IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 26.04.2018, 13:33

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 3 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 23.09.2016, 11:06 
Offline
Apprentice
Themenstarter
Apprentice

Registriert: 07.02.2013
Beiträge: 28
Hallo Leute,

folgendes Setup:

Client (10.1.20.55/16) verbindet sich über sein Default GW (IPCOP - 10.1.1.1) und weiter über einen Router (SWITCH mit zwei L3-Interfaces 10.1.5.201 und 10.133.205.2) auf einen Rechner (10.133.205.99 - rdp, http, ssh ...egal).

Der Verbindungsaufbau klappt (ssh-login und rdp-login funktionieren), aber die Verbindung wird nach 120sec unterbrochen. Man sieht auch sehr schön auf der IPCOP, dass der Timer abläuft, da der Verbindungsstatus in SYN_SENT - unreplied hängt.

Nachdem ich nun schon Stunden mit der Fehlersuche verbracht habe .... Hat jemand einen Tip warum das so ist?

Danke
PP


Nach oben
   
BeitragVerfasst: 27.09.2016, 11:19 
Offline
Apprentice
Themenstarter
Apprentice

Registriert: 07.02.2013
Beiträge: 28
Sodele:

Irgendwas ist da komisch. Auf der IPCOP habe ich jetzt mal den Wert für /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_syn_sent von 120 auf 300 gesetzt um nicht ganz so oft raus zu fliegen.

Die IPCOP ist der Meinung, dass die Verbindung unreplied ist:
conntrack -L | grep 10.133.205.5
tcp 6 172 SYN_SENT src=10.1.21.44 dst=10.133.205.5 sport=58258 dport=222 packets=1 bytes=52 [UNREPLIED] src=10.133.205.5 dst=10.1.21.44 sport=222 dport=58258 packets=0 bytes=0 mark=0 use=1

Die 10.133.205.5 allerdings sieht das anders. Nämlich, dass die Verbindung steht. Der Timer wird auch brav regelmässig erneuert. So wie es sein soll:

conntrack -L
tcp 6 300 ESTABLISHED src=10.1.21.44 dst=10.133.205.5 sport=58258 dport=222 packets=74 bytes=6672 src=10.133.205.5 dst=10.1.21.44 sport=222 dport=58258 packets=69 bytes=11089 [ASSURED] mark=0 use=1

Sachdienliche Hinweise sind willkommen.

PP


Nach oben
   
BeitragVerfasst: 28.09.2016, 09:29 
Offline
Apprentice
Themenstarter
Apprentice

Registriert: 07.02.2013
Beiträge: 28
Bevor der Thread hier vor lauter Antworten überläuft, schnell noch meine neuesten Erkenntnisse. Falls jemand mal ein ähnliches Problem haben sollte...

Es hat primär nichts mit IPTABLES zu tun, sondern mit "asymetrischem" Routing. Ist hier recht schön erklärt: viewtopic.php?f=3&t=17343

Edith kennt noch die Regeln, die dafür sorgen, dass die NEW NOT SYN - Pakete verworfen werden.
/etc/rc.d/rc.firewall
Code:
/sbin/iptables -A NEWNOTSYN  -m limit --limit 10/minute -j LOG  --log-prefix "NEW not SYN? "
/sbin/iptables -A NEWNOTSYN  -j DROP


PP


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 3 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de