paedML Linux 6.0 | Netzerweiterung

german

#1

Guten Abend,

wir haben an zwei Schulen bisher die mit dem Errata2-Update eingeführte Netzerweiterung implementiert:

  • An beiden Schulen wurde neben dem Servernetz 10.1.0.0/24 das Lehrernetz 10.1.1.0/24 und das große päd. Netz 10.2.0.0/16 aktiviert
  • Die Core-Switches sind dabei von unterschiedlichen Herstellern (Alcatel Omniswitch 6900 / HP ProCurve 2920)
  • Auf dem Alcatel ist STP aktiviert, auf dem HP testweise deaktiviert
  • Auf den Switches sind keinerlei ACLs oder ähnliches aktiviert

Folgende Clientgegebenheiten sind vorhanden:

  • Im Servernetz ist bekanntlich die AdminVM installiert, auf welcher RDP aktiviert ist. Zusätzlich ist dort eine Windows 7 VM mit Lizenzservern installiert
  • Im Lehrer- und pädNetz sind diverse CAD-Programme installiert, die zum Starten die Verbindung zum Lizenzserver benötigen

Nun musste ich folgenden feststellen:

  • Aus dem Lehrer- und pädNetz sind über die programmspezifischen Ports (RDP/3389 und diverse Lizenzserverports z.B. 5053) die Maschinen im Servernetz nicht erreichbar
  • Ein Ping auf die IP und den Namen der AdminVM und des Lizenzservers funktioniert aus Lehrer- und pädNetz allerdings

Dazu das nicht nachvollziehbare Phänomen:

Sobald der Ping aus Lehrer- und pädNetz auf die AdminVM und den Lizenzserver abgesetzt wurden, ist die Verbindung für alle Ports für ca. 15-30 Sekunden offen, sprich nach dem Ping können die Clients auf einmal über die spezifischen Ports kommunizieren, die verschiedenen Lizenzserver können angesprochen und auch die RDP-Verbindung kann geöffnet werden.
Nach besagter Zeit nach dem letzten erfolgreichen Ping “schließt” sich die Verbindung wieder und die Verbindung zur AdminVM und der Lizenz-VM ist wieder, bis zum nächsten Ping, tot.

Und hier ist nun meine Frage, ob Ihnen in der Form irgendetwas bekannt ist.
Mein Netzwerklatein ist allmählich am Ende.
Dadurch, dass es aber mit zwei unterschiedlichen Core-Switches auftritt, kann man die physische Netzwerkhardware meiner Meinung nach ausschließen.
Deshalb vermute ich eher ein Problem auf der PFSense, konnte dahingehend aber auch bisher noch nichts finden.


#2

Sehr geehrter Herr Gorges,
Ich habe dazu intern unter anderem mit Herr Rodriguez Rücksprache gehalten, er wird sich zusätzlich direkt bei Ihnen melden.
In Absprache mit ihm: Können Sie sich mit diesem Problem direkt beim LMZ (linux-hotline@lmz-bw.de) melden? Falls Sie da nicht weiter kommen wenden Sie sich bitte gern direkt an uns und wir werden eine entsprechende Lösung erarbeiten.

Mit freundlichem Gruß,
Jens Thorp-Hansen


#3

Guten Abend Herr Thorp-Hansen,

das LMZ wurde kontaktiert, ich habe den Thread hier eröffnet, nachdem mir dort nicht weitergeholfen werden konnte. Bzw. wird beim LMZ ein Problem mit STP vermutet, wobei STP ja die Switchports physisch deaktiviert und nicht nur programmspezifische.

In der einen Schule mit dem Alcatel Core-Switch kommen danach nur noch Cisco-Access-Switches (Catalyst 2950), hier ist als STP-Modus ‘PVST compatibility’ eingestellt.
In der anderen Schule ist eine reine HP-Switch-Umgebung mit einem ProCurve 2920-48G als Core-, drei 2530-48G und einem alten 2650er vorhanden. Hier ist deshalb als STP-Modus ‘MSTP’ eingestellt.

Herr Rodriguez hat sich bereits bei mir gemeldet.

Ich hoffe, wir können hier einen “Brainstorm” machen, wenn Sie von meiner Seite aus noch mehr Informationen brauchen, lass Sie es mich bitte wissen :slight_smile:


#4

Sehr geehrter Herr Gorges,
Ich fürchte dies ist kein Problem, dass in einem Medium wie einem Forum zielführend bearbeitet werden kann. Wir (und die Community) können an dieser Stelle schon schwer abschätzen was ihr Partner bisher bereits versucht hat und aufgrund der Beschreibung ein (vermutlich) Netzwerk/Switch Problem zu analysieren ist spekulativ. Da auch vermutlich in der Community niemand genau diese Konstellation zum Testen hat, bzw. die Möglichkeit hat das ad Hoc zu erstellen, wäre es hier für Sie wahrscheinlich deutlich hilfreicher wenn der Kontakt zu LMZ noch einmal gesucht wird oder, falls Sie das wünschen, wir einen Kontakt zu einem unserer Partner, die uns auch mit Forenarbeit unterstützen, herstellen. Ebenso können Sie sich natürlich auch gern an unsere Supportkanäle direkt wenden.

Mit freundlichem Gruß,
Jens Thorp-Hansen


#5

Ich kenne die paedML nicht, aber auch wir hatten sehr seltsame Phänomene in Kombination von ucs@school und pfsense, welche beide mit proxmox virtualisiert werden.
Die Ursache lag in den Einstellungen vom virtio. Hier steht es detailiert: pve.proxmox.com/wiki/PfSense_Guest_Notes
Wichtig ist der Punkt „Disable hardware checksum offload“ Als wir das umgesetzt haben, waren die Portspezifischen Blockaden verschwunden.
vllt. hilfts ja…