17.02.2021, aktualisiert um 16:14:15 Uhr

2563

PPTP-Tunnel bricht weg

Hallo an das Forum,

ich habe ein Problem mit einem VPN-Tunnel zu einem Datenbank-Hoster.

Die Situation ist folgende: Wir bekommen in der Problemfiliale das Internet incl. Telefon von einem lokalen Anbieter auf eine "Genexis-Box". Da wir insgesamt fünf Filialen (vier mal Telekom Digitalisierungsbox Premium in den remoten Filialen) vernetzen, die "Genexis-Box" aber keine VPN-Tunnel aufbauen kann, wurde eine Portweiterleitung für VPN auf einen Bintec R3502-Router dahinter eingerichtet. Dieser Router baut insgesamt vierTunnel per IPSec in die Filialen und einen PPTP-Tunnel zu einem externen Datenbank-Hoster auf. Dieser Tunnel bricht in unregelmäßigen Abständen zusammen und damit stürzt die angebundene Software ab, oftmals unter Datenverlust.
Wir haben auf einem Testrechner in der Problemfiliale insgesamt vier Dauer-Pings auf unterschiedliche Ziele laufen:

- externe Adresse t-online
- Datenbank-Anbieter
- interner Bintec-Router
- externe Webadresse

Wir habe das Phänomen, dass nur der PPTP-Tunnel wegbricht:

Den Bintec-Router haben wir schon ausgetauscht - ohne Erfolg.

Hat jemand eine Idee, was hier passiert? Kann mir jemand ein Tool zum Monitoring und Fehlersuche des Tunnels empfehlen?

Vielen Dank schon mal,

Atti

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 653056

Url: https://administrator.de/contentid/653056

Ausgedruckt am: 19.11.2024 um 03:11 Uhr

32 Kommentare

Neuester Kommentar

HI,
kannst du den PPTP Tunnel gegen einen IPSEC oder openVPN tauschen? PPTP nutzt man nicht mehr wirklich heut zu tage...

Was ist denn beim Anbieter möglich?

Gruß

Das habe wir schon versucht in Form eines Stücks Hardware mit eigener IP, das wir in unser Netz genommen hatten, wir haben es aber nicht hinbekommen, dass sich der IPSec aufbaut. Entweder hat der Bintec den Tunnel nicht geroutet oder die Genexis-Box hat dazwischen gefunkt - wir wissen es nicht. Haben uns nach langen Probieren entschlossen, bei der alten Lösung zu bleiben.

Bei Anbieter (HL komm Leipzig) ist gar nichts möglich und die Telekom ist aus dem Gebäude ausgesperrt.

Zwei Fragen noch:

Hat die "Problemfiliale" einen DS-Lite Anschluss oder ist das ein normaler mit öffentlicher v4 IP ?
Der PPTP Tunnel wird vom zentralen Standort zum Datenbank Anbieter gemacht, sprich Traffic aus der "Problemfiliale" geht also zuerst über den IPsec Tunnel zur Zentrale und wird dann dort in den PPTP Tunnel zum Ziel geroutet, richtig ?!

P.S.: Auf den Ping Screenshots oben ist leider nicht wirklich was zu erkennen.

... naja, was man sehen soll, sieht man

... das zweite Ping-Feld zum Tunnel setzt aus während die anderen Pings normal durchlaufen. Ich hatte erst einen anderen Screen Shot laden wollen, der war aber zu groß. (ich versuche eine etwas größere Bilddatei hochzuladen)

DS-Lite - nein, wir haben eine öffentliche IP.

Nein, jede Filiale baut ihren eigenen Tunnel zur Datenbank auf, in den anderen vier Filialen über das, oben erwähnte Stück Hardware. Nur die Problemfiliale nutzt noch PPTP.

OK, dann kann man ja sicher den Link via Zentrale ausschliessen und auch die IPsec Tunnel denn die laufen ja, wie man sieht, absolut stabil. Dann ist es nur rein eine Sache zw. Filialrouter und Datenbank bzw. PPTP.
Die Fragen die jetzt daraus resultieren sind:

Liegt es an der Erreichbarkeit der Endpoint Adressen an sich also öffentliche Filialrouter IP und Datenbank IP wo der Tunnel endet ?
Liegt es am PPTP Tunnel selber und wenn ja wo passieren die Abbrüche auf Fialialseite oder DB Seite ? (Hier wären Logs von BEIDEN Seiten hilfreich) Wobei man ja sagen kann wenn aus allen anderen Filialen und der Zentrale gleichzeitig ein Ping störungsfrei rennt kann man den Dienstleister sehr wahrscheinlich ausschliessen.
Bleibt noch das Port Forwarding auf der Genesis Box zum Bintec, UDP 500, UDP 4500, ESP (50) für IPsec und TCP 1723 und GRE (47) für PPTP. Ist das unvollständig oder fehlerhaft oder funktioniert nicht richtig ? Die G Box muss ja zwingend dann Port Forwarding für beide VPN Protokolle machen.

Am vielversprechensten ist der 3te Punkt. Billige Boxen können meist nur einen VPN Passthrough Link bedienen. Es ist möglich das bei aktivem IPsec Tunnel der PPTP Tunnel gekappt wird und erst wenn der per Idletimer deaktiviert ist der PPTP aktiv wird und das in stetigem Wechsel. Dann wäre aber ein Muster erkennbar, denn der Peer Idle Timer ist eine fixe Größe.
Die andere Sache wäre dann Punkt 1 was auf Routing Probleme zw. Filialprovider und Dienstleister Provider schliessen lässt. Das bekommt man aber raus indem man mal einen Dauerping von der Filiale auf den Dienstleister IP Tunnelendpunkt macht (sofern das geht). Fällt mit dem Tunnel auch der Ping aus könnte es das sein. Wenn mit Tunnelausfall der Ping weiterrennt kann man Routing Probleme ausschliessen.
In die Richtungen solltest du mal suchen...

Hallo aqui,

danke für Deinen ausführlichen Post. Außer "GRE (47)" ist eigentlich Alles eingerichtet:

Bei "Application" kann man lediglich folgendes Auswählen:

Bei Protokoll sind die Auswahlmöglichkeiten nur "TCP", "UDP", "Both" und "other"

(Ich hoffe, man kann es erkennen)

Außer "GRE (47)" ist eigentlich Alles eingerichtet:

Das ist aber fatal, denn genau das nutzt PPTP für die Wirkdaten und ist der Knackpunkt ! Es ist vergleichbar mit ESP bei IPsec. Wieso ist das vergessen worden ? Oder kennt der Router das nicht (müsste unter "Protocol" auftauchen, denn wie ESP ist GRE ein eigenständiges IP Protokoll mit der Nr. 47) ?
"AH" kannst du übrigens besser komplett entfernen (Haken weg). Das ist nicht NAT fähig und wird deshalb nirgendwo in dem Umfeld verwendet !

Achtung, Die unter "Name" eingetragenen Bezeichnung sind frei gewählt, man kann sie beim Einrichten nicht auswählen! (siehe Bild unten)

Ich habe mal "GRE (47)" angelegt, mal sehen, ob es was bringt.

... nein, gebracht hat's nichts - eben war der Tunnel wieder weg ...

Pingst du parallel auch mal die Dienstleister Tunnel Endpoint IP ??
Das wäre ja mal spannend zu wissen ob der auch weg ist wenn der Tunnelping scheitert. Dann wüsste man wenigstens obs ne reine IP Problemtaik ist oder ne Tunnelproblematik.
Wäre auch mal spannend wenn das beides parallel auch in einer der anderen Filialen gemacht wird.
Dann hätte man Gewissheit.

Das verstehe ich jetzt nicht - wir pingen doch die Tunnel-Endpunkt-IP an, den Tunnel selber anpingen - wie soll das gehen?

Ich habe die IP im Screen Shot unkenntlich gemacht, um keine Begehrlichkeiten zu erzeugen

...

In den anderen Filialen haben wir ja nicht diese Konfiguration, dort bildet eine (Telekom-Bintec) Digitalisierungsbox Premium die Schnittstelle zum Internet und der Tunnel wird vom internen Microtik Router mit der IP 192.168.xxx.252 aufgebaut und auf jedem PC ist die Route gesetzt mit:

route add -p 172.Y.X.0 MASK 255.255.255.0 192.168.xxx.252

wobei die 172er - Adresse der Endpunkt der Datenbank ist.

Auf der Endpunkt-Firewall ist der Ping für die anderen Filialen geblockt.

den Tunnel selber anpingen - wie soll das gehen?

Das hast du vermutlich etwas missverstanden.
Gemeint war die öffentliche Tunnelendpoint IP anzupingen und parallel einen Ping über den Tunnel also innerhalb der getunnelten IP Netze.
So hast du mit den beiden Pings einen Überblick ob es ein Routing Problem im öffentlichen Internet ist der den Tunnel per se zusamenbrechen lässt oder eben ein Problem des IP Forwarding im Tunnel selber, sprich Datenbank Client auf Datenbank IP.
Dadurch kann man dann klar sagen ob es ein externes oder internes Problem ist.
Klar wenn der Tunnel an sich weg ist ist auch der Tunnel interne Traffic weg. Spannend ist es aber wenn der Tunnelendpoint pingbar bleibt aber Tunnelintern nichts mehr. Dann hat es was mit dem PPTP Forwarding an sich zu tun.
Sorry wenn das verwirrend rüberkam.

und der Tunnel wird vom internen Microtik Router mit der IP 192.168.xxx.252 aufgebaut

Wie ist das jetzt gemeint. Jetzt wirds auch wieder etwas wirr.
Macht der Mikrotik die IPsec und die PPTP Tunnelverbindung gemeinsam ?
Oder ist das auf unterschiedliche Router getrennt ?
In der Filiale versteht man dich dann so das der Bintec auch beides macht also IPsec und auch PPTP. Ist das denn richtig verstanden ?!

... den ersten Teil muss ich mir noch mal in Ruhe ansehen

... und mit dem DB-Hoster klären.

In vier Filialen ist der Microtik Router im Einsatz - den haben wir in der Problemfiliale nicht zum Laufen bekommen. Deshalb dort und nur dort der Tunnel per PPTP auf dem Bintec hinter der Genexis Box.

In jeder Filiale mit Digibox werden vier Tunnel per IPSec gehalten - das macht der Bintec in der Problemfiliale auch - also ist jede Filiale mit jeder anderen per IPSec-Tunnel verbunden. Die sind aber nur für Domänendienste und Dateitransfer.

Zur Datenbank weist immer ein eigener Tunnel (vier Mal Microtik Router ein Mal PPTP).

Ich hoffe, das klärt die Situation ein wenig.

Ich versuche mal, einen Netzwerkplan mit vier der fünf Filialen (Problemfiliale ist die rechts unten) hier zu zeigen in der Hoffnung, man erkennt was:

@aqui

Übrigens - herzlichen Glückwunsch zum 15-jährigen Administrator-Jubiläum. Du leistest phantastische Arbeit!

Gruß

Atti

Tadaaaa !!! Das hatte ich gar nicht auf dem Radar. !!!
Danke für die Blumen ! 💐
And das an unserem Hausaufgaben Freitag !! 😄

D.h. es geht um die hohe Straße und dort werden sowohl IPsec als auch PPTP Tunnel bemeinsam vom Bintec bedient, richtig ?

P.S.: Du solltest ggf. beim Bild oben die Strassennamen entfernen um es zu anonymisieren !

Ich lasse jetzt auf dem Router ein< debug -e *"172.XX.YY."* all& >laufen in der Hoffnung, einen Tunnelabbruch zu sehen, dann könnte ich die Routermeldungen posten.

Ja, genau - Problemkind "Hohe Straße" - dort baut der BintecRouter alle Tunnel auf.

PS: Danke für den Hinweis mit den Filialnamen, ist aber nicht zwingend erforderlich, da Ladengeschäfte und sowieso im Internet publiziert.

PS - PS: Hast Recht, danke.

Da bis Montag nun nichts mehr getestet werden kann - hier mal ein kleiner "Zwischenbericht":

Heute traten keine Abbrüche im Tunnel auf, ich halte Euch auf dem Laufenden,

schönes Wochenende und bleibt gesund,

Atti

Es bleibt spannend.... !

Ja, das bleibt es - leider...

Wir hatten wieder einen Abbruch. Den Ping auf den Datenbank-Endpunkt habe ich ja um die Zeit erweitert, das sieht dann so aus:

Während auf dem Router ein "debug" läuft (siehe oben). Ich poste hier mal den Auszug aus dem Protokoll -ich hoffe, man kann etwas damit abfangen:

12:34:21 DEBUG/INET: new session, 192.168.103.1:52598->172.20.50.215:25850 prot: 6 parent: false
12:34:21 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.1:52598] -> WAN_TO_DATABASE[10001:172.20.50.215:25850] any:6
12:34:21 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.1:52598/172.20.56.71:60556 -> 172.20.50.215:25850
12:34:21 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:60556] -> [172.20.50.215:25850] clamp MSS 1460 ==> 1410
12:34:21 DEBUG/INET: interface 10001: TCP SYNACK [172.20.50.215:25850] -> [192.168.103.1:52598] clamp MSS 1456 ==> 1410
12:34:21 DEBUG/INET: new session, 192.168.252.250:61585->172.217.23.34:443 prot: 6 parent: false
12:34:21 DEBUG/INET: SIF: 24 Accept AirPort Exreme[1200:192.168.252.250:61585] -> ANY[1400:172.217.23.34:443] http (SSL):6
12:34:21 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 6 192.168.252.250:61585/192.168.254.253:58245 -> 172.217.23.34:443
12:34:26 DEBUG/INET: new session, 192.168.103.6:56853->172.20.50.215:25851 prot: 6 parent: false
12:34:26 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.6:56853] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:34:26 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.6:56853/172.20.56.71:38631 -> 172.20.50.215:25851
12:34:26 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:38631] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:34:27 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:38631] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:34:29 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:38631] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:34:32 DEBUG/INET: new session, 192.168.103.6:56854->172.20.50.215:25851 prot: 6 parent: false
12:34:32 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.6:56854] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:34:32 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.6:56854/172.20.56.71:53378 -> 172.20.50.215:25851
12:34:32 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:53378] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:34:32 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.6:56853/172.20.56.71:38631 <-> 172.20.50.215:25851
12:34:33 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:53378] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:34:35 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:53378] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:34:38 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.6:56854/172.20.56.71:53378 <-> 172.20.50.215:25851
12:34:38 DEBUG/INET: new session, 192.168.103.6:56856->172.20.50.215:25851 prot: 6 parent: false
12:34:38 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.6:56856] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:34:38 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.6:56856/172.20.56.71:57854 -> 172.20.50.215:25851
12:34:38 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:57854] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:34:39 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:57854] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:34:41 DEBUG/INET: NAT: delete session on ifc 10001 prot 1 192.168.103.4:126/172.20.56.71:43887 <-> 172.20.50.1:0
12:34:41 DEBUG/INET: NAT: delete session on ifc 10001 prot 1 192.168.103.113:11/172.20.56.71:62119 <-> 172.20.50.1:0
12:34:41 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.6:56856/172.20.56.71:57854 <-> 172.20.50.215:25851
12:34:41 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.1:52598/172.20.56.71:60556 <-> 172.20.50.215:25850
12:34:41 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.1:52472/172.20.56.71:61887 <-> 172.20.50.215:6262
12:34:41 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.1:52470/172.20.56.71:36626 <-> 172.20.50.215:6262
12:34:41 DEBUG/INET: NAT: delete session on ifc 10001 prot 17 192.168.103.3:64354/172.20.56.71:60019 <-> 172.20.50.215:6262
12:34:41 DEBUG/INET: NAT: delete session on ifc 10001 prot 17 192.168.103.3:64352/172.20.56.71:59417 <-> 172.20.50.215:6262
12:34:41 DEBUG/INET: NAT: delete session on ifc 10001 prot 17 192.168.103.6:51484/172.20.56.71:49486 <-> 172.20.50.215:6262
12:34:41 DEBUG/INET: NAT: delete session on ifc 10001 prot 17 192.168.103.6:51480/172.20.56.71:38447 <-> 172.20.50.215:6262
12:34:47 DEBUG/INET: new session, 192.168.103.6:56858->172.20.50.215:25851 prot: 6 parent: false
12:34:49 INFO/PPP: To_DATABASE: local IP address is 172.20.56.71, remote is 172.20.50.1
12:34:50 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 1 192.168.103.4:126/172.20.56.71:39471 -> 172.20.50.1:0
12:34:52 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 17 192.168.103.3:64352/172.20.56.71:55160 -> 172.20.50.215:6262
12:34:52 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 17 192.168.103.6:51480/172.20.56.71:33843 -> 172.20.50.215:6262
12:34:55 DEBUG/INET: new session, 192.168.103.3:63373->172.20.50.215:25851 prot: 6 parent: false
12:34:55 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.3:63373] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:34:55 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.3:63373/172.20.56.71:34346 -> 172.20.50.215:25851
12:34:55 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:34346] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:34:56 DEBUG/INET: NAT: delete session on ifc 1400 prot 6 192.168.252.250:61416/192.168.254.253:41926 <-> 172.217.22.238:443
12:34:56 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:34346] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:34:57 DEBUG/INET: new session, 192.168.103.3:63374->172.20.50.215:25851 prot: 6 parent: false
12:34:57 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.3:63374] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:34:57 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.3:63374/172.20.56.71:65304 -> 172.20.50.215:25851
12:34:57 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:65304] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:34:58 DEBUG/INET: TIMEOUT Session expired: 192.168.252.250:61416->172.217.22.238:443 prot=6
12:34:58 DEBUG/INET: destroy session, 192.168.252.250:61416->172.217.22.238:443 prot: 6
12:34:58 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:65304] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:34:58 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:34346] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:34:59 DEBUG/INET: TIMEOUT Session expired: 192.168.103.6:56853->172.20.50.215:25851 prot=6
12:34:59 DEBUG/INET: destroy session, 192.168.103.6:56853->172.20.50.215:25851 prot: 6
12:35:00 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:65304] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:01 DEBUG/INET: new session, 192.168.103.3:63375->172.20.50.215:25851 prot: 6 parent: false
12:35:01 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.3:63375] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:35:01 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.3:63375/172.20.56.71:38739 -> 172.20.50.215:25851
12:35:01 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:38739] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:02 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.3:63373/172.20.56.71:34346 <-> 172.20.50.215:25851
12:35:02 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:38739] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:03 DEBUG/INET: new session, 192.168.103.3:63376->172.20.50.215:25851 prot: 6 parent: false
12:35:03 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.3:63376] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:35:03 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.3:63376/172.20.56.71:64706 -> 172.20.50.215:25851
12:35:03 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:64706] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:04 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.3:63374/172.20.56.71:65304 <-> 172.20.50.215:25851
12:35:04 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:64706] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:04 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 1 192.168.103.113:11/172.20.56.71:46199 -> 172.20.50.1:0
12:35:04 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:38739] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:05 DEBUG/INET: TIMEOUT Session expired: 192.168.103.6:56854->172.20.50.215:25851 prot=6
12:35:05 DEBUG/INET: destroy session, 192.168.103.6:56854->172.20.50.215:25851 prot: 6
12:35:06 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:64706] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:07 DEBUG/INET: new session, 192.168.103.3:63378->172.20.50.215:25851 prot: 6 parent: false
12:35:07 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.3:63378] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:35:07 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.3:63378/172.20.56.71:65004 -> 172.20.50.215:25851
12:35:07 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:65004] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:08 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.3:63375/172.20.56.71:38739 <-> 172.20.50.215:25851
12:35:08 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:65004] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:09 DEBUG/INET: new session, 192.168.103.3:63379->172.20.50.215:25851 prot: 6 parent: false
12:35:09 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.3:63379] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:35:09 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.3:63379/172.20.56.71:51619 -> 172.20.50.215:25851
12:35:09 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:51619] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:09 DEBUG/INET: delete lru session, 192.168.252.252:52868->172.217.23.34:443 prot: 17, current maximum: 4000
12:35:09 DEBUG/INET: destroy session, 192.168.252.252:52868->172.217.23.34:443 prot: 17
12:35:10 DEBUG/INET: delete lru session, 192.168.252.252:59984->172.217.23.34:443 prot: 17, current maximum: 4000
12:35:10 DEBUG/INET: destroy session, 192.168.252.252:59984->172.217.23.34:443 prot: 17
12:35:10 DEBUG/INET: delete lru session, 192.168.252.252:53697->172.217.22.225:443 prot: 17, current maximum: 4000
12:35:10 DEBUG/INET: destroy session, 192.168.252.252:53697->172.217.22.225:443 prot: 17
12:35:10 DEBUG/INET: delete lru session, 192.168.252.252:53375->172.217.22.225:443 prot: 17, current maximum: 4000
12:35:10 DEBUG/INET: destroy session, 192.168.252.252:53375->172.217.22.225:443 prot: 17
12:35:10 DEBUG/INET: delete lru session, 192.168.252.252:58321->172.217.22.238:443 prot: 17, current maximum: 4000
12:35:10 DEBUG/INET: destroy session, 192.168.252.252:58321->172.217.22.238:443 prot: 17
12:35:10 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.3:63376/172.20.56.71:64706 <-> 172.20.50.215:25851
12:35:10 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:51619] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:10 DEBUG/INET: delete lru session, 192.168.252.252:33340->172.217.23.34:443 prot: 17, current maximum: 4000
12:35:10 DEBUG/INET: destroy session, 192.168.252.252:33340->172.217.23.34:443 prot: 17
12:35:10 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:65004] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:11 DEBUG/INET: delete lru session, 192.168.252.252:45667->172.217.23.74:443 prot: 17, current maximum: 4000
12:35:11 DEBUG/INET: destroy session, 192.168.252.252:45667->172.217.23.74:443 prot: 17
12:35:11 DEBUG/INET: delete lru session, 192.168.252.252:36888->172.217.23.68:443 prot: 17, current maximum: 4000
12:35:11 DEBUG/INET: destroy session, 192.168.252.252:36888->172.217.23.68:443 prot: 17
12:35:12 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 17 192.168.103.3:64354/172.20.56.71:59067 -> 172.20.50.215:6262
12:35:12 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:51619] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:12 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 17 192.168.103.6:51484/172.20.56.71:60373 -> 172.20.50.215:6262
12:35:13 DEBUG/INET: TIMEOUT Session expired: 192.168.103.6:56856->172.20.50.215:25851 prot=6
12:35:13 DEBUG/INET: destroy session, 192.168.103.6:56856->172.20.50.215:25851 prot: 6
12:35:14 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.3:63378/172.20.56.71:65004 <-> 172.20.50.215:25851
12:35:16 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.3:63379/172.20.56.71:51619 <-> 172.20.50.215:25851
12:35:20 DEBUG/INET: TIMEOUT Session expired: 192.168.103.6:56858->172.20.50.215:25851 prot=6
12:35:20 DEBUG/INET: destroy session, 192.168.103.6:56858->172.20.50.215:25851 prot: 6
12:35:29 DEBUG/INET: TIMEOUT Session expired: 192.168.103.3:63373->172.20.50.215:25851 prot=6
12:35:29 DEBUG/INET: destroy session, 192.168.103.3:63373->172.20.50.215:25851 prot: 6
12:35:31 DEBUG/INET: TIMEOUT Session expired: 192.168.103.3:63374->172.20.50.215:25851 prot=6
12:35:31 DEBUG/INET: destroy session, 192.168.103.3:63374->172.20.50.215:25851 prot: 6
12:35:32 DEBUG/INET: delete lru session, 192.168.252.252:36196->172.217.23.74:443 prot: 17, current maximum: 4000
12:35:32 DEBUG/INET: destroy session, 192.168.252.252:36196->172.217.23.74:443 prot: 17
12:35:32 DEBUG/INET: delete lru session, 192.168.252.252:60738->172.217.23.67:443 prot: 17, current maximum: 4000
12:35:32 DEBUG/INET: destroy session, 192.168.252.252:60738->172.217.23.67:443 prot: 17
12:35:33 DEBUG/INET: delete lru session, 192.168.252.252:46411->172.217.22.206:443 prot: 17, current maximum: 4000
12:35:33 DEBUG/INET: destroy session, 192.168.252.252:46411->172.217.22.206:443 prot: 17
12:35:33 DEBUG/INET: delete lru session, 192.168.252.252:48267->172.217.23.68:443 prot: 17, current maximum: 4000
12:35:33 DEBUG/INET: destroy session, 192.168.252.252:48267->172.217.23.68:443 prot: 17
12:35:34 DEBUG/INET: new session, 192.168.103.6:56869->172.20.50.215:25851 prot: 6 parent: false
12:35:34 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.6:56869] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:35:34 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.6:56869/172.20.56.71:37497 -> 172.20.50.215:25851
12:35:34 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:37497] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:34 DEBUG/INET: delete lru session, 192.168.252.252:37142->172.217.23.68:443 prot: 17, current maximum: 4000
12:35:34 DEBUG/INET: destroy session, 192.168.252.252:37142->172.217.23.68:443 prot: 17
12:35:34 DEBUG/INET: delete lru session, 192.168.252.252:38033->172.217.23.74:443 prot: 17, current maximum: 4000
12:35:34 DEBUG/INET: destroy session, 192.168.252.252:38033->172.217.23.74:443 prot: 17
12:35:34 DEBUG/INET: delete lru session, 192.168.252.252:49977->172.217.22.206:443 prot: 17, current maximum: 4000
12:35:34 DEBUG/INET: destroy session, 192.168.252.252:49977->172.217.22.206:443 prot: 17
12:35:34 DEBUG/INET: delete lru session, 192.168.252.252:60183->172.217.23.68:443 prot: 17, current maximum: 4000
12:35:34 DEBUG/INET: destroy session, 192.168.252.252:60183->172.217.23.68:443 prot: 17
12:35:35 DEBUG/INET: delete lru session, 192.168.103.113:61010->172.217.20.234:443 prot: 17, current maximum: 4000
12:35:35 DEBUG/INET: destroy session, 192.168.103.113:61010->172.217.20.234:443 prot: 17
12:35:35 DEBUG/INET: TIMEOUT Session expired: 192.168.103.3:63375->172.20.50.215:25851 prot=6
12:35:35 DEBUG/INET: destroy session, 192.168.103.3:63375->172.20.50.215:25851 prot: 6
12:35:35 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:37497] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:37 DEBUG/INET: TIMEOUT Session expired: 192.168.103.3:63376->172.20.50.215:25851 prot=6
12:35:37 DEBUG/INET: destroy session, 192.168.103.3:63376->172.20.50.215:25851 prot: 6
12:35:37 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:37497] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:40 DEBUG/INET: new session, 192.168.103.6:56871->172.20.50.215:25851 prot: 6 parent: false
12:35:40 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.6:56871] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:35:40 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.6:56871/172.20.56.71:59883 -> 172.20.50.215:25851
12:35:40 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:59883] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:41 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.6:56869/172.20.56.71:37497 <-> 172.20.50.215:25851
12:35:41 DEBUG/INET: TIMEOUT Session expired: 192.168.103.3:63378->172.20.50.215:25851 prot=6
12:35:41 DEBUG/INET: destroy session, 192.168.103.3:63378->172.20.50.215:25851 prot: 6
12:35:41 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:59883] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:42 DEBUG/INET: new session, 192.168.103.6:56872->172.20.50.215:25851 prot: 6 parent: false
12:35:42 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.6:56872] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:35:42 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.6:56872/172.20.56.71:39194 -> 172.20.50.215:25851
12:35:42 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:39194] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:43 DEBUG/INET: TIMEOUT Session expired: 192.168.103.3:63379->172.20.50.215:25851 prot=6
12:35:43 DEBUG/INET: destroy session, 192.168.103.3:63379->172.20.50.215:25851 prot: 6
12:35:43 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:39194] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:43 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:59883] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:45 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:39194] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:46 DEBUG/INET: new session, 192.168.103.6:56874->172.20.50.215:25851 prot: 6 parent: false
12:35:46 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.6:56874] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:35:46 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.6:56874/172.20.56.71:57518 -> 172.20.50.215:25851
12:35:46 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:57518] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:47 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.6:56871/172.20.56.71:59883 <-> 172.20.50.215:25851
12:35:47 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:57518] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:48 DEBUG/INET: new session, 192.168.103.6:56875->172.20.50.215:25851 prot: 6 parent: false
12:35:48 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.6:56875] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:35:48 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.6:56875/172.20.56.71:43527 -> 172.20.50.215:25851
12:35:48 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:43527] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:49 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.6:56872/172.20.56.71:39194 <-> 172.20.50.215:25851
12:35:49 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:43527] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:49 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:57518] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:51 DEBUG/INET: delete lru session, 192.168.252.252:40262->172.217.22.206:443 prot: 17, current maximum: 4000
12:35:51 DEBUG/INET: destroy session, 192.168.252.252:40262->172.217.22.206:443 prot: 17
12:35:51 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:43527] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:53 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.6:56874/172.20.56.71:57518 <-> 172.20.50.215:25851
12:35:54 DEBUG/INET: new session, 192.168.103.6:56876->172.20.50.215:25851 prot: 6 parent: false
12:35:54 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.6:56876] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:35:54 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.6:56876/172.20.56.71:37653 -> 172.20.50.215:25851
12:35:54 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:37653] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:55 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.6:56875/172.20.56.71:43527 <-> 172.20.50.215:25851
12:35:55 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:37653] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:57 DEBUG/INET: new session, 192.168.103.3:63381->172.20.50.215:25850 prot: 6 parent: false
12:35:57 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.3:63381] -> WAN_TO_DATABASE[10001:172.20.50.215:25850] any:6
12:35:57 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.3:63381/172.20.56.71:32909 -> 172.20.50.215:25850
12:35:57 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:32909] -> [172.20.50.215:25850] clamp MSS 1460 ==> 1410
12:35:57 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:37653] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:35:58 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:32909] -> [172.20.50.215:25850] clamp MSS 1460 ==> 1410
12:35:58 DEBUG/INET: new session, 192.168.103.3:63382->172.20.50.215:25851 prot: 6 parent: false
12:35:58 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.3:63382] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:35:58 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.3:63382/172.20.56.71:38558 -> 172.20.50.215:25851
12:35:58 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:38558] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:00 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:38558] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:00 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:32909] -> [172.20.50.215:25850] clamp MSS 1460 ==> 1410
12:36:01 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.6:56876/172.20.56.71:37653 <-> 172.20.50.215:25851
12:36:02 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:38558] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:03 DEBUG/INET: new session, 192.168.103.3:63383->172.20.50.215:25850 prot: 6 parent: false
12:36:03 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.3:63383] -> WAN_TO_DATABASE[10001:172.20.50.215:25850] any:6
12:36:03 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.3:63383/172.20.56.71:62519 -> 172.20.50.215:25850
12:36:03 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:62519] -> [172.20.50.215:25850] clamp MSS 1460 ==> 1410
12:36:03 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.3:63381/172.20.56.71:32909 <-> 172.20.50.215:25850
12:36:04 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:62519] -> [172.20.50.215:25850] clamp MSS 1460 ==> 1410
12:36:05 DEBUG/INET: new session, 192.168.103.3:63384->172.20.50.215:25851 prot: 6 parent: false
12:36:05 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.3:63384] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:36:05 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.3:63384/172.20.56.71:48831 -> 172.20.50.215:25851
12:36:05 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:48831] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:05 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.3:63382/172.20.56.71:38558 <-> 172.20.50.215:25851
12:36:06 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:48831] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:06 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:62519] -> [172.20.50.215:25850] clamp MSS 1460 ==> 1410
12:36:08 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:48831] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:08 DEBUG/INET: TIMEOUT Session expired: 192.168.103.6:56869->172.20.50.215:25851 prot=6
12:36:08 DEBUG/INET: destroy session, 192.168.103.6:56869->172.20.50.215:25851 prot: 6
12:36:09 DEBUG/INET: new session, 192.168.103.3:63385->172.20.50.215:25850 prot: 6 parent: false
12:36:09 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.3:63385] -> WAN_TO_DATABASE[10001:172.20.50.215:25850] any:6
12:36:09 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.3:63385/172.20.56.71:52969 -> 172.20.50.215:25850
12:36:09 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:52969] -> [172.20.50.215:25850] clamp MSS 1460 ==> 1410
12:36:09 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.3:63383/172.20.56.71:62519 <-> 172.20.50.215:25850
12:36:10 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:52969] -> [172.20.50.215:25850] clamp MSS 1460 ==> 1410
12:36:11 DEBUG/INET: new session, 192.168.103.3:63386->172.20.50.215:25851 prot: 6 parent: false
12:36:11 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.3:63386] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:36:11 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.3:63386/172.20.56.71:52615 -> 172.20.50.215:25851
12:36:11 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:52615] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:11 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.3:63384/172.20.56.71:48831 <-> 172.20.50.215:25851
12:36:12 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:52615] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:12 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:52969] -> [172.20.50.215:25850] clamp MSS 1460 ==> 1410
12:36:14 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:52615] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:14 DEBUG/INET: TIMEOUT Session expired: 192.168.103.6:56871->172.20.50.215:25851 prot=6
12:36:14 DEBUG/INET: destroy session, 192.168.103.6:56871->172.20.50.215:25851 prot: 6
12:36:15 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.3:63385/172.20.56.71:52969 <-> 172.20.50.215:25850
12:36:15 DEBUG/INET: new session, 192.168.103.3:63387->172.20.50.215:25851 prot: 6 parent: false
12:36:15 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.3:63387] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:36:15 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.3:63387/172.20.56.71:50824 -> 172.20.50.215:25851
12:36:15 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:50824] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:16 DEBUG/INET: delete lru session, 192.168.252.252:37553->172.217.23.34:443 prot: 17, current maximum: 4000
12:36:16 DEBUG/INET: destroy session, 192.168.252.252:37553->172.217.23.34:443 prot: 17
12:36:16 DEBUG/INET: new session, 192.168.252.250:61781->172.67.71.36:443 prot: 6 parent: false
12:36:16 DEBUG/INET: SIF: 24 Accept AirPort Exreme[1200:192.168.252.250:61781] -> ANY[1400:172.67.71.36:443] http (SSL):6
12:36:16 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 6 192.168.252.250:61781/192.168.254.253:36524 -> 172.67.71.36:443
12:36:16 DEBUG/INET: TIMEOUT Session expired: 192.168.103.6:56872->172.20.50.215:25851 prot=6
12:36:16 DEBUG/INET: destroy session, 192.168.103.6:56872->172.20.50.215:25851 prot: 6
12:36:16 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:50824] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:16 DEBUG/INET: delete lru session, 192.168.252.252:41968->172.217.23.68:443 prot: 17, current maximum: 4000
12:36:16 DEBUG/INET: destroy session, 192.168.252.252:41968->172.217.23.68:443 prot: 17
12:36:16 DEBUG/INET: delete lru session, 192.168.252.252:47575->172.217.23.68:443 prot: 17, current maximum: 4000
12:36:16 DEBUG/INET: destroy session, 192.168.252.252:47575->172.217.23.68:443 prot: 17
12:36:17 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.3:63386/172.20.56.71:52615 <-> 172.20.50.215:25851
12:36:18 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:50824] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:20 DEBUG/INET: TIMEOUT Session expired: 192.168.103.6:56874->172.20.50.215:25851 prot=6
12:36:20 DEBUG/INET: destroy session, 192.168.103.6:56874->172.20.50.215:25851 prot: 6
12:36:21 DEBUG/INET: new session, 192.168.103.3:63388->172.20.50.215:25851 prot: 6 parent: false
12:36:21 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.3:63388] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:36:21 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.3:63388/172.20.56.71:46976 -> 172.20.50.215:25851
12:36:21 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:46976] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:21 DEBUG/INET: delete lru session, 192.168.252.252:41684->172.217.23.34:443 prot: 17, current maximum: 4000
12:36:21 DEBUG/INET: destroy session, 192.168.252.252:41684->172.217.23.34:443 prot: 17
12:36:21 DEBUG/INET: delete lru session, 192.168.252.252:40322->172.217.22.198:443 prot: 17, current maximum: 4000
12:36:21 DEBUG/INET: destroy session, 192.168.252.252:40322->172.217.22.198:443 prot: 17
12:36:21 DEBUG/INET: delete lru session, 192.168.252.252:33058->172.217.23.68:443 prot: 17, current maximum: 4000
12:36:21 DEBUG/INET: destroy session, 192.168.252.252:33058->172.217.23.68:443 prot: 17
12:36:22 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.3:63387/172.20.56.71:50824 <-> 172.20.50.215:25851
12:36:22 DEBUG/INET: TIMEOUT Session expired: 192.168.103.6:56875->172.20.50.215:25851 prot=6
12:36:22 DEBUG/INET: destroy session, 192.168.103.6:56875->172.20.50.215:25851 prot: 6
12:36:22 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:46976] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:24 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:46976] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:27 DEBUG/INET: new session, 192.168.103.3:63389->172.20.50.215:25851 prot: 6 parent: false
12:36:27 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.3:63389] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:36:27 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.3:63389/172.20.56.71:44475 -> 172.20.50.215:25851
12:36:27 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:44475] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:28 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.3:63388/172.20.56.71:46976 <-> 172.20.50.215:25851
12:36:28 DEBUG/INET: TIMEOUT Session expired: 192.168.103.6:56876->172.20.50.215:25851 prot=6
12:36:28 DEBUG/INET: destroy session, 192.168.103.6:56876->172.20.50.215:25851 prot: 6
12:36:28 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:44475] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:30 DEBUG/INET: TIMEOUT Session expired: 192.168.103.3:63381->172.20.50.215:25850 prot=6
12:36:30 DEBUG/INET: destroy session, 192.168.103.3:63381->172.20.50.215:25850 prot: 6
12:36:30 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:44475] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:32 DEBUG/INET: TIMEOUT Session expired: 192.168.103.3:63382->172.20.50.215:25851 prot=6
12:36:32 DEBUG/INET: destroy session, 192.168.103.3:63382->172.20.50.215:25851 prot: 6
12:36:34 DEBUG/INET: NAT: delete session on ifc 10001 prot 6 192.168.103.3:63389/172.20.56.71:44475 <-> 172.20.50.215:25851
12:36:36 DEBUG/INET: TIMEOUT Session expired: 192.168.103.3:63383->172.20.50.215:25850 prot=6
12:36:36 DEBUG/INET: destroy session, 192.168.103.3:63383->172.20.50.215:25850 prot: 6
12:36:37 DEBUG/INET: new session, 192.168.103.6:56883->172.20.50.215:25851 prot: 6 parent: false
12:36:37 DEBUG/INET: SIF: 1 Accept PC Hohe[1000:192.168.103.6:56883] -> WAN_TO_DATABASE[10001:172.20.50.215:25851] any:6
12:36:37 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 6 192.168.103.6:56883/172.20.56.71:37852 -> 172.20.50.215:25851
12:36:37 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:37852] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1410
12:36:37 DEBUG/INET: interface 10001: TCP SYNACK [172.20.50.215:25851] -> [192.168.103.6:56883] clamp MSS 1456 ==> 1410

Auffällig sind da die auffällig vielen MTU Fehler "clamp MSS 1460 ==> 1410" !
Bist du dem mal nachgegangen ? Das sieht nach einem MTU Mismatch irgendwo in einem Tunnel Interface aus.
Ob das ursächlicher Fehler ist müsste man testen aber die Häufigkeit ist doch ein auffälliger Hinweis auf ein MTU bzw. MSS Problem. PPTP sollte immer mit einer MSS von 1412 betrieben werden.

Ja, das ist mir auch schon aufgefallen, ich wüsste nur leider nicht, wo ich da ansetzen könnte bzw. wo ich das einstellen könnte.

Im Setup des Routers ! Dort muss die Tunnel MTU gesetzt werden auf dem virtuellen Tunnel Interface und auf dem lokalen LAN die MSS. Du kannst dir das an einem Cisco mal als Beispiel (IPsec VPN) ansehen.
interface Gigabit 1
description Lokales LAN
ip address 192.168.100.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1448
!
interface Dialer0
description xDSL Einwahl Interface Internet
mtu 1488
Oder HIER mit 1400 bei einem GRE Tunnel den ja auch PPTP für die Produktivdaten nutzt.
Passiert das ggf. häufiger wenn der PPTP Tunnel stark genutzt wird ?
Möglich das der Router dann durch den MTU/MSS Mismatch heftig in Software fragmentieren muss was dann zum Zusammenbruch des Tunnels führt.
Wasserdicht wirst du das aber wohl nur durch Trial and Error rausbekommen weil gute Debug Optionen auf dem Router (vermutlich) wenig bis gar nicht vorhanden sind, oder ? Alternativ ggf. mal ein Setup identisch zu den anderen störungsfreien Locations machen und den PPTP Tunnel auf einen MT auslagern. Ein 20 Euro hAP reicht für so einen Test.

Jetzt habe ich auf dem Router mal 1412 als MTU-Wert eingetragen und jetzt kommt:

17:10:32 DEBUG/INET: interface 10001: TCP SYN [172.20.56.71:35474] -> [172.20.50.215:25851] clamp MSS 1460 ==> 1372

... das soll so sicher nicht sein

...

Was mich wundert ist, was die AirPort Extreme hier zu suchen hat:

12:34:21 DEBUG/INET: SIF: 24 Accept AirPort Exreme[1200:192.168.252.250:61585] -> ANY[1400:172.217.23.34:443] http (SSL):6
12:34:21 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 6 192.168.252.250:61585/192.168.254.253:58245 -> 172.217.23.34:443

die ist ja nur für das interne WLAN zuständig und hat mit dem Tunnel überhaupt nichts zu schaffen - ich habe ihr mal die Rechte entzogen, mal sehen, ob es was hilft.

Was mich wundert ist, was die AirPort Extreme hier zu suchen hat:

He he...das hatte ich mich auch gefragt war aber davon ausgegangen das du da noch einen Apple Accesspoint betreibst !

Er hat die vermutlich die 192.168.252.250 und will irgendwas mit HTTPS an die 172.217.23.34 senden.
Der ist vermutlich falsch konfiguriert als Router und nicht als einfacher Accesspoint. Das ist beim Apple Setup Tool etwas wirr gelöst.
Ggf. mal mit einem preiswerten_Profi_AP ersetzen.

Das mit der MTU ist schon sehr komisch. Kannst du wohl wieder rückgängig machen. Es geht auch nicht um die MTU sondern eher MSS. Das MSS Setting sollte aber im lokalen LAN Interface passieren. Siehe auch hier:
https://de.wikipedia.org/wiki/Maximum_Segment_Size
Gilt zudem auch nur für TCP Pakete.

Naja, der AirPort Exreme hängt auf einem Eth des Routers im eigenen Netzsegment und stellt das Internet für Mitarbeiter und Kunden (für App-Installation z.B.) zur Verfügung.

Ich habe auf einem PC mal nach Change the default maximum transmission unit (MTU) size settings for PPP connections den MTU-Wert auf 1412 gesetzt:

... da sehe ich aber keine Veränderungen ...

Am PC bringt das auch rein gar nix, denn der macht ja gar kein PPTP. Das gilt nur dann wenn er selber PPTP macht. Deshalb geht das in die Hose.
Der PC selber "sieht" ja gar nichts vom PPTP Tunnel und seiner reduzierten MTU. Für ihn existiert nur Ethernet mit 1500er MTU und jutt iss. Das ist ja das fatale, deshalb setzen "schlaue" Router das MSS Clamping ein am Ethernet Port (nicht am WAN oder Tunnel Port) und erzwingen kleinere TCP Window Sizes damit um ein Fragmentieren zu verhindern.
Kann auch sein das das die Debug Message ist das der Router eben ein Clamping anzeigt bei jedem Frame der ihm zu groß ist und das mehr oder minder normal ist.
Es würde dann auch eher zu einem Performanceverlust im Durchsatz führen und nicht zu einem komplett Ausfall wie bei dir.

OK, soweit klar - das wäre dann die Aufgabe für einen gemanageden Switch (den wir natürlich nicht haben) , oder?

Auf jeden Fall werden ich die Einstellungen in der Registry dann wieder entfernen und mit ausgesperrtem Apple AirPort den Zustand des Tunnels beobachten.

Leider hat sich wenig geändert, seit wir dieses Problem untersuchen. Ich habe jetzt auf dem Router das "debug" ohne Filter laufen und wir hatten eben folgende Situation:

Das Debug-Protokoll zeigt um die Zeit des Abbruchs Folgende Meldungen:

12:07:53 DEBUG/INET: SIF: 6 Accept IPSEC_HO_HU[100003:192.168.100.110:57808] -> Server neu[1000:192.168.103.113:53] any:17
12:07:53 DEBUG/INET: new session, 192.168.100.110:57987->192.168.103.113:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 6 Accept IPSEC_HO_HU[100003:192.168.100.110:57987] -> Server neu[1000:192.168.103.113:53] any:17
12:07:53 DEBUG/INET: new session, 192.168.100.110:58195->192.168.103.113:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 6 Accept IPSEC_HO_HU[100003:192.168.100.110:58195] -> Server neu[1000:192.168.103.113:53] any:17
12:07:53 DEBUG/INET: new session, 192.168.103.113:61298->8.8.8.8:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 15 Accept Server neu[1000:192.168.103.113:61298] -> ANY[1400:8.8.8.8:53] any:17
12:07:53 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 17 192.168.103.113:61298/192.168.254.253:46978 -> 8.8.8.8:53
12:07:53 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 17 192.168.103.113:57307/192.168.254.253:33541 -> 8.8.8.8:53
12:07:53 DEBUG/INET: new session, 192.168.103.113:61653->8.8.8.8:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 15 Accept Server neu[1000:192.168.103.113:61653] -> ANY[1400:8.8.8.8:53] any:17
12:07:53 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 17 192.168.103.113:61653/192.168.254.253:46673 -> 8.8.8.8:53
12:07:53 DEBUG/INET: new session, 192.168.104.114:58043->192.168.103.113:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 10 Accept IPSEC_HO_KA[100005:192.168.104.114:58043] -> Server neu[1000:192.168.103.113:53] any:17
12:07:53 DEBUG/INET: new session, 192.168.100.110:59900->192.168.103.113:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 6 Accept IPSEC_HO_HU[100003:192.168.100.110:59900] -> Server neu[1000:192.168.103.113:53] any:17
12:07:53 DEBUG/INET: new session, 192.168.103.113:61422->8.8.8.8:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 15 Accept Server neu[1000:192.168.103.113:61422] -> ANY[1400:8.8.8.8:53] any:17
12:07:53 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 17 192.168.103.113:61422/192.168.254.253:53976 -> 8.8.8.8:53
12:07:53 DEBUG/INET: new session, 192.168.100.110:58840->192.168.103.113:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 6 Accept IPSEC_HO_HU[100003:192.168.100.110:58840] -> Server neu[1000:192.168.103.113:53] any:17
12:07:53 DEBUG/INET: new session, 192.168.100.110:58354->192.168.103.113:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 6 Accept IPSEC_HO_HU[100003:192.168.100.110:58354] -> Server neu[1000:192.168.103.113:53] any:17
12:07:53 DEBUG/PPP: To_FW.ms-sys-04: (MPP stateless) seqno: 9fd expected: 9f9
12:07:53 DEBUG/INET: new session, 192.168.103.113:56827->8.8.8.8:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 15 Accept Server neu[1000:192.168.103.113:56827] -> ANY[1400:8.8.8.8:53] any:17
12:07:53 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 17 192.168.103.113:56827/192.168.254.253:65048 -> 8.8.8.8:53
12:07:53 DEBUG/PPP: To_FW.ms-sys-04: (MPP stateless) seqno: a3d expected: a3c
12:07:53 DEBUG/PPP: To_FW.ms-sys-04: (MPP stateless) seqno: a49 expected: a48
12:07:53 DEBUG/INET: NAT: delete session on ifc 1400 prot 6 192.168.252.251:50454/192.168.254.253:55554 <-> 31.13.65.50:443
12:07:53 DEBUG/INET: NAT: delete session on ifc 1400 prot 6 192.168.252.251:60302/192.168.254.253:58183 <-> 5.102.166.162:443
12:07:53 DEBUG/INET: TIMEOUT Session expired: 192.168.103.113:55315->192.168.102.112:53 prot=17
12:07:53 DEBUG/INET: TIMEOUT Session expired: 192.168.104.115:56951->192.168.103.4:47058 prot=6
12:07:53 DEBUG/INET: TIMEOUT Session expired: 192.168.103.113:59740->192.168.102.112:80 prot=6
12:07:53 DEBUG/INET: TIMEOUT Session expired: 192.168.103.113:59739->172.217.23.68:80 prot=6
12:07:53 DEBUG/INET: TIMEOUT Session expired: 192.168.103.3:57688->87.139.23.252:443 prot=6
12:07:53 DEBUG/INET: destroy session, 192.168.103.3:57688->87.139.23.252:443 prot: 6
12:07:53 DEBUG/INET: destroy session, 192.168.103.113:59739->172.217.23.68:80 prot: 6
12:07:53 DEBUG/INET: destroy session, 192.168.103.113:59740->192.168.102.112:80 prot: 6
12:07:53 DEBUG/INET: destroy session, 192.168.104.115:56951->192.168.103.4:47058 prot: 6
12:07:53 DEBUG/INET: destroy session, 192.168.103.113:55315->192.168.102.112:53 prot: 17
12:07:53 DEBUG/PPP: To_FW.ms-sys-04: (MPP stateless) seqno: a96 expected: a95
12:07:53 DEBUG/INET: new session, 192.168.100.110:59658->192.168.103.113:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 6 Accept IPSEC_HO_HU[100003:192.168.100.110:59658] -> Server neu[1000:192.168.103.113:53] any:17
12:07:53 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 17 192.168.103.113:56637/192.168.254.253:64804 -> 8.8.8.8:53
12:07:53 DEBUG/INET: new session, 192.168.100.110:59998->192.168.103.113:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 6 Accept IPSEC_HO_HU[100003:192.168.100.110:59998] -> Server neu[1000:192.168.103.113:53] any:17
12:07:53 DEBUG/INET: new session, 192.168.103.113:61734->8.8.8.8:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 15 Accept Server neu[1000:192.168.103.113:61734] -> ANY[1400:8.8.8.8:53] any:17
12:07:53 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 17 192.168.103.113:61734/192.168.254.253:52138 -> 8.8.8.8:53
12:07:53 DEBUG/INET: new session, 192.168.103.113:61848->8.8.8.8:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 15 Accept Server neu[1000:192.168.103.113:61848] -> ANY[1400:8.8.8.8:53] any:17
12:07:53 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 17 192.168.103.113:61848/192.168.254.253:40675 -> 8.8.8.8:53
12:07:53 DEBUG/INET: new session, 192.168.100.110:60202->192.168.103.113:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 6 Accept IPSEC_HO_HU[100003:192.168.100.110:60202] -> Server neu[1000:192.168.103.113:53] any:17
12:07:53 DEBUG/INET: new session, 192.168.103.113:57641->8.8.8.8:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 15 Accept Server neu[1000:192.168.103.113:57641] -> ANY[1400:8.8.8.8:53] any:17
12:07:53 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 17 192.168.103.113:57641/192.168.254.253:33785 -> 8.8.8.8:53
12:07:53 DEBUG/INET: new session, 192.168.100.110:59087->192.168.103.113:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 6 Accept IPSEC_HO_HU[100003:192.168.100.110:59087] -> Server neu[1000:192.168.103.113:53] any:17
12:07:53 DEBUG/INET: new session, 192.168.103.113:62196->8.8.8.8:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 15 Accept Server neu[1000:192.168.103.113:62196] -> ANY[1400:8.8.8.8:53] any:17
12:07:53 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 17 192.168.103.113:62196/192.168.254.253:53856 -> 8.8.8.8:53
12:07:53 DEBUG/INET: new session, 192.168.100.110:59479->192.168.103.113:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 6 Accept IPSEC_HO_HU[100003:192.168.100.110:59479] -> Server neu[1000:192.168.103.113:53] any:17
12:07:53 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 17 192.168.103.113:62058/192.168.254.253:54771 -> 8.8.8.8:53
12:07:53 DEBUG/INET: new session, 192.168.104.114:57084->192.168.103.113:53 prot: 17 parent: false
12:07:53 DEBUG/INET: SIF: 10 Accept IPSEC_HO_KA[100005:192.168.104.114:57084] -> Server neu[1000:192.168.103.113:53] any:17
12:07:53 DEBUG/PPP: To_FW.ms-sys-04: (MPP stateless) seqno: ae9 expected: ae8
12:07:53 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 17 192.168.103.113:57120/192.168.254.253:46055 -> 8.8.8.8:53
12:07:54 DEBUG/INET: new session, 192.168.100.110:57922->192.168.103.113:53 prot: 17 parent: false
12:07:54 DEBUG/INET: SIF: 6 Accept IPSEC_HO_HU[100003:192.168.100.110:57922] -> Server neu[1000:192.168.103.113:53] any:17
12:07:54 DEBUG/INET: new session, 192.168.103.113:57073->8.8.8.8:53 prot: 17 parent: false
12:07:54 DEBUG/INET: SIF: 15 Accept Server neu[1000:192.168.103.113:57073] -> ANY[1400:8.8.8.8:53] any:17
12:07:54 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 17 192.168.103.113:57073/192.168.254.253:52720 -> 8.8.8.8:53
12:07:54 DEBUG/PPP: To_FW.ms-sys-04: (MPP stateless) seqno: af5 expected: af4
12:07:54 DEBUG/INET: new session, 192.168.100.110:58418->192.168.103.113:53 prot: 17 parent: false
12:07:54 DEBUG/INET: SIF: 6 Accept IPSEC_HO_HU[100003:192.168.100.110:58418] -> Server neu[1000:192.168.103.113:53] any:17
12:07:54 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 17 192.168.103.113:61384/192.168.254.253:40456 -> 8.8.8.8:53
12:07:54 DEBUG/PPP: To_FW.ms-sys-04: (MPP stateless) seqno: b3f expected: b3e
12:07:54 DEBUG/INET: new session, 192.168.103.113:59742->192.168.102.112:3389 prot: 6 parent: false
12:07:54 DEBUG/INET: SIF: 7 Accept Server neu[1000:192.168.103.113:59742] -> IPSEC_HO_ZW[100002:192.168.102.112:3389] any:6
12:07:54 DEBUG/INET: interface 100002: TCP SYN [192.168.103.113:59742] -> [192.168.102.112:3389] clamp MSS 1460 ==> 1378
12:07:54 DEBUG/INET: NAT: delete session on ifc 1400 prot 17 192.168.103.113:61824/192.168.254.253:41612 <-> 8.8.8.8:53
12:07:54 DEBUG/INET: NAT: delete session on ifc 1400 prot 6 192.168.103.113:59739/192.168.254.253:40965 <-> 172.217.23.68:80
12:07:54 DEBUG/INET: NAT: delete session on ifc 1400 prot 6 192.168.103.3:57688/192.168.254.253:61975 <-> 87.139.23.252:443
12:07:54 DEBUG/INET: TIMEOUT Session expired: 192.168.103.3:57233->85.13.164.64:443 prot=6
12:07:54 DEBUG/INET: TIMEOUT Session expired: 192.168.103.113:59741->192.168.104.114:3389 prot=6
12:07:54 DEBUG/INET: destroy session, 192.168.103.113:59741->192.168.104.114:3389 prot: 6
12:07:54 DEBUG/INET: destroy session, 192.168.103.3:57233->85.13.164.64:443 prot: 6
12:07:54 DEBUG/INET: new session, 192.168.103.113:53355->239.255.255.250:1900 prot: 17 parent: false
12:07:54 DEBUG/INET: SIF: 15 Accept Server neu[1000:192.168.103.113:53355] -> ANY[1:239.255.255.250:1900] any:17
12:07:54 DEBUG/PPP: To_FW.ms-sys-04: (MPP stateless) seqno: b4b expected: b4a
12:07:54 DEBUG/INET: new session, 192.168.252.250:52234->192.168.252.254:53 prot: 17 parent: false
12:07:54 DEBUG/INET: SIF: Accept [1200:192.168.252.250:52234] -> [1:192.168.252.254:53] :17
12:07:54 DEBUG/INET: new session, 192.168.252.250:50713->192.168.252.254:53 prot: 17 parent: false
12:07:54 DEBUG/INET: SIF: Accept [1200:192.168.252.250:50713] -> [1:192.168.252.254:53] :17
12:07:54 DEBUG/INET: dnsd: qry from 192.168.252.250:52234 id 4691 "media.ferf1-1.fna.whatsapp.net." 65 1
12:07:54 DEBUG/INET: dnsd: no info (type 65) for media.ferf1-1.fna.whatsapp.net.
12:07:54 DEBUG/INET: dnsd: fwd 192.168.252.250:52234 id 4691 to 192.168.254.254:53 id 9704 "media.ferf1-1.fna.whatsapp.net." 65
12:07:54 DEBUG/INET: new session, 192.168.254.253:29062->192.168.254.254:53 prot: 17 parent: false
12:07:54 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 17 192.168.254.253:29062/192.168.254.253:41734 -> 192.168.254.254:53
12:07:54 DEBUG/INET: dnsd: qry from 192.168.252.250:50713 id 35901 "media.ferf1-1.fna.whatsapp.net." A 1
12:07:54 DEBUG/INET: dnsd: no info (type 1) for media.ferf1-1.fna.whatsapp.net.
12:07:54 DEBUG/INET: dnsd: fwd 192.168.252.250:50713 id 35901 to 192.168.254.254:53 id 32100 "media.ferf1-1.fna.whatsapp.net." A
12:07:54 DEBUG/INET: new session, 192.168.254.253:52928->192.168.254.254:53 prot: 17 parent: false
12:07:54 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 17 192.168.254.253:52928/192.168.254.253:63129 -> 192.168.254.254:53
12:07:54 DEBUG/INET: dnsd: rsp from 192.168.254.254:53 id 9704 "media.ferf1-1.fna.whatsapp.net." 65 0 0/1/0
12:07:54 DEBUG/INET: dnsd: rsp to 192.168.252.250:52234 id 4691 "media.ferf1-1.fna.whatsapp.net." 65 0/1/0
12:07:54 DEBUG/INET: dnsd: rsp from 192.168.254.254:53 id 32100 "media.ferf1-1.fna.whatsapp.net." A 0 1/0/0
12:07:54 DEBUG/INET: new session, 192.168.252.250:58275->192.168.252.254:53 prot: 17 parent: false
12:07:54 DEBUG/INET: SIF: Accept [1200:192.168.252.250:58275] -> [1:192.168.252.254:53] :17
12:07:54 DEBUG/INET: dnsd: rsp to 192.168.252.250:50713 id 35901 "media.ferf1-1.fna.whatsapp.net." A 1/0/0
12:07:54 DEBUG/INET: dnsd: qry from 192.168.252.250:58275 id 54205 "www.google.com." A 1
12:07:54 DEBUG/INET: dnsd: cache pos/neg (type 1) for www.google.com.
12:07:54 DEBUG/INET: dnsd: cache A (www.google.com., 172.217.23.68) for www.google.com.
12:07:54 DEBUG/INET: dnsd: rsp to 192.168.252.250:58275 id 54205 "www.google.com." A 1/0/0
12:07:54 DEBUG/INET: delete lru session, 192.168.254.253:1059->217.145.101.114:1723 prot: 6, current maximum: 4000
12:07:54 DEBUG/INET: destroy session, 217.145.101.114:0->192.168.254.253:47 prot: 47
12:07:54 DEBUG/INET: destroy session, 192.168.254.253:1059->217.145.101.114:1723 prot: 6
12:07:54 DEBUG/INET: new session, 192.168.252.250:56160->192.168.252.254:53 prot: 17 parent: false

Ich habe jetzt nur die ersten Meldungen gepostet, es wären (im Bedarfsfalle) noch spätere Meldungen verfügbar.

Das Problem ist das der Debugg wirklich alles anzeigt was über den Router geht wie DNS and 8.8.8.8, Anfragen an WhatsApp, abgelaufenen RDP Sessions usw. usw. und was den Überblick trübt.
Relevant ist sowas hier:
12:07:54 DEBUG/INET: delete lru session, 192.168.254.253:1059->217.145.101.114:1723 prot: 6, current maximum: 4000
12:07:54 DEBUG/INET: destroy session, 217.145.101.114:0->192.168.254.253:47 prot: 47
12:07:54 DEBUG/INET: destroy session, 192.168.254.253:1059->217.145.101.114:1723 prot: 6
Das ist TCP 1723 und GRE also die PPTP relevanten Protokolle. 217.145.101.114 killt hier z.B. die Tunnelsession nachdem 192.168.254.253 das über die TCP 1723er Steuersession erzwungen hat.

Frage Netzwerke Überwachung

Mehr von Atti58

Fritz!Box stellt keine Verbindung zu DynDNS.org mehr herAtti58 - 17 Kommentare

Warnung: Fallback to link-local address for ICMPAtti58 - 1 Kommentar

Digitalisierungsbox Premium 2 - Konfiguation ohne TelekomAtti58 - 6 Kommentare

PC-Kompatibilitätsprüfung unter WSUSAtti58 - 11 Kommentare

Heiß diskutiert