Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 5 subscribers
  • Views 5970 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec Site-to-Site VPN - HTTP Traffic

Martin Kronenberg

Hallo zusammen

Ich habe ein spezielles Phänomen, aus welchem ich nicht schlau werden.

 

Ich habe ein Site-to-Site VPN zwischen 192.168.0.0/24 und 192.168.100.0/24. Dabei ist auf dem 100er Subnetz Seite NAT-T aktiv.

Die IPSec Verbindung steht

 

Ich kann von beiden Seiten auf die andere Seite per SSH oder RDP verbinden, somit scheint die Verbindung in Ordnung zu sein.

- Greife ich von 192.168.0.0/24 auf einen Webservice im 192.168.100.0/24 er Netz zu, so funktioniert der Zugriff.

- Greife ich vom 192.168.100.0/24 Netz auf ein Webservice im 192.168.0.0/24 Netz zu, so erhalte ich ein Timeout. Die Firewall ist aber grundsätzlich offen, eine Verbindung mittels telnet auf Port 80 des Webservices funktioniert zum Beispiel.

TCPDump zeigt mir folgendes an:

 

Ich vermute ein Problem im Zusammenhang mit NAT, habe aber keine Ahnung wo ich suchen muss.

 

Danke für eure Hilfe.



This thread was automatically locked due to age.
Parents
  • 0

    Immer auch die interne Firewalls (Windows Defender bei aktuellen Server Systemen) oder AV-Lösungen mit Firewallfunktionalität in Betracht ziehen und prüfen. Für den entfernten Server kommen die Anfragen ohne NAT ja aus einem "fremden" Netzwerk und könnten dadurch geblockt werden...

     

    Gruß Steve

     

     

     

  • 0 in reply to Steve Weißflog

    Hallo Steve,

    für ein echtes, gezieltes  "blocken", egal durch wen oder was, kommt dann doch zu viel durch.

    Das TCP Handshaking SYN - SYN ACK - ACK ist z.B. vollständig, auch wenn des SYN ACK wiederholt wird.

    Von den anderen Paketen kommen trotz Paket-Verlusten und-wiederholungen ja auch einige an.

     

    Und wenn eine Richtung deutlich besser funktioniert als die andere ... würde ich wirklich auf einen Full-Duplex/Halb-Duplex mismatch tippen.

    @Martin: Ist im Netz/Server irgendwo die Portgeschwindigkeit fest eingestellt?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk 

    Danke für die Hinweise.

    Nein, alle Interfaces, welche ich konfigurieren kann, sind beidseitig auf Auto-Nego eingestellt.

     

    Gruss, Martin

Reply Children
No Data
Unfiltered HTML