Impossibile caricare il sito Web interno su MPLS

Abbiamo un MPLS impostato tra due sottoreti. Tutto (vale a dire, ho RDP in entrambe le direzioni e la condivisione di file) sembra funzionare correttamente, tranne per due cose, che possono essere correlate.

• I computer Windows non popolano la "Rete" con i dispositivi dell'altra sottorete.
• Dal computer remoto, non è possibile caricare il nostro sito Web interno situato sulla rete host.

WINS è abilitato e funzionante ed entrambi i computer sanno chi è il server DNS e chi è il server WINS.

Il server web è su 192.168.1.20(Windows Server 2003) e il computer (Windows 7) nella sottorete remota è su 192.168.2.249. La condivisione di file e RDP funzionano in entrambi i modi.

Quindi, la sottorete host è 192.168.0.0/23e la sottorete remota è 192.168.2.0/23. Ognuno dei router Windstream ha due porte: una per MPLS e una per Internet. Al momento, la porta Internet sul telecomando non è connessa. La porta Internet sul router host passa attraverso il nostro router firewall prima di accedere alla rete host, ma la porta MPLS sull'host si collega direttamente al trunk dello switch.

I due router Windstream dispongono ciascuno di una porta MPLS:

• 192.168.1.2 = MPLS host
• 192.168.2.2 = MPLS remoto

I router Windstream dispongono anche di una porta Internet aperta a cui ho collegato un router firewall per filtrare Internet, rendendo i gateway Internet:

• 192.168.1.1 = Gateway host
• 192.168.2.1 = Gateway remoto

Ho letto qui che dovevo elencare le sottoreti in Siti e servizi di Active Directory, quindi ho creato le due sottoreti come membri di un sito.

Per i miei test, i firewall sono disattivati ​​su entrambi i computer più il server web.

L'ISP (Windstream) conferma che MTU è impostato su 1500 e nei loro test i loro ping vengono sempre inviati con una dimensione di 1500.

Quindi cosa posso provare per risolvere questi due problemi?

Ecco una mappa:

[aggiornamento] Quando eseguo Wireshark sul server web e guardo la richiesta per la pagina web, vedo molte ritrasmissioni nelle chiamate http. Ecco il rapporto:

Sembra che il traffico http dal telecomando all'host sia ciò che sta ricevendo le ritrasmissioni. Ma non ho attrezzature che possano bloccarlo. I firewall sono tutti spenti.

Quindi, posso telnet al server web da una macchina sulla stessa sottorete, ma non posso telnet da una macchina sulla sottorete remota - riporta:

c:\>telnet 192.168.1.20 80
Connecting To 192.168.1.20...Could not open connection to the host, on port 80: Connect failed

Traccia-Rotta dal server web al computer remoto:

Traccia-Instrada dal computer remoto al server web:

[aggiornamento] Ho abilitato IIS sul laptop remoto e sono in grado di estrarre quella pagina Web da un computer nella posizione dell'host. Questo è sempre stato il caso, tuttavia, nei miei test. Il traffico http, quindi, è solo un modo.

I due router Windstream dispongono ciascuno di una porta MPLS:

• 192.168.1.2 = MPLS host
• 192.168.2.2 = MPLS remoto

I router Windstream dispongono anche di una porta Internet aperta a cui ho collegato un router firewall per filtrare Internet, rendendo i gateway Internet:

• 192.168.1.1 = Gateway host
• 192.168.2.1 = Gateway remoto

Riepilogo problemi

Il tuo problema è che hai più router sulla stessa sottorete:

• Il gateway Internet a 192.168.1.1
• Il router Windstream MPLS al 192.168.1.2

Questo è un design difettoso; Capisco perfettamente che "sembra" non c'è nulla di sbagliato in questo, ma come stai scoprendo, questo è un modo difficile per costruire la rete.

In seguito alla nostra discussione in chat, il problema esatto è che i pacchetti TCP SYN di SAINTJOSEPH vengono consegnati correttamente; tuttavia, l'ispezione con stato sul firewall PaloAlto elimina la risposta TCP SYN-ACK di SAINTSERVIUS, a causa del routing asimmetrico nel proprio ambiente. Questo è illustrato nei due diagrammi seguenti.

TCP SYN da SAINTJOSEPH a SAINTSERVIUS :

Il firewall PaloAlto rilascia TCP SYN-ACK da SAINTSERVIUS a SAINTJOSEPH :

Ciò tracertrende molto chiaro che SAINTSERVIUS si imposta automaticamente su 192.168.1.1 (il firewall PaloAlto):

Soluzioni a lungo termine

Dovresti avere un solo router next-hop per ogni sottorete ; tuttavia, attualmente ne hai due. Ciò si traduce nelle gocce mostrate nella cattura dello schermo di WireShark (che indica che i pacchetti TCP SYN-ACK non raggiungono mai la rete MPLS di Windstream).

Queste sono due soluzioni a lungo termine di cui abbiamo discusso ... Sto anche includendo il trucco rapido che abbiamo fatto per confermare che il problema è che i pacchetti con stato vengono rilasciati su PaloAltos. Presumo che tu stia utilizzando più interfacce su PaloAlto.

• Opzione A: mantieni i firewall PaloAlto in linea con le tue connessioni tra uffici (più manutenzione)
• Opzione B: sposta i firewall PaloAlto davanti alle connessioni Internet (meno manutenzione, ma anche meno confortevole)
• Opzione C: hack rapido per l'instradamento statico di Windows

Better Design, Option A (reindirizzamento MPLS richiesto)

Questo è un altro modo per disporre la sottorete per SAINTSERVIUS (mantenendo lo schema di numerazione con / 23 sottoreti, sebbene non sia necessario ...). Questa opzione mantiene il routing tra uffici sui firewall PaloAlto, che ti sembra più familiare in questo momento.

Questa è una soluzione a lungo termine. Dovresti collaborare con Windstream per riadattare la tua infrastruttura. Questo è molto lavoro. A mio avviso, è meno preferibile mantenere i firewall nel mezzo del traffico tra uffici.

Better Design, Option B (reindirizzamento MPLS richiesto)

Questo è un altro modo per disporre la sottorete per SAINTSERVIUS (mantenendo lo schema di numerazione con / 23 sottoreti, sebbene non sia necessario ...). Questa opzione scarica il routing LAN tra uffici agli switch PowerConnect e si affida ai firewall PaloAlto per proteggersi dalle minacce di Internet.

Questa è una soluzione a lungo termine. Dovresti collaborare con Windstream per riadattare la tua infrastruttura. Questo è molto lavoro, ma offre il vantaggio di non avere a che fare con i firewall per la comunicazione tra uffici.

Soluzione alternativa non ottimale, Opzione C (che cosa hai usato dopo la nostra chat)

Apri una cmd.exefinestra e aggiungi questo percorso su SAINTSERVIUS come amministratore:

route ADD 192.168.2.0 MASK 255.255.254.0 192.168.1.2

Commenti finali

Dovrei menzionare che sei una delle poche persone che ha seguito con sufficienti dettagli sulla tua domanda Quando hai iniziato, non avevamo abbastanza dettagli per rispondere alla domanda. Ora, i problemi sono molto chiari; grazie per aver dedicato il tempo / gli sforzi per documentare bene il problema.

Nota personale: se desideri una copia elettronica degli schemi in formato SVG / Inkscape , non esitare a contattarmi alla mia e-mail personale (elencata nel mio profilo utente ).