Tidak Dapat Muat Situs Web Internal melalui MPLS


8

Kami memiliki pengaturan MPL antara dua subnet. Semuanya (yaitu, saya memiliki RDP baik arah maupun berbagi file) tampaknya berfungsi dengan benar kecuali untuk dua hal, yang mungkin terkait.

  • Komputer Windows tidak mengisi "Jaringan" dengan perangkat dari subnet lainnya.
  • Dari komputer jarak jauh, kami tidak dapat memuat situs web internal kami yang terletak di jaringan host.

MENANG diaktifkan dan berfungsi , dan kedua komputer tahu siapa server DNS dan siapa server MENANG.

192.168.1.20Server web di (Windows Server 2003) dan komputer (Windows 7) di subnet jarak jauh di 192.168.2.249. Berbagi file dan RDP bekerja dua arah.

Jadi, subnet host adalah 192.168.0.0/23dan subnet jarak jauh 192.168.2.0/23. Masing-masing router Windstream memiliki dua port - satu untuk MPLS dan satu untuk internet. Saat ini, port internet di remote tidak terhubung. Port internet pada router host berjalan melalui router firewall kami sebelum memasuki jaringan host, tetapi port MPLS pada host terhubung langsung ke switch-trunk.

Kedua Windstream Routers masing-masing memiliki port MPLS:

  • 192.168.1.2 = Host MPLS
  • 192.168.2.2 = MPLS jarak jauh

Router Windstream juga masing-masing memiliki port internet terbuka yang telah saya lampirkan Firewall Router untuk memfilter internet, membuat gateway internet:

  • 192.168.1.1 = Host Gateway
  • 192.168.2.1 = Remote Gateway

Saya membaca di sini bahwa saya perlu mendaftar subnet di Situs dan Layanan Direktori Aktif, jadi saya telah membuat dua subnet sebagai anggota dari satu situs.

Untuk pengujian saya, firewall dimatikan pada kedua komputer plus server web.

ISP (Windstream) mengonfirmasi bahwa MTU diatur ke 1500, dan dalam pengujiannya, ping mereka selalu dikirim dengan ukuran 1500.

Jadi apa yang bisa saya coba untuk menyelesaikan dua masalah ini?

Ini peta: masukkan deskripsi gambar di sini

[pembaruan] Ketika saya menjalankan Wireshark di server web dan menonton permintaan untuk halaman web, saya melihat banyak transmisi ulang pada panggilan http. Inilah laporannya: masukkan deskripsi gambar di sini

Sepertinya lalu lintas http dari remote ke host adalah apa yang mendapatkan pengiriman ulang. Tapi saya tidak punya peralatan yang bisa memblokirnya. Firewall tidak aktif.

Jadi, saya bisa telnet ke server web dari mesin di subnet yang sama, tapi saya tidak bisa telnet ke sana dari mesin di subnet jarak jauh - ia melaporkan:

c:\>telnet 192.168.1.20 80
Connecting To 192.168.1.20...Could not open connection to the host, on port 80: Connect failed

Trace-Route dari server web ke komputer jarak jauh: masukkan deskripsi gambar di sini

Trace-Route dari komputer jarak jauh ke server web: masukkan deskripsi gambar di sini

[update] saya diaktifkan IIS pada laptop jarak jauh, dan saya saya mampu menarik halaman web yang dari komputer di lokasi tuan rumah. Namun, ini selalu menjadi masalah dalam pengujian saya. Lalu lintas http, oleh karena itu, hanya satu arah.


Bagaimana cara Anda merutekan antara dua subnet? Peralatan apa yang IGP, dll.
Brett Lykins

Windstream telah menginstal router Cisco mereka di kedua ujungnya Saya telah menghubungkan komputer secara langsung ke port MPLS dari remote, dan port MPLS dari host diumpankan langsung ke switch-trunk LAN saya.
bgmCoder

1
jenis perangkat apa 192.168.1.1 dan 192.168.1.2?
Mike Pennington

Maaf, saya baru saja menambahkan alamat itu dengan penjelasan.
bgmCoder

Jawaban:


9

Kedua Windstream Routers masing-masing memiliki port MPLS:

  • 192.168.1.2 = Host MPLS
  • 192.168.2.2 = MPLS jarak jauh

Router Windstream juga masing-masing memiliki port internet terbuka yang telah saya lampirkan Firewall Router untuk memfilter internet, membuat gateway internet:

  • 192.168.1.1 = Host Gateway
  • 192.168.2.1 = Remote Gateway

Ringkasan Masalah

Masalah Anda adalah bahwa Anda memiliki beberapa router di subnet yang sama:

  • Gateway Internet di 192.168.1.1
  • Router Windstream MPLS pada 192.168.1.2

Ini adalah desain yang salah; Saya sepenuhnya mengerti bahwa "sepertinya" tidak ada yang salah dengan ini, tetapi ketika Anda menemukan, ini adalah cara yang sulit untuk membangun jaringan.

Menindaklanjuti diskusi obrolan kami, masalah sebenarnya adalah bahwa paket TCP SYN SAINTJOSEPH dikirimkan dengan benar; Namun, inspeksi stateful pada firewall PaloAlto Anda menjatuhkan respons TCP SYN-ACK SAINTSERVIUS, karena perutean asimetris di lingkungan Anda. Ini diilustrasikan dalam dua diagram berikut.

TCP SYN dari SAINTJOSEPH ke SAINTSERVIUS :

sspx_Before02

Firewall PaloAlto Anda menjatuhkan TCP SYN-ACK dari SAINTSERVIUS ke SAINTJOSEPH :

sspx_Sebelum03

Ini tracertmembuatnya sangat jelas bahwa SAINTSERVIUS default melalui 192.168.1.1 (firewall PaloAlto):

Solusi Jangka Panjang

Anda hanya perlu memiliki satu router next-hop untuk setiap subnet ; Namun, saat ini Anda memiliki dua. Ini menghasilkan tetes yang ditunjukkan pada tangkapan layar wireshark Anda (yang menunjukkan bahwa paket TCP SYN-ACK tidak pernah mencapai jaringan MPLS Windstream).

Ini adalah dua solusi jangka panjang yang kami bahas ... Saya juga termasuk peretasan cepat yang kami lakukan untuk memvalidasi bahwa masalahnya adalah penurunan paket stateful pada PaloAltos. Saya berasumsi Anda menggunakan banyak antarmuka di PaloAlto.

  • Opsi A: Jaga agar firewall PaloAlto sejalan dengan koneksi antar kantor Anda (lebih banyak pemeliharaan)
  • Opsi B: Pindahkan firewall PaloAlto di depan koneksi internet (kurang perawatan, tetapi juga kurang nyaman)
  • Opsi C: Perutean perutean statis cepat Windows

Desain Lebih Baik, Opsi A (diperlukan pengalamatan ulang MPLS)

Ini adalah cara lain untuk mengeluarkan subnet untuk SAINTSERVIUS (mempertahankan skema penomoran Anda dengan / 23 subnet, meskipun tidak diperlukan ...). Opsi ini membuat perutean antar kantor pada firewall PaloAlto, yang terasa lebih akrab bagi Anda saat ini.

sspx_After01

Ini adalah solusi jangka panjang. Anda harus bekerja dengan Windstream untuk mengatur ulang infrastruktur Anda. Ini banyak pekerjaan. Menurut pendapat saya, menjaga firewall di tengah lalu lintas antar kantor Anda kurang disukai.

Desain Lebih Baik, Opsi B (diperlukan pengalamatan ulang MPLS)

Ini adalah cara lain untuk mengeluarkan subnet untuk SAINTSERVIUS (mempertahankan skema penomoran Anda dengan / 23 subnet, meskipun tidak diperlukan ...). Opsi ini membongkar perutean antar kantor LAN ke sakelar PowerConnect Anda, dan bergantung pada firewall PaloAlto untuk melindungi dari ancaman internet.

sspx_After02

Ini adalah solusi jangka panjang. Anda harus bekerja dengan Windstream untuk mengatur ulang infrastruktur Anda. Ini banyak pekerjaan, tetapi menawarkan keuntungan karena tidak harus berurusan dengan firewall untuk komunikasi antar kantor Anda.

Penanganan yang Suboptimal, Opsi C (apa yang Anda gunakan setelah obrolan kami)

Buka cmd.exejendela dan tambahkan rute ini di SAINTSERVIUS sebagai Administrator:

route ADD 192.168.2.0 MASK 255.255.254.0 192.168.1.2

Kata penutup

Saya harus menyebutkan bahwa Anda adalah satu dari sedikit orang yang menindaklanjuti dengan detail yang cukup tentang pertanyaan Anda. Ketika Anda mulai, kami tidak memiliki cukup detail untuk menjawab pertanyaan. Sekarang, masalahnya sangat jelas; terima kasih telah meluangkan waktu / upaya dalam mendokumentasikan masalah dengan baik.

Catatan pribadi: Jika Anda ingin salinan elektronik diagram sebagai format SVG / Inkscape , jangan ragu untuk menghubungi saya di email pribadi saya (tercantum di profil pengguna saya ).


Kedua subnet berjarak sekitar satu mil dari satu sama lain di gedung yang berbeda. ISP mengatakan kepada saya bahwa saya harus memiliki gateway internet untuk setiap subnet dan MPLS harus bergabung dengan mereka di LAN internal mereka. Jadi Anda mengatakan bahwa saya hanya perlu satu router internet (Palo-Alto) dan kedua subnet harus melewatinya sebagai gateway tunggal untuk seluruh jaringan?
bgmCoder

1
@BGM, silakan bergabung dengan saya di ruang obrolan yang dibuat untuk masalah ini
Mike Pennington

Terima kasih, Tn. Pennington, Anda telah memberikan saya layanan yang luar biasa.
bgmCoder
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.