Notes Probleme nach Provider-/VPN-Wechsel

[nick81]

Hallo vom neuen in die Runde,

nachdem wir unsere Internetverbindung gewechselt haben (bzw. sind noch dabei) und den VPN Gateway angepasst haben funktioniert in der Zweigstelle Lotus Notes 7.0.2 (Server 7.0.2 FP1) nicht mehr. Die Namensauflösung funktioniert allerdings und andere Dienste wie Filezugriff und 5250 Terminalemulation funktionieren Problemlos.

Konfiguration Alt:
Internetzugriff direkt über Firewall

Konfiguration Neu:
Internetzugriff über ein Internetgateway im MPLS Netzwerk. Für VPN werden die benötigen Dienste und Port auf die Firewall weitergeleitet.

Beim Start von Lotus Notes in der Zweigstelle erscheint auch kein Fehler wie z.B. "Kein Pfad zum Host", sondern das Programm bricht einfach nach einer gewissen Zeit ab. Mit dem Diagnose Tool Datei>Vorgaben>Benutzervorgaben>Anschlüsse>Aufzeichnen sagt mir das Programm auch, das eine Verbindung zum Domino besteht. Bei einer Neuinstallation des Lotus Clients bricht dieser nach der Konfiguration der UserID ab.

Das einzige was sich eigentlich geändert hat sind die verschiedenen Routen. Kann es sein das Lotus damit nicht klar kommt?


Routing Table alte Leitung von Zweigstelle (ohne NAT)

Destination Gateway Genmask Interface
213.244.44.XXX 194.231.190.1 255.255.255.255 (external)
10.0.0.0 213.244.44.XXX 255.0.0.0 (tunnel)
0.0.0.0 194.231.190.1 0.0.0.0 gateway (external)

213.244.44.XXX Externes Interface Haupt-Watchguard

Routing Table neue Leitung von Zweigstelle (mit NAT)

Destination Gateway Genmask Interface
62.40.20.XXX 194.231.190.1 255.255.255.255 (external)
10.0.0.0 62.40.20.XXX 255.0.0.0 (tunnel)
0.0.0.0 194.231.190.1 0.0.0.0 gateway (external)

62.40.20.XXX Externe IP zwischen MPLS und Internet. Nat auf Externes Interface der Watchguard 192.168.31.1

Vom Domino sieht der Pfad so aus:
Domino>Firewall>Firewall Zweigstelle>Client

Von der Zweigstelle sieht der Pfad so aus:
Client>Firewall Zweigstelle>IP Internetgateway>Firewall>Domino

Mfg Nick81

[MartinG]

Per Ferndiagnose schwierig zu beurteilen - ist auf jeden Fall ein Netzwerkproblem....

[nick81]

Komisch nur das andere Dienste funktionieren. Also einfach als Netzwerkproblem abzutun halte ich nicht für richtig.

Hat denn jemand eine Idee, was ich testen kann, um der Lösung näher zu kommen?

[atbits]

Hallo

Verbindungsdokumente passen?
Hat sich die IP des Domino dadurch geändert?

Grüße David

[MartinG]

Notes ist netzwerktechnisch so was von easy - ein offener Port 1352 reicht absolut aus. Natürlich muss auch der Rückweg passen routingtechnisch....

Ich gehe mal davon aus, dass Du per Ping den Dominoserver vom Client aus erreichen kannst. Ich würde mal für Testzwecke die Firewallregeln relativ weit öffnen (ping erlauben, 1352, telnet, http) auf den Dominoserver und dann mal testen ob das funktioniert...

Wenn z.B ein telnet domino 25 z.B. funktioniert und sich dann der Dominoserver meldet, dann glaube ich Dir gerne dass es kein Netzwerkproblem ist. In diesem Fall würde ich auf verbogene Rechte auf dem DATA-Verzeichnis tippen....

[eknori]

Habt ihr die Notes Kommunikation zum Domino über den VPN auf Port 1352 beschränkt? Evtl. ist dieser Port beim Provider gesperrt.
Wenn alle anderen Dienste funktionieren, dann kann es eigentlich nur eine Portgeschichte sein.
An den Endpunkten ( Client / Server ) hat sich ja durch den Providerwechsel nichts geändert;  nur an dem Draht dazwischen ...

+Arggh*: Martin war schneller :-)

[nick81]

Drei Antworten auf einmal

Die zwei Netzwerke sind Komplett offen, es existieren also keine Port-Beschränkungen zwischen den Standorten. Es hat sich auch nichts an den IP-Adressen der benötigten Server (DHCP/DNS/i5/ADS/etc.) geändert. Auch der Domino ist über die ursprüngliche IP-Adresse, sowie den DNS Namen erreichbar. Ein Telnet domino 1352 funktioniert aus problemlos. Der Rückweg vom Domino zum Client funktioniert auch.

Im Verbindungsdokument des Clients steht nur das Standarddokument mit home/notes/net, ich hatte aber auch schonmal manuell ien neues mit dem Server angelegt, brachte keinen Unterschied.

Edit: 

In der Serverconsole erscheint folgende Meldung:

Opened session for USERNAME/SVR/FIRMA (Release 7.0.2)

aber das Closed session.... kommt nicht danach!

[eknori]

in der lokalen hosts ist auch nicht noch ein Rest?

[MartinG]

Ein Telnet domino 1352 funktioniert aus problemlos.  

Was bekommst Du da für eine Rückmeldung vom Domino? Kommst Du per http auf den Domino, meldet sich auf Port 25 der SMTP-Server vom Domino?

[nick81]

Die Hosts ist außerd ie localhost leer. DNS läuft über Active Directory


Edit:

SMTP funktioniert
DWA funktioniert auch

Rückmeldung vom Domino steht im vorherigen Post

[eknori]

sondern das Programm bricht einfach nach einer gewissen Zeit ab

OK, ich denke, wir müssen hier noch ein paar mehr Informationen zu sammeln und uns vom Netzwerk als Fehlerursache erst einmal verabschieden.

Was pasiert denn genau beim Start? Wird der Client vollständig geladen oder kommt es schon beim Start zu einem Abbruch?

Dann würde ich als erste Massnahme mal die Standardprozedur auf dem Client durchführen. Bookmark.nsf und cache.ndk löschen und die desktop6.ndk in desktop.dsk umbenennen.

[nick81]

Ich muss mich erstmal verbessern bzgl. DWA. Ich bekomme zwar die Passwortabfrage vom DWA, aber ich bekomme die DWA Oberfläche nicht angezeigt.

Ich habe die Dateien gelöscht/umbenannt, allerdings keine Verbesserung. Der Client startet ganz normal. Wenn ich auf Mail klicke (oder etwas anderes was einen Domino Zugriff benötigt) erscheint unten Verbindung zu DOMINO/SVR/FIRMA > Verbunden mit DOMINO/SVR/FIRMA > Passiert nichts mehr. Der Blitz ist zwar noch aktiv, aber es geht nicht weiter.

[eknori]

Den Client siehst du dann auf der Domino Console als offene Session?

[nick81]

Nicht ganz. Die Session wird irgendwann wieder geclosed, aber nicht direkt danach, wie es bei den anderen Clients der Fall ist.

[atbits]

Für mich sieht das so aus, also würde er in ein Timeout reinlaufen weil das Rück-Routing vom Domino-Server zum Client nicht paßt.

Kannst Du vom Server aus einen Client anpingen?

[eknori]

Ich würde mal den Timeout Parameter beim TCPIP Port hochsetzen; mal sehen, ob das eine Veränderung bringt.
Versuchsweise auch mal ein Verbindungsdokument erstellen, damit der Client nicht so viel Zeit mit DNS and Stuff vertrödelt.

Gibt es die Möglichkeit, in der Aussenstelle versuchsweise einen zweiten Client zu installieren und zu testen, ob der die gleichen Symptome aufweist?

[nick81]

Ich hab das Problem gefunden. Es hatte nichts mit Lotus Notes zu tun.

Die Paketgröße (MTU) wurde wohl mit dem neuen Weg (IPSec + Neu MPLS) verkleinert, sodass nicht das gesamte Paket beim Domino ankam. Lösung: Auf der Firewall wird nun das "Nicht Fragmentieren"-Bit, welches vom Client/Server mitgesendet wirt (Da Windows standardmäßig eine MTU von 1500 nutzt), gelöscht, somit wird die Anfrage auf mehrere Pakete verteilt.

Endlich läuft es .. Vielen Dank für eure Hilfe.

[atbits]

Ah - ihr habt vermutlich von ner Standleitung auf ADSL oder SDSL umgestellt?

[nick81]

Ne, VPN war vorher auch schon aktiv, allerdings auf einem anderen externen Interface der Firewall. Ich hatte vergessen die MTU von dem anderen Interface zu übernehmen.

[eknori]

Schade, MTU war einer meiner nächsten Gedanken. ...