DuneX 10 Geschrieben 18. März 2011 Melden Geschrieben 18. März 2011 Hallo, Ich kann mir leider nicht erklären woran es genau liegen kann. Unsere Zweigstellen sind über ein Extra-Net angebunden. Wenn ich ICMP bis auf auf echo-replay auf unserem Outside Interface blocke gehen fast alle Anwendungen bis auf eine im Moment. Diese funktioniert nur wenn ich ICMP Pakete von den Routern unseres ISP zulasse. Ein Debug IP ICMP zeigt nichts an. Es steht auch nichts genaueres im Syslog auf nur eben deny ICMP... Die Verbindung von dieser einen Application ist eine / sollte eine normale SSH Verbindung sein. Es ist ein zweistufiger Connect 1. auslesen in DB schreiben 2 . nochmal irgendwas auslesen und dieser 2 Verbindungsaufbau klappt sonst nicht. Laut Wireshark ist es eine SSH Verbindung den diese Application aufbaut. Alle anderen UDP / TCP Verbindungen von andern Applicationen laufen normal. Auch eine normal SSH Verbindung auf zB einen Linux Server geht problemlos. Was macht der Provider hier und wie kann ich diese ICMP Pakete auf dem Router sichtbar machen? Vielen Dank Grüße DuneX
Otaku19 33 Geschrieben 18. März 2011 Melden Geschrieben 18. März 2011 1.reply 2.bloss nicht zu viel verraten...zb config teile das man weiß in welche richtugn du da irgendwas blockst.
blackbox 10 Geschrieben 19. März 2011 Melden Geschrieben 19. März 2011 @Otaku19 - das ist wieder was für die Glaskugel. Ich verstehe auch nicht - warum man nicht mit Fakten reden kann. Wenn man schon Logfiles hat - sollte man sie auch mitteilen. Aber über ICMP gehen wahrscheinlich geheime Daten :-)
DuneX 10 Geschrieben 19. März 2011 Autor Melden Geschrieben 19. März 2011 Hi, kommt mir auch so vor. Wie gesagt leider weiß ich nicht was der ISP hier macht. Die Cfg kann ich erst nächste Woche posten, da ich sie im Moment nicht einsehen kann. Auf dem OutSide Interface <- ISP gibt's eine IN ACL die alles ICMP außer echo-reply geblockt hat. zB. interface FastEthernet0/0.65 encapsulation dot1Q 65 ip address xxx.xxx.xxx.xxx 255.255.255.0 ip access-group mpls_in in ip nat outside ip virtual-reassembly ip access-list extended mpls_in permit icmp any any echo-reply > sonst nur IPs, Ports usw nichts mehr mit ICMP Wenn ich nun in diese ACL die ISP Router mit ICMP full zugelassen hab funktioniert die Application wie gewünscht. Leider bin ich mit debug ip icmp nichts gesehen und im SYSlog taucht auch nur auf deny ICMP von IP xyz. Grüße Dune
blackbox 10 Geschrieben 19. März 2011 Melden Geschrieben 19. März 2011 Hi, was hat den dein Problem mit dem ISP zu tun - du schreibst deine Application geht da nicht - evtl. braucht die irgendwelche ICMP Pakete aus dem Netz oder ins Netz und geht deswegen nicht. Schau doch mal - was deine Application ins Netz ruft ...
Otaku19 33 Geschrieben 20. März 2011 Melden Geschrieben 20. März 2011 was genau wird denn laut log geblockt, dann hast du ja schon die Lösung ?
jussi 11 Geschrieben 21. März 2011 Melden Geschrieben 21. März 2011 Du blockst alles ausser typ 0, also blockst du typ 3 (unter anderem fragmentation needed) und jetzt geht alles ausser anwendung x y z... hmm ich wittere einen zusamenhang
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden