Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

Seeeehr merkwürdiges Netzwerkproblem einer VM unter ESXi 5.5

Moderatoren: irix, Dayworker

Benutzeravatar
Profi
Beiträge: 528
Registriert: 27.07.2007, 07:19

Seeeehr merkwürdiges Netzwerkproblem einer VM unter ESXi 5.5

Beitragvon echt_weg » 30.09.2013, 19:53

Nachdem ich nun einige Stunden lang am Fehlersuchen bei meinem privaten ESXi mit 5.5 bin gebe ich selbst auf und hoffe jemand kennt ein ähnliches Verhalten.

Konkret funktioniert eine VM netzwerktechnisch unter ESXi 5.5 nicht mehr wie vorher (zuletzt unter 5.1, aber auch unter 5.0,4.1,4.0,3.5 etc.)

Da das Thema absolut nicht(!) auf den ESXi hindeutet, sondern nach einem schlichten Konfigurationsfehler innnerhalb einer VM aussieht (was ich ausschliesse) muss ich etwas weiter ausholen um das Problem verstehen zu können. Dafür ists aber spannend :grin:

Folgender Aufbau im groben:
-Ein HP-Microserver-ESXi (boot von USB-Stick) mit ausschliesslich der Onboard NIC
-An der Onboard NIC einen VLAN-fähigen Cisco SB/Linksys Switch mit konfiguriertem Trunk zum ESXi
-Es gibt diverse Portgroups mit VLAN-Tags, welche auch auf dem Cisco vorhanden sind. Dort sind dann wieder an untagged Ports andere Geräte wie Access points etc. dahinter. Es gibt auch ein Haupt-Netz, welches untagged ist (auch auf dem Trunk). Dort sind auch VMs.
-Relevant sind 3 Netze bzw VLANs:
"Management Netz" für VM-Kernel +" 1-VMs" für einige VMs. Beide untagged und im gleichem Subnet (quasi default ESXi nach Neuinstallation wenn man die VMs im gleichem Netz wie den ESXi Host betreibt)

"4-Kabeldeutschland" für die direkte Verbindung zum Kabelmodem (das Modem hängt untagged an einem der Ports des Ciscos)
Alle anderen Netze sind nicht relevant für das Problem

-Relevant sind ausserdem 2 VMs
asg02.XXXXXXX: Dies ist eine Astaro bzw Sophos UTM mit 2 NICs. NIC1=1-VMs, NIC2=3-Kabeldeutschland
Diese VM hält auf NIC 1 eine feste IP 192.168.99.200 und auf der zweiten NIC eine öffentliche IP von Kabeldeutschland. Diese VM ist quasi mein Internetrouter.

tunnel.XXXXXXX: Dies ist eine Debian 7 VM mit der IP 192.168.99.150. Diese VM baut per pptp einen Tunnel zu einem Tunnelbroaker (portunity) auf. Damit dies funktioniert hat die VM eine feste Route zum Tunnelbroaker über die 192.168.99.200 (asg02.XXXX). Auf dem Interface ppp0 (ppto-Pseudo-Interface) erhält die VM dann per DHCP eine IP vom Broaker sowie ein Default-GW. Diese VM ist somit direkt im Internet und erreicht alle Ziele bis auf die VPN-Gegenstelle über den Tunnel.


Soweit zum Aufbau.....nun zum Problem :grin:

Unter allen ESXi <5.5 funktioniert alles wie beschrieben einwandfrei und seit mehreren Jahren! Nach Booten der beiden besagten VMs baut die Tunnel VM einwandfrei ihre PPTP-Verbindung auf und läuft.

Interfaces nach Aufbau:
Bild

Routen:
Bild

Unter 5.5 hingegen schafft die VM es nicht mehr eine PPTP-Verbindung aufzubauen:
Bild

Zum Veständnis noch einmal ein Bild der Netzwerkkonfiguration
Bild

Was habe ich bisher alles getestet um den Fehler einzugrenzen?
-Prüfen der Netzwerkkonfiguration mit dem Ergebnis, dass diese absolut identisch ist
-Mehrfach booten mit diversen ESXi Sticks (5.0, 5.1, 5.5) welche ich immer wieder neu konfiguriert hatte, jedoch immer die gleichen VMs gestartet habe
-Prüfen der Konnektivität der VMs untereinander (immer voll gegeben)
-Pingen der VPN-Gegenstelle aus der Tunnel-VM (ging immer)
-Alle möglichen und unmöglichen Netzwerkeinstellungen im ESXi versucht (inkl. allen Settings wie Promiscuos Mode etc.)
-SSH Dienste von einem Server im Internet auf den PPTP Port verbogen und erfolgreich eine Verbindung von der Tunnel-VM aufgebaut (der Port wird daher nicht voll geblockt)
-Alle DNS Einstellungen etliche Male geprüft
-Befolgen von http://kb.vmware.com/selfservice/micros ... Id=1009027
-Anpassen der MTU-Grösse am vSwitch0

Meine Vermutung
ESXI 5.5 muss irgendwie einige Packete verwurschteln. Ich hab nur keinerlei Ahnung mehr wie und wo


Nun bin ich gespannt :grin:

Guru
Beiträge: 2731
Registriert: 23.02.2012, 12:26

Beitragvon ~thc » 30.09.2013, 22:34

Ich würde asg01 abstellen, eine Sniffer-VM dazu stellen und nachschauen, wo die LCP-Pakete denn bleiben.

Benutzeravatar
Profi
Beiträge: 528
Registriert: 27.07.2007, 07:19

Beitragvon echt_weg » 30.09.2013, 23:12

~thc hat geschrieben:Ich würde asg01 abstellen, eine Sniffer-VM dazu stellen und nachschauen, wo die LCP-Pakete denn bleiben.

Ich nehme an du meinst die asg02? Das ist der Router...

Was ich noch vergessen habe zu erwähnen: Die ASG02 sieht die Anfragen der Tunnel-VM und aus der Sicht von der ASG macht der VPN-Server die Verbindung zu

Guru
Beiträge: 2731
Registriert: 23.02.2012, 12:26

Beitragvon ~thc » 02.10.2013, 10:45

Ich kenne mich weder mit deiner genauen Konfiguration noch mit PPTP-VPNs aus.

Ob die asg01 unverzichtbare Dienste leistet, konnte ich aus deiner Frage nicht ersehen - ich dachte nur, das weniger Pakete (bei ausgeschalteter asg01) übersichtlicher wären.

Member
Beiträge: 78
Registriert: 08.09.2010, 16:17
Wohnort: Sonthofen

Beitragvon Ticilein » 06.10.2013, 13:58

ich stehe gerade vor einem sehr ähnlichen Problem.

Wenn ich einen W2K8 VPN - Server von 5.0 auf 5.5 schiebe, komme ich von der Ferne nicht mehr hin. Schiebe ich zurück, geht es wieder.

Die ganzen Tests, Switch-Konfig, DNS usw. habe ich auch schon durch.

Schon eine Lösung gefunden?

Benutzeravatar
Profi
Beiträge: 528
Registriert: 27.07.2007, 07:19

Beitragvon echt_weg » 06.10.2013, 15:27

Bisher leider noch nicht. Selbst wenn ich per tcpdump nachsehe was passiert werde ich nicht schlauer.

Member
Beiträge: 106
Registriert: 09.09.2009, 13:44

Beitragvon osterhase » 06.10.2013, 15:47

Ich habe wohl ein ähnliches Problem: eine Win7 VM baut seit dem Update auf ESXi 5.5 keine ausgehende VPN Verbindung (PPTP) mehr auf. Er bleibt bei der Überprüfung von Benutzername/Kennwort stehen...

Im Windows Event Log habe ich eine Reihe solcher Meldungen:

Code: Alles auswählen

Event Type:     Information
Event Source:   Microsoft-Windows-UserPnp
Event Category: None
Event ID:       20001
Date:           06.10.2013
Time:           15:44:40
User:           NT AUTHORITY\SYSTEM
Computer:       ms-rdp-01
Description:
Cannot load the NetBIOS gateway DLL component because of the following error: FileRepository\vm3d.inf_amd64_neutral_15a4b92ef6361cbd\vm3d.inf 
                                                                     

Event Type:     Information
Event Source:   Microsoft-Windows-UserPnp
Event Category: None
Event ID:       20003
Date:           06.10.2013
Time:           15:44:38
User:           NT AUTHORITY\SYSTEM
Computer:       ms-rdp-01
Description:
Cannot enumerate Registry key values. vm3dmp 

Member
Beiträge: 78
Registriert: 08.09.2010, 16:17
Wohnort: Sonthofen

Beitragvon Ticilein » 06.10.2013, 15:54

Oh Oh, da kocht was hoch, würd ich sagen!

Ich habe im gleichen Host versucht per Win7 VM eine VPN-Verbindung aufzubauen.
Das Gleiche Ergebnis: Immer wenn es in die Verschlüsselung geht, putzt der Server alles weg.

Ist wohl ne Auflage von der NSA gewesen, nur noch abgreifbare unverschlüsselte Pakete erlaubt! :D

Ich habe den VPN-Server jetzt in den alten Blech-Server, der eigentlich für Tests ist, verfrachtet.

Aber morgen möchten ein paar Leute arbeiten!

Member
Beiträge: 106
Registriert: 09.09.2009, 13:44

Beitragvon osterhase » 06.10.2013, 16:20

Hier hat jemand herausgefunden, dass GRE Pakete nicht an die VM weitergeleitet werden...
https://communities.vmware.com/message/2296015

Member
Beiträge: 78
Registriert: 08.09.2010, 16:17
Wohnort: Sonthofen

Beitragvon Ticilein » 06.10.2013, 16:29

Jup, soweit war ich auch schon GRE Port 47 und TCP Port 1723, irgendwo da knackt er weg.

Den GRE versemmeln sie ganz gerne. Habe ich auch schon in Routern gehabt. Da haben sie ihn gleich ganz vergessen. :D

Member
Beiträge: 78
Registriert: 08.09.2010, 16:17
Wohnort: Sonthofen

Beitragvon Ticilein » 10.10.2013, 12:37


Guru
Beiträge: 2082
Registriert: 21.10.2006, 08:24

Beitragvon bla!zilla » 10.10.2013, 13:00

Ja, ja... aber alle müssen ja direkt auf 5.5 umsteigen... ;)

Profi
Beiträge: 503
Registriert: 08.08.2008, 10:45

Beitragvon pirx » 10.10.2013, 14:14

bla!zilla hat geschrieben:Ja, ja... aber alle müssen ja direkt auf 5.5 umsteigen... ;)


Irgendjemand muss es, sonst werden die Bugs bei VMware ja nicht gefunden/gefixt. Offensichtlich klappt die QA dort nur noch in sehr engen Rahmen, anders kann ich die Probleme in den letzten Releases nicht mehr erklären. Auch 5.5 scheint wieder genug Probleme zu haben, auch im SSO Bereich.

Member
Beiträge: 78
Registriert: 08.09.2010, 16:17
Wohnort: Sonthofen

Beitragvon Ticilein » 10.10.2013, 14:15

Innerhalb einer Revisionsnummer hab ich echt nicht mit sowas gerechnet. Es war bei mir ja kein Upgrade. Bei 6.0 hätte ich auch die Neuinstallation mit der Vorversion durchgeführt.

King of the Hill
Beiträge: 13561
Registriert: 01.10.2008, 12:54
Wohnort: laut USV-Log am Ende der Welt...

Beitragvon Dayworker » 10.10.2013, 16:46

Hat denn jemand mal auf die "vmxnet3" umgestellt und konnte somit den KB-Eintrag verifizieren?

Benutzeravatar
Profi
Beiträge: 528
Registriert: 27.07.2007, 07:19

Beitragvon echt_weg » 10.10.2013, 20:26

teste ich gleich mal aus :grin:

Guru
Beiträge: 2082
Registriert: 21.10.2006, 08:24

Beitragvon bla!zilla » 10.10.2013, 20:38

Ketzerische Frage: Gibt es jemanden der kein VMXNET3 einsetzt? Also bewusst? Ich kann mir denken, dass es gerade bei sehr alten Maschinen noch den einen oder anderen VMXNET2 oder 1000MT gibt.

Wegen QA: Ist ein komplexes Produkt. Sieht es bei Microsoft und Hyper-V anders aus??

Benutzeravatar
Profi
Beiträge: 528
Registriert: 27.07.2007, 07:19

Beitragvon echt_weg » 10.10.2013, 20:51

bla!zilla hat geschrieben:Ketzerische Frage: Gibt es jemanden der kein VMXNET3 einsetzt? Also bewusst? Ich kann mir denken, dass es gerade bei sehr alten Maschinen noch den einen oder anderen VMXNET2 oder 1000MT gibt.

Default wenn ich unter esxi 5 eine vm anlege und debian als os wähle ist immernoch e1000. Habs zu Hause auch nie umgestellt. Bin mir auch gerade garnicht sicher was default ausgewählt ist wenn man übers vcenter ne vm erstellt....

Wegen QA: Ist ein komplexes Produkt. Sieht es bei Microsoft und Hyper-V anders aus??

Klar passiert immer wieder und das bei jedem Hersteller - ich finde das allerdings dennoch heftig, dass soetwas entweder bei den beta testern nicht auffällt oder eben vor der final noch vermurkst wird.....

Zum Thema:
Mit vmxnet3 läuft der Tunnel. :grin: :grin: :grin:

Member
Beiträge: 106
Registriert: 09.09.2009, 13:44

Beitragvon osterhase » 13.10.2013, 13:19

Jep, kann ich auch bestätigen. Danke für den Link!


Zurück zu „vSphere 5.5 / ESXi 5.5“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 11 Gäste