Verdächtige Firewall-Logs nach Update auf 9.605-1

Guten Morgen zusammen,

 

seit dem Update der UTM auf 9.605-1 (per Update Wizard) tauchen im Firewall-Log Einträge auf, welche ich nicht zuordnen kann bzw. eigenartig finde.
Das WAN-Interface der Sophos baut über 443 (OpenVPN) nach draußen angeblich verschiedenen Tunnel auf.

Kann mir jemand vllt. erklären, was das sein kann?

An der Sophos wurde nichts geändert bzw konfiguriert.
Die Sophos läuft als VM auf einem ESXi. Ebenso wurde am Host nichts verändert.

Alle haben im letzten Feld folgendes stehen:

[ACK SYN] len=44 ttl=64 tos=0x00

 

09:54:54   OpenVPN  
x.x.x.x : 443
185.3.193.158 : 42545
 
[ACK SYN] len=44 ttl=64 tos=0x00
09:54:54   OpenVPN  
x.x.x.x : 443
185.3.193.158 : 57485
 
[ACK SYN] len=44 ttl=64 tos=0x00
09:54:56   OpenVPN  
x.x.x.x : 443
185.3.193.158 : 55121
 
[ACK SYN] len=44 ttl=64 tos=0x00
09:54:57   OpenVPN  
x.x.x.x : 443
185.3.193.158 : 39519
 
[ACK SYN] len=44 ttl=64 tos=0x00
09:54:58   OpenVPN  
x.x.x.x : 443
185.3.193.158 : 55121
 
[ACK SYN] len=44 ttl=64 tos=0x00
09:54:59   OpenVPN  
x.x.x.x : 443
185.3.193.158 : 39519
 
[ACK SYN] len=44 ttl=64 tos=0x00
09:55:00   OpenVPN  
x.x.x.x : 443
185.3.193.158 : 52929
 
[ACK SYN] len=44 ttl=64 tos=0x00
09:55:02   OpenVPN  
x.x.x.x : 443
185.3.193.158 : 52929
 
[ACK SYN] len=44 ttl=64 tos=0x00
09:55:03   OpenVPN  
x.x.x.x : 443
185.3.193.158 : 39519
 
[ACK SYN] len=44 ttl=64 tos=0x00
09:55:03   OpenVPN  
x.x.x.x : 443
185.3.193.158 : 50068
 
[ACK SYN] len=44 ttl=64 tos=0x00
09:55:05   OpenVPN  
x.x.x.x : 443
185.3.193.158 : 43471
 
[ACK SYN] len=44 ttl=64 tos=0x00
09:55:06   OpenVPN  
x.x.x.x : 443
185.3.193.158 : 50068
 
[ACK SYN] len=44 ttl=64 tos=0x00
09:55:07   OpenVPN  
x.x.x.x : 443
185.3.193.158 : 43471
 
[ACK SYN] len=44 ttl=64 tos=0x00
09:55:07   OpenVPN  
x.x.x.x : 443
185.3.193.158 : 64324
 
[ACK SYN] len=44 ttl=64 tos=0x00
09:55:09   OpenVPN  
x.x.x.x : 443
185.3.193.158 : 64324
 
[ACK SYN] len=44 ttl=64 tos=0x00
09:55:10  
  • Hallo Toxtronic ,

    wenn es sich bei x.x.x.x um das WAN-Interface der Sophos handelt, wird hier ein SSL-Verbindungsversuch beantwortet.

    Es sieht wie der 2. Schritt der TCP Aushandlung aus, also das Antwortpaket auf den initialen SYN  (SYN / ACK-SYN / ...)