Matze1708 10 Geschrieben 27. Oktober 2016 Autor Melden Geschrieben 27. Oktober 2016 Mhmm das könnte was sein. ipv6 ist durchgängig deaktiviert bei mir. Im Mikrotik ist das auch gar nicht aktiv Zitieren
Reingucker 3 Geschrieben 27. Oktober 2016 Melden Geschrieben 27. Oktober 2016 (bearbeitet) Es erscheint mir aber als am wahrscheinlichsten denn es gehen ja die Webseiten google und ms. Wenn es irgendwas mit DNS wäre würde ja gar nichts gehen oder es wäre falscher DNS-Server/Hosts-Datei. Am Routing kann es auch nicht liegen weil dann würde gar nichts gehen - außer es wäre eine ACL oder eine Routingregel da die alles ins Nirvana, loopback schicken würde bis auf google und ms - eher unwahrscheinlich. Die andere Möglichkeit wäre ein Proxyfilter - auch eher unwahrscheinlich. Da klingt ipv6 noch am wahrscheinlichsten. Propier doch mal ob man vom DC aus auf http://www.six.heise.de/ zugreifen kann oder eine von diesen Seiten hier http://www.ipv6forum.com/ipv6_enabled/approval_list.php bearbeitet 27. Oktober 2016 von Reingucker Zitieren
Matze1708 10 Geschrieben 27. Oktober 2016 Autor Melden Geschrieben 27. Oktober 2016 Hallo, Also auf six.heise.de komme ich nicht drauf, da wird es weitergeleitet auf google.de Auf heise.de komme ich drauf Jedoch komme ich nicht mal auf die Seite pass.telekom.de um das Volumen vom LTE abzufragen Zitieren
Reingucker 3 Geschrieben 27. Oktober 2016 Melden Geschrieben 27. Oktober 2016 Hm, dann hat es nichts mit ipv6 zu tun wenn du six.heise.de nicht erreichen kannst. Was ist den als Virenscanner/Securitysuite drauf? Regelt die auch den Internetzugriff? Könnte nach einem Update eine andere Regelliste gelten oder sowas. Zitieren
Matze1708 10 Geschrieben 27. Oktober 2016 Autor Melden Geschrieben 27. Oktober 2016 Ich habe dort die Symantec end point Protection drauf. Konfiguriert habe ich da aus Unwissenheit nicht viel. Läuft also hoffentlich im auslieferungs zustand Zitieren
Reingucker 3 Geschrieben 27. Oktober 2016 Melden Geschrieben 27. Oktober 2016 Jo, kenn ich mich auch nicht aus mit. Gabs da mal ein Update, also nicht nur Virendefinitionen, Anfang September? Was mir aufgefallen ist, mit dem Iphone kann ich im WLAN der Verwaltung surfen( gleiche Bridge wie der Esxi im Switch). Geht nicht sehr schnell aber geht.Gehe ich in das Gast Wlan, eigenes Subnetz, dann geht das surfen auch, aber flotter. Hm, was genau verstehst du unter Switch? Und was unter Bridge? (Echt? Ne Bridge? :eek: ) Zitieren
Matze1708 10 Geschrieben 27. Oktober 2016 Autor Melden Geschrieben 27. Oktober 2016 Meinte damit das es im gleichen Subnetz ist wie der ESXI . Also das WLAN hängt im gleichen Subnetz. Das wird im Mikrotik über so ein Bridge Modul verbunden. Zu dem Virenprogranm ist mir noch eingefallen, dass ich schon mal vor paar Wochen auf einem Server das Virenprogranm komplett deaktiviert hatte um das auszudchliessen. Ging nach deaktivierung immer noch nicht. Was ist das bloss ? Zitieren
Reingucker 3 Geschrieben 27. Oktober 2016 Melden Geschrieben 27. Oktober 2016 Also wenn es mit ausgeschaltetem Virus\Endpoint auch nicht ging, da denke ich hat es mit den OS-Einstellungen in den VMs nichts zu tun. Ist ja jetzt schon fast alles auf den OS geprüft/getestet ohne Befund. Bleibt also der ESXi und der Mikrotek und der AP. Wobei ich immer noch nicht ganz nachvollziehen kann wie die zusammen sind. Ich hätte den ESXi, die Clients, das WLAN und das Gastnetz jeweils in ein eigenes VLAN und hätte dann über den Microtek geroutet mit entsprechenden ACLs. Das WLAN-Gastnetz ist wahrscheinlich auch in einem eigenen VLAN. Mich wundert auch daß die Clients keine Probleme haben obwohl sie im gleichen Netz/VLAN(?) wie der ESXi und der AP sind. Ich finde auch keine gescheite Doku zu Mikrotik. Hast du da eine? Edit: Ich habe an dem Hauptswitch noch einen kleinen 8 Port unmanaged Switch hängen. Wah? Was hängt denn an dem noch dran? Und wie ist der Port auf dem Hauptswitch konfiguriert an dem der 8-Port dran hängt? Beim ESXi sieht das Netzwerk richtig aus, soweit ich das anhand deiner Bilder sehen kann. Bleibt noch die Gegenseite am Mikrotik. Und wie die VMs auf dem vSwitch dran sind. Und am "Hauptswitch" hängen die Clients und der ist mit einem Kabel am Mikrotik? Zitieren
Reingucker 3 Geschrieben 28. Oktober 2016 Melden Geschrieben 28. Oktober 2016 Worauf ich hinaus will und Vorschlag: Reboote doch am WE mal alle Router und Switches. Dann wäre zumindest mal ein eventuell stattgefundenes MAC-Flodding repariert. (unmanaged Switch am unkonfigurierten Port des Mikrotik). Zitieren
Matze1708 10 Geschrieben 28. Oktober 2016 Autor Melden Geschrieben 28. Oktober 2016 Ich habe eben noch mal folgendes probiert, ich hatte vor langem mal einen Windows Server 2012 R2 installiert, läuft meist gar nicht, war nur zum test. Nennt sich aber DC2 ist aber nicht eingebunden. Auf dem habe ich mich als lokaler Admin angemeldet um auch mal auszuschliessen ob was von der GPO mit kommt. Die Internetseiten konnten auch NICHT aufgerufen werden. Dann hatte ich in den NIC einstellungen noch mal den DNS rausgenommen und 8.8.8.8 eingetragen, gleiches Ergebnis. Symantec ist aber beim dem Test ständig deaktiviert. Ganz abschalten kann man das gar nicht, der Prozess verweigert ein Beenden. Im Anhang auch noch mal der Aufbau vom ESXi sprich der vSwitch. ICh versuch mal zu beschreiben wie der Aufbau in der Physik ist. Als erstes kommt der Mikrotik router dieser ist per LTE an die Weite Welt angebunden. Auf Port 3 und 4 ist der ESXi angebunden. Derzeit aus Testgründen nur mit einem Port. Der Mikrotik ist eigentlich mit allen 8 Ports die er hat als Switch konfiguertert. ALso jeder Port hat die gleiche konfig. Der Access Point ist über das s.g. Capsman von Mikrotik an einem der Ports angeschlossen und wird vom Router gemanaged. Drucker, Scanner etc hängen auch am gleichen Switch gehen auch. Was der Mikrotik nun noch als besonderes hat sind ein Subnetz für die Gäste, welches vom Hauptnetz abgeschottet ist. FÜr dieses Netz vergibt auch der Router selbst die Adressen per DHCP, im Verwaltungsnetz kommen die Adressen vom DomainController. Durch die gemanagedten AP´s scheint es wie ein VLAN von aussehen auszusehen, intern stellt der Router das alles selbst ein. Aber ich habe den Router samt konfig erst checken lassen, dort ist alles ok eingestellt. Ich komme ja auch per Kabel oder WLAN auf alle Seiten im Internet, nur halt nicht über den ESXi Zitieren
Reingucker 3 Geschrieben 28. Oktober 2016 Melden Geschrieben 28. Oktober 2016 (bearbeitet) Ja, sag ich ja: Das Gastnetz ist in einem eigenen VLAN. Daher wird es auch nicht von den Broadcasts ect. der Restlichen gestört und surfen dort ist toll ^^ Und Es können nicht alle anderen Ports gleich sein auf dem Microtik weil du für die beiden ESXi ports laut VMWare auf der Gegenstelle, also dem Microtek, "link aggregation" brauchst. Beim Microtik nennt sich das "Bonding". http://wiki.mikrotik.com/wiki/Manual:Interface/Bonding Weiterhin kommst du, wie du erwähnt hast, vom Server aus nicht nur auf goggle und ms, sondern auch auf heise.de. Und damit sind die Grundlegenden Einstellungen auf den VM richtig da du, wenn auch nicht immer, heise.de erreichst. Somit ist es irgendwas im Netzwerk. Ich vermute ja einen Broadcaststurm welcher in seiner Intensität etwas schwankt, aber im großen und ganzen das Netz, an dem der ESXi und der AP-Firmen dran hängen, zu macht. Wobei mich hier immer noch die Clients wundern, da die ja, wie du sagst, im gleichen Subnetz sind, aber keine Störungen haben. Ich würde mal den Microtik und die "unmanaged 8-Port-Switch" neu starten. Wenn sich es dann immer noch nicht ändert kann es auch ein defektes Kabel oder ein defekter Port sein. Und die Konfiguration vom Microtik solltest du nochmal kontrollieren von wegen "Bonding", VLANS, gesicherte Accessports ect. Edit: Hier noch der VMWare Part: Before you begin : The default load balancing policy is Route based on the originating virtual port ID. If the physical switch is using link aggregation, Route based on IP hash load balancing must be used. For more information, see Host requirements for link aggregation for ESX and ESXi (1001938) and the VMware Virtual Networking Concepts guide. LACP support has been introduced in vSphere 5.1 on distributed vSwitches and requires additional configuration. For more information, see Enabling or disabling LACP on an Uplink Port Group using the vSphere Web Client (2034277). Ensure VLAN and link aggregation protocol (if any) are configured correctly on the physical switch ports. https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1004088 Ah, HALT, link aggregation hast du ja nicht eingestellt. Hm, ob das dann der Microtik kann... ich schmöker mal Edit: Aha, das hier brauchst du auf dem ESXi: Routen anhand des IP-Hash . Und Bonding auf dem Microtek. Weil es ja im Moment ziemlich so aussieht bei dir Angenommen, der physische Switch empfängt Pakete von der MAC-Adresse A auf den Ports 01 und 02. Der Switch trägt nun 01-A und 02-A in seine CAM-Tabelle ein. Der Switch kann also den eingehenden Datenverkehr auf die korrekten Ports verteilen. Ohne Etherchannel vermerkt der Port zunächst, dass ein Paket von MAC-Adresse A auf Port 01 eingegangen ist. Wenn anschließend ein Paket von MAC-Adresse A über Port 02 eingeht, wird einfach derselbe Eintrag aktualisiert. Das bewirkt, dass der physische Switch den eingehenden Datenverkehr nur an Port 02 weiterleitet und Pakete ihr Ziel eventuell nicht erreichen oder den entsprechenden Uplink überladen. https://pubs.vmware.com/vsphere-60/index.jsp#com.vmware.vsphere.networking.doc/GUID-523FDFBD-EAEC-44A5-9451-F63EB792F156.html bearbeitet 28. Oktober 2016 von Reingucker Zitieren
Matze1708 10 Geschrieben 30. Oktober 2016 Autor Melden Geschrieben 30. Oktober 2016 Hallo, ich war Heute mal vor Ort an der Anlage. Ich hatte mal mein Notebook mitgebracht um auch vor Ort das Lokale Netz noch einmal zu testen. ALSO: Im Verwaltungsnetz 192.168.124.0/24 kann ich auch vom NOtebook aus NICHT auf die Internetseiten zugreifen, egal ob ich per Kabel oder WLAN mich in dieses Segment verbinde. Im ADMIN WLAN 192.168.2.0/24 sowie im Gast WLAN 192.168.1.0/24 kann ich mit dem NOtebook ohne Probleme surfen. Das ADMIN WLAN hat noch den DNS aus dem ESXi Host im DHCP eingestellt. Macht also kein Unterschied, der DNS muss so laufen, auch alle Viren regeln etc müssen demnach passen. Im Gast WLAN ist direkt der 8.8.8.8 eingetragen. Passt auch sauber. EIn Test von mir im Verwaltungssegment den DNS als 8.8.8.8 einzugeben hat auch kein Ergbnis gebracht. Zwischen dem Notebook und dem Router hängt nichts weiter. Kein weiterer Router oder Switch ... alles direkt. Zitieren
lefg 276 Geschrieben 30. Oktober 2016 Melden Geschrieben 30. Oktober 2016 (bearbeitet) Moin, kann man denn IPs im Internet pingen? Wie ist es mit Routenverfolgung tracert? Wieso eigentlich 8.8.8.8, ist der vom Provider? Normalerweise bekommt ein Gasr doch die Einstellungen vom DHCP des netzes, wohl dem Router, dieser ist Weiterleiter an den DNS des Providers. bearbeitet 30. Oktober 2016 von lefg Zitieren
Matze1708 10 Geschrieben 30. Oktober 2016 Autor Melden Geschrieben 30. Oktober 2016 Laut dem Menschen der den Router eingerichtet hat, wäre das bei diesen LTE Verbindungen so, dass man kein korrektes Tracert machen könnte. Muss ich ihm jetzt mal so glauben. 8.8.8.8 google DNS habe ich einfach mal so eingetragen. Für das GAST WLAN reicht das aus. im Prinzip könnte ich dort auch den Router als DNS eintragen, weil der auch DNS Server vom LTE Netz mitbekommt. Zitieren
Reingucker 3 Geschrieben 30. Oktober 2016 Melden Geschrieben 30. Oktober 2016 Also liegt es höchstwahrscheinlich nicht an den Einstellungen der OS in den VM. Hmm, es sieht ganz nach den Einstellungen auf dem Mikrotik Router aus. Man müßte halt wissen ob die einzelnen Netze in VLANs sind und welche Accesslisten es auf den Routingschnittstellen zu den einzelnen VLANs eingetragen sind. Und die Clients sind auch alle im Verwaltungsnetz? Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.