Route in ein weiteres (bekanntes) Netzwerk klappt vom DC aus nicht

[Gast PHA]

Hallo zusammen,

folgende Ausgangslage:

Aus unserem Netz (172.16.1.0) soll der Zugang auf ein weiteres Netz (172.32.11.0) möglich sein. In dem entfernten Netz läuft u.a. die Netzsecurity von einem Dienstleister.

Die Route habe ich entsprechend auf unserer Firewall (= Standardgateway) eingetragen, die Route funktioniert von allen Clients aus unserem Netz einwandfrei. Lediglich der 1. Domänencontroller kommt nicht durch (weder per Ping, Telnet, ...). Hier kommt ständig die Zeitüberschreitung.

Ich habe mal die Unterschiede zwischen 1. und 2. Domänencontroller auf der Firewall verglichen. Der 1. Domänencontroller ist im Vergleich nur in zwei NAT-Regeln und Server-SSL (für DPI) veränkert..

Staatische Routen direkt auf dem 1. DC sind nicht eingetragen. Der Dienstleister hat ein Routingproblem seinerseits ausgeschlossen.

Hat jemand eine Idee, woran das liegen könnte?

[Crash2001]

Kontrollier mal die Subnetz-Maske. Eventuell liegt da der Hund begraben.

Ansonsten musst du halt mal ein Traceroute / Tracert machen und schauen, bis wo der DC kommt und ab wo du nichts mehr zurückbekommst.
Dann muss man halt schauen, ob das am Routing liegt, an Access-Lists, an irgendwelchen Firewall-Freischaltungen, an Bottlenecks, Routingloops, Paketverlusten, Load Balancing Problemen, oder was auch immer.

[Maniska]

DC2 kommt raus, DC1 nicht?

Kommt DC1 überhaupt ins Internet, kannst du die üblichen Verdächtigen, z.B. google DNS etc erreichen?

[PHA]

Danke für die Rückmeldungen.

 

DC2 kommt raus, DC1 kommt nicht raus. Den Grund habe ich gefunden, der DC1 geht über die öffentliche IP.Adresse der Firewall raus, warum auch immer und wo auch immer konfiguriert..

[Crash2001]

Dann gibt es auf der FW wohl eine Regel, die Source NAT macht und somit die Source Adresse von DC1 durch die IP-Adresse der FW austauscht.