MPLS経由で内部Webサイトを読み込めません

2つのサブネット間にMPLSが設定されています。関連している可能性のある2つのことを除いて、すべて（つまり、RDPには双方向とファイル共有があります）は正しく機能しているようです。

• Windowsコンピューターは、「ネットワーク」に他のサブネットのデバイスを追加しません。
• リモートコンピューターから、ホストネットワーク上にある内部Webサイトを読み込めません。

WINSが有効になっていて機能しており、両方のコンピュータがDNSサーバーとWINSサーバーを認識している。

Webサーバーは192.168.1.20（Windows Server 2003）にあり、リモートサブネット内のコンピューター（Windows 7）はにあります192.168.2.249。ファイル共有とRDPは両方の方法で機能します。

したがって、ホストサブネットは192.168.0.0/23で、リモートサブネットは192.168.2.0/23です。各Windstreamルーターには2つのポートがあります-1つはMPLS用、もう1つはインターネット用です。現在、リモートのインターネットポートは接続されていません。ホストルーターのインターネットポートは、ホストネットワークに入る前にファイアウォールルーターを通過しますが、ホストのMPLSポートはスイッチトランクに直接接続されます。

2つのWindstreamルーターにはそれぞれMPLSポートがあります。

• 192.168.1.2 =ホストMPLS
• 192.168.2.2 =リモートMPLS

Windstreamルーターにはそれぞれ、インターネットフィルターを作成するためにファイアウォールルーターを接続したインターネットポートがあり、インターネットゲートウェイを作成しています。

• 192.168.1.1 =ホストゲートウェイ
• 192.168.2.1 =リモートゲートウェイ

Active Directoryサイトとサービスのサブネットを一覧表示する必要があることをここで読み、1つのサイトのメンバーとして2つのサブネットを作成しました。

私のテストでは、両方のコンピューターとWebサーバーでファイアウォールが無効になっています。

ISP（Windstream）は、MTUが1500に設定されていることを確認し、テストでは、pingは常に1500のサイズで送信されます。

では、これら2つの問題を解決するにはどうすればよいですか？

これが地図です：

[更新] WebサーバーでWiresharkを実行し、Webページの要求を監視すると、http呼び出しで多くの再送信が表示されます。ここにレポートがあります：

リモートからホストへのhttpトラフィックが再送信されているようです。でもそれをブロックできる機材はない。ファイアウォールはすべてオフになっています。

したがって、同じサブネット上のマシンからWebサーバーにtelnetで接続できますが、リモートサブネットのマシンからtelnetで接続することはできません。

c:\>telnet 192.168.1.20 80
Connecting To 192.168.1.20...Could not open connection to the host, on port 80: Connect failed

WebサーバーからリモートコンピューターへのTrace-Route：

リモートコンピューターからWebサーバーへのTrace-Route：

[更新] 私は、リモートのラップトップ上でIISを有効にし、私は午前ホストの場所でコンピュータからそのWebページを引くことができます。しかし、私のテストでは常にそうでした。したがって、httpトラフィックは一方向に過ぎません。

2つのWindstreamルーターにはそれぞれMPLSポートがあります。

• 192.168.1.2 =ホストMPLS
• 192.168.2.2 =リモートMPLS

Windstreamルーターにはそれぞれ、インターネットフィルターを作成するためにファイアウォールルーターを接続したインターネットポートがあり、インターネットゲートウェイを作成しています。

• 192.168.1.1 =ホストゲートウェイ
• 192.168.2.1 =リモートゲートウェイ

問題の概要

あなたの問題は、同じサブネット上に複数のルーターがあることです：

• 192.168.1.1のインターネットゲートウェイ
• 192.168.1.2のWindstream MPLSルーター

これは不完全な設計です。これは問題のないように見えますが、ご存じのとおり、これはネットワークを構築するための難しい方法です。

チャットのディスカッションをフォローアップすると、正確な問題は、SAINTJOSEPHのTCP SYNパケットが正しく配信されることです。ただし、環境内の非対称ルーティングにより、PaloAltoファイアウォールでのステートフルインスペクションはSAINTSERVIUSのTCP SYN-ACK応答をドロップします。これを次の2つの図に示します。

SAINTJOSEPHからSAINTSERVIUSへのTCP SYN：

PaloAltoファイアウォールがTCP SYN-ACKをSAINTSERVIUSからSAINTJOSEPHにドロップします。

これtracertにより、SAINTSERVIUSがデフォルトで192.168.1.1（PaloAltoファイアウォール）を通過することが明確になります。

長期的なソリューション

サブネットごとに1つのルーターのネクストホップのみが必要です。ただし、現在2つあります。これにより、wireshark画面キャプチャにドロップが表示されます（これは、TCP SYN-ACKパケットがWindstreamのMPLSネットワークに到達しないことを示しています）。

これらは、私たちが議論した2つの長期的なソリューションです...問題がPaloAltosでのステートフルパケットドロップであることを検証するために行ったクイックハックも含まれています。PaloAltoで複数のインターフェースを使用していると想定しています。

• オプションA：PaloAltoファイアウォールをオフィス間の接続に合わせて維持します（より多くのメンテナンス）
• オプションB：PaloAltoファイアウォールをインターネット接続の前に移動します（メンテナンスは少なくなりますが、快適さも低下します）。
• オプションC：クイックWindows静的ルーティングハック

より良い設計、オプションA（MPLS再アドレス指定が必要）

これは、SAINTSERVIUSのサブネットをレイアウトするもう1つの方法です（/ 23サブネットで番号付けスキームを維持しますが、必須ではありません...）。このオプションにより、PaloAltoファイアウォールでのオフィス間のルーティングが維持されます。

これは長期的な解決策です。インフラストラクチャを再構築するには、Windstreamと連携する必要があります。これは大変な作業です。私の意見では、ファイアウォールを社内トラフィックの中間に置くことはあまり好ましくありません。

より良い設計、オプションB（MPLS再アドレス指定が必要）

これは、SAINTSERVIUSのサブネットをレイアウトするもう1つの方法です（/ 23サブネットで番号付けスキームを維持しますが、必須ではありません...）。このオプションは、社内LANルーティングをPowerConnectスイッチにオフロードし、PaloAltoファイアウォールに依存してインターネットの脅威から保護します。

これは長期的な解決策です。インフラストラクチャを再構築するには、Windstreamと連携する必要があります。これは多くの作業ですが、オフィス間の通信でファイアウォールを処理する必要がないという利点があります。

次善の回避策、オプションC（チャット後に使用したもの）

cmd.exeウィンドウを開き、このルートを管理者としてSAINTSERVIUSに追加します。

route ADD 192.168.2.0 MASK 255.255.254.0 192.168.1.2

閉会の辞

あなたはあなたの質問について十分な詳細でフォローした数少ない人の一人であることを述べておかなければなりません。あなたが始めたとき、私たちは質問に答えるのに十分な詳細を持っていませんでした。今、問題は非常に明確です。問題の文書化に時間と労力を費やしていただき、ありがとうございます。

個人的な注意：SVG / Inkscape形式の図の電子コピーが必要な場合は、個人のメール（ユーザープロファイルに記載）でお気軽にご連絡ください。