Verbindungsabbrüche der Windows-Clients nach gewisser Zeit

Problem:

Mehrere Windows-Clients verlieren nach ca 30 Minuten für ein paar Sekunden die Verbindung zum Internet. Das Problem entstand nach einem Hardwarewechsel der Firewall und musste also darauf zurückzuführen sein. Eine Konfiguration übersehen oder vergessen? Vielleicht aber auch einfach ein Tippfehler oder einen Befehl der nicht angenommen wurde. Im Endeffekt konnte es alles sein, auch eine parallel durchgeführte Änderung beim Endnutzer.

Aufgefallen ist das Problem durch mehrere Nutzer, welche eine lange SSH-Verbindung über Stunden aufrecht halten müssen um arbeiten zu können. Alleridngs brach diese nach der Umstellung alle 30 Minuten ab und warf den Fehler des „(broken pipe)“ aus.

Nachdem die ganze Konfiguration geprüft wurde, mit dem Backup der alten Konfiguration gegengeprüft wurde und die Verhältnisse beim Kunden vor Ort geklärt waren, fanden wir den Fehler anhand einer fehlenden ACL-Regel.

 

Lösung:

Die Windows-Clients bekommen ihre IP-Konfiguration über DHCP. Der DHCP Server ist auf der Firewall als object-group network definiert und dort befinden sich die IP-Adressen der DHCP Server.

object-group network DHCP-Server
 network-object host 10.10.20.20
 network-object host 10.20.20.10

Dank der Angabe der ip helper adress auf dem Routerinterface werden die DHCP Anfragen bis zu den Servern weitergegeben, verarbeitet und mit den nötigen Informationen an die Windows-Clients zurückgegeben.

ip helper-address 10.10.20.20
ip helper-address 10.20.20.10

Nachdem Lease-Time, der in dem Fall bei default auf 30 Minuten konfiguriert wurde, müssten die Clients nun wieder mit dem DHCP Server kommunizieren um den Lease zu erneuern. Nun kommunizieren diese allerdings nicht mehr über die Angabe der ip helper adress, sondern Windows fragt nun über direkten Weg an den DHCP Server an. Dies konnte aber nicht funktionieren, da eine ACL gefehlt hat, welche diese Anfrage auch erlaubt hat. Dadurch konnte der Lease nicht rechtzeitig erneuert werden, die Verbindung brach ab und es musste über den alt bekannten Weg eine komplett neue Anfrage gestellt werden. Durch diese kurze Unterbrechung ist natürlich dann die SSH-Verbindung gekappt worden.

 

Die fehlenden ACL-Regel auf dem Outside Interface sieht beispielsweise folgendermaßen aus:

access-list acl_out extended permit udp object-group DHCP-Server eq bootps any eq bootpc

 

Die Windows-Clients können nun auf direktem Wege über die Ports 67 (bootps) und 68 (bootpc) die DHCP Server erreichen und den Lease erneuern.

 

over & out,

jonsch

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.