Server bag PIX firewall taber forbindelse til efter opdatering

Jeg har netop lige haft et udfald og prøve så, at pinge Server3 fra Server1.
Dette gjorde at pinge mellem Server1 og Server2 og Server2 og Server1 virkede igen.

Om det er et tilflæde.... ved ikke...  må prøve igen ved næste udfald.

Der kom lige et udfald igen mellem Server1 og Server2.
Så jeg prøvede en ping mod Server3 fra Server1 og så vågnede ping mellem Server1 og Server2 og Server2 og Server1 op igen.

Nogle der kan forklare denne adfærd ?!?

Hvordan er de to servere placeret i forhold til PIX'en. På samme side, på hver sit segment, foran/bagved?

De sidder på samme segment bagved firewallen.

Så burde problemet ikke wære firewallen, den filtrere jo kun trafik der passere den.

Jeg har før oplevet et netkort der stod af i forbindelse med noget vedligeholdelse et andet sted i nettet, det tog mange timer at finde.

Prøv først at pinge 127.0.0.1 på begge dine servere. hvis det ikke viser problemer, så prøv at skifte netkort i dem begge. det ville slet ikke undre mig hvis det hjalp

Jeg fik lige en "død" periode igen, hvor der ikke er hul fra Server1 til Server2 og Server2 til Server1.
For sjov lavede jeg en "arp -d" på Server1, og vupti så virkede forbindelsen mellem Server1 og Server2 samt Server2 og Server1 igen.

Jeg synes det virker meget underligt. Som om der er nogle connections der ikke selv kan forny sig efter udløb eller noget i den stil...

>bufferzone
Jeg tror stadigvæk det er firewallen, for der er fint hul udefra til de pågældende servere. Hvis det var netkort, så burde der også være problemer derfra.

Min erfaring er at netkort kan give de mærkeligste problemer. I min verden skulle firewallen ikke kunne give problemer for trafik mellem to servere på samme segment, hvis ikke firewallen er placeret mellem disse to

Jeg tvivler på, at 2 forskellige servere med forskellige netkort skulle blive defekte på præcis samme tid.

Tror nu mere på at det er firewallen der driller... kan bare ikke gennemskue hvad.

Sådan nogle spørgsmål her er grunden til at jeg elsker eksperten.. 10 minutters god hjernegymnastik =)

Så ved at skrive arp -d fjerner du ip til mac associeringen i arp cache, og tvinger et nyt ARP broadcast igennem. Hvorefter det tilsyneladende virker.
Prøv engang at sammenligne output af arp -a når det virker og når det ikke virker. Jeg vil skyde på at det ikke er den samme.

Kan du se noget i PIX dokumentationen om der skulle være noget nyt sikkerhed i forbindelse med ARP? Kan ikke lige forestille mig hvad det skulle være, for så er det noget nyt jeg ikke har hørt om endnu. Firewall kunne tænkes at stå og svare på ARP broadcasts som den ikke burde svare på, men du kan jo se efter om firewalls MAC adresse på en eller anden måde figurerer i arp cache hvor den ikke burde gøre det...

Jeg venter i spænding på hvad du finder ud af.

Noget siger mig at vi på en eller anden måde er nede på etherframe niveau, og så skal du ikke underkende bufferzone's forklaring endnu...

Det er meget underligt.....

Før forbindelsen ryger:

- ARP tabel på Server1 -
GATEWAY  XX-XX-XX-XX-XX-00
SERVER2  XX-XX-XX-XX-XX-22

- ARP tabel på Server2 -
GATEWAY  XX-XX-XX-XX-XX-00
SERVER1  XX-XX-XX-XX-XX-11

Når forbindelsen ryger, ser ARP tabel på Server2 således ud:

- ARP tabel på Server2 -
GATEWAY  XX-XX-XX-XX-XX-00
SERVER1  XX-XX-XX-XX-XX-00

Altså Server2 mener at Server1 har samme MAC som gateway (PIX)

Jeg har også fundet ud af, at det kun er fra Server1 at en "ARP -d" virker.

Jeg har også oplevet, at der er andre af mine servere, der har svært ved at forbinde til hinanden. Så jeg tvivler stadigvæk på det med netkort i en eller flere servere...

men når forbindelsen er røget så ser ARP tabel på server 1 stadig ud på samme måde som før?

Ja, ARP tabel på Server1 ændre sig ikke.

Men du kender vel godt princippet i ARP broadcast?

Server 2 vil sende etherframes til server 1, og udbeder sig MAC adressen på server 1 interface ip ved hjælp af ARP. Gemmer herefter MAC i arp cache så den ikke skal gøre det hver gang der skal sendes en ny frame ud.

Mulighederne er så:
Server 1 svarer på ARP request, men sender den forkerte MAC adresse tilbage.
Firewall svarer på ARP request (det bør den ikke), og sender sin egen MAC adresse tilbage.
Der svares ikke på ARP request, hvorefter server 2 måske defaulter til MAC adresse på gateway.

Men hvorfor pokker det så virker at flushe ARP cache på server1 fatter jeg ikke. Det burde jo være server2 arp cache der skal flushes hvis tesen skal holde vand.

hmm det lyder måske fjoget, men kan PIX stå og forvirre din switch på en eller anden måde?

Jeg kom lige til at tænke på en ting.
Kan det have noget at gøre med at vi bruger "alias" i pix'en?

Synes nu at kunne huske noget med arp og brugen af alias....

måske.. der er vist også noget med at ARP proxies er blevet mere populære på det seneste.

Jeg har fundet dette dokument fra Cisco.
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080094aee.shtml

sysopt noproxyarp internal_interface

tror jeg...

Det var også det jeg fik ud af at læse det.
Så den er jeg ved at teste :o)

Nu har det da hold sig oppe i over 30 min.
Men venter lige til imorgen med at juble...

;)

Venter i spænding.

og lægger et svar.. for jeg tror nok det skal funke, men vi får se i morgen.

Det ser ud til at det stadigvæk fungere!
Så jeg vil gerne give point for den fremragende ledetråd :o)