Maximum sessions per host exceeded.

    Hallo,


    ich habe von meiner TS-419P II (10.0.1.5) ständig einen merkwürdigen Eintrag im Protokoll der Firewall:

    Code
    4     2021-04-22 14:07:35     warn     Sessions Limit     Maximum sessions per host (1000) was exceeded. [count=85]     10.0.1.5     10.0.1.1     ACCESS BLOCK


    Weiß jemand was das zu bedeuten hat?


    Ich könnte jetzt das Session Limit für den host erhöhen, oder den Eintrag ignorieren, beides ist ggf. nicht so optimal... denn ich weiss nicht was da blockiert wird, und auch nicht warum es so viele Sessions braucht :D


    Ich würde am ehesten auf DNS Anfragen tippen... da das Gateway angefragt wird... aber ^^

    Bei plötzlichen Anomalien des Netzwerks gibt es eine probate Methode >>> Netzstecker ziehen und in Ruhe die notwendigen Infos für das Forum zusammensuchen.

    ... den "Stecker" hat ja schon die Firewall gezogen!



    Malwarescan auch ohne Ergebnis.

    Nein?


    Möglicherweise funktioniert ja etwas nicht mehr? Oder es handelt sich um ein Konfigurationsproblem?


    Ich würde schon gerne die Ursache mit euch zusammen herausfinden...

    Dann schau nach, woher die Anfragen kommen (wireshark etc.) Hört die Randale auf wenn der Router vom WAN getrennt wird? Zuerst würde ich aber das NAS vom Netz nehmen, hier mal ausbreiten, wie es in/am LAN/WAN hängt, welche Clients wie drauf zugreifen können/dürfen, welche Dienste laufen, welcher Router mit welchen Einstellungen (Portforwarding/Upnp/etc) beteiligt ist, seit wann genau das stattfindet uswusf.

    Ohne Infos ist das Stochern im Nichts.

    Okay, dann fange ich mal an..


    Firmware 4.3.3.1624, IPV4 und V6 sind per DHCP zugewiesen, Anbindung über 2xGBE (IEEE 802.3ad)

    Telekom VDSL Anschluss mit alternativem DNS (Quad9)


    Auf dem NAS läuft "nichts (wildes) "... itunes Server, Netzwerkfreigaben über AFP, FTP

    ... allerdings verwende ich "myqnapcloud" (DDNS) und das Let's Encrypt Zertifikat...


    UPnP ist im Netzwerk aktiv!


    Von außen ist das NAS nur per FTP zu erreichen... (NAT Port 21->21 + IPV4 Policy)

    Die Portweiterleitung auf das "sichere NAS WEB" ist zwar eingerichtet (8080 -> 443) aber i.d.R. nicht aktiv. Dafür nutze ich eine L2TP/IPSec- VPN Verbindung (nicht über das NAS) um ggf. auf die Weboberfläche (... oder auch andere Geräte) zuzugreifen.


    ... per USB ist angeschlossen eine USV und ein RDX Laufwerk (Datensicherung (das sollte aber "egal" sein)).


    An Sitzungen sind aktuell scheinbar nur diese offen, die das NAS (10.0.1.5) betreffen aktiv:


    DNS_UDP 10.0.1.5:57598 Private IP 9.9.9.11:53 United States 304 Bytes 70 Bytes 41
    Remote-Assistance_HTTPS 10.0.1.5:36402 Private IP 139.162.145.160:443 Germany 4.203 MBytes 10.481 MBytes 93468
    Any_UDP 10.0.1.5:54582 Private IP 211.149.233.35:20001 China 0 Bytes 2.005 MBytes 93834
    DNS_UDP 10.0.1.5:60146 Private IP 9.9.9.11:53 United States 304 Bytes 70 Bytes 41
    Any_UDP 10.0.1.5:54582 Private IP 123.57.105.118:20001 China 107.440 KBytes 2.005 MBytes 93834
    DNS_UDP 10.0.1.5:38871 Private IP 9.9.9.11:53 United States 232 Bytes 70 Bytes 41
    Any_UDP 10.0.1.5:54582 Private IP 139.162.72.65:20001 Japan 1.284 MBytes 2.005 MBytes 93834
    Any_UDP 10.0.1.5:54582 Private IP 74.207.241.132:20001 United States 1.388 MBytes 2.005 MBytes 93834
    Any_UDP 10.0.1.5:54582 Private IP 176.58.96.231:20001 United Kingdom 1.338 MBytes 2.005 MBytes 93834



    Davon sind 3 für DNS Anfragen... die mit dem 20001er Port würde ich der QNAP Cloud zurechnen...


    Warum die Warnung kommt ^^ - gerade sind auf dem ganzen Netzwerk nur 67 von 150000 möglichen Session aktiv.


    Vielleicht logge ich auch nicht alles mit... aber Session ist doch Session... oder nicht?


    Mit Wireshark kenne ich mich leider nicht aus... könnte ich das auch auf einem Laptop im WLAN installieren? Der müsste bei ausgeschalteter Layer2 Isolation alles sehen können, oder?



    ... und das hier ist doch der "ganz normale"- Wahnsinn, oder?


    pasted-from-clipboard.png

    Einmal editiert, zuletzt von sasch ()

    Das ist doch die Session Tabel in der Firewall oder?


    Hier geht es doch um LAN Sessions, da wird ggf. ein Client auf die NAS sturm rennen, weil z.B. das Kennwort falsch abgespeichert ist.

    Win 10 ist da mit SMB wirklich hart drauf und versucht es in weniger als 1 Sekunden so oft, das die IP Blocked wird, wenn du die SMB Sicherheitsfunktionen aktiv hast.

    Ich vermute eher so etwas in dieser Richtung.

    Hmm.. ich habe gar keinen windows Client im Netzwerk... sicher das es sich nur im internen "LAN" abspielt? Die 10.0.1.1 Adresse ist das Standardgateway...



    Kann es vielleicht doch der "custom" DNS sein?!


    Jedenfalls glaube ich nicht, dass tatsächlich mehr als 1000 Sessions "offen" bleiben... aber der "Counter" läuft tatsächlich über, wenn man das Limit deaktiviert... dann wird irgendwann alles geblockt, wegen "out of memory" :o


    Wenn es nicht nur bei der IP vom NAS auftreten würde hätte ich eher auf die USG getippt... %-:(

    Einmal editiert, zuletzt von sasch ()