massives, unlogisches Pingverhalten im Netzwerk

[[EH]Keeper]

moin, (Achtung, langer verwirrender Text *g*)

ich beobachte in den letzten Wochen ein komisches Phänomen in meinem Netzwerk, für das ich bis jetzt keine Erklärung habe.
Ein Beispiel: 2 PCs versuchen, z.B. auf ein NAS zu pingen. PC1 und PC2 hängen jeweils an einem separaten Switch (ist ein größeres Netzwerk ). Auch das NAS hängt an einem anderen Switch als PC1 und PC2.
Pinge ich von PC1 auf das NAS, ist alles prima. Pinge ich gleichzeitig von PC2 auf das NAS, bricht einer der Pings sofort ein.
Wenn also PC1 sauber pingen kann, kommt PC2 nicht durch. Unterbreche ich den Ping von PC1, fängt PC2 sofort an, sauber durchzupingen. Das Spiel kann ich immer wieder machen - bekomme aber NIE beide PCs gleichzeitig an die Leitung.
Das Phänomen ist: andere Geräte, die z.B. auch an dem Switch des NAS dran hängen, sind von PC1 und PC2 gleichzeitig anpingbar, UND: vor wenigen Tagen war das Problem bei dem NAS NICHT vorhanden.
Ein paar Tage später ist das Phänomen wieder weg... ich kann von x-beliebig vielen PCs auf das NAS pingen - keine Probleme mehr.
Bis ich dann feststellen muss, dass z.B. Drucker 17, der irgendwo im Netz hängt, dieses Phänomen plötzlich aufweist... ?!? ......

Angefangen hat das Ganze vor ca. 7 Wochen, als ein paar Drucker auf einmal Netzwerkprobleme in Form von "Es wird in den Spooler gedruckt, aber der Ausdruck kommt erst Minuten später raus" aufzeigten. Hier war das komische: es waren insgesamt 15Drucker betroffen - ALLE vom selben Typ. Auch hier war ein ständiger, aber nicht regelmäßiger Abbruch der Netzwerkverbindung zu verzeichnen. Aber auch nur bei diesen Druckern (die überall verteilt stehen).
Andere Geräte, die z.B. direkt neben so einem betroffenen Drucker stehen und am selben Switch hängen, liefen währenddessen problemlos weiter.
5 Wochen ging das mit den Druckern so - mal gingen sie, mal gingen sie nicht - ohne auch nur irgendwo eine Fehlermeldung in den Switchen, Druckern, Servern oder per Wireshark zu finden. Dann auf einmal liefen die Drucker wieder ganz normal, als wäre nix geschehen.... bis dann eben das nächste Gerät anfängt, zu spacken...

ne Idee?

PS: ich habe schon so ziemlich alles ausprobiert... und bin momentan auf dem Stand, dass ein UFO sich unsichtbar über dem Gelände aufhält und mich ärgert, oder ständige Sonnenstürme mein Netzwerk heimsuchen... nach 7 Wochen erfolgloser Suche muss man wohl seinen Horizont etwas erweitern *lol*

 

[TomCB]

Vielleicht ein IP-Adressen-Konflikt?

 

[nurmalsoamrande]

2 DNS-Server aus versehen im Netzwerk? Oder doppelte IPs?

 

[[EH]Keeper]

kann ich ausschließen.
Es müsste dann auch an einem PC oder Gerät ne Meldung kommen, bzw. eines der Cisco-Switche meckern.
IPs werden alle per DHCP vergeben - hier gibts keine doppelten Einträge. Habe auch die betroffenen Geräte mal ausgeschaltet und den Ping weiterlaufen lassen. Wäre ne IP doppelt, müsste der Ping sich kurze Zeit später wieder "fangen" und das Gerät mit der Doppelten IP anpingen.
DNS gibts nur einen. Den hab ich auch überprüft. Keine Fehlermeldungen oder sonstige Probleme.

 

[scooter010]

Klingt nach IP Problem. Einen 2. DHCP im Netzwerk? Der IP Adressraum im ersten Router erschöpft oder: privat-switches können oft nicht viele Arp routen speichern, ggf. Kegelt der eine ping die 2. Route aus dem Speicher des switches. Der muss erst neu die Hardware Route mittels Arp neu herausfinden. Und je nachdem welches Gerät aus dem Speicher fällt, tritt das Problem auf.

 

[chrigu]

ein gerät um das andere ins netzwerk einbinden bis der fehler sichtbar ist... dann weisst du, welches gerät das alles verursacht.

 

[[EH]Keeper]

ui, das geht aber flott hier

also, n 2ter DHCP ist nicht im Netz. Der IP-Bereich ist noch nicht erschöpft. Sind erst ca. 60% vergeben.
Die Switche sind auch nicht ausgelastet (sind Cisco 2960s). Hier gibts in den ARP-Tabellen der Switche auch keine Probleme oder Warnungen.

@ chrigu: leider kann ich das nicht machen - dazu ist das Netzwerk zu groß Es handelt sich hier um ca. 50 Drucker, 120 Rechner und diverses andres "Gedümpel"
Ich habe aber bereits die Geräte überpüft, die kurz bevor der Fehler das erste Mal auftrat, neu ins Netz gekommen sind. Hier ist auch alles ok.

 

[Robo32]

Keine Firmware Updates bei den Switchen durchgeführt?

 

[The Ripper]

@ chrigu: leider kann ich das nicht machen - dazu ist das Netzwerk zu groß Es handelt sich hier um ca. 50 Drucker, 120 Rechner und diverses andres "Gedümpel"

Kannst ja auch Raumweise dazuschalten. Dann kannst es schon mal auf einen Raum eingrenzen. Den Raum steckst du dann einzeln an

 

[Wilhelm14]

Irgendein Filter, eine Firewall, ein Schutzmechanismus, der DDoS-Attacken verhindern soll und vielleicht zu scharf eingestellt ist, dass er sogar doppelte Pings blockt?

PS: Man könnten einen Ersatz-Router bzw. Switch besorgen und den Reihe rund verbauen und prüfen, wann der Fehler nicht mehr auftritt.

 

[Tarnatos]

ICPM flood protection auf dem Nas?

Dann werden die pings vom 2. Rechner gedroppt und es kommt zu dem von dir beschriebenen Verhalten.

 

[[EH]Keeper]

Firmwareupdates der Switche wurde nicht gemacht. Das System wurde seit Wochen nicht verändert (außer die üblichen Windowsupdates). Es kam noch ein Drucker hinzu, den hab ich aber auch schon wieder aus dem Netz genommen gehabt, und das Problem bestand weiterhin.
Habe auch schon sämtliche Switche neu gestartet, um evtl. fehlerhafte ARP-Einträge zu killen. War auch erfolglos.

Das "Raum für Raum Abklemmen" geht leider sooo nicht, da die Leute sonst nix schaffen können . Und nachvollziehbar ist das eben leider auch nicht. Stecke ich z.B. einen ganzen Raum ab, kann es sein, dass der Fehler gerade gar nicht auftaucht oder an einem anderen Gerät. Ich habe die Switche nicht alle aufs Mal neustarten können, sondern immer nur mal hier eins und dann mal da eins... Während der Neustarts bestand das Problem auch weiterhin (hatte immer n Dauerping auf die gerade betroffenen Geräte laufen).

Ergänzung (25. Januar 2016)

Hossa... erste Erfolge... zumindest, was das NAS angeht.
den ICPM flood protection gibts so direkt nicht, aber dafür n DoS-Schutz.
DoS Schutz mal deaktiviert und beide Rechner können nun gleichzeitig drauf pingen. Komisch nur, dass der DoS-Schutz seit bestehen des NAS aktiv war. Und das seit gut 3 Jahre. Und es hat immer funktioniert. Ggfl. hat das letzte Update des NAS da was "geändert"? mhm...
Aber die Drucker z.B. haben keinerlei Firewalls oder ähnliche Konfigurationsmöglichkeiten... mhm.... aber ich glaube, wir kommen voran.

 

[scooter010]

Hast du vielleicht, auch wenn du sagst. Arp sind keine Fehler, ggf. einen "Ring" gebaut und den nicht konfiguriert/entdeckt?

Ergänzung (25. Januar 2016)

OK dos Schutz scheint nach deinem Update wahrscheinlich.

Ergänzung (25. Januar 2016)

Haben die switche ggf. Auch so einen Schutz eingebaut oder ist Dr mehr oder minder in source gegossen? Hast du VL jmd im Netzwerk, der pingt, warum auch immer?

 

[[EH]Keeper]

Kommando leicht zurück. DoS-Schutz deaktivieren bringt nicht viel. Ich kann zwar jetzt von 2 PCs aus gleichzeitig pingen, aber von einem anderen Server gehts immer noch nicht... mhm....

was meinst du mit "Ring"?

der Ping ist idR. für alle User deaktiviert (per ADS). Die Switche müssten evtl. n DoS-Schutz haben, aber der wurde die letzten Monate nicht "angefasst".

 

[The Ripper]

https://de.wikipedia.org/wiki/Topologie_(Rechnernetz)#Ring-Topologie

 

[[EH]Keeper]

Ah, jetzt... Ring... ich hab da spontan an ein schwarzhaariges Mädel im weißen Kleid, das ausm TV krabbelt ... gedacht...
hehe... ne, wir haben hier ne Baum-Struktur.
unsere Ciscos haben alle ne Loop-Erkennung. Die würden sich 1. melden, wenns ein Loop gibt und 2. würden die eine der beiden Verbindungen automatisch kappen, so dass nur eine Leitung sauber läuft.
Hab ich damals bei der Config sogar auch brav in real-life getestet und es funzt

 

[scooter010]

mal ganz blöd: Läuft vl ein <<dOS gegen euch oder ist einer der Rechner/Drucker/Server infiziert/gehackt?