Página 3 de 3
Re: Fortigate
Publicado: 03 Dic 2013, 13:23
por gabyrossi
Hola, si te fue bien, me parece perfecto. Lo que no veo bien es que recomiendes a todos por cualquier problema hacer downgrade, y peor aun sin saber que firmware tienen.
saludos.
Re: Fortigate
Publicado: 03 Dic 2013, 14:06
por tremen
gabyrossi,
Te vuelvo a repetir, que el downgrade fué recomendado por el propio fabricante, al menos en nuestro caso, por los problemas con la mr3, y este problema que se está tratando en cuestión en este hilo "no session matched". Cada uno que interprete la información del foro como crea conveniente.
Y por favor, infórmate bien antes de hacer según qué afirmaciones , así quizás puedas ver que se exponen las versiones que se están usando en cada uno de los equipos de los foreros.
Te recomiendo que te releas el hilo..
saludos
Re: Fortigate
Publicado: 03 Dic 2013, 14:20
por gabyrossi
Hola, gracias por tus consejos, y estoy bastante informado sobre fortinet.
msarries,
cuando tengas novedades sobre tu tema nos comentas.
saludos.
Re: Fortigate
Publicado: 05 Dic 2013, 13:59
por msarries
Buen dia,
me surgio el siguiente problema haciendo un sniffer sobre el equipo con sessiones que son bloqueadas con el mensaje "no session matched" (por ahi esto corresponde a otro hilo).
Siempre que realizaba el sniffer lo filtraba por las interfaces de entrada o de salida, ahora bien, en el campo de interfaz puse "any" y filtraba por la ip destino que me bolquean las sesiones, con la opción 4. (diag snif packet any 'host ip destino' 4).
El resultado de este comando me muestra la secuencia de conexiones:
(por cuestiones de velicodades de las interfaces en la wan2 esta conectado mi router, en el port3 el ISP)
135.063701 wan2 in 192.168.48.1.53687 -> 200.51.229.41.80: syn 1305375026
135.063790 port3 out 200.5.118.131.60735 -> 200.51.229.41.80: syn 1305375026
135.063796 eth0 out 200.5.118.131.60735 -> 200.51.229.41.80: syn 1305375026
135.065908 port3 in 200.51.229.41.80 -> 200.5.118.131.60735: rst 1552979869 ack 1305375027
135.065938 wan2 out 200.51.229.41.80 -> 192.168.48.1.53687: rst 1552979869 ack 1305375027
135.065942 eth0 out 200.51.229.41.80 -> 192.168.48.1.53687: rst 1552979869 ack 1305375027
las que me llaman la atención son las conexiones en negrita desde la interfaz eth0, luego de esta se hace el reset de la conexion y en el log aparecen como "no session matched".
Por lo que tengo entendido la eth0 hace referencia al SO del equipo, no se por que motivo el intenta conexiones...
Saben si esto es correcto?
Saludos.-
Re: Fortigate
Publicado: 09 Dic 2013, 13:41
por msarries
Bueno, despues de todo lo realizado, el sábado alctualice el firmware a la version 5.0.4, el problema continuó si realizo el NAT con la ip de la interfaz del equipo, ahora si hago en NAT con otra IP empieza a funcionar.
Con respecto a comentarios sobre la nueva version de firmware, los realizaré en otro hilo.
Saludos.-
Re: Fortigate
Publicado: 09 Dic 2013, 22:42
por tremen
entonces continuas con el problema de los errores "no session matched"?
Re: Fortigate
Publicado: 11 Dic 2013, 12:27
por msarries
El problema continuó, "no session matched" aparece cuando se natea con la ip de la interfaz del equipo.
Saludos.-
Re: Fortigate
Publicado: 12 Dic 2013, 08:12
por tremen
Gracias msarries..
Saludos
Re: Fortigate
Publicado: 23 Ene 2014, 18:36
por tremen
hola.. ha salido una nueva versión 5 patch 5 que nos ha recomendado probar el fabricante como estable.. y madura.. veremos, estamos probando en un equipo de pruebas, antes de probarlo en producción.. si alguien se anima, que comente..
Nosotros al subir la versión, ha dado algunos errores de errores en la config..
Re: Fortigate
Publicado: 28 Ene 2014, 13:30
por panlactal
Estimados,
Nos empezo a surgir este problema de "no session matched" y otro de "org dir, ack in state syn_sent, drop" de repente en un 40C Os4.MR3.Patch10. A que se debe el problema? es falta de sessiones libres en el equipo? un problema de firmware?
El equipo estuvo funcionando correctamente por casi 10 meses y hoy empezo con este problema en un enlace ipsec.
Muchas gracias.
Re: Fortigate
Publicado: 28 Ene 2014, 13:50
por gabyrossi
hola... habria que ver bien el trafico...
revisa los relase note, para llevarlo a 4.0 mr3 patch 15.
saludos.
Re: Fortigate
Publicado: 28 Ene 2014, 22:01
por panlactal
Les paso lo que encontre en el foro de fortinet, es la respuesta oficial del soporte de fortinet sobre el error "no session matched"
Regarding reasons why the "no session matched" might appear in the logs:
a. If strict-dirty-session check is enabled, Fortigate unit will delete the session if a routing or policy change causes the session to no longer match the policy. But it is not the case, because you have this setting disabled.
b. Log with message 'no session matched' is generated when a client tries to connect to a server with an old/expired connection which the Firewall doesn't have any session opened for anymore.
Example:
- A user connects to the server and keeps the connection idle
- Fortigate will have a session for this connection
- After idle timeout, the Firewall will remove this session from its session table
- However, the user tries to use the same old session and the Firewall will block this access saying "no session matched"
c. It could also be due to one side sending the "fin/ack" packets to close the session. After the session is closed, a duplicate packet that is still on the network is received however, the session was already removed from the session table on the FGT.