Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 5 subscribers
  • Views 5975 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec Site-to-Site VPN - HTTP Traffic

Martin Kronenberg

Hallo zusammen

Ich habe ein spezielles Phänomen, aus welchem ich nicht schlau werden.

 

Ich habe ein Site-to-Site VPN zwischen 192.168.0.0/24 und 192.168.100.0/24. Dabei ist auf dem 100er Subnetz Seite NAT-T aktiv.

Die IPSec Verbindung steht

 

Ich kann von beiden Seiten auf die andere Seite per SSH oder RDP verbinden, somit scheint die Verbindung in Ordnung zu sein.

- Greife ich von 192.168.0.0/24 auf einen Webservice im 192.168.100.0/24 er Netz zu, so funktioniert der Zugriff.

- Greife ich vom 192.168.100.0/24 Netz auf ein Webservice im 192.168.0.0/24 Netz zu, so erhalte ich ein Timeout. Die Firewall ist aber grundsätzlich offen, eine Verbindung mittels telnet auf Port 80 des Webservices funktioniert zum Beispiel.

TCPDump zeigt mir folgendes an:

 

Ich vermute ein Problem im Zusammenhang mit NAT, habe aber keine Ahnung wo ich suchen muss.

 

Danke für eure Hilfe.



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Martin,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    I don't believe this traffic is being blocked by the UTM, but you could confirm that by doing #1 in Rulz (last updated 2019-04-17).  #2 in Rulz will help you understand how inbound packets are handled.

    I almost always agree with what Dirk and Steve post, but my guess here is DNS or a routing issue in your home device.  If you're using Web Filtering on the other side, that might be a part of the solution.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Bob

    Danke für deine Antwort.

    WebFiltering ist nicht aktiv.

    IPS war deaktiviert, die Rules in den einzelnen Tabs habe ich zur Sicherheit auch deaktiviert.

    DNS dürfte es nicht sein, da ich den Ziel-Webserver via IP:Port und nicht per FQDN anspreche

    Das Routing müsste die UTM für den Tunnel selbst machen oder benötigt es dazu eine manuelle konfiguration?

     

    Danke und Gruss

    Martin

  • 0 in reply to Martin Kronenberg

    Was mir im Firewall Log aufgefallen ist:

    Rufe ich den Webservice per IP auf, habe ich jedesmal den folgenden Firewall Eintrag:

    Wobei 172.16.1.254 die IP des UTM WAN Interfaces ist und 172.16.1.1 des Routers

    Schalte ich dies auf der Firewall frei, klappt es aber leider trotzdem nicht.

  • 0 in reply to Martin Kronenberg

    Hallo Martin,

    Was sagt den der Webserver im Log, bekommt er die Anfragen?

    bye Josef

    BERGMANN engineering & consulting GmbH, Wien/Austria

  • 0 in reply to Martin Kronenberg

    Hallo Martin,

    If you read #1 in Rulz closely, you see that disabling IPS does not disable Anti-UDP-Flooding, so you really should check that log, too.

    Alone among the logs, the Firewall Live Log presents abbreviated information in a format easier to read quickly.  Usually, you can't troubleshoot without looking at the corresponding line from the full Firewall log file.  Please post the line corresponding to the one above in red.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to JosefBergmann

    Hallo Josef

     

    Spannend ist, wenn ich den Webservice des NAS via HTTP aufrufen erhalte ich:

     

    Rufe ich den gleichen Webservice via HTTPS auf, habe ich das in diesem Case beschriebene Verhalten.
    Ist ein Webservice nur via HTTP erreichbar, tritt ebenfalls das hier beschriebene Verhalten auf.

     

    Grundsätzlich scheint aber somit, der Request anzukommen. Die Webserverlogs muss ich noch prüfen, habe von hier aus keinen Zugriff.

     

    Danke und Gruss
    Martin

Reply
  • 0 in reply to JosefBergmann

    Hallo Josef

     

    Spannend ist, wenn ich den Webservice des NAS via HTTP aufrufen erhalte ich:

     

    Rufe ich den gleichen Webservice via HTTPS auf, habe ich das in diesem Case beschriebene Verhalten.
    Ist ein Webservice nur via HTTP erreichbar, tritt ebenfalls das hier beschriebene Verhalten auf.

     

    Grundsätzlich scheint aber somit, der Request anzukommen. Die Webserverlogs muss ich noch prüfen, habe von hier aus keinen Zugriff.

     

    Danke und Gruss
    Martin

Children
No Data
Unfiltered HTML