ISA 2006 - SSH Verbindungsabbruch nach 24h
Hallo,
ich habe folgendes Problem, für welches ich trotz intensiver Recherche bisher keine brauchbare Lösung finden konnte
Zwischen zwei PCs in verschiedenen Netzsegmenten, welche über eine MS ISA 2006 Firewall voneinander separiert sind soll eine SSH Verbindung aufgebaut werden. Die Konfiguration ist dabei wie folgt
- Microsoft Windows Server 2003 mit OpenSSH
- Microsoft ISA 2006 Firewall mit SP2 und Intel Pro/1000 GT Quad NIC
- Microsoft XP SP3 Client mit PuTTY SSH Client
Die SSH Verbindung zwischen Client und Server lässt sich problemlos aufbauen, jedoch bricht diese nach exakt 24 Stunden ab. Ich habe nun schon folgendes versucht, um das Problem einzugrenzen:
- ISA Client abgeschaltet => kein Verbindungsabbruch! Allerdings ist dies keine brauchbare Lösung für mein Problem
- Problem in einer virtuellen Umgebung nachgestellt => kein Verbindungsabbruch (???). Konnte jedoch keine Unterschiede in der Konfiguration feststellen. Vermutung: Vielleicht hat die Netzwerkkarte was damit zu tun?
- Flusskontrolle auf Intel NIC deaktiviert => kein Erfolg!
- Versuch, die Kommunikation des Control Channels zwischen ISA Client und ISA Server von TCP auf UDP umzustellen. Dazu habe ich auf dem Client eine Wspcfg.ini Datei im PuTTY Verzeichnis mit folgendem Inhalt erstellt
[PUTTY]
Disable=0
ControlChannel=Wsp.udp
=> kein Erfolg. Laut Wireshark läuft die Verbindung zwischen Client und ISA Server nach wie vor über TCP!
- Auf der ISA Firewall die Firewall Client Settings um den Eintrag "Application=Putty, Key=ControlChannel Value=wsp.udp" erweitert
=> kein Erfolg
- Trace der Verbindung mit Wireshark. Dabei zeigt sich folgendes Verhalten
Kurz vor Abbruch der Verbindung wird folgendes Paket von der ISA Firewall an den Client gesendet
8357 18:26:16.640443 192.168.168.23 192.168.168.103 TCP remote-winsock > health-trap [RST, ACK] Seq=1365 Ack=2882 Win=0 Len=0
unmittelbar vor Abbruch der Verbindung kommen dann noch ein paar Retransmissions
8364 18:27:16.467030 192.168.168.103 192.168.168.23 TCP [TCP Retransmission] health-polling > 50670 [PSH, ACK] Seq=134745 Ack=60885 Win=65535 Len=644
Danach bricht die SSH Verbindung mit folgendem Fehler ab
PuTTY Fatal Error: Network error: Software caused connection abort
Ich würde mich sehr freuen, wenn mir diesbezüglich jemand weiterhelfen könnte. Vielen Dank!
ich habe folgendes Problem, für welches ich trotz intensiver Recherche bisher keine brauchbare Lösung finden konnte
Zwischen zwei PCs in verschiedenen Netzsegmenten, welche über eine MS ISA 2006 Firewall voneinander separiert sind soll eine SSH Verbindung aufgebaut werden. Die Konfiguration ist dabei wie folgt
- Microsoft Windows Server 2003 mit OpenSSH
- Microsoft ISA 2006 Firewall mit SP2 und Intel Pro/1000 GT Quad NIC
- Microsoft XP SP3 Client mit PuTTY SSH Client
Die SSH Verbindung zwischen Client und Server lässt sich problemlos aufbauen, jedoch bricht diese nach exakt 24 Stunden ab. Ich habe nun schon folgendes versucht, um das Problem einzugrenzen:
- ISA Client abgeschaltet => kein Verbindungsabbruch! Allerdings ist dies keine brauchbare Lösung für mein Problem
- Problem in einer virtuellen Umgebung nachgestellt => kein Verbindungsabbruch (???). Konnte jedoch keine Unterschiede in der Konfiguration feststellen. Vermutung: Vielleicht hat die Netzwerkkarte was damit zu tun?
- Flusskontrolle auf Intel NIC deaktiviert => kein Erfolg!
- Versuch, die Kommunikation des Control Channels zwischen ISA Client und ISA Server von TCP auf UDP umzustellen. Dazu habe ich auf dem Client eine Wspcfg.ini Datei im PuTTY Verzeichnis mit folgendem Inhalt erstellt
[PUTTY]
Disable=0
ControlChannel=Wsp.udp
=> kein Erfolg. Laut Wireshark läuft die Verbindung zwischen Client und ISA Server nach wie vor über TCP!
- Auf der ISA Firewall die Firewall Client Settings um den Eintrag "Application=Putty, Key=ControlChannel Value=wsp.udp" erweitert
=> kein Erfolg
- Trace der Verbindung mit Wireshark. Dabei zeigt sich folgendes Verhalten
Kurz vor Abbruch der Verbindung wird folgendes Paket von der ISA Firewall an den Client gesendet
8357 18:26:16.640443 192.168.168.23 192.168.168.103 TCP remote-winsock > health-trap [RST, ACK] Seq=1365 Ack=2882 Win=0 Len=0
unmittelbar vor Abbruch der Verbindung kommen dann noch ein paar Retransmissions
8364 18:27:16.467030 192.168.168.103 192.168.168.23 TCP [TCP Retransmission] health-polling > 50670 [PSH, ACK] Seq=134745 Ack=60885 Win=65535 Len=644
Danach bricht die SSH Verbindung mit folgendem Fehler ab
PuTTY Fatal Error: Network error: Software caused connection abort
Ich würde mich sehr freuen, wenn mir diesbezüglich jemand weiterhelfen könnte. Vielen Dank!
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 110017
Url: https://administrator.de/forum/isa-2006-ssh-verbindungsabbruch-nach-24h-110017.html
Ausgedruckt am: 28.04.2025 um 15:04 Uhr
1 Kommentar
Hallo,
ich konnte für meinen Bedarf das Problem in Zwischenzeit lösen. Dabei habe ich die ursprünglich anvisierte Lösung, den Control Channels zwischen ISA Client und ISA Server von TCP auf UDP umzustellen, verworfen. Soweit mir bekannt ist wäre diese Lösung nur möglich gewesen, wenn man eine unverschlüsselte Verbindung zwischen Client und Server zugelassen hätte. Da dies jedoch auf Grund der reduzierten Sicherheit keine brauchbare Lösung dargestellt hätte habe ich nach einer anderen Möglichkeit ausschau gehalten. Das Problem wurde jetzt wie folgt gelöst:
Auf der ISA Firewall wurde unter \"Configuration / General / Define Firewall Client Settings\" für die Application Settings ein zusätzlicher Eintrag mit folgenden Weren hinzugefügt:
Application: PUTTY Key: Disable Value:1
Somit wird für die Applikation PuTTY nicht mehr der ISA Firewallclient verwendet. PuTTY arbeitet somit als SecureNAT Applikation.
Zu beachten ist, daß nach der Änderung auf den Clients der Firewallclient-Agent Dienst beendet und neu gestartet wird, um die neue Konfiguration zu laden. In zyklischen Intervallen wird aber die Konfiguration des Clients auch automatisch aktualisiert.
Ich hoffe mit meinem Beitrag auch anderen helfen zu können, die das selbe Problem haben.
ich konnte für meinen Bedarf das Problem in Zwischenzeit lösen. Dabei habe ich die ursprünglich anvisierte Lösung, den Control Channels zwischen ISA Client und ISA Server von TCP auf UDP umzustellen, verworfen. Soweit mir bekannt ist wäre diese Lösung nur möglich gewesen, wenn man eine unverschlüsselte Verbindung zwischen Client und Server zugelassen hätte. Da dies jedoch auf Grund der reduzierten Sicherheit keine brauchbare Lösung dargestellt hätte habe ich nach einer anderen Möglichkeit ausschau gehalten. Das Problem wurde jetzt wie folgt gelöst:
Auf der ISA Firewall wurde unter \"Configuration / General / Define Firewall Client Settings\" für die Application Settings ein zusätzlicher Eintrag mit folgenden Weren hinzugefügt:
Application: PUTTY Key: Disable Value:1
Somit wird für die Applikation PuTTY nicht mehr der ISA Firewallclient verwendet. PuTTY arbeitet somit als SecureNAT Applikation.
Zu beachten ist, daß nach der Änderung auf den Clients der Firewallclient-Agent Dienst beendet und neu gestartet wird, um die neue Konfiguration zu laden. In zyklischen Intervallen wird aber die Konfiguration des Clients auch automatisch aktualisiert.
Ich hoffe mit meinem Beitrag auch anderen helfen zu können, die das selbe Problem haben.
