seltsames Proxy/Internetgateway Problem

Hallo,

Ich habe einseltsames Problem mit einem Proxy und vielleicht kann mir ja hier jemand helfen.

Ich und ein Arbeitskollege haben vor einer Weile in einer Firma einen Server eingerichtet. Das ganze läuft auf einem Sparc-Rechner mit Solaris9 als OS.
Auf diesem Server laufen verschiedene Dienste, eine Firewall (Sunscreen), ein Squid Proxy und ein OpenVPN-Gateway.

Nach allen anfänglichen Schwierigkeiten läuft nun alles soweit stabil, der Server wurde ins Firmennetzwerk integriert und wird nun auch viel benutzt.
Nur ein Problem bereitet uns wirklich Kopfschmerzen, da wir inzwischen sehr viel ausprobiert haben und nun total Ratlos sind was das Problem sein könnte.

In der Firma wird der Internetzugang über den Proxy benutzt, einige Mitarbeiter sollen aber unbeschränkten Zugang zum Internet am Proxy vorbei haben. Dies haben wir auch in der Firewall entsprechend eingerichtet.
Das Problem ist nun das bestimmte Seiten nicht richtig funktionieren.
Wenn ein Benutzer der am Proxy vorbei geht bestimmte Seiten benutzen will funktionieren diese nicht richtig. Wird aber der Proxy benutzt läuft alles einwandfrei.
Zu diesen Seiten gehören zum Beispiel myvideo.de, gmx.de und diverse Foren sowie andere Seiten. Das seltsame daran ist, das diese Seiten beim ersten Aufruf normal zu finktionieren scheinen, und erst bei weiterem benutzen (gmx-email absenden, Video anschauen oder in Foren durch die Beiträge surfen) aufhören zu funktionieren.

Zuerst dachten wir an ein Problem mit der MTU, da wir vorher schon Ähnliches erlebt hatten, aber das wir dieses Problem schon hatten und behoben haben, sowie die Tatsache das die Seiten am Anfang normal funktionieren spricht dagegen.

Wenn man zum Besipiel auf gmx.de geht kann man sich am Anfang ganz normal einloggen, den Posteingang ansehen und scheinbar normal arbeiten. Irgendwann nach ein paar clicks aber, z.B. wenn man eine Email schreibt und diese dann absenden will, läd die Seite nicht mehr und man bekommt einen Timeout. Versucht man dann nocheinmal auf gmx.de zu gehen bleibt es schon beim Login hängen. Auf den anderen Seiten ist es genauso. Beim ersten Aufruf funktioniert myvideo.de, will man sich dann ein Video anschauen kommt ein Timeout und danach kann man nichteinmal mehr die Hauptseite aufrufen. genauso in versch. Foren. Man kann sich einloggen, die Beiträge anschauen und irgendwann nach ein oder zwei Beiträgen kommt ein Timeout und man kann danach nichtmal mehr die Hauptseite aufrufen.

Wenn es ein MTU-Problem wäre würden die Seiten ja von Anfang an nicht richtig funktionieren, liege ich da richtig?


Wie schon gesagt, wir haben viel Probiert. Wir haben die Firewall einmal deaktiviert und es hat nichts geändert, an dieser kann es dann also nicht liegen. Wir haben path_mtu_discovery eingeschaltet und ICMP für den Server durchgelassen, aber auch das hat nichts gebracht.
Mit dem NAT in der Firewall haben wir auch schon "rumgespielt" ohne Erfolg, obwohl wir uns da eh noch nicht so sicher sind wie dort die beste Einstellung sein könnte. Da aber ansonsten alles funktioniert gehen wir davon aus das auch dies richtig eingestellt ist.

Wie gesagt, wir sind nun total ratlos und ich hoffe das hier vielleicht noch jemand ein paar Vorschläge parat hat, die uns helfen könnten.
Danke im Voraus schonmal.

 

Hm, keiner hat ne Idee hier? Gibts ja nich
Ich brauch ja auchnicht unbedingt ne 1a Lösung, ein kleiner Denkanstoss würd ja vielleicht schon reichen.

Wir haben es inzwischen auch mal mit TCPDUMP und netstat versucht zu überprüfen.
Dabei kam nicht allzuviel raus, allerdings zeigt netstat bei den Verbindungen an "SYN sent" statt "Connection established" an wenn mal wieder eine Seite auf dem Client ein Timeout bekommt.

Das deutet ja darauf hin das die Verbindung dann garnichtmehr aufgebaut wird zu der Seite, ich vermute mal irgendweshalb kommt der ACK nicht zurück. Nun müsste ich bloss noch wissen warum nicht, bzw. warum es beim ersten aufruf der Seite klappt und später nicht mehr.

 

Danke für die Antwort erstmal.

Ich dachte das es eher weniger am Betriebssystem, sondern eher an allgemeinen Netzwerkeinstellungen liegen wird (sicher bin ich mir da aber nicht), das es also nicht wirklich Solaris spezifisch ist.

Was den Proxy angeht, der ist so konfiguriert das die Benutzer den im Browser eintragen müssen. Jeder hat dann Username und Passwort. Die Benutzer sind in verschiedene Gruppen eingeteilt, mit jeweils unterschiedlichen Begrenzungen.

Normale Mitarbeter zum Beispiel haben nur Internetzugriff in der Mittagspause, solche die das Netz zum Arbeiten brauchen (Händler und so) haben die ganze Zeit zugriff, einige noch FTP-zugriff erlaubt.

Diejenigen die "am Proxy vorbei" dürfen sind nicht als User angelegt, deren IP´s sind in der Firewall so konfiguriert das sie auch ohne Proxy Zugang zum Internet haben. Alle anderen nicht, so dass nur die IP des Proxys sonst noch Zugang hat.

 

Hm, ich glaube nicht. Wie oben ja schon erwähnt haben wir auch schon versucht die Firewall einmal ganz abzuschalten,also auf durchzug und das Problem bestand weiterhin.

Ich kenne mich jetzt nicht gut mit DMZ aus, aber ich bin der Meinung das die Clients hier in keiner DMZ sind. Es sei denn DMZ bedeutet einfach nur hinter einer Firewall, aber dann hätten wir das ja mit dem abschalten der Firewall auch schon getestet.


Ich verstehe einfach nicht was z.B. an Youtube.com und myvideo.de so unterschiedlich ist das das erste geht und das zweite nicht.

Habe heute auch noch ein bisschenmehr mit netstat rumgespielt. Wenn man einen Proxy eingetragen hat und auf dem Client eine seite aufruft steht in der netstat Ausgabe nur eine hergestellte verbindung zur IP des Proxys, auf dem Proxy selber steht dann die Verbindung zur eigentlichen Seite.

Hat man keinen Proxy eingetragen steht in der netstat Ausgabe des Clients die Verbindung zu der Seite selbst (da wo dann bei myvideo.de z.b. das SYN_gesendet kommt statt verbindung hergestellt), auf dem Proxy, bzw. Gateway selbst findet sich dann garkein entsprechender Eintrag in der netstat Ausgabe.

Ich weiss nicht ob das weiterhilft, das ist mir nur so aufgefallen.



Ich habe immernoch die Vermutung es könnte etwas mit dem eingestelltem NAT auf dem server zu tun haben. Da ich mich aber mit NAT auchnicht so gut auskenne weiss ich nicht wie man es esser machen könnte.
Ich schreib hier deshalb mal kurz hin wie das hier eingestellt ist

Typ: dynamic
Quelle: lokales Netz
Ziel: Internet (also alles was nicht im lokalem Netz liegt)
übersetzte Quelle: IP des Interfaces nach aussen(feste IP die im Internet erreichbar ist)
übersetztes Ziel: Internet (unverändert)


ich habe hier und da schon von static NAT gelesen oder davon das beim NAT auf eine Adresse übersetzt wurde die im LAN lag, bzw. eine private Adresse.
Wenn sich jemand mit NAT gut auskennt wärs vl. gut zu erfahren ob das bei uns gut geregelt ist oder ob wir da nen Fehler gemacht haben.


Danke soweit,
bye
Cretain