glady 10 Geschrieben 23. Januar 2007 Melden Teilen Geschrieben 23. Januar 2007 Hallo, auf der PIX kann ich folgende Meldungen sehen: Local4.Info pix01 Jan 23 2007 13:21:43: %PIX-6-302014: Teardown TCP connection 92729578 for Outside:10.98.1.20/1122 to Inside:10.15.6.6/3200 duration 4:23:52 bytes 3312215 FIN Timeout Es werden sporadische SAP Session-Abbrüche gemeldet. Kann mir jemand erkären, was die Meldung genau bedeutet? Was passiert da? Bei Cisco habe ich was gefunden, das mir aber leider nichts sagt: FIN Timeout = Force termination after 15 seconds await for last ACK Danke. Glady Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 23. Januar 2007 Melden Teilen Geschrieben 23. Januar 2007 Also ich kanns nur deuten. Wuerde mal tippen der Client beendet die Verbindung (schickt FIN Paket), die PIX wartet auf das ACK des Servers welches nicht kommt und dann loescht die PIX nach dem Timeout den Datensatz im (NAT?-)Table. Ich kann jetzt aber auch komplett daneben liegen ... :suspect: Zitieren Link zu diesem Kommentar
glady 10 Geschrieben 24. Januar 2007 Autor Melden Teilen Geschrieben 24. Januar 2007 Hallo Wordo, heisst das dass der Client die Verbindung beendet, ohne ein ACK zum Server zu schicken? Hast Du eine Idee, wie sowas zustande kommen könnte? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 24. Januar 2007 Melden Teilen Geschrieben 24. Januar 2007 Schwierig! Sag doch mal in welchem Netz die Server und in welchem die Clients liegen. Und ist das die einzige Meldung die kommt wenn eine Verbindung abbricht? Passt die Meldung zum Abbruch zeitlich ueberhaupt? Im Zweifelsfall auf dem Server Wireshark installieren und alels sniffen. Finde die PIX fuer sowas ungeeignet (oder ich bin zu b***d dafuer) Zitieren Link zu diesem Kommentar
glady 10 Geschrieben 24. Januar 2007 Autor Melden Teilen Geschrieben 24. Januar 2007 10.98.1.20 ist Client, 10.15.6.6 Server. Hier mal alles was im Syslog zwischen den 2 Ip-Adressen steht, bis gestern 14:30 Uhr: Jan 23 2007 08:57:54: %PIX-6-302013: Built inbound TCP connection 92729578 for Outside:10.98.1.20/1122 (10.98.1.20/1122) to Inside:10.15.6.6/3200 (10.15.6.6/3200) Jan 23 2007 08:58:07: %PIX-6-106015: Deny TCP (no connection) from 10.15.6.6/3200 to 10.98.1.20/1711 flags PSH ACK on interface Inside Jan 23 2007 08:58:07: %PIX-6-106015: Deny TCP (no connection) from 10.15.6.6/3200 to 10.98.1.20/1711 flags FIN ACK on interface Inside Jan 23 2007 13:16:09: %PIX-6-302013: Built inbound TCP connection 93175839 for Outside:10.98.1.20/1551 (10.98.1.20/1551) to Inside:10.15.6.6/3200 (10.15.6.6/3200) Jan 23 2007 13:21:43: %PIX-6-302014: Teardown TCP connection 92729578 for Outside:10.98.1.20/1122 to Inside:10.15.6.6/3200 duration 4:23:52 bytes 3312215 FIN Timeout Jan 23 2007 14:14:42: %PIX-6-302013: Built inbound TCP connection 93271996 for Outside:10.98.1.20/1615 (10.98.1.20/1615) to Inside:10.15.6.6/3200 (10.15.6.6/3200) Jan 23 2007 14:23:11: %PIX-6-302014: Teardown TCP connection 93271996 for Outside:10.98.1.20/1615 to Inside:10.15.6.6/3200 duration 0:08:29 bytes 85044 TCP FINs Jan 23 2007 14:24:49: %PIX-6-302013: Built inbound TCP connection 93288521 for Outside:10.98.1.20/1620 (10.98.1.20/1620) to Inside:10.15.6.6/3200 (10.15.6.6/3200) Die Meldung um 13:21 Uhr passt zu der Zeit, wo er das Problem gemeldet hat. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 24. Januar 2007 Melden Teilen Geschrieben 24. Januar 2007 Der Server hat aber eine andere IP als wie die im Log, oder wird was genattet? Zitieren Link zu diesem Kommentar
glady 10 Geschrieben 24. Januar 2007 Autor Melden Teilen Geschrieben 24. Januar 2007 Sorry, jetzt passt's. Zitieren Link zu diesem Kommentar
#9370 10 Geschrieben 24. Januar 2007 Melden Teilen Geschrieben 24. Januar 2007 Das fin Timeout hat mit den Unterbrechungen sicher nichts zu tun, da zu dem Zeitpunkt die Verbindung schon regulär abgebaut wurde, nur werden die FINs nicht richtig oder zeitgerecht gesendet. Wie schon von wordo gesagt: Welche IP Adressen stimmen? Rein von den Logs würde ich auf ein anderes Problem tippen - Die Firewall bietet sich nur immer als Sündenbock an. Du könntest auch das capture Feature zum Fehlereingrenzen benutzen. #9370 Zitieren Link zu diesem Kommentar
Nixonian 10 Geschrieben 24. Januar 2007 Melden Teilen Geschrieben 24. Januar 2007 Wer ist dann 10.2.206.12? Weil zu dem wird offensichtlich die Verbindung aufgemacht. Zitieren Link zu diesem Kommentar
glady 10 Geschrieben 24. Januar 2007 Autor Melden Teilen Geschrieben 24. Januar 2007 10.98.1.20 ist Client und 10.15.6.6 ist Server Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 24. Januar 2007 Melden Teilen Geschrieben 24. Januar 2007 Also ich wuerd n Sniffer auf dem Server installieren und mal mitschneiden (koennt lang werden). Dann die PIX und den Server mit Zeitserver syncronisieren und dann die Zeiten im dump beim Abbruch mit dem der PIX vergleichen. Ich glaub nich das die PIX da schuld ist. Zitieren Link zu diesem Kommentar
palex 10 Geschrieben 7. Februar 2007 Melden Teilen Geschrieben 7. Februar 2007 Bei SAP gibt es neuerdings öfter Probleme über VPN. Wir haben auch Cisco im Einsatz (ich bin aber kein Cisco-Guru), und seit dem letzten SAP Client Update gibt es vermehrt und regelmässig Abstürze. Leitungstechnisch gibt es sogut wie keine Paketverluste oder hohe Antwortzeiten, trotzdem fliegen Clients regelmässig während dem Arbeiten, gerade bei größeren Tätigkeiten, raus. Ich hab momentan auch keinen Anhaltspunkt woran es definitiv liegt, aber es sieht mir danach aus daß SAP über VPN Probleme mit der Verarbeitung von Paketen hat. Vielleicht weiss ja noch jemand konkret was die Ursache dafür sein kann Alex Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.