Hallo,
(Lancom DSL/I-10+, 5er Firmware)
ich wollte mich auf einen Server connecten, aber es ging nie. Also habe ich nach einiger Zeit heraus gefunden, dass es daran liegt, dass der Verbindungsaufbau "etwas" länger dauert, und wenn ich das Antwortpaket bekomme, dann sehe ich im Firewall trace:
packet for unknown TCP session, session reovery denied on default route,
packet dropped
packet dropped
Doch habe ich keine Ahnung, wo ich das einstellen kann, dass es der TCP-Sitzung "behält"?!
Jemand einen Tipp zur Hand?
Danke!
Gruß
Dok
Packet dropp
Moderator: Lancom-Systems Moderatoren
Hallo Dok,
was heißt denn "etwas" länger dauert konkret? (in Sekunden am besten)
> wo ich das einstellen kann, dass es der TCP-Sitzung "behält"?!
Ich weiß nicht, was Du damit meinst, aber hast Du Dich schon mal mit den Maskierungs-Optionen (LANconfig -> IP-Router -> Maskierung) beschäftigt? Sind da bei Dir die Standardwerte drin oder hast Du da vielleicht was reduziert?
Viele Grüße,
Jirka
was heißt denn "etwas" länger dauert konkret? (in Sekunden am besten)
> wo ich das einstellen kann, dass es der TCP-Sitzung "behält"?!
Ich weiß nicht, was Du damit meinst, aber hast Du Dich schon mal mit den Maskierungs-Optionen (LANconfig -> IP-Router -> Maskierung) beschäftigt? Sind da bei Dir die Standardwerte drin oder hast Du da vielleicht was reduziert?
Viele Grüße,
Jirka
Also:
ftp zu unserem Uniserver. Aber die Verbindung dauert über 30sek. Schickt der Ftp-Server dann ein TCP-Paket zurück verwirft die Firewall das Paket. Vom Ftp-Client bekomme ich die Meldung: Kann keine Verbindung aufbauen.
Warum das solangs dauert: ist wohl etwas schlecht konfiguriert, der ftp-server. Ping etc. gehen viel schneller und gehen auch "durch" die Firewall.
Ist halt nur die Frage, wo ich genau dran schrauben muss. WEil auch unter Maskierung gibt es einiges an "Einstellungen"?!
ftp zu unserem Uniserver. Aber die Verbindung dauert über 30sek. Schickt der Ftp-Server dann ein TCP-Paket zurück verwirft die Firewall das Paket. Vom Ftp-Client bekomme ich die Meldung: Kann keine Verbindung aufbauen.
Warum das solangs dauert: ist wohl etwas schlecht konfiguriert, der ftp-server. Ping etc. gehen viel schneller und gehen auch "durch" die Firewall.
Ist halt nur die Frage, wo ich genau dran schrauben muss. WEil auch unter Maskierung gibt es einiges an "Einstellungen"?!
Hallo Dok,
aha, also FTP, dann sollten die standardmäßigen 300 Sekunden für TCP-Aging also völlig ausreichen (IP-Router -> Maskierung).
Wie hast du denn im LAN Deinen FTP-Client konfiguriert? Active Mode FTP oder Passive Mode FTP? Also Active Mode dürfte schwierig werden und würde Deine Beobachtungen erklären ... schau mal nach bitte.
Viele Grüße,
Jirka
aha, also FTP, dann sollten die standardmäßigen 300 Sekunden für TCP-Aging also völlig ausreichen (IP-Router -> Maskierung).
Wie hast du denn im LAN Deinen FTP-Client konfiguriert? Active Mode FTP oder Passive Mode FTP? Also Active Mode dürfte schwierig werden und würde Deine Beobachtungen erklären ... schau mal nach bitte.
Viele Grüße,
Jirka
Hi Doktor
Kann es sein, daß der Server versucht, eine Ident-Anfrage zu stellen und daß du den Stealth-Mode aktiviert hast?
Da der Stealth-Modus keinerlei Sicherheit bringt (er sagt nämlich mitnichten, daß dort kein Rechner ist - vielmehr stellt er ein riesiges Schild auf, auf dem steht "Hier bin ich und ich ich glaube unsichtbar zu sein"...), solltest du ihn einfach deaktivieren...
Gruß
Backslash
Die Firewall gibt einem Server beim Verbindungsaufbau nur 30 Sekunden um auf das SYN-Paket mit einem SYN/ACK zu antworten. Danach schließt sie die Session wieder und lehnt weitere Pakete ab - solange die Sitzungswiederherstellung verboten ist.ftp zu unserem Uniserver. Aber die Verbindung dauert über 30sek.
Kann es sein, daß der Server versucht, eine Ident-Anfrage zu stellen und daß du den Stealth-Mode aktiviert hast?
Da der Stealth-Modus keinerlei Sicherheit bringt (er sagt nämlich mitnichten, daß dort kein Rechner ist - vielmehr stellt er ein riesiges Schild auf, auf dem steht "Hier bin ich und ich ich glaube unsichtbar zu sein"...), solltest du ihn einfach deaktivieren...
Gruß
Backslash