Site inacessível até que o host receba um ping do cliente (em uma sub-rede de classe A)

2

Existe este problema realmente estranho na rede interna, isso acontece constantemente com máquinas "aleatórias". Máquina (cliente) inicializa, acessa algum site interno que não é acessível a partir de internet nome da empresa.tld, timeout, retry, timeout, pingar url / host - a máquina está viva, vai para o site novamente - carrega com sucesso. Eu verifiquei três vezes as regras de firewall no gateway (mas como isso pode ter alguma coisa a ver com isso quando os switches conectam diretamente os computadores internos?), Verifiquei o firewall no servidor da Web - ACEITAR tudo. ambos -S e -L (iptables). O tracert usa ping, então o host está vivo e bem quando eu tento fazer isso. Estou sem ideias e não tenho como resolver isso. Usuários de VPN também parecem ser afetados. Como eu abordo essa questão? O servidor da web é um domu xen vm om xenserver da Debian. Tudo começou depois que mudamos a empresa para um novo local, jogamos fora alguns interruptores antigos, compramos novos. Nada muito chique. Poderia ser os interruptores?

Editar:

Por solicitação, criei um desenho simples da infraestrutura de rede :

EtambémconfiguraçõesdepfSenseefirewall:

  • Todososvaloresdesysctlsãopadrão
  • NomedohostPortia
  • DomínioEHV(igualaoWindows2012AD)
  • ServidoresDNS127.0.0.1,8.8.8.8,8.8.4.4,gatewaymóvel
  • ADtambémcomoservidordeautenticaçãoLDAPconfiguradonopfSense
  • EnableReflectionPureNat:YES
  • modohadp
  • re0-WAN,re1-LAN(vejaimagemparaip+sub-rede)
  • WAN->blockbogonsapenas
  • DNSnaLAN(eVPN):variade10.x.0.1a10.x.255.255comogateway10.0.0.1eganhaoservidor10.0.0.2
  • x-LAN=1,VPN=2

RegrasdoFW:

Nenhumaregraflutuante(0)

RegrasNAT:

1:1eNPtvazioPadrãodesaída/automático

Aliases:

Reiniciar tudo parece não ajudar.

Registros de pacotes adquiridos com tcpdump e wireshark no cliente e servidor, cliente envia syn, servidor quer enviar ack, ack não chega ao cliente. servidor continua tentando novamente. servidor também não pode pingar cliente. Se o cliente pings server, o servidor pode se comunicar com o cliente por um período desconhecido (maior que 1H ou enquanto a máquina estiver ativa?). Alguns outros PCs (particularmente atrás de outros switches) também não podem fazer ping no cliente.

Editar 2: isso parece estar acontecendo para todas as conexões tcp (como eu acabei de fazer o mesmo com o SSH).

Editar 3: Eu consegui de alguma forma isolar o problema, eu acho?

Eu mudei o ip de um pc de 10. [não zero] .x.x para 10.0.x.x e ... eis que funciona! Por quê? Por que não podemos ter uma rede 10.1 10.2 etc até que as máquinas façam ping umas nas outras? Como posso determinar o culpado?

    
por Gizmo 24.11.2015 / 23:23

1 resposta

2

Tivemos um problema semelhante a esse problema que resolvemos hoje. Um site hospedado em uma de nossas VMs só seria acessível depois de fazer o ping. Descobrimos que o NIC da VM foi definido para que pudesse dormir para economizar energia. Nós mudamos a configuração, e o site ficou para cima, não mais pingando primeiro para poder acessá-lo. Espero que isso ajude alguém!

    
por 10.06.2017 / 00:04