ISA2K6EE NLB | Cisco Catalyst 4507 Switch | 0xc0040017 FWX_E_TCP_NOT_SYN_PACKET_DROPPED

30/10/2007 - 21:07 von Markus Jupe | Report spam
Hallo zusammen,

ich habe im ISA 2006 EE ein schwerwiegendes Problem. Würde mich über Eure
Hilfe sehr freuen...

Das ISA LOG meldet folgende Fehler...

192.166.84.14(Extern) - TCP - - - 192.168.0.73 30.10.2007
09:01:50 13060 0 0 0 0x0 0x0 - 192.166.84.14 194.180.79.98 25 SMTP
Verweigerte Verbindung 0xc0040017 FWX_E_TCP_NOT_SYN_PACKET_DROPPED Extern
DMZ 1 - ISASRV02 Firewall

194.180.77.49(Intern) - TCP - - - 192.168.0.21 30.10.2007
09:02:02 13196 0 0 0 0x0 0x0 - 194.180.77.49 194.180.79.98 8080 http_proxy
Verweigerte Verbindung 0xc0040017 FWX_E_TCP_NOT_SYN_PACKET_DROPPED Intern
DMZ 1 - ISASRV01 Firewall


Das ISA 2006 EE Network Design ist so aufgebaut.

Internet
|
CAT4507 -VLAN (Extern)
|
VIP(NLB-Extern)
| |
IP-Extern1 IP-Extern2
################
(ISA2KEE-01) (ISA2KEE-02) ____
|____________________________ (CAT4507- VLAN-DMZ) - (VIP - NLB DMZ1)
<-> IP-DMZ1 + IP-DMZ2
(ISA2KEE-01) (ISA2KEE-02)
################
IP-Intern1 IP-Intern2
| |
VIP(NLB-Intern)
|
CAT4507 -VLANs (Intern)
L3 Switch
|
Internal LAN

Cisco Catalyst 4507 (L3 Switch ;-) )
################

MAC-Tabelle für die internen InterfacesISASRV01 + 02 (mit tatsàchlichen
HW-Adressen)

VLAN MAC Eintrag IF
47 0202.c0a8.0012 dynamic ip,other GigabitEthernet7/3
47 0203.c0a8.0012 dynamic ip,other GigabitEthernet6/23

ARP-Tabelle mit den eingetragenen MAC-Adressen mit maskierter HW-Adresse

Internet 192.168.0.18 109 02bf.c0a8.0012 ARPA Vlan47
Internet 192.168.0.21 8 02bf.c0a8.0012 ARPA Vlan47
Internet 192.168.0.22 18 02bf.c0a8.0012 ARPA Vlan47


Die statischen Routen sind im ISA richtig konfiguriert.

Das NLB wird vom ISA übernommen. (Integrierter Modus)

Ansonsten funktioniert der Aufbau ohne "Probleme", es treten "lediglich"
diese TCP SYN Fehler auf, wobei dann aber auch zuerst keine Verbindung
zustande kommt. Versuche ichdann nochmal zu "surfen" funktioniert es
wiederalso temporàre Ausfàlle!

# Die ISA Sicherheitsfunktionen sind alle "ausgeschaltet" (Flutüberwachung
etc.)

# Wichtig: Es ist Windows Server 2003 Enterprise Edition SP2 installiert.

# Hier sind bereits auch die "SynProtect Features" deaktiviert!

# ISA 2006 EE ist auf aktuellen Patchstand. "Supportability Pack"

Hat jemand Erfahrung mit Cisco Switches und NLB bzw ISA 2006 EE
Installationen?

1000Dank für irgendeine Idee;-)

Grüße
Markus
 

Lesen sie die antworten

#1 Benjamin Wagrocki
31/10/2007 - 21:44 | Warnen spam
Moin,

also generell scheint ISA und NLB ein doofes Thema zu sein. Ich
hatte/habe damit momentan selber Probleme.

Aber ich kann Dir evtl. nur einen Tip geben, den man mal ausprobieren
könnte. Auf dem Cisco Geràt sofern möglich bzgl. STP
(SpannigTreeProtocol) für die ISA Ports deaktiveren. Ich meine dass das
bei Cisco geht, nennt sich glaub Fast Forward???

Ist halt nur so eine Idee. Evtl. besser als nichts. Und vielleicht hilft
es ja sogar.

Gruß
-Benjamin-

Ähnliche fragen