<HTML>
<HEAD>
<TITLE>Re: [Nagios-users] Problem with check_http and a Cisco CSS 11501</TITLE>
</HEAD>
<BODY>
<FONT FACE="Verdana, Helvetica, Arial"><SPAN STYLE='font-size:12.0px'><BR>
Ok, I’ve got a packet capture.<BR>
<BR>
There are three hosts involved: Nagios, CSS and Webserver<BR>
<BR>
In a normal session (one that succeeds) the sequence goes like this:<BR>
<BR>
Nagios -> CSS [SYN]<BR>
CSS (impersonating Nagios) -> Webserver [SYN]<BR>
Webserver -> CSS (impersonating Nagios) [SYN, ACK]<BR>
CSS -> Nagios [SYN, ACK]<BR>
Nagios -> CSS [ACK]<BR>
CSS (impersonating Nagios) -> Webserver [ACK]<BR>
Nagios proceeds with HTTP GET and session continues normally.  The entire process takes about 0.05 seconds<BR>
<BR>
When I’m seeing a failure the sequence of events looks like this:<BR>
<BR>
Nagios -> CSS [SYN]<BR>
Webserver -> Nagios [SYN, ACK]<BR>
Nagios -> Webserver [RST, ACK]<BR>
... Pause 5 seconds ...<BR>
Webserver -> Nagios [SYN, ACK]<BR>
Nagios -> Webserver [RST, ACK]<BR>
Nagios -> CSS [SYN]<BR>
... Pause until 10 second timeout is reached ...<BR>
<BR>
The CSS never seems to respond to the Nagios host, but the Webserver sends packets directly back to the Nagios host, apparently ignoring its default route (that points it to the CSS)<BR>
<BR>
Interestingly, this problem seems to only occur if the nagios daemon is running.  I shut the daemon down to make the capture easier to read, and just ran the check_http command manually.  For awhile I would still get failures, but eventually the command would stop failing completely.<BR>
<BR>
<BR>
<BR>
<BR>
<BR>
On 2/27/07 4:25 PM, "Hugo van der Kooij" <hvdkooij@vanderkooij.org> wrote:<BR>
<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Verdana, Helvetica, Arial"><SPAN STYLE='font-size:12.0px'><BR>
I suggest you setup a packet capture and trace the specific sessions. It<BR>
should tell you exactly if the CSS is just becoming darn slow with replies<BR>
or it has to do something with your server.<BR>
<BR>
...<BR>
<BR>
I would not waste anytime on building a new server untill you know what is<BR>
going on based on the packet capture.<BR>
<BR>
Depending on the exact CSS settings this may just be a CSS noting a DoS<BR>
condition.<BR>
<BR>
Perhaps I need to fire up my old CSS and see what happens. (I actually<BR>
still have an ArrowPoint CSS ;-)<BR>
<BR>
Hugo.<BR>
<BR>
</SPAN></FONT></BLOCKQUOTE>
</BODY>
</HTML>