Nicht-Erreichbarkeit eines Ports von bestimmtem Internetanschluss


Liebe A1 Community,
 
Ich wende mich an euch, nachdem ich bei der Lösung des Problems über den A1 Support leider noch nicht vorangekommen bin und mir von der großen Community hilfreiche Tipps erhoffe.
 
Hier das konkrete Problem:
Wir betreiben auf einem Webserver, welcher an unserem Firmenstandort mit fixer A1 IP-Adresse (*.218) installiert ist, ein web-basiertes CRM-System. Dieses ist erreichbar unter einer Subdomain inkl. Portangabe (z.B. https://sub.domain.at:9876). Diese Subdomain ist an sich von überall gut erreichbar, lediglich bei 2 Festnetz-Internet-Anschlüssen von A1 gab / gibt es das Problem, dass die Domain inkl. Portangabe (bzw. ebenso die IP-Adresse mit Portangabe; *.218:9876) nicht erreichbar ist. Dieses Problem tritt nur auf, wenn man über die genannte A1-Festnetzinternet-Leitung geht. Sobald man z.B. übers Handy ein Thetering macht oder mit dem iPad nicht übers A1 Festnetzinternet sondern über das mobile Internet auf das CRM zugreifen möchte, funktioniert das einwandfrei.
 
Bei deinem der beiden betroffenen A1 Festnetz-Internetanschlüsse hat sich das Problem ohne Zutun von irgendeiner Seite nach rund 3 Wochen behoben gehabt und das CRM war aufeinmal wieder problemlos erreichbar. Beim zweiten betroffenen Anschluss funktioniert es aber nach wie vor nicht (obwohl es auch hier bereits zur vollsten Zufriedenheit funktioniert hat und durch den Endanwender nichts verändert wurde).
 
Der A1-Router des betroffenen Anschlusses zeigt im Log eine Zeile beim Versuch des Aufrufs der IP-Adresse inkl. Portangabe, welche lautet:
"No IP for NAT - connections may fail [2 Mal wiederholt, die letzte [....]"
 
Wisst ihr vielleicht, an was das liegen kann? Das Ganze hat schon einwandfrei funktioniert und funktioniert nun nur bei einem Anschluss (und allen diesen Anschluss verwendenden Clients) nicht mehr - bei vielen anderen Anschlüssen gibt es kein Problem. Die IP-Adresse OHNE Port-Angabe ist erreichbar. MIT Port-Angabe jedoch nicht.
 
Bin für jeglichen Hinweis dankbar, der uns hilft dieses Problem zu lösen.
Vielen Dank schon mal!

5 Antworten

Benutzerebene 7
Abzeichen +2
Kannst du deine Angaben dahingehend präzisieren das du schreibst welches Modem ect du auf Seite A und welches Equipment auf Seite B hast.
Gerne.
Am Standort wo unser Server betrieben wird haben wir ein Cisco 800 series Modem zur Verfügung gestellt von A1. Dieses ist verbunden mit einer Cisco ASA5505 Firewall zum Switch weiter zum Webserver.
 
Am Standort von wo aus zugegriffen werden soll handelt es sich um einen normalen Privatanschluss (HomeOffice) mit einem Technicolor TG788A1vn (o.ä.) Modem, welches das Signal via WLAN verteilt.
 
Danke für eure Hilfe!
Liebe Grüße
Benutzerebene 7
Abzeichen +8
Ich habe zwei Dinge in Verdacht.

Auf der Zentrale falsches Subnetz Masken oder es sind gewisse IP-basierte Sperrlisten aktiviert und/oder angeschlagen... (auf der ASA oder dem Webserver)...

interessant wäre hierzu die IP-Range der Zentrale mit denen zu vergleichen, die die Teleworker in dem Moment haben, wenn es geht/nicht geht.

>>"No IP for NAT - connections may fail [2 Mal wiederholt, die letzte [....]"
Diese Warnung ist eine harmlose welche...

Die Modems gehen nach 20 Minuten idle, Trennen also die WAN-Verbindung, und haben demnach bis zum Wiederaufbau (getriggert durch einen TX-Request eines Clients) keine WAN-IP...

Verbindungsaufbar dauert wenige Sekunden, löst aber zwischendurch genau diese Meldung aus...
Benutzerebene 7
Abzeichen +2
variohaus schrieb:Gerne.
Am Standort wo unser Server betrieben wird haben wir ein Cisco 800 series Modem zur Verfügung gestellt von A1. Dieses ist verbunden mit einer Cisco ASA5505 Firewall zum Switch weiter zum Webserver.
Danke für eure Hilfe!
Liebe Grüße
Also dann würde ich auf dieser Seite beginnen zu suchen. Die Firewall hat ein Log und wenn jetzt der andere Standort den Tunnel aufbaut ist ersichtlich was vor sich geht. Somit würde ich mal bei deinem Netzwerk Betreuer nachfragen.

Wobei mir diese Art der "Störung" eher etwas für einen Netzwerk Spezialisten scheint, denn auch der Input von w1-net hat so seine Berechtigung und Richtigkeit, da ich all diese Dinge schon hatte.
Zu den verwendeten IP-Adressen:
 
Also zumindest die betroffenen WAN IP-Adressen habe ich zur Verfügung.
In der Zentrale, in der der Webserver steht, haben wir die IP-Adresse 80.121.180.218 (fix von A1 zugewiesen).
Der Teleworker verwendet die IP-Adresse 93.82.112.30 (wobei diese eine dynamische IP-Adresse sein wird).
 
IP-Sperrlisten am Server sind an sich keine eingerichtet worden, kann jedoch mal recherchieren, ob automatisch etwas entsprechendes hinterlegt ist oder die Blacklist von irgendwo bezogen wird, wo die Adresse drauf sein könnte.
 
Zum Log auf der Firewall:
Auf der Cisco ASA Firewall habe ich mir den RealTime Log angesehen, zu dem Zeitpunkt, als ich per Fernzugriff vom betroffenen Teleworker-Arbeitsplatz auf unser CRM zugreifen wollte. Dabei hat sich nix getan, d.h. es ist gar kein Tunnel zwischen den beiden Standorten zustande gekommen. Unser Server merkt gar nicht, dass er von diesem Teleworker angesprochen wird. Bei allen anderen wo es funktioniert, kann man es gut nachvollziehen.
 
Danke & LG

Antworten