DuneX 10 Geschrieben 18. März 2011 Melden Teilen Geschrieben 18. März 2011 Hallo, Ich kann mir leider nicht erklären woran es genau liegen kann. Unsere Zweigstellen sind über ein Extra-Net angebunden. Wenn ich ICMP bis auf auf echo-replay auf unserem Outside Interface blocke gehen fast alle Anwendungen bis auf eine im Moment. Diese funktioniert nur wenn ich ICMP Pakete von den Routern unseres ISP zulasse. Ein Debug IP ICMP zeigt nichts an. Es steht auch nichts genaueres im Syslog auf nur eben deny ICMP... Die Verbindung von dieser einen Application ist eine / sollte eine normale SSH Verbindung sein. Es ist ein zweistufiger Connect 1. auslesen in DB schreiben 2 . nochmal irgendwas auslesen und dieser 2 Verbindungsaufbau klappt sonst nicht. Laut Wireshark ist es eine SSH Verbindung den diese Application aufbaut. Alle anderen UDP / TCP Verbindungen von andern Applicationen laufen normal. Auch eine normal SSH Verbindung auf zB einen Linux Server geht problemlos. Was macht der Provider hier und wie kann ich diese ICMP Pakete auf dem Router sichtbar machen? Vielen Dank Grüße DuneX Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 18. März 2011 Melden Teilen Geschrieben 18. März 2011 1.reply 2.bloss nicht zu viel verraten...zb config teile das man weiß in welche richtugn du da irgendwas blockst. Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 19. März 2011 Melden Teilen Geschrieben 19. März 2011 @Otaku19 - das ist wieder was für die Glaskugel. Ich verstehe auch nicht - warum man nicht mit Fakten reden kann. Wenn man schon Logfiles hat - sollte man sie auch mitteilen. Aber über ICMP gehen wahrscheinlich geheime Daten :-) Zitieren Link zu diesem Kommentar
DuneX 10 Geschrieben 19. März 2011 Autor Melden Teilen Geschrieben 19. März 2011 Hi, kommt mir auch so vor. Wie gesagt leider weiß ich nicht was der ISP hier macht. Die Cfg kann ich erst nächste Woche posten, da ich sie im Moment nicht einsehen kann. Auf dem OutSide Interface <- ISP gibt's eine IN ACL die alles ICMP außer echo-reply geblockt hat. zB. interface FastEthernet0/0.65 encapsulation dot1Q 65 ip address xxx.xxx.xxx.xxx 255.255.255.0 ip access-group mpls_in in ip nat outside ip virtual-reassembly ip access-list extended mpls_in permit icmp any any echo-reply > sonst nur IPs, Ports usw nichts mehr mit ICMP Wenn ich nun in diese ACL die ISP Router mit ICMP full zugelassen hab funktioniert die Application wie gewünscht. Leider bin ich mit debug ip icmp nichts gesehen und im SYSlog taucht auch nur auf deny ICMP von IP xyz. Grüße Dune Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 19. März 2011 Melden Teilen Geschrieben 19. März 2011 Hi, was hat den dein Problem mit dem ISP zu tun - du schreibst deine Application geht da nicht - evtl. braucht die irgendwelche ICMP Pakete aus dem Netz oder ins Netz und geht deswegen nicht. Schau doch mal - was deine Application ins Netz ruft ... Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 20. März 2011 Melden Teilen Geschrieben 20. März 2011 was genau wird denn laut log geblockt, dann hast du ja schon die Lösung ? Zitieren Link zu diesem Kommentar
jussi 11 Geschrieben 21. März 2011 Melden Teilen Geschrieben 21. März 2011 Du blockst alles ausser typ 0, also blockst du typ 3 (unter anderem fragmentation needed) und jetzt geht alles ausser anwendung x y z... hmm ich wittere einen zusamenhang Zitieren Link zu diesem Kommentar
jussi 11 Geschrieben 21. März 2011 Melden Teilen Geschrieben 21. März 2011 doppelpost Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.