ASA, Probleme mit heise.de

[hegl 10]

Ich bin auf ein merkwürdiges Phänomen gestoßen und weiß nicht, wo ich ansetzen kann. Grundsätzlich laufen alle Seitenaufrufe im Internet schnell und flüssig, nur heise online - Home und deren Links brauchen Ewigkeiten zum öffnen. Mittels Wireshark sehe, dass nach dem GET-Aufruf die Daten erst ca. 30 sec. später ankommen. Alle anderen Domains laufen einwandfrei. Ich habe mir für meinen Test-PC ein 1 zu 1 NAT konfiguriert und http ist in keiner Service Policy Rule. Im logging sehe ich auch nichts, was geblockt wird.

 

Struktur sieht so aus, PC -- ASA5520 -- ProviderRouter.

 

Habe gerade auch noch mal von anderen DMZ´s der ASA getestet - von der einen funktioniert´s, von der anderen nicht. Beide getesteten DMZ´s haben globale IP´s und werden nicht genattet.

 

Wie kann ich vorgehen?

[Wordo 11]

Sicher das mit MTU alles passt? Du koenntest auf outside nen capture auf der ASA machen, da wuerds sich zeigen.

[MYOEY 10]

Ist da Proxy im Spiel?

[hegl 10]

Proxy ist keiner im Spiel.

 

MTU ist Standard und überall gleich: 1500

 

Habe mal gecaptured:

 

- über die ASA (lange Ladezeit)

- über PIX (produktiver Internetzugang, schnelle Ladezeit)

 

Unterschiede sehe ich hier im GET-Aufruf (siehe Anhang).

 

Es ist einfach so, der GET-Aufruf kommt und dann passiert über die ASA ca. 30 sec nichts mehr.

[Wordo 11]

Wenn du HTTP in die Service Policy mit aufnimmst und debug drauf machst?

[hegl 10]

Wenn du HTTP in die Service Policy mit aufnimmst und debug drauf machst?

 

Jetzt steh ich auf´m Schlauch, worauf ich debuggen soll :confused::confused::confused:

[Wordo 11]

debug http 255?

 

Habs selbst nie probiert, muesste aber der inspect sein.

[hegl 10]

debug http 255?

 

Habs selbst nie probiert, muesste aber der inspect sein.

 

Da tut sich leider herzlich wenig - sozusagen gar nix :confused::confused::confused:

[Wordo 11]

ASA und PIX haengen hinter demselben Provider? Tritt erst seit Kurzem auf?

Mach mal nen Dump vom Client aus und schau welche MSS ausgehandelt wird (Handshake)

[hegl 10]

ASA und PIX haengen hinter demselben Provider? Tritt erst seit Kurzem auf?

 

Jepp, der Umweg über die PIX soll rausfliegen und direkt über die ASA erfolgen.

Seit wann das Problem auftritt kann ich nicht sagen, weil wir halt früher nicht über die ASA raus sind.

 

Mach mal nen Dump vom Client aus und schau welche MSS ausgehandelt wird (Handshake)

 

Ups, jetzt wird´s kompliziert. Was meinst Du genau? So tief stecke ich leider nicht in der Materie :cry:

[Wordo 11]

Du installierst aufm Client Wireshark und machst nen Dump vom Aufruf der Seite, die ersten drei Pakete sind interessant.

[hegl 10]

Habe den dump mal angehangen.

 

Bin aber mittlerweile so weit, dass ich das Problem beim Provider sehe.

Zwei Rechner zwischen ASA und Providerrouter haben das gleiche Phänomen.

 

Aber vielleicht erkennst Du schon was in dem dump.

 

Nach der letzten Zeile dauert es dann - wie gesagt - ca. 30 sec. bis die Daten kommen.