none
TMG 2010 Std отклоняет соединения 0xc0040017 FWX_E_TCP_NOT_SYN_PACKET_DROPPED DMZ SMTP RRS feed

  • Вопрос

  • Здравствуйте. Нужна помощь в диагностике/решении проблемы.

    =======

    Конфигурация TMG и сетей:

    Трехзонный шаблон, сеть ДМЗ: 10.10.85.0/24.

    Отношение сетей ДМЗ -> Внешняя = NAT.

    =======

    Почтовый шлюз (ОС: Debian Linux R5, МТА: Exim 4) стоит в ДМЗ с адресом 10.10.85.13. На TMG почтовый шлюз опубликован обычным правилом публикации ("Опубликовать протоколы не веб-серверов"), протокол "SMTP-сервер". Почтовому шлюзу разрешено ходить в Интернет по всем протоколам. Исходящая почта пересылается на внешний smarthost провайдера.

    =======

    Описание проблемы.

    Скапливается очередь исходящих писем на почтовом шлюзе, в логах почтовика - таймауты подключения. В логах TMG в этот момент - многочисленные ошибки:

     

    IP-адрес клиента: 10.10.85.13

    IP-адрес назначения: <внешний_IP-адрес_почтового_шлюза_провайдера>

    Порт назначения: 25

    Используемый протокол: SMTP

    Действие: Отклоненное соединение

    Код результата: 0xc0040017 FWX_E_TCP_NOT_SYN_PACKET_DROPPED

    Состояние: "Был удален пакет, не являющийся SYN-пакетом, поскольку он был отправлен источником, не имеющим установленного соединения с компьютером Forefront TMG."

     

    В итоге почта так и уходит - небольшими порциями: то TMG отклонит соединение, то разрешит соединение, то отклонит все соединения и надолго (накапливается очередь).

    Почему такое происходит? Где кроется причина? На старой ISA 2006 такой проблемы не наблюдалось.


    29 апреля 2011 г. 11:34

Все ответы

  • У вас что-то с роутингом сети 10.10.85.0/24

     

     


     

    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/



    30 апреля 2011 г. 13:31
    Модератор
  • хмм... А что же может быть такого с роутингом в такой простой конфигурации?

    Адрес почтовика 10.10.85.13, основной шлюз там прописан - адрес ТМЖ в ДМЗ: 10.10.85.10.

     

    Понаблюдал еще за другим потоком почты, на этот раз входящей - с того самого почтового шлюза (10.10.85.13) на так называемый "back-end" почтовик, который находится в локальной сети (адрес 10.7.130.200). А там - та же картина! Только отклоненных пакетов намного меньше, почти всё проходит успешно.

     

    Всё еще надеюсь на вашу помощь, господа специалисты. Ломаю голову бестолку...

  • Ап темы. Поскольку никто не решился дать даже совет или запросить какую-либо дополнительную информацию, то выкладываю свои наработки.

    Решил попробовать собрать дамп tcp-пакетов (занимаюсь этим впервые) и проанализировать их в соответствии с журналом TMG.

    Итак, дамп включался на почтовом шлюзе в ДМЗ, одновременно на ТМЖ запускался запрос в закладке "ведение журнала" с фильтром IP-адреса клиента "10.10.85.13" на IP-адрес назначения "194.61.0.208" (адрес релея провайдера).

    Лог ТМЖ и ТСР-дамп с почтовика оформил в файл Excel с двумя листами соответственно. Ссылка на файл:

    http://62.231.20.189/debug/2011-05-05_from_10.10.85.13_to_194.67.1.208.xlsx

    Отформатировал лог ТМЖ: убраны "пустые" и ненужные столбцы, подсветил отклоненные пакеты.

    Чтоб долго не искать что там и где, расскажу сразу куда смотреть и обращать внимание для сравнения.

    1. Нормальная отправка почты с почтового шлюза 10.10.85.13 на релей провайдера, т.е. почта успешно уходит несмотря на "отклоненные соединения" в логе ТМЖ.

    Лог ТМЖ: номера строк Excel 34-37, исходящий порт 37915 (первый столбец).

    ТСР-дамп: номера строк Excel 448-505.

    2. Неудачная отправка почты с почтового шлюза 10.10.85.13 на релей провайдера, т.е. письма остаются в очереди, в логе почтовика - таймауты подключения на 25-ый порт релея провайдера. Это следующее соединение после указанного выше.

    Лог ТМЖ: номера строк Excel 38-49, исходящий порт 37918 (первый столбец).

    ТСР-дамп: номера строк Excel 506-553, 600.

    Последующие несколько попыток что-то отправить также были неудачными, после чего наш шлюз замораживал сообщения в очереди до следующей попытки отправить сообщения.

    По тср-дампам можно заметить разницу в поведении двух серверов при удачной и неудачной пересылке почты, надеюсь местные гуру всё поймут без моих комментариев.

    ТСР-дамп собирал программой "tcpdump version 3.9.8 (libpcap version 0.9.8)", расшифровывал и экспортировал дампы программой "Wireshark Network Protocol Analyzer version 1.4.6 (SVN Rev 36706 from /trunk-1.4)".

  • какие сетевые адаптеры установлены на сервере?
    как определены подсети?
    какие шлюзы указаны в настройках подключений?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
  • Сетевые адаптеры:

    HP NC382i DP Multifunction Gigabit Server Adapter
    Device ID: B06BDRV\L2ND&PCI_163914E4&SUBSYS_7055103C&REV_20

    И таких четыре (4) штуки, встроенные в сервер. Используются только три (3).

    =====

    Подсети и шлюзы:

    1. Внутренняя: адреса 10.7.128.0-10.7.131.255. Связана с адаптером, конфигурация которого (вывод команды ipconfig /all):

    Ethernet adapter LAN:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : HP NC382i DP Multifunction Gigabit Server Adapter #4
       Физический адрес. . . . . . . . . : 3C-4A-92-F4-F4-5C
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 10.7.130.218(Основной)
       Маска подсети . . . . . . . . . . : 255.255.252.0
       Основной шлюз. . . . . . . . . :
       DNS-серверы. . . . . . . . . . . : 10.7.130.182
                                           10.7.130.183
       NetBios через TCP/IP. . . . . . . . : Включен

     

    2. Демилитаризованная зона: адреса 10.10.85.0-10.10.85.255. Связана с адаптером, конфигурация которого (вывод команды ipconfig /all):

    Ethernet adapter DMZ:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : HP NC382i DP Multifunction Gigabit Server Adapter #3
       Физический адрес. . . . . . . . . : 3C-4A-92-F4-F4-5E
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 10.10.85.10(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . :
       NetBios через TCP/IP. . . . . . . . : Включен

     

    3. Внешняя. Связана с адаптером, конфигурация которого (вывод команды ipconfig /all):

    Ethernet adapter WAN1:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : HP NC382i DP Multifunction Gigabit Server Adapter #2
       Физический адрес. . . . . . . . . : 3C-4A-92-F4-F4-60
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 62.231.20.185(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.128
       Основной шлюз. . . . . . . . . : 62.231.20.129
       NetBios через TCP/IP. . . . . . . . : Включен

  • обновления на tmg установлены? прошивки адаптеров последние? драйверы последние?

    Если разрешить все всюду проблема сохранится?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
  • Обновления на TMG установлены все. Прошивки адаптеров поменял на последние, драйверы переустановил на самые последние. Ситуация не изменилась.

     

    А что значит "разрешить всё всюду"? Создать правило доступа? Между какими сетями?

  • Посмотрите еще настройки на сетевом оборудовании: ошибки на портах, скорость, дуплекс - иногда бывает отключена автонастрйка или наоборот автонастройка портов не работает... Например, на коммутаторе стоит Half-Duplex, а на сервере Auto или Full-Duplex - потерянных пакетов будет море.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    Модератор
  • Посмотрите еще настройки на сетевом оборудовании: ошибки на портах, скорость, дуплекс - иногда бывает отключена автонастрйка или наоборот автонастройка портов не работает... Например, на коммутаторе стоит Half-Duplex, а на сервере Auto или Full-Duplex - потерянных пакетов будет море.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    Настройки проверены, на всех интерфейсах ТМЖ и коммутаторов стоит Auto Speed & Duplex, ошибок на портах нет.
  • а на почтовом шлюзе? Другой сетевой адаптер не пробовали ставить?

    опять же дежурный вариант с отключением receive side scaling и tcp offload на tmg проверяли?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
  • а на почтовом шлюзе? Другой сетевой адаптер не пробовали ставить?

    опять же дежурный вариант с отключением receive side scaling и tcp offload на tmg проверяли?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    На почтовом шлюзе другие адаптеры поставить не удастся, сейчас там 2 встроенных, сервер IBM xSeries 306m.

     

    Отключить на всех интерфейсах ТМЖ "receive side scaling" и "tcp offload"? Пока не пробовал, попробую.

     

    Нашел вот такую статейку:

    http://www.forefrontsecurity.org/Home/RSSDetails/tabid/349/Item/Forefront_TMG_2010_vs_TCP_split_handshake/Default.aspx

    Думаю, это имеет отношение к проблеме. Что скажете?

  • Отключал на всех интерфейсах ТМЖ "receive side scaling" и "tcp offload" - результата нет.