Admin-GUI Zugriff in anderen Standort (IPSec Side2Side)

Das Problem ist bekannt und wird vom Webadmin selbst ausgelöst. Die MTU Size vom Webadmin Website ist nicht korrekt, daher "passen" die Pakete nicht durch den Tunnel. 

Ein Route Based VPN Tunnel sollte das Problem lösen und wäre auch die bessere Technologie. Alternativ auch Central Management. 

Hi Toni,

das erklärst du mir mal bitte! Die MTU-Size ist doch eine Eigenschaft am physischen Interface, wie soll ein Webdienst das falsch verwenden?

Tunnel technologien haben oft das Problem, wenn ein Paket eine Packet Size von 1500 haben, dass sie fragmentiert werden und dann durch den Tunnel geschickt werden. Wenn das fragmentieren nicht gemacht wird, ist das Paket 1500 bytes groß, aber der Tunnel kann beispielsweise nur 1472 abhandeln. Dadurch wird das Paket vom ISP verworfen, da der ISP ein Tunnel Paket nicht fragmentieren kann in diesem Szenario. Die Firewall macht hier kein MTU Path discovery. 

Wenn man nun die MSS auf 900 oder ähnliches schaltet, wird das Paket automatisch vorher kleiner gepackt und wird somit nicht verworfen. 

Siehe auch der Workaround auf der Shell: 

iptables -t mangle -I POSTROUTING -d 192.168.190.1/32 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 900

Damit erzeugst du vom SYN Paket eine kleinere MSS und es wird nicht im großen Paket geschickt. 

Anwendungen können defakto auch DF Flags setzen. 

Wird auch hier beschrieben: https://www.elektronik-kompendium.de/sites/net/0812211.htm#:~:text=Unterschied%3A%20MTU%20und%20MSS&text=Die%20MTU%20gibt%20die%20Gr%C3%B6%C3%9Fe,Also%20zusammen%20mindestens%2040%20Byte.

Hi,

das war nicht meine Frage, ich habe den Zusammenhang zum Webadmin Dienst nicht verstanden.

Der existiert auch offenbar nciht. Der Rest der Erklärung ist "normale Technik".

OK - ich bin beruhigt, nix Neues!

Der Webadmin arbeitet mit einer MSS von 8960. Damit sprengt er in der Regel jeden Tunnel. Wer das runterschaltet, sollte damit Erfolg haben. 

muss das lediglich auf der RemoteSite oder auf beiden Seiten eingestellt werden? Wie bereits oben beschrieben, habe ich das bereits getestet und es führte nicht zum Erfolg.

Ich würde sowieso auf Central zurückgreifen. Das ist die bessere Alternative. 

ja und nein, Cloud-Management ist nicht wirklich eine Option, wir würden da eher auf den Firewall Manager zurückgreifen - der aber EoL ist :/

Wieso ist eine Cloud Option keine Alternative? 

Wieso ist eine Cloud Option keine Alternative? 

Alles was in der Cloud ist, gehört einem nicht mehr ;-).

Aber egal, habe dort jetzt eingebunden, wird dort auch als "grün" angezeigt, die Daten werden auch ausgelesen - aber ein Zugriff auf die Remoteoberfläche endet am Ende in einem weißen Bildschirm und es wird nichts angezeigt, bin also genau so weit wie vorher.

Der HA Cluster der "direkt" am Netz hängt ist erreichbar. Die 2. die neben mir steht und hinter einem 08/15 Telekom Router hängt (Leitung der LAB Umgebung) ist über das Portal nicht erreichbar (das entspricht in etwa der Zielumgebung).

Könntest du im Browser nach Plugins mal schauen? Ob dort vielleicht eins diese Verbindung unterbindet? 

Komplett weiß ist ungewöhnlich. Effektiv bedeutet das, die Appliance hat zwar den Channel aufgebaut aber keine Daten geschickt. Oder die Daten werden von etwas in deinem Browser blockiert. 

Ich würde es vielleicht etwas freundlicher gestalten: Alles was in der Cloud steht heißt: Ich muss mich nicht um Verfügbarkeit, Backup, Skalierbarkeit und Maintenance kümmern. Alle vernachlässigten on premise Exchange Server haben am Ende den Kürzeren gezogen, ungesicherte RDP Verbindungen und "vergessene Server" das Einfallstor für die Cyber-Mafia aufgemacht. Die Komplexität einen eigenes RZ/Serverraum zu betreiben ist irre geworden. Die Angebote der größeren Hyperscaler in der gleichen Zeit immer besser. Mit 2FA vor einer Cloud-Infrastruktur habe ich heute einfach bessere Karten, als alles "neben mir" stehen zu haben. 

Ja, auch mit unterschiedlichen Browsern haben wir das getestet. Ansonsten wird auch alles angezeigt (CPU, ATP usw.), nur der direkte Zugriff will nicht.

Mir sind die Vorteile durchaus bewusst, aber es hat nicht nur Vorteile die Cloud bietet und man muss es abwägen was man möchte. Ich wollte damit jetzt auch keine Diskussion Cloud ja/nein eröffnen.

Was siehst du oben in der URL? Ist es ein direkter String mit Seriennummer oder etwas wie: /webconsole/webpages/login.jsp 

Versuchst du dich gerade gleichzeitig auf beide Firewalls anzumelden? 

Der String oben enthält die Seriennummer, sieht "an sich" auch gleich aus wie der Link zur anderen Firewall. Und nein, ich versuche nicht parallel beide Geräte anzusteuern. Ich denke wir werden eine Support-Case eröffnen, ist wahrscheinlich irgendwo eine Einstellung :)