No se puede conectar a ESXi NFC (902) desde un segmento de LAN en particular

tag-icon tag-icon networking vmware-esxi windows-server-2016 veeam untangle
No se puede conectar a ESXi NFC (902) desde un segmento de LAN en particular

Tengo un problema con las copias de seguridad de Veeam Backup & Replication que fallan porque los servidores proxy de Veeam no pueden conectarse al host ESXi a través del puerto 902 (NFC). Los hosts ESX están en VLAN65 y los proxies Veeam están en VLAN60. Lo que es realmente extraño es que mi computadora portátil que está en VLAN50 se puede conectar.

El error de Veeam es:

31/08/2021 20:25:32 :: Processing WSVR12 Error: NFC storage connection is unavailable. Storage: [stg:datastore-3246,nfchost:host-3243,conn:vcsa.domain.net]. Storage display name: [ESXDS05].
Failed to create NFC download stream. NFC path: [nfc://conn:vcsa.domain.net,nfchost:host-3243,stg:datastore-3246@WSVR12/WSVR12.vmx].

Para probar la conectividad, desde los servidores proxy de Veeam, ejecuto el siguiente cmdlet de PowerShell:

PS C:\> Test-NetConnection -ComputerName esx01.domain.net -Port 902
WARNING: TCP connect to esx01.domain.net:

ComputerName           : esx01.domain.net
RemoteAddress          : 192.168.65.2
RemotePort             : 902
InterfaceAlias         : Ethernet0
SourceAddress          : 192.168.60.203
PingSucceeded          : True
PingReplyDetails (RTT) : 0 ms
TcpTestSucceeded       : False

Puedo completar traceroutes y pings.

En los servidores ESXi, verifiqué que vSphere Replicationlos vSphere Replication NFCservicios estén habilitados en VMkernel (192.168.65.2).

Utilizo un cortafuegos Untangle NG que actúa como mi enrutador. No existen reglas entre VLAN60, VLAN65 y VLAN50. Sin embargo, cuando ejecuto el Test-NetConnectioncmdlet, veo invalid_blockeden la lista de sesiones entre el proxy Veeam y el servidor ESXi. La investigación de este error no proporciona ninguna ayuda adicional. Un empleado de Untangle escribióaquí:

No te preocupes por eso. Es completamente normal y sucede todo el tiempo. Es por eso que no se registra de forma predeterminada porque, si bien deberíamos registrarlo porque sucedió, no es particularmente interesante ni digno de mención y, a menudo, puede suceder muchas veces.

  • Agregué una regla de omisión al firewall, pero eso no hizo ninguna diferencia.
  • El firewall de Windows en los servidores proxy de Veeam está completamente deshabilitado.
  • Por lo que puedo ver, no hay restricciones en el firewall ESXi.
  • Se han reiniciado todos los servidores ESXi, VCSA y proxy.
  • Las copias de seguridad funcionaban de forma intermitente hasta hace unos días.

No veo que haya ningún problema con DNS, autenticación, firewalls, enrutamiento o cualquier otra cosa en Veeam.KB1198ya que puedo conectarme de VLAN50 a VLAN65 sin problemas.

Si alguien puede proporcionarnos sugerencias, más sugerencias para solucionar problemas o ideas sobre lo que puede estar sucediendo, le agradecería que pudiera compartirlas.

tia

PS Veeam Backup & Replication v. 10.0.1.4854 ejecutándose en Windows Server 2016 ESXi 6.7 con vSphere.

Actualizar

Tengo otro host ESXi (v. 7.0) que es independiente. Está en la misma VLAN65 y Test-NetConnectionel cmdlet funciona. En cuanto a redes, tiene una configuración mucho más sencilla y la gestión VMkernel no tiene replicación ni replicación NFC habilitada.

información relacionada