Hallo,
Kan iemand mij uitleggen wat de melding exact zegt? Ik heb tonnen aan informatie gelezen over securitylevels, over assymetrische routeringen over globale accesslists en noem maar op. Maar de exacte definitie van de foutmelding kan ik niet vinden.
Het gaat om Inbound TCP connection denied from ipSIPCENTRALE/60747 to ipSIPCLIENT/8085 flags SYN on interface
Ik zal even de situatie schetsen (sorry voor de crappy paint
)
Dit is de situatie. Eerder zat de SIP client ook gewoon op de fortigate maar vanwege een migratie moet dat nu even op deze manier en gaat de SIP client achter de ASA en zit de centrale achter de fortigate.
Op de ASA staat een route naar 172.16.3.x/24 (to fortigate)
Op de fortigate staat een route naar 10.0.0.x/24 (to asa)
Ook worden op beide firewalls het traffic allowed.
Securitylevel heb ik op 50 gehad en op 5, dit maakt geen verschil.
Er zijn geen globale accesslists die dit blokkeren of enigsinds beinvloeden.
NAT is niet aanwezig, alles wordt gerouteerd.
Nu krijg ik de melding dus op de interface van de ASA waar de voipclient op zit. Eerder heb ik deze melding wel eens gehad bij een gelijk securitylevel, dan moet je intra interface traffic aanzetten maar nu lijkt het niet eens op het probleem van toen..
Wat zegt de melding precies? Is het zo dat er een synflag gezet wordt op de transport-VLAN-interface waarna ook de sipclient-interface een SYNflag probeert te setten en het daarom botst met elkaar? Veel meer kan ik er niet van maken?
Edit ; dit kwam naar voren in een change die nu gerollbackt is, maar dit was niet het voornaamste probleem om de rollback te doen. Toch ben ik er niet helemaal gerust op, ik heb 18K hits op de accesslist waarvan er 100 of 200 terug komen met deze synflag melding. De change moet nog gaan gebeuren en daarom wil ik even weten waar ik tegen aan kijk.
Alvast bedankt
Kan iemand mij uitleggen wat de melding exact zegt? Ik heb tonnen aan informatie gelezen over securitylevels, over assymetrische routeringen over globale accesslists en noem maar op. Maar de exacte definitie van de foutmelding kan ik niet vinden.
Het gaat om Inbound TCP connection denied from ipSIPCENTRALE/60747 to ipSIPCLIENT/8085 flags SYN on interface
Ik zal even de situatie schetsen (sorry voor de crappy paint
)Dit is de situatie. Eerder zat de SIP client ook gewoon op de fortigate maar vanwege een migratie moet dat nu even op deze manier en gaat de SIP client achter de ASA en zit de centrale achter de fortigate.
Op de ASA staat een route naar 172.16.3.x/24 (to fortigate)
Op de fortigate staat een route naar 10.0.0.x/24 (to asa)
Ook worden op beide firewalls het traffic allowed.
Securitylevel heb ik op 50 gehad en op 5, dit maakt geen verschil.
Er zijn geen globale accesslists die dit blokkeren of enigsinds beinvloeden.
NAT is niet aanwezig, alles wordt gerouteerd.
Nu krijg ik de melding dus op de interface van de ASA waar de voipclient op zit. Eerder heb ik deze melding wel eens gehad bij een gelijk securitylevel, dan moet je intra interface traffic aanzetten maar nu lijkt het niet eens op het probleem van toen..
Wat zegt de melding precies? Is het zo dat er een synflag gezet wordt op de transport-VLAN-interface waarna ook de sipclient-interface een SYNflag probeert te setten en het daarom botst met elkaar? Veel meer kan ik er niet van maken?
Edit ; dit kwam naar voren in een change die nu gerollbackt is, maar dit was niet het voornaamste probleem om de rollback te doen. Toch ben ik er niet helemaal gerust op, ik heb 18K hits op de accesslist waarvan er 100 of 200 terug komen met deze synflag melding. De change moet nog gaan gebeuren en daarom wil ik even weten waar ik tegen aan kijk.
Alvast bedankt
[ Voor 10% gewijzigd door wallywally op 05-10-2017 17:00 ]
:strip_icc():strip_exif()/u/212310/6.jpg?f=community)
/u/106515/crop568c07fed5472.png?f=community)
:strip_exif()/u/42858/matrix-icon.gif?f=community){kind=icon}