IPSec Site-to-Site VPN - HTTP Traffic

Hallo zusammen

Ich habe ein spezielles Phänomen, aus welchem ich nicht schlau werden.

 

Ich habe ein Site-to-Site VPN zwischen 192.168.0.0/24 und 192.168.100.0/24. Dabei ist auf dem 100er Subnetz Seite NAT-T aktiv.

Die IPSec Verbindung steht

 

Ich kann von beiden Seiten auf die andere Seite per SSH oder RDP verbinden, somit scheint die Verbindung in Ordnung zu sein.

- Greife ich von 192.168.0.0/24 auf einen Webservice im 192.168.100.0/24 er Netz zu, so funktioniert der Zugriff.

- Greife ich vom 192.168.100.0/24 Netz auf ein Webservice im 192.168.0.0/24 Netz zu, so erhalte ich ein Timeout. Die Firewall ist aber grundsätzlich offen, eine Verbindung mittels telnet auf Port 80 des Webservices funktioniert zum Beispiel.

TCPDump zeigt mir folgendes an:

 

Ich vermute ein Problem im Zusammenhang mit NAT, habe aber keine Ahnung wo ich suchen muss.

 

Danke für eure Hilfe.

  • In reply to Martin Kronenberg:

    Hallo Martin,

    das ist ziemlicher sicher kein Problem der Firewall (vor allem da Du laut eigener Aussage auch keine Webprotection verwendest).

    Versuche es mit einem anderen Browser oder benutze denselben Browser im selben Netz in dem der Webserver steht (keine Firewall dazwischen). Eventuell ein Problem mit den Ciphers (Webserver bieten keine aktuellen an). Womit ich wieder auf, prüfe das Log des Webservers zurückkomme.

  • In reply to JosefBergmann:

    Hallo Josef

     

    Hier die Logs. Einmal vom Remote-Client 192.168.100.100 (der die Seite nicht öffnen kann) und einmal aus dem internen Netz.

     

    Access.log

    2020-02-16T12:57:53+01:00 NAS 192.168.100.100 - - [16/Feb/2020:12:57:53 +0100] "GET / HTTP/1.1" 200 721 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36"
    2020-02-16T12:57:54+01:00 NAS 192.168.100.100 - - [16/Feb/2020:12:57:54 +0100] "GET /help.css HTTP/1.1" 404 2968 "http://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36"
    2020-02-16T12:57:54+01:00 NAS 192.168.100.100 - - [16/Feb/2020:12:57:54 +0100] "GET /scrollbar/flexcroll.js HTTP/1.1" 404 2968 "http://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36"
    2020-02-16T12:57:54+01:00 NAS 192.168.100.100 - - [16/Feb/2020:12:57:54 +0100] "GET /scrollbar/flexcroll.css HTTP/1.1" 404 2968 "http://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36"
    2020-02-16T12:57:54+01:00 NAS 192.168.100.100 - - [16/Feb/2020:12:57:54 +0100] "GET /scrollbar/initFlexcroll.js HTTP/1.1" 404 2968 "http://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36"
    2020-02-16T12:57:54+01:00 NAS 192.168.100.100 - - [16/Feb/2020:12:57:54 +0100] "GET /web_images/icon.png HTTP/1.1" 200 66279 "http://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36"
    2020-02-16T12:59:48+01:00 NAS 192.168.100.100 - - [16/Feb/2020:12:59:48 +0100] "GET / HTTP/1.1" 200 721 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36"
    2020-02-16T12:59:48+01:00 NAS 192.168.100.100 - - [16/Feb/2020:12:59:48 +0100] "GET /help.css HTTP/1.1" 404 2968 "http://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36"
    2020-02-16T12:59:48+01:00 NAS 192.168.100.100 - - [16/Feb/2020:12:59:48 +0100] "GET /scrollbar/flexcroll.css HTTP/1.1" 404 2968 "http://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36"
    2020-02-16T12:59:48+01:00 NAS 192.168.100.100 - - [16/Feb/2020:12:59:48 +0100] "GET /scrollbar/initFlexcroll.js HTTP/1.1" 404 2968 "http://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36"
    2020-02-16T12:59:48+01:00 NAS 192.168.100.100 - - [16/Feb/2020:12:59:48 +0100] "GET /web_images/icon.png HTTP/1.1" 200 66279 "http://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36"
    2020-02-16T12:59:48+01:00 NAS 192.168.100.100 - - [16/Feb/2020:12:59:48 +0100] "GET /scrollbar/flexcroll.js HTTP/1.1" 404 2968 "http://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36"
    2020-02-16T12:59:49+01:00 NAS 192.168.100.100 - - [16/Feb/2020:12:59:49 +0100] "GET / HTTP/1.1" 200 721 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36"
    2020-02-16T12:59:49+01:00 NAS 192.168.100.100 - - [16/Feb/2020:12:59:49 +0100] "GET /help.css HTTP/1.1" 404 2968 "http://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36"
    2020-02-16T12:59:49+01:00 NAS 192.168.100.100 - - [16/Feb/2020:12:59:49 +0100] "GET /scrollbar/flexcroll.css HTTP/1.1" 404 2968 "http://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36"
    2020-02-16T12:59:49+01:00 NAS 192.168.100.100 - - [16/Feb/2020:12:59:49 +0100] "GET /scrollbar/flexcroll.js HTTP/1.1" 404 2968 "http://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36"
    2020-02-16T12:59:49+01:00 NAS 192.168.100.100 - - [16/Feb/2020:12:59:49 +0100] "GET /scrollbar/initFlexcroll.js HTTP/1.1" 404 2968 "http://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36"
    2020-02-16T12:59:49+01:00 NAS 192.168.100.100 - - [16/Feb/2020:12:59:49 +0100] "GET /web_images/icon.png HTTP/1.1" 200 66279 "http://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36"

     

    error.log

    2020-02-16T12:57:33+01:00 NAS [Sun Feb 16 12:57:33.400294 2020] [mpm_worker:info] [pid 19445:tid 140288653260672] AH00293: Server built: Apr 3 2019 11:15:47
    2020-02-16T12:57:33+01:00 NAS [Sun Feb 16 12:57:33.400304 2020] [core:notice] [pid 19445:tid 140288653260672] AH00094: Command line: '/var/packages/Apache2.4/target/usr/local/bin/httpd24'
    2020-02-16T12:57:54+01:00 NAS [Sun Feb 16 12:57:54.112286 2020] [core:info] [pid 19727:tid 140288462944000] [client 192.168.100.100:40326] AH00128: File does not exist: /var/services/web/help.css, referer: http://192.168.0.2/
    2020-02-16T12:57:54+01:00 NAS [Sun Feb 16 12:57:54.130926 2020] [core:info] [pid 19727:tid 140288454551296] [client 192.168.100.100:40330] AH00128: File does not exist: /var/services/web/scrollbar/flexcroll.js, referer: http://192.168.0.2/
    2020-02-16T12:57:54+01:00 NAS [Sun Feb 16 12:57:54.130926 2020] [core:info] [pid 19727:tid 140288446158592] [client 192.168.100.100:40328] AH00128: File does not exist: /var/services/web/scrollbar/flexcroll.css, referer: http://192.168.0.2/
    2020-02-16T12:57:54+01:00 NAS [Sun Feb 16 12:57:54.133771 2020] [core:info] [pid 19727:tid 140288437765888] [client 192.168.100.100:40332] AH00128: File does not exist: /var/services/web/scrollbar/initFlexcroll.js, referer: http://192.168.0.2/
    2020-02-16T12:59:48+01:00 NAS [Sun Feb 16 12:59:48.582705 2020] [core:info] [pid 19727:tid 140288412587776] [client 192.168.100.100:40344] AH00128: File does not exist: /var/services/web/help.css, referer: http://192.168.0.2/
    2020-02-16T12:59:48+01:00 NAS [Sun Feb 16 12:59:48.597723 2020] [core:info] [pid 19727:tid 140288404195072] [client 192.168.100.100:40346] AH00128: File does not exist: /var/services/web/scrollbar/flexcroll.css, referer: http://192.168.0.2/
    2020-02-16T12:59:48+01:00 NAS [Sun Feb 16 12:59:48.602994 2020] [core:info] [pid 19727:tid 140288387409664] [client 192.168.100.100:40349] AH00128: File does not exist: /var/services/web/scrollbar/initFlexcroll.js, referer: http://192.168.0.2/
    2020-02-16T12:59:48+01:00 NAS [Sun Feb 16 12:59:48.603981 2020] [core:info] [pid 19727:tid 140288395802368] [client 192.168.100.100:40348] AH00128: File does not exist: /var/services/web/scrollbar/flexcroll.js, referer: http://192.168.0.2/
    2020-02-16T12:59:49+01:00 NAS [Sun Feb 16 12:59:49.546472 2020] [core:info] [pid 19727:tid 140288362231552] [client 192.168.100.100:40356] AH00128: File does not exist: /var/services/web/help.css, referer: http://192.168.0.2/
    2020-02-16T12:59:49+01:00 NAS [Sun Feb 16 12:59:49.563608 2020] [core:info] [pid 19727:tid 140288353838848] [client 192.168.100.100:40358] AH00128: File does not exist: /var/services/web/scrollbar/flexcroll.css, referer: http://192.168.0.2/
    2020-02-16T12:59:49+01:00 NAS [Sun Feb 16 12:59:49.564850 2020] [core:info] [pid 19727:tid 140288345446144] [client 192.168.100.100:40360] AH00128: File does not exist: /var/services/web/scrollbar/flexcroll.js, referer: http://192.168.0.2/
    2020-02-16T12:59:49+01:00 NAS [Sun Feb 16 12:59:49.568988 2020] [core:info] [pid 19727:tid 140288337053440] [client 192.168.100.100:40362] AH00128: File does not exist: /var/services/web/scrollbar/initFlexcroll.js, referer: http://192.168.0.2/

     

     

     

    access.log internes Netz

    2020-02-16T13:05:20+01:00 NAS-Kronag 192.168.0.124 - - [16/Feb/2020:13:05:20 +0100] "GET / HTTP/1.1" 200 721 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36 Edge/18.18362"
    2020-02-16T13:05:20+01:00 NAS-Kronag 192.168.0.124 - - [16/Feb/2020:13:05:20 +0100] "GET /scrollbar/flexcroll.js HTTP/1.1" 404 2968 "https://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36 Edge/18.18362"
    2020-02-16T13:05:20+01:00 NAS-Kronag 192.168.0.124 - - [16/Feb/2020:13:05:20 +0100] "GET /scrollbar/flexcroll.css HTTP/1.1" 404 2968 "https://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36 Edge/18.18362"
    2020-02-16T13:05:20+01:00 NAS-Kronag 192.168.0.124 - - [16/Feb/2020:13:05:20 +0100] "GET /help.css HTTP/1.1" 404 2968 "https://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36 Edge/18.18362"
    2020-02-16T13:05:20+01:00 NAS-Kronag 192.168.0.124 - - [16/Feb/2020:13:05:20 +0100] "GET /web_images/icon.png HTTP/1.1" 200 66279 "https://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36 Edge/18.18362"
    2020-02-16T13:05:20+01:00 NAS-Kronag 192.168.0.124 - - [16/Feb/2020:13:05:20 +0100] "GET /scrollbar/initFlexcroll.js HTTP/1.1" 404 2968 "https://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36 Edge/18.18362"
    2020-02-16T13:05:20+01:00 NAS-Kronag 192.168.0.124 - - [16/Feb/2020:13:05:20 +0100] "GET /web_images/bg.png HTTP/1.1" 200 164685 "https://192.168.0.2/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36 Edge/18.18362"

     

    error.log internes Netz

    2020-02-16T13:05:06+01:00 NAS [Sun Feb 16 13:05:06.468522 2020] [mpm_worker:info] [pid 23487:tid 140378544301952] AH00293: Server built: Apr 3 2019 11:15:47
    2020-02-16T13:05:06+01:00 NAS [Sun Feb 16 13:05:06.468548 2020] [core:notice] [pid 23487:tid 140378544301952] AH00094: Command line: '/var/packages/Apache2.4/target/usr/local/bin/httpd24'
    2020-02-16T13:05:20+01:00 NAS [Sun Feb 16 13:05:20.480307 2020] [core:info] [pid 23746:tid 140378425616128] [client 192.168.0.124:40390] AH00128: File does not exist: /var/services/web/scrollbar/flexcroll.js, referer: https://192.168.0.2/
    2020-02-16T13:05:20+01:00 NAS [Sun Feb 16 13:05:20.486141 2020] [core:info] [pid 23746:tid 140378417223424] [client 192.168.0.124:40392] AH00128: File does not exist: /var/services/web/scrollbar/flexcroll.css, referer: https://192.168.0.2/
    2020-02-16T13:05:20+01:00 NAS [Sun Feb 16 13:05:20.487857 2020] [core:info] [pid 23746:tid 140378408830720] [client 192.168.0.124:40394] AH00128: File does not exist: /var/services/web/help.css, referer: https://192.168.0.2/
    2020-02-16T13:05:20+01:00 NAS [Sun Feb 16 13:05:20.489741 2020] [core:info] [pid 23746:tid 140378321712896] [client 192.168.0.124:40398] AH00128: File does not exist: /var/services/web/scrollbar/initFlexcroll.js, referer: https://192.168.0.2/

     

     

    Gruss, Martin

  • In reply to Martin Kronenberg:

    Hallo Martin,

    in den Logs ist nichts was auf ein Problem am Webserver hindeuten würde.

    Könnte doch ein Netzwerk-Problem sein. Hast die MTU schon mal getestet? Versuche von deinem Client 192.168.100.100 mal folgende pings:

    1) zum local Gateway: ping -l 1500 192.168.100.1
    2) zum remote Webserver: ping -l 1500 192.168.0.2

    Sollten beide funktionieren, wenn ping auf den entsprechenden Zielen erlaubt ist.

    Wenn das nicht geht, kannst die MTU mit ping -f -l SIZE 192.168.0.2 schrittweise austesten (MTU = SIZE +28). Eine SIZE von 1472 sollte zum local Gateway ohne Fragmentierung gehen, zum remote Webserver ist es sicher weniger.

  • In reply to JosefBergmann:

    Hi Josef

     

    Danke dir.

    Beide Pings funktionieren:

    1)

     

    2) 

     

    Gruss, Martin

  • In reply to Martin Kronenberg:

    Hallo Martin,

    Du bist per WLAN verbunden? Bitte teste alles mal auch mit einer Kabelverbindung :)

    Ich vermute trotzdem weiter ein Netzwerkproblem, zum einen tritt das Problem ja bei diverser Payload auf (HTTP, SCP) und die Duplikate bei deinen Netzwerkaufzeichnungen sind auch merkwürdig (hast die auch mit einer WLAN-Verbindung gemacht?). Vielleicht schaut ihr auch mal in die Centro Business ob da irgendein IPS aktiv ist.

    Apropos was verwendest du für eine Hardware, ist das eine original Sophos SG oder eigene Hardware, ansonsten schau mal ins /var/log/kernel.log (per ssh einloggen).

    Oder die Internetleitung auf einer Seite ist einfach Schrott.

  • In reply to JosefBergmann:

    Hi Josef

     

    Auch mit Kabel treten die gleichen Symptome auf.

     

    Es ist eine eigene Hardware (AlixBoard):
    Diese Einträge habe ich im kernel.log:

    2020:02:20-07:05:34 sophosutm kernel: [804532.831236] net_ratelimit: 4 callbacks suppressed
    2020:02:20-07:07:54 sophosutm kernel: [804672.843609] net_ratelimit: 21 callbacks suppressed
    2020:02:20-07:18:34 sophosutm kernel: [805312.374588] net_ratelimit: 14 callbacks suppressed
    2020:02:20-07:32:55 sophosutm kernel: [806173.009016] net_ratelimit: 4 callbacks suppressed
    2020:02:20-12:24:31 sophosutm kernel: [823667.461456] net_ratelimit: 10 callbacks suppressed