http retransmissions

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

handen in het haar, dus maar even om hulp roepen :)

setup: bbox -> vmware box met opnsense firewall -> domme switch -> pc

probleem dat ik ineens tegenkom:
http werkt niet meer, maar al de andere protocols wel: https, imap, ssh, ...
zowel naar de bbox als naar het internet toe werkt http niet (wireshark geeft continu retransmission fouten)
geen proxy in gebruik of ingesteld, ids al uitgezet, ... geen verandering, en ik heb ook echt geen idee meer waar het te zoeken

http naar de firewall gui zelf werkt wel, dus ik zou in eerste instantie denken de firewall maar daar zijn geen wijzigingen gebeurd in de config.
wel een hardware switch, maar dat zou toch niet enkel http mogen beinvloeden?
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

http deep packet inspection (ofzoiets) aanstaan op de opensense ? Lijkt me nu toch echt wel iets dat gefilterd zal zijn. Eventueel ergens nog een of andere vieze MAC/ARP tabel die gerefreshed moet worden (opensense al eens herstart ?)
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

Sasuke schreef:http deep packet inspection (ofzoiets) aanstaan op de opensense ? Lijkt me nu toch echt wel iets dat gefilterd zal zijn. Eventueel ergens nog een of andere vieze MAC/ARP tabel die gerefreshed moet worden (opensense al eens herstart ?)
niets van dpi aanstaan, bbox, vmware, en opnsense allemaal al gereboot
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Krijg je trouwens connectie... want je spreekt enkel van retransmissions ?

In dat geval heeft je firewall er weinig mee te maken.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

vanaf frame 0 is er retransmission, maar ben geen held met wireshark...
lijkt alsof er niets verzonden (of ontvangen) werd?
sniff.png
gezien je geen pcap kan uploaden op UB heb ik het hier als analyse geupload:
https://packettotal.com/cgi-bin/view-an ... 6ac8b7774d
Je hebt niet voldoende permissies om de bijlagen van dit bericht te bekijken.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Je maakt een connectie van op je interne netwerk met de publieke interface van je EDPnet aansluiting ?

Staat poort 80 daar open/geforward ? Het lijkt van niet want ik krijg alvast geen connectie.

Tevens zorgt bij veel routers dergelijke setup voor problemen (hairpin probleem).
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

nee, ik heb geen edpnet zelfs... dat is een capture waarbij ik dus naar userbase.be probeer te gaan over poort 80 (http)
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Routing issues?
Een virtuele pfsense op xenserver loopt daar wel ns tegen omdat die de checksum calcs laat runnen door de fysieke netwerkkaart ipv de virtuele, en daardoor de checksums verkeerd uitkomen.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

zucht.... ik had problemen, dus stap 1 was de proxy uitschakelen (gebruik die voor adblocking)....
probleem niet opgelost - maar wel veranderde oorzaak.

blijkbaar als je de proxy in opnsense (zou dit ook zo zijn bij pfsense?) uitzet, dan gaat hij NIET automatisch de NAT regels voor het forwarden naar de proxy verwijderen (ook al zijn ze wél automatisch aangemaakt).
met andere woorden: geen idee waarom het originele probleem bij de proxy lag, maar na het uitschakelen werd http traffic dus gewoon gerouteerd naar een niet-draaiende proxy. zucht.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Splitter schreef:nee, ik heb geen edpnet zelfs... dat is een capture waarbij ik dus naar userbase.be probeer te gaan over poort 80 (http)
Bizar dan dat ik geen connectie kreeg... al zal er geen virtuele host gedefinieerd zijn op het IP-adres (en Edge geeft geen duidelijke melding).

In Firefox kreeg ik wel een grappige melding...
UB.png
Je hebt niet voldoende permissies om de bijlagen van dit bericht te bekijken.
Gebruikersavatar
selder
Moderator
Moderator
Berichten: 6437
Lid geworden op: 29 jun 2005, 20:25
Locatie: Tienen
Uitgedeelde bedankjes: 106 keer
Bedankt: 736 keer

het is hier ook userbase.be en niet www.userbase.be ... www.userbase.be is een CNAME naar chimay.userbase.be en die heeft een A record naar dat IP Adres van de TS zijn testen...
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

;; ANSWER SECTION:
www.userbase.be. 3565 IN CNAME chimay.userbase.be.
chimay.userbase.be. 3565 IN A 79.132.231.171

;; ANSWER SECTION:
userbase.be. 2427 IN A 79.132.231.171


voor alle duidelijkheid: ik surf altijd naar userbase.be en niet www.userbase.be (ik gebruik eigenlijk nooit www)
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Ik gebruik standaard dan weer wel www.

Het hoort nog altijd dat je website onder www subdomain staat, vind ik.
Je kan dan je hoofddomain desgewenst daarnaar redirecten.
Elke service zijn subdomain. Of dat nu ftp, www, of zelfs gopher is :-)
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

nah, ik vind dat je het protocol niet moet aanduiden in je hostname (toch niet als je voor die services hetzelfde ip gebruikt),
met uitzondering dan van bv mail en ns hostnames, die je eerder de server hostname (en matching reverse) zou geven

maar het is nog steeds een beetje "ieder zijn voorkeur", en ik vraag me dus eigenlijk af wat het nut er nog van is als je maar op 1 ip services draait
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef:Het hoort nog altijd dat je website onder www subdomain staat, vind ik.
www is geen subdomain maar een host binnen het domain.

Als je dus userbase.be opgeeft dan geef je eigenlijk enkel een domain op en geen host... en zou je dus in theorie nergens terecht komen (tot men ook aan het domain een IP-adres gaf en het dus wel werk). Het is dan misschien wel handig, maar het is uiteindelijk een beetje "incorrect" gebruik.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

A subdomain is a domain that is part of a larger domain; the only domain that is not also a subdomain is the root domain. For example, west.example.com and east.example.com are subdomains of the example.com domain, which in turn is a subdomain of the com top-level domain (TLD). A "subdomain" expresses relative dependence, not absolute dependence: for example, wikipedia.org comprises a subdomain of the org domain, and en.wikipedia.org comprises a subdomain of the domain wikipedia.org.

[...]

Subdomains in this context are defined by editing the DNS zone file pertaining to the parent domain. However, there is an ongoing debate over the use of the term “subdomain” when referring to names which map to the Address record A (host) and various other types of zone records which may map to any public IP address destination and any type of server.

Certain groups insist that it is inappropriate to use the term “subdomain” to refer to any mapping other than that provided by zone NS (name server) records and any server-destination other than that of a domain name server. Notwithstanding the terminology debate, many prominent public DNS providers use the term “subdomain” to refer to names which map to A (host) records which may map to any type of host or destination-server.
Blijkbaar is over die terminologie een ganse discussie te vinden :-)
Laat ons het erbij houden dat http://www.userbase.be een subdomain is van userbase.be, en in de DNS entry "www" een A record (of CNAME) kreeg die refereert naar een host.

Maar ik ga akkoord dat het gebruik van userbase.be op zich eigenlijk een beetje foutief is volgens de letter van de kunst, aangezien je enkel een domain opgeeft en geen host.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef:Laat ons het erbij houden dat http://www.userbase.be een subdomain is van userbase.be
Nope... www is geen zone en dus geen subdomain... maar een host !

(ook al zou je voor www een nieuwe zone kunnen aanmaken, en daarop een A-record zetten (maar A-records zijn in princiepe voor hosts).
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

ITnetadmin schreef: Maar ik ga akkoord dat het gebruik van userbase.be op zich eigenlijk een beetje foutief is volgens de letter van de kunst, aangezien je enkel een domain opgeeft en geen host.
tgoh... vooraleer responsive en 'alles op 1 publiek ip'.... ja.
dezer dagen? het domein is meestal ook de host, en je "geeft een domein op maar geen host" is ook al een niet helemaal correcte stelling denk ik, persoonlijk.
je kan bv argumenteren dat alles wat niet de tld zelf is, al gelijk een subdomain is (gezien je domein niet kan bestaan zonder de tld, en dus afhankelijk is van)

en tegenwoordig zijn www/ftp/... records niet meer dan "logical hostnames" omdat ze toch gewoon terugwijzen naar het ip van het domein zelf.
sterker: als je dat dan nog als cname gaat zetten (wat er tegenwoordig ook veel doen), dan krijg je 2 lookups om juist terecht te komen ipv 1.
(niet dat dat tegenwoordig veel uitmaakt)

je kan dus stellen dat domeinen tegenwoordig de hostnames omvatten, en een domein dus wel degelijk ook gewoon de hostname is.
maargoed, erg veel symantics voor iets dat eigenlijk weinig tot geen invloed heeft op zaken :p

ediit: even snel verduidelijken voor ik er nog een extra post aan zou moeten spenderen:
er is dus, als je met maar 1 effectief ip werkt (zoals bijna altijd dezer dagen), dus absoluut geen nood aan het gebruiken van www/ftp/..., maar als je voor meerdere hosts/flexibiliteit gaat binnen het domein (netwerk) dan natuurlijk wel.
(op mijn intern netwerk heb ik bv een dev.home.lan die web heeft, maar ik duid dus niet aan dat die "world wide web" heeft maar gewoon de machine waar ik naartoe wil. volgens de www-regel zou ik die dan www.dev.home.lan moeten noemen, zie je ons al gaan voor home/kleine setups?)
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Splitter schreef:er is dus, als je met maar 1 effectief ip werkt (zoals bijna altijd dezer dagen), dus absoluut geen nood aan het gebruiken van www/ftp/...,
En morgen beslis je dan plots om de services op een aparte host te zetten en dan kan je alle clients gaan aanpassen.

Dingen juist doen vraagt evenveel tijd als ze slecht doen... geef dus gewoon iedere service een eigen naam en je hoeft je nooit zorgen te maken.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Heb ik intern bv ook.
De referenties naar pakweg de webmail client enzo opt werk staan bv op cname webmail.example.local die dan direct naar srv14.example.local
Dat is zo met alle services.
De servers krijgen een neutrale naam, srvxx.exampe.local, en de services een cname in de dns.
Dus dc01.example.local is een cname voor srv01.example.local, etc etc...
Dat zorgt wel voor een kleine zwakte waar bepaalde services van de dns afhankelijk worden, maar geeft veel minder kopzorgen bij service migraties wanneer servers bijkomen / afgedankt worden.
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

r2504 schreef:
ITnetadmin schreef:Laat ons het erbij houden dat http://www.userbase.be een subdomain is van userbase.be
Nope... www is geen zone en dus geen subdomain... maar een host !

(ook al zou je voor www een nieuwe zone kunnen aanmaken, en daarop een A-record zetten (maar A-records zijn in princiepe voor hosts).
Subzones bestaan niet volgens de dns rfc, een subzone zijn allemaal gewoon records binnen het domein. Je kan wel dns zoneren qua delegatie waarbij alles met 1 root host binnen een domein werkt, maar in principe is dat nooit geklasseerd geweest als een subdomein. We noemen het wel zo, en eigenlijk is dat ook wel praktischer, maar feitelijk gezien is het dat niet.
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Sasuke schreef:Subzones bestaan niet volgens de dns rfc
Ik sprak ook niet over een "sub"zone... maar gewoon over een zone. In het voorbeeld van domain.com en test.domain.com kan je voor beide een zone aanmaken.

Nu ja, je kan ook de host "www.test" aanmaken binnen de zone domain.com ... feit blijft dat in TCP/IP terminologie men steeds spreekt over een host en een doman, waarbij de host het meest linkse gedeelte is. Je kan dan zeggen dat userbase de host is binnen het .be domain, al ben jij geen eigenaar van het .be domain... dus strikt gezien klopt dit niet.

Het kan dus wel allemaal... maar het lijkt me aangewezen dat je de concepten een beetje in ere laat.
Plaats reactie

Terug naar “Netwerken en Security”