Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 5 subscribers
  • Views 5981 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec Site-to-Site VPN - HTTP Traffic

Martin Kronenberg

Hallo zusammen

Ich habe ein spezielles Phänomen, aus welchem ich nicht schlau werden.

 

Ich habe ein Site-to-Site VPN zwischen 192.168.0.0/24 und 192.168.100.0/24. Dabei ist auf dem 100er Subnetz Seite NAT-T aktiv.

Die IPSec Verbindung steht

 

Ich kann von beiden Seiten auf die andere Seite per SSH oder RDP verbinden, somit scheint die Verbindung in Ordnung zu sein.

- Greife ich von 192.168.0.0/24 auf einen Webservice im 192.168.100.0/24 er Netz zu, so funktioniert der Zugriff.

- Greife ich vom 192.168.100.0/24 Netz auf ein Webservice im 192.168.0.0/24 Netz zu, so erhalte ich ein Timeout. Die Firewall ist aber grundsätzlich offen, eine Verbindung mittels telnet auf Port 80 des Webservices funktioniert zum Beispiel.

TCPDump zeigt mir folgendes an:

 

Ich vermute ein Problem im Zusammenhang mit NAT, habe aber keine Ahnung wo ich suchen muss.

 

Danke für eure Hilfe.



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Martin,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    I don't believe this traffic is being blocked by the UTM, but you could confirm that by doing #1 in Rulz (last updated 2019-04-17).  #2 in Rulz will help you understand how inbound packets are handled.

    I almost always agree with what Dirk and Steve post, but my guess here is DNS or a routing issue in your home device.  If you're using Web Filtering on the other side, that might be a part of the solution.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0

    Hallo Martin,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    I don't believe this traffic is being blocked by the UTM, but you could confirm that by doing #1 in Rulz (last updated 2019-04-17).  #2 in Rulz will help you understand how inbound packets are handled.

    I almost always agree with what Dirk and Steve post, but my guess here is DNS or a routing issue in your home device.  If you're using Web Filtering on the other side, that might be a part of the solution.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson

    Hallo Bob

    Danke für deine Antwort.

    WebFiltering ist nicht aktiv.

    IPS war deaktiviert, die Rules in den einzelnen Tabs habe ich zur Sicherheit auch deaktiviert.

    DNS dürfte es nicht sein, da ich den Ziel-Webserver via IP:Port und nicht per FQDN anspreche

    Das Routing müsste die UTM für den Tunnel selbst machen oder benötigt es dazu eine manuelle konfiguration?

     

    Danke und Gruss

    Martin

  • 0 in reply to Martin Kronenberg

    Was mir im Firewall Log aufgefallen ist:

    Rufe ich den Webservice per IP auf, habe ich jedesmal den folgenden Firewall Eintrag:

    Wobei 172.16.1.254 die IP des UTM WAN Interfaces ist und 172.16.1.1 des Routers

    Schalte ich dies auf der Firewall frei, klappt es aber leider trotzdem nicht.

  • 0 in reply to Martin Kronenberg

    Hallo Martin,

    Was sagt den der Webserver im Log, bekommt er die Anfragen?

    bye Josef

    BERGMANN engineering & consulting GmbH, Wien/Austria

  • 0 in reply to Martin Kronenberg

    Hallo Martin,

    If you read #1 in Rulz closely, you see that disabling IPS does not disable Anti-UDP-Flooding, so you really should check that log, too.

    Alone among the logs, the Firewall Live Log presents abbreviated information in a format easier to read quickly.  Usually, you can't troubleshoot without looking at the corresponding line from the full Firewall log file.  Please post the line corresponding to the one above in red.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to JosefBergmann

    Hallo Josef

     

    Spannend ist, wenn ich den Webservice des NAS via HTTP aufrufen erhalte ich:

     

    Rufe ich den gleichen Webservice via HTTPS auf, habe ich das in diesem Case beschriebene Verhalten.
    Ist ein Webservice nur via HTTP erreichbar, tritt ebenfalls das hier beschriebene Verhalten auf.

     

    Grundsätzlich scheint aber somit, der Request anzukommen. Die Webserverlogs muss ich noch prüfen, habe von hier aus keinen Zugriff.

     

    Danke und Gruss
    Martin

  • 0 in reply to BAlfson

    Hallo Bob

     

    Das Anti-UDP-Flooding habe ich explizit deaktiviert:

    Das IPS-Logfile ist bei mir leer:

     

    Es ist diese Logzeile:

    2020:02:08-11:32:58 sophosutm ulogd[4728]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="94:6a:b0:cb:e0:3a" dstmac="00:0d:b9:37:19:d8" srcip="172.16.1.1" dstip="172.16.1.254" proto="17" length="78" tos="0x00" prec="0x00" ttl="64" srcport="45812" dstport="137"

     

    Was mir im Log auffällt, dass ich zu dieser Zeit generell sehr viele Blocks mit dstport="137" im internen Netz habe.

     

    Danke und Gruss
    Martin

  • 0 in reply to Martin Kronenberg

    Hallo,

    ich glaube, das Thema mit UDP137 an deine(n) Server kannst du ignorieren.

    Wenn du den mittels IP ansprichst, versucht der Browser/Client lediglich den Namen zur IP per NetBios vom Server zu erfragen.

    Habe noch nicht gesehen, dass etwas nicht funktionierte, wenn ich das blockte.

    Ich habe noch ein paar weitere Fragen...

    Welche Firewalls werden auf beiden Seiten eingesetzt?

    Schlägt das IPS-auf einer der beiden an?

    Ist es möglich eine Datei per SSH/SCP durch den Tunnel auf den Problem-Webserver und zurück zu kopieren? Wie lange dauert das pro Richtung?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Auf der "NAT" Seite ist die Sophos UTM im Einsatz, davor ist die SALT Fiber Box für den Internetzugang.

    Auf der gegenseite eine Swisscom CentroBusiness 2, welche als Router/Firewall und IPSec funktioniert.

     

    Nein. Ich kann mich mit WinSCP vom NAT-Netz zwar verbinden, sobald ich im Datenverzeichnis navigieren möchte, erhalte ich ein Timeout:

     

    Gruss, Martin

  • 0 in reply to Martin Kronenberg

    Vom "Nicht-NAT" Netz, wo die Verbindung zur Remote Seite funktioniert:

     

    Vom "NAT" Netz:

  • 0 in reply to Martin Kronenberg

    Ich habe neue Erkenntnisse. 
    Bei reinen HTTP Services kann ich die Verbindung nun aufbauen und die Dienste nutzen, jedoch bei HTTPS tritt der Fehler nach wie vor auf.

    Bei HTTPS gelange ich bis zur Fehlermeldung des Zertifikates. Klicke ich dann auf "Trotzdem laden" bleibt die Seite stehen:

     

    Wireshark sagt dazu:

Unfiltered HTML