Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 9 subscribers
  • Views 1749 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Regel blockt Traffic der erlaubt sein sollte

crkt

Hi zusammen,

folgendes Problem. Wir haben zwei Netze. In Netz A stehen unsere Server und auch unsere TK-Anlage. In Netz B stehen unsere Clients. Auf den Clients wird eine IP-Softphone Software verwendet, die sich ihre Config per TFTP von der TK-Anlage lädt.

Jetzt ist es so, dass Anfragen aus Netz B über Port 69 an die TK-Anlage in Netz A gehen und im Log auch als "allowed" auftauchen. Die Rückantwort folgt dann z.B. über Port "10331" an Port "61419" und wird geblockt. Die Regel die den Traffic blockt ist aber eine "any" Regel von Netz A nach Netz B. Daher verstehe ich nicht warum der Traffic durch eine Regel geblockt wird, die das explizit erlauben sollte. Die gleiche Regel erlaubt auch den Traffic von Netz B nach A.

Im Anhang sind Screenshots. Ich hatte auch separate Regeln erstellt, das hat aber nicht geholfen.

Das ganze hatte schonmal funktioniert, aber plötzlich über das Wochenede nicht mehr. Ich weiß nicht was passiert ist. Ein Update wurde nicht installiert und auch wurde die Firewall nicht neugestartet.

Über Tipps würde ich mich sehr freuen.





This thread was automatically locked due to age.
Parents
  • 0

    Handelt es sich hier um die Regel 97 mit dem Namen TK-TEST ?

    Steht die Rule auf Allow?

    Der Teil ist leider abgeschnitten.

    Applikationsfilter o.Ä. sind keine weiter angegeben?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Was siehst du denn, wenn du ein Mouse-Over machst? 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hi,

    Regel 97 ist die Regel TK-TEST die auf allow steht. Es ist sonst nichts weiter eingerichtet. Kein IPS, kein Webfilter, keine App-Control.

    Den Mouseover habe ich unten angehangen.

    Die Firewall hatten wir heute Nacht auch zur Sicherheit einfach mal neugestartet, aber ohne Erfolg. Was ich noch erwähnen möchte ist, dass die Zonen anfangs auf LAN/LAN standen (ohne Verbindung). Erst als wir beide auf Any gestellt hatten, hatte es für ca. 3 Wochen funktioniert.

  • 0 in reply to crkt

    Ist UDP Traffic und geht 64 Sekunden. Kannst du den UDP Timeout mal anschauen? 

    doc.sophos.com/.../index.html

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Das stand auf 30. Habe ich dann mal auf 150 erhöht.
    Hat aber leider nicht geholfen. Die Anwendung selbst bricht nach 10 Sekunden ab, da habe ich aber keine Möglichkeit das zu erhöhen.

  • 0 in reply to crkt

    Da fließen gerade mal 4 Pakete drüber? 

    Kannst du davon im Packet Capture des Webadmin mal einen Trace anfertigen? 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Folgendes kann ich anbieten:

    2023-06-21 09:57:30 | PortF2 | PortF1 | IPv4 | AA.BB.CC.202 | XX.YY.ZZ.20 | UDP | 10142,49988 | 0 | 97 | Forwarde
    2023-06-21 09:57:30 | PortF2 |              | IPv4 | AA.BB.CC.202 | XX.YY.ZZ.20 | UDP | 10142,49988 | 0 | 97 | Eingehe

    Die Paketdaten sind bis auf die Länge und Prüfsumme gleich.

    Ethernet-Header
    Quell-MAC-Adresse:00:00:00:00:00:23
    Ziel-MAC-Adresse: 00:00:00:00:00:f7
    Ethernet-Art IPv4 (0x800)
     
    IPv4 Header
    Quell-IP-Adresse:AA.BB.CC.202
    Ziel-IP-Adresse:XX.YY.ZZ.20
    Protokoll: UDP
    Header:20 Bytes
    Diensttyp: 0
    Gesamte Länge: 51 Bytes
    Identifikation:1758
    Fragmentverschiebung:16384
    Time-to-live: 63
    Prüfsumme: 21806
     
    UDP Header:
    Quellport:10142
    Zielport: 49988
    Länge: 31
    Prüfsumme: 41886
  • 0 in reply to crkt

    Packet Capture in SFOS liest man von unten nach oben. 
    Das heißt das Paket wurde weitergeleitet. 

    Wo ist das Paket, wenn die Verbindung abbricht? 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Wenn die Verbindung abbricht sind wir hier in Zeile 1. Vorausgesetzt ich habe die Frage richtig verstanden.



    Wenn ich das mehrmals hintereinander mache, ändert sich an der Anzeige abgesehen von den Ports nichts. Hin und wieder werden mir auch nur 3 Pakete angezeigt. Paketdaten sind auch immer gleich bis auf die oben genannten Punkte.
  • 0 in reply to crkt

    Also was ich komisch finde: Warum antwortet darauf keiner? Filterst du nach etwas? 

    __________________________________________________________________________________________________________________

Reply Children
No Data
Unfiltered HTML