FTP Mysterium V7R1

[wolfgang.w]

Hallo Zerberus

So, bin erst jetzt dazu gekommen den internen Test noch durchzuführen. Ich habe also meine 25 .xml Dateien auf das alte System kopiert und das Script umgeschrieben damit die Daten von dort abgeholt werden.

KEINE FEHLERMELDUNGEN - KEINE PROBLEME!

Leider kann ich dieses Ergebnis jetzt nicht deuten. Was bedeutet das jetzt? Liegt es wirklich nur am Durchsatz von intern/extern? An der Firewall kann es nicht liegen, da beide Systeme nebeneinanderstehen und in die gleichen Kanäle greifen (Switch, Hausverkablung, Firewall). Das neue System hat die gleiche IP-Adresse und den gleichen Namen wie zuvor das alte System hatte. Das alte System wurde entsprechend umnummeriert und umbenannt. Sogar der physische Standort wurde ausgetauscht, wie man das eben so macht mit einem neuen System.

Fazit:
- intern läuft problemlos
- extern erzeugt Fehler (mittlerweile 2x WinServer und 1x AS/400 getestet )

[Zerberus77]

Hallo Wolfgang,

also, folgendes wäre der nächste Schritt:

*) TRCCNN auf der iSeries
*) TRCCNN oder WireShark Trace auf dem FTP Server. Ich würde die externe iSeries bevorzugen *gg*

Intern würd ich beim TRCCNN die IP Adresse des FTP Servers in das Feld 'Ferne Adresse' eintragen und bei der extern iSeries würd ich nicht filtern (ausser du kannst die interne iSeries wirklich identifizieren). IP Adresse der internen iSeries wird nicht gehen, da ich davon ausgehe, dass die Adresse genated wird.

Die neuen Träce würd ich mir dann wieder ansehen.

P.S.: Nach meiner Erfahrung, tippe ich auf die FireWall. Mich würde es nicht wundern, wenn die Fehlermeldung gar nicht vom FTP Server, sondern von der FireWall kommt. Klingt komisch, kann aber durchaus sein. Interessant wäre, mal die Logs der FireWall zu durchforsten, ob sich da irgendwelche Hinweise finden.

P.P.S.: Wenn im 'alten' System wirklich eine 100Mbit Karte verwendet wurde und jetzt mit 1Gbit gearbeitet wird, wäre es einen Versuch wert, entweder in der LIND und auf dem Switch die Geschwindigkeit auf 100/*FULL fest einzutragen. Alternativ könntest du eine andere Karte/ ein anderes Port an der Netzwerkkarte verwenden und via Routingeintrag dieses andere Port für den FTP (für Testzwecke) verwenden.

Habt ihr eine eigene Netzwerkkarte, oder Verwendet ihr den HEA?

MFG Zerberus

[Fuerchau]

Firewalls dürfen keine Meldungen erzeugen sondern blocken nur.
Käme eine Meldung wüsste man ja, dass die Adresse/der Port existiert um weitere Angriffe zu initiieren.
Das ist wie bei den Mails, die eine 1-Punkt-Bilddatei enthalten um beim Download des Bildes die Gültigkeit zu verifizieren.

Aber zum Thema:
Ich würde da eine Fehlermeldung an IBM abgeben, da es ja mit dem vorherigen Release reibungslos funktioniert.
Eine Firewall kann man da ausschließen.

[wolfgang.w]

Hallo Zerberus

Besten Dank für Deine Antwort.

Es wird der HEA verwendet (Typ #576F 'PCIe2 1GbE Adapter 4Port'). Interessanterweise steht in der WRKLIND Beschreibung der Ethernet Leitungsbeschreibung 100M/*FULL als aktuelle Übertragungsgeschwindigkeit. Wahrscheinlich ist das verwendete Kabel noch ein Kat5 (kann's nicht überprüfen, ich bin nicht vor Ort). In der ursprünglichen Konfig. steht bei Übertragungsgeschwindigkeit *AUTO drin.

Den TRACE werde ich dir senden sobald ich ihn gemacht habe. Könnte allerdings eins/zwei Tage dauern.

Die Firewall wird nicht von mir betreut. Ich werde das mal in die Wege leiten, dass das Log gespeichert wird.

[wolfgang.w]

@Fuerchau

Ich würde da eine Fehlermeldung an IBM abgeben

Wie und wo würdest du das machen?

[Fuerchau]

Da ich kein IBM-Kunde bin, kann ich das leider nicht sagen.

[Zerberus77]

Hallo Fuerchau,

FireWalls sind durchaus in der Lage Meldungen zu schicken. Vielleicht fungiert die ja auch als FTP Proxy.

@Wolfgang,

ist das System ein Standalone System oder wird es von einer HMC gemanaged?
Wenn HMC managed, dann LIND Parameter *AUTO/*AUTO und via HMC den HEA so konfigurieren wie am angestecketen Switch Port.
Wenn Standalone, dann LIND wie Switch Port konfigurieren.

MFG Zerberus

[EFueloep]

Einen SW Call kann über folgenden Link eröffnet werden (IBM ID required):

IBM Service Request - Service requests & PMRs

Bezüglich Firewalls:

Die FW könnte sehr wohl an diesem Problem schuld sein.
Speziell bei FTP macht die FW weit mehr als man glaubt. Eine FW liest den Inhalt der FTP Control Session mit. Der FTP Client teilt dem Server mit er will eine Passive FTP Data Connection (SENDPASV). Der FTP Server antwortet mit der Port Information auf welchem Port er für eine FTP Data Connection ready ist. Die FW öffnet dynamisch dieses Port für outgoing traffic und läßt die Connection from FTP-Client zu diesem Port des FTP-Servers zu.

In diesem Fall könnte es sein, dass die FW mit dem Port vom FTP-Server nicht "einverstanden" ist oder sonst irgendein Problem damit hat. Daher könnte die Meldung "500 bad passive command from server" durchaus von der FW kommen.
Ich würde dies nicht sofort ausschließen.

[wolfgang.w]

@EFueloep¨
Danke für SW Call Adresse!

Ich verstehe deine Erklärung soweit. Aber ich schliesse die Firewall eigentlich aus dem Grunde aus weil die FTP Transfers auf das alte System problemlos funktioniert haben und nur die Transfers auf das neue System (welches sich im gleichen Netz befindet) Probleme macht.

Es kann ja nicht sein, dass die FW beim einen System alles durchlässt und beim anderen nicht. Sofern irgendwas geblockt würde, dann müsste es sowieso beim alten System blocken, da das neue System mittlerweile die IP-Adresse des alten Systems hat. Das alte System hingegen hat zwangläufig eine andere bekommen. Trotzdem werde ich mir mal die Logs organisieren (ev. müssen diese ja zuerst aktiviert werden).

@Zerberus
Das System hat eine LAN-Konsole (Operations Console). Die LIND Parameter sind *AUTO/*AUTO. Den Switch Port muss ich noch prüfen lassen (wie gesagt, ich bin nicht vor Ort).

[Zerberus77]

Hallo Wolfgang,

ah, jetzt versteh ich, konfiguriert ist *AUTO/*AUTO, aber aktuell ist 100M/*FULL.
Hmm, ich würde die FireWall nicht ausschließen, wenn die Kommunikation jetzt schneller geht als vorher - die FireWall aber nicht nachkommt, die MAC Adresse hat sich geändert,...
Ich denke aber nicht, dass etwas geblockt wird, ich glaub eher es ist ein Problem mit der Geschwindigkeit.

Wie gesagt, interessant wäre jetzt mal der Trace beider Seiten. Vielleicht wäre es sogar möglich diese Traces von der 'alten' und der 'neuen' iSeries zu machen, da hät ich dann einen direkten Vergleich.
Bei dem Trace werden QSYSPRT Spoolfiles erstellt, die reichen. Die QPCSMPRT brauch ich nicht.

MFG Zerberus