Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 3898 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Packet already has AFC mark value

ulfthomas
Hi.

I'm seeing this message every few seconds when connected to my Sophos UTM via L2TP. I've looked around but so far I have been unable to find any resolutions or explanations.

I'm running Sophos UTM 9.201 home edition virtualized on ESX 4.1. Any insights? 


2014:04:30-13:52:08 router afcd[5663]: WARNING! packet already has AFC mark value (0x00007106), replacing with 0x0000207c

2014:04:30-13:52:14 router afcd[5663]: WARNING! packet already has AFC mark value (0x00007106), replacing with 0x0000207c

2014:04:30-13:52:45 router afcd[5663]: WARNING! packet already has AFC mark value (0x00007106), replacing with 0x0000207c

2014:04:30-13:53:05 router afcd[5663]: WARNING! packet already has AFC mark value (0x00007106), replacing with 0x0000207c

2014:04:30-13:53:05 router afcd[5663]: WARNING! packet already has AFC mark value (0x00007106), replacing with 0x0000207c

2014:04:30-13:53:05 router afcd[5663]: WARNING! packet already has AFC mark value (0x00007106), replacing with 0x0000207c

2014:04:30-13:53:15 router afcd[5663]: WARNING! packet already has AFC mark value (0x00007106), replacing with 0x0000207c

2014:04:30-13:53:17 router afcd[5663]: WARNING! packet already has AFC mark value (0x00007106), replacing with 0x0000207c

2014:04:30-13:53:27 router afcd[5663]: WARNING! packet already has AFC mark value (0x00007106), replacing with 0x0000207c


Regards,

Thomas


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    the lower 12 bit of the AFC mark value encodes the detected application. In your case the application seems to get changed from L2TP to DNS. As DNS is more specific than L2TP I would consider this normal operation, nothing to worry about.

    But what I am wondering about is how the rest of the AFC mark value is changed: 0x....7... -> 0x....2.... There seems to be something happening to the flow that is related to an ATP exception.

    Do you have a particular issue that might be related to these messages?

    Thanks in advance,
    mlenk
Reply
  • 0
    Hi,

    the lower 12 bit of the AFC mark value encodes the detected application. In your case the application seems to get changed from L2TP to DNS. As DNS is more specific than L2TP I would consider this normal operation, nothing to worry about.

    But what I am wondering about is how the rest of the AFC mark value is changed: 0x....7... -> 0x....2.... There seems to be something happening to the flow that is related to an ATP exception.

    Do you have a particular issue that might be related to these messages?

    Thanks in advance,
    mlenk
Children
  • 0 in reply to mle
    Hi,

    But what I am wondering about is how the rest of the AFC mark value is changed: 0x....7... -> 0x....2.... There seems to be something happening to the flow that is related to an ATP exception.


    I just checked the source code. This paragraph can be ignored as this part of the AFC mark value change is only logged but does not really happen. The whole point of this log message is only to log the changed application.

    So, to put it in a nutshell: Most likely the entire thing is nothing to worry about.

    Best regards,
    mlenk
Unfiltered HTML