内部网络上有一个非常奇怪的问题,这种情况经常发生在“随机”机器上。机器(客户端)启动,转到某个内部网站,该网站无法从互联网访问。公司名称.tld,超时,重试,超时,ping url/主机 - 机器处于活动状态,再次访问网站 - 成功加载。我已经三次检查了网关上的防火墙规则(但是当交换机直接将内部计算机连接在一起时,这怎么可能与此有关?),检查了网络服务器上的防火墙 - 接受一切。-S 和 -L(iptables)。tracert 使用 ping,因此当我尝试执行此操作时,主机处于活动状态。我没有主意,也没有办法排除故障。VPN 用户似乎也受到了影响。我该如何处理这个问题?网络服务器是 debian domu xen vm om xenserver。它始于我们将公司搬到新地点,扔掉一些旧交换机,购买新交换机之后。没什么特别的。可能是开关吗?
编辑:
根据要求我创建了一个网络基础设施的简单绘图:
还有 pfSense 和防火墙配置:
- 所有 sysctl 值均默认
- 主机名 Portia
- 域 EHV(与 Windows 2012 AD 相同)
- DNS 服务器 127.0.0.1、8.8.8.8、8.8.4.4、wan 网关
- AD 也作为 LDAP 身份验证服务器配置到 pfSense 中
- EnableReflectionPureNat: 是
- hadp 模式
- re0 - WAN,re1 - LAN(参见 ip+子网的图片)
- WAN -> 仅限 blockbogons
- LAN(和 VPN)上的 DNS:范围从 10.x.0.1 到 10.x.255.255,网关为 10.0.0.1,wins 服务器为 10.0.0.2
- x - LAN = 1,VPN = 2
公平竞赛规则:
无浮动规则 (0)
NAT 规则:
别名:
重新启动一切似乎没有帮助。
使用 tcpdump 和 wireshark 在客户端和服务器上获取数据包日志,客户端发送 syn,服务器想要发送 ack,但 ack 未到达客户端。服务器不断重试。服务器也无法 ping 客户端。如果客户端 ping 服务器,服务器可以与客户端通信一段未知的时间(超过 1 小时或只要机器处于运行状态?)。其他一些 PC(尤其是其他交换机后面的 PC)也无法 ping 客户端。
编辑2:这似乎发生在所有tcp连接中(因为我刚刚在SSH上遇到了同样的情况)。
编辑 3:我想我已经设法以某种方式隔离了这个问题?
我将 PC 的 IP 从 10.[非零].xx 更改为 10.0.xx,然后……它成功了!为什么?为什么在机器相互 ping 通之前,我们不能拥有 10.1 10.2 等网络?我如何确定罪魁祸首?
答案1
我们遇到了一个与今天解决的这个问题类似的问题。我们其中一个虚拟机上托管的网站只有在我们 ping 后才能访问。我们发现虚拟机的 NIC 设置为可以进入休眠状态以节省电量。我们更改了设置,网站保持运行,无需先 ping 即可访问。希望这对某些人有帮助!
答案2
我遇到了同样的问题,结果发现我的网络服务器配置了错误的子网掩码。更正后,问题就解决了。