen auszuschliessen folgendes gemacht:

 

1. Uninstall JANA

2. Uninstall RRAS

3. Uninstall Fritz DSL Card Treiber

 

4. Install Fritz DSL Card Treiber

5. Install RRAS & NAT

 

6. Set MTU=1392 auf Client's LAN Interface

7. Set MTU=1392 auf Server's LAN Interface

8. Set MTU=1392 auf Server's "Fritz Interface"

 

Ergebnis:

1. Vom Server aus kann ich noch immer machen was ich will - alles funzt.

2. Pingen kann ich vom Client aus wohin ich will, aber das ging auch vorher schon.

3. Ausser Ping funzt auf dem Client nun nichts mehr. Kein FTP, kein POP3, kein gar nix.

 

Um meinen Usern heute wieder Zugriif auf's Web geben zu können, habe ich Jana wieder installiert. So funktioniert wenigstens HTTP/HTTPS wieder für die User.

 

Ich stehe aber immer mehr vor einem Rätsel. Ich habe wieder und wieder versucht, Tools zu finden, mit denen ich Troubleshooting betreiben könnte, aber die, diem cih gefunden habe basieren mehr oder weniger auf ping, und der läuft ja... Also - irgendjemand eine brauchbare Idee?

 

P.S. - bombjack - Ich würde auch lieber für jede Funktion einen einzelnen Server aufstellen, aber das wiederspricht dem Budget.....

[Klaus Charlier 10]

Hallo Zusammen.

 

Des Rätsels Lösung besteht wie immer im "richtigen" Leben nicht nur aus einer Komponente, aber gut. Leset, erfreuet Euche und lernt aus dieser Geschichte:

 

Ausgehend von folgender Überlegung:

 

"Connect vom Server aus ok, Connect von Workstations aus not ok!"

 

Unterschied:

 

Beim Connect vom Server aus wird nur die DSL Karte angesprochen, da die IP-Päckchen gem. default Gateway ja noch im Stack auf dem Absatz kehrt machen, und direkt auf die DSL-Karte geschickt werden.

 

Beim Connect von Client aus wird im Server sowohl die LAN-Karte als auch die DSL Karte angesprochen.

 

Dank ACPI alles über einen IRQ. Stellte sich hier also die Frage, beherrscht die DSL Karte eingentlich vernünftig das IRQ-Sharing?

 

Antwort NEIN!

 

Nachdem ich den Server neu aufgesetzt habe, IRQ's sauber manuell durchkonfiguriert (Gott-Sei-Dank habe ich ein ASUS-Board bei dem das geht) diesmal mit F5 und als "Standard-PC" wurden alle NON-HTTP Päckchen normal gerouted - und alles ohne irgendeinen Proxy! So wie es sein soll. native IP.

 

Jetzt machten nur noch einige Webseiten Schwierigkeiten, wie z.B. gmx.de oder credit-suisse.ch. Also MTU'en wir ein wenig:

 

Was mich dabei gewundert hat, ich brauchte lediglich die MTU Size auf den Workstations auf 1392 zu setzen, auf dem Server habe ich die MTU nicht verändert.

 

Fazit: Überlasse es bei einem Server nie der Hardware oder dem Betriebssystem, die IRQ's zu managen.

 

Ich hoffe, der Eine oder Andere kann von meiner 6-Nächte-Aktion profitieren.

 

Gruss an alle.

Klaus

 

P.S. Rückblickend muss ich sagen, dass ich mich zwar über das Interesse und die Teilnahme gefreut habe, aber genau genommen, hat mir keiner von Euch auch nur ansatzweise helfen können. Und ich dachte, das wäre hier ein Experten-Forum. Also auch hier ein Lerneffekt......