Página 1 de 3
Fortigate
Publicado: 03 Ago 2012, 11:11
por jonypc
Hola,
Tenemos un Fortigate 300c con problemas de "no session matched" en muchas de las conexiones.
Investigando hemos visto que parece como si no se cerraran las sesiones ni en cliente ni en servidor.
Espero nos podais dar alguna pista.
Re: Fortigate
Publicado: 03 Ago 2012, 19:40
por gabyrossi
Hola, que firmware tenes?
Re: Fortigate
Publicado: 06 Ago 2012, 16:02
por jonypc
v4.0,build0632,120705 MR3 8
Re: Fortigate
Publicado: 21 Ago 2012, 13:42
por tremen
Me uno al caso.. tenemos el mismo equipo que jonypc exactamente con la misma versión de firm
Por nuestra parte, hemos detectado que incia conexión, finaliza, y en el momento de finalizar.. el cliente intenta finalizar la conexión con el servidor, pero parece que el fw no lo transmite.. (según captura realizda desde el mismo forti 300c) y es cuando aparecen los "no session matched" cada vez que el cliente intenta hacer un "psh fin" que no llega al servidor, y que entra por la interface de entrada, pero no se vé por la interface de salida..
saludos
Re: Fortigate
Publicado: 21 Ago 2012, 16:58
por gabyrossi
Hola pudieron hacer algun debug??
diag debug enable
diag debug flow filter addr <IP address of [Debes identificarte para poder ver enlaces.]>
diag debug flow show console enable
diag debug flow show function-name enable
diag debug flow trace start 100
Re: Fortigate
Publicado: 26 Nov 2012, 15:59
por fortiivan
Buenas, administro un Fortigate 200B con v4.0 (MR3 Patch 9) y me aparecen mensajes "no session matched". En particular me afecta a las conexiones de clientes con servidores de base de datos. ¿Existe alguna solución a este problema?
Re: Fortigate
Publicado: 26 Nov 2012, 16:04
por tremen
Por nuestra parte, hemos bajado a la versión MR2. En esta versión no se produce el problema.
Saludos
Re: Fortigate
Publicado: 26 Nov 2012, 16:06
por fortiivan
La salida del debug es la siguiente:
id=36871 trace_id=2114 func=resolve_ip_tuple_fast line=3769 msg="vd-root received a packet(proto=6, 192.168.1.X:5432->192.168.2.X:1559) from port3."
id=36871 trace_id=2114 func=vf_ip4_route_input line=1591 msg="find a route: gw-192.168.2.X via port2"
id=36871 trace_id=2114 func=fw_forward_dirty_handler line=295 msg="no session matched"
Re: Fortigate
Publicado: 27 Nov 2012, 13:37
por gabyrossi
hola, estas usando policy routes?????????
Re: Fortigate
Publicado: 04 Dic 2012, 12:27
por fortiivan
No, no utilizo policy routes.
Re: Fortigate
Publicado: 04 Dic 2012, 12:51
por fortiivan
El tráfico va de una red a la otra (ANY service) sin restricción y sin nateo.
Re: Fortigate
Publicado: 28 Nov 2013, 15:23
por msarries
Hola,
estoy teniendo el mismo problema, tengo un FGT111C con firmware v4 mr3 patch 5. Hay determinadas sesiones que no machean en la regla de firewall y terminan cayendo en la regla implicita, por lo que bloquea esas sesiones, particularmente me pasa con la página de homebanking de banco frances y con la página del diario el día.
Saben si con el upgrade y downgrade de firmware les funciono?
Gracias.-
Re: Fortigate
Publicado: 28 Nov 2013, 15:56
por tremen
Con el upgrade no sé.. pero con el downgrade a la mr2, a nosotros nos funcionó.. haz backup de la config, y haz el downgrade, ya nos contarás el resultado.
saludos
Re: Fortigate
Publicado: 28 Nov 2013, 15:56
por tremen
Con el upgrade no sé.. pero con el downgrade a la mr2, a nosotros nos funcionó.. haz backup de la config, y haz el downgrade, ya nos contarás el resultado.
saludos
Re: Fortigate
Publicado: 28 Nov 2013, 16:10
por gabyrossi
Hola, nunca es recomendado un downgrade y menos por este tema....
Podrias mostrar las politicaS?
si lo que buscas es matchear un destino va a ser dificil que sea y menos por https.
lo recomendandfo es que en el perfil web esa url la dejas allow.
slaudos.