Fortigate

jonypc · Mensaje por **jonypc** » 03 Ago 2012, 11:11

Hola,
Tenemos un Fortigate 300c con problemas de "no session matched" en muchas de las conexiones.
Investigando hemos visto que parece como si no se cerraran las sesiones ni en cliente ni en servidor.
Espero nos podais dar alguna pista.

Mensaje por **gabyrossi** » 03 Ago 2012, 19:40

Hola, que firmware tenes?

jonypc · Mensaje por **jonypc** » 06 Ago 2012, 16:02

v4.0,build0632,120705 MR3 8

tremen · Mensaje por **tremen** » 21 Ago 2012, 13:42

Me uno al caso.. tenemos el mismo equipo que jonypc exactamente con la misma versión de firm

Por nuestra parte, hemos detectado que incia conexión, finaliza, y en el momento de finalizar.. el cliente intenta finalizar la conexión con el servidor, pero parece que el fw no lo transmite.. (según captura realizda desde el mismo forti 300c) y es cuando aparecen los "no session matched" cada vez que el cliente intenta hacer un "psh fin" que no llega al servidor, y que entra por la interface de entrada, pero no se vé por la interface de salida..

saludos

Mensaje por **gabyrossi** » 21 Ago 2012, 16:58

Hola pudieron hacer algun debug??

diag debug enable

diag debug flow filter addr <IP address of [Debes identificarte para poder ver enlaces.]>

diag debug flow show console enable

diag debug flow show function-name enable

diag debug flow trace start 100

fortiivan · Mensaje por **fortiivan** » 26 Nov 2012, 15:59

Buenas, administro un Fortigate 200B con v4.0 (MR3 Patch 9) y me aparecen mensajes "no session matched". En particular me afecta a las conexiones de clientes con servidores de base de datos. ¿Existe alguna solución a este problema?

tremen · Mensaje por **tremen** » 26 Nov 2012, 16:04

Por nuestra parte, hemos bajado a la versión MR2. En esta versión no se produce el problema.

Saludos

fortiivan · Mensaje por **fortiivan** » 26 Nov 2012, 16:06

La salida del debug es la siguiente:

id=36871 trace_id=2114 func=resolve_ip_tuple_fast line=3769 msg="vd-root received a packet(proto=6, 192.168.1.X:5432->192.168.2.X:1559) from port3."
id=36871 trace_id=2114 func=vf_ip4_route_input line=1591 msg="find a route: gw-192.168.2.X via port2"
id=36871 trace_id=2114 func=fw_forward_dirty_handler line=295 msg="no session matched"

Mensaje por **gabyrossi** » 27 Nov 2012, 13:37

hola, estas usando policy routes?????????

fortiivan · Mensaje por **fortiivan** » 04 Dic 2012, 12:27

No, no utilizo policy routes.

fortiivan · Mensaje por **fortiivan** » 04 Dic 2012, 12:51

El tráfico va de una red a la otra (ANY service) sin restricción y sin nateo.

msarries · Mensaje por **msarries** » 28 Nov 2013, 15:23

Hola,

estoy teniendo el mismo problema, tengo un FGT111C con firmware v4 mr3 patch 5. Hay determinadas sesiones que no machean en la regla de firewall y terminan cayendo en la regla implicita, por lo que bloquea esas sesiones, particularmente me pasa con la página de homebanking de banco frances y con la página del diario el día.

Saben si con el upgrade y downgrade de firmware les funciono?

Gracias.-

tremen · Mensaje por **tremen** » 28 Nov 2013, 15:56

Con el upgrade no sé.. pero con el downgrade a la mr2, a nosotros nos funcionó.. haz backup de la config, y haz el downgrade, ya nos contarás el resultado.

saludos

tremen · Mensaje por **tremen** » 28 Nov 2013, 15:56

Con el upgrade no sé.. pero con el downgrade a la mr2, a nosotros nos funcionó.. haz backup de la config, y haz el downgrade, ya nos contarás el resultado.

saludos

Mensaje por **gabyrossi** » 28 Nov 2013, 16:10

Hola, nunca es recomendado un downgrade y menos por este tema....

Podrias mostrar las politicaS?
si lo que buscas es matchear un destino va a ser dificil que sea y menos por https.
lo recomendandfo es que en el perfil web esa url la dejas allow.

slaudos.

Comunidad FORTIGATE.es

Fortigate

Fortigate

Re: Fortigate

Re: Fortigate

Re: Fortigate

Re: Fortigate

Re: Fortigate

Re: Fortigate

Re: Fortigate

Re: Fortigate

Re: Fortigate

Re: Fortigate

Re: Fortigate

Re: Fortigate

Re: Fortigate

Re: Fortigate