8
Host leitet auch Internet Anfragen stur durch den BOVPN Tunnel. Folge kein Internet erreichbar
Hallo Zusammen,
Wir schützen unser Netzwerk mit Watchguard XTM 535 Boxen. Seit einiger Zeit haben wir ein Problem. In dem Moment wo ein Host auf unserer Seite über ein BOVPN Tunnel erreichbar wird verliert er die Möglichkeit mit dem Inet zu kommunizieren. Im Moment sieht es so aus als ob alle Anfragen in den Tunnel statt nach Extern gehen. Lustiger weise sieht mann z.B. einen Ping auf 8.8.8.8 nicht ein mal in den Watchguard Traffic Monitor.
Hat jemand von Euch schon mal so etwas gesehen. Ach so unsere Hosts werden maskiert bevor sie in den Tunnel gehen.
ps. ich weiss es sind im Moment wenig Infos, fragt einfach denn ich weis nicht was ich davon halten soll und deshalb wüsste ich nicht was noch relevant wäre.
Gruß
Casyopaya
Wir schützen unser Netzwerk mit Watchguard XTM 535 Boxen. Seit einiger Zeit haben wir ein Problem. In dem Moment wo ein Host auf unserer Seite über ein BOVPN Tunnel erreichbar wird verliert er die Möglichkeit mit dem Inet zu kommunizieren. Im Moment sieht es so aus als ob alle Anfragen in den Tunnel statt nach Extern gehen. Lustiger weise sieht mann z.B. einen Ping auf 8.8.8.8 nicht ein mal in den Watchguard Traffic Monitor.
Hat jemand von Euch schon mal so etwas gesehen. Ach so unsere Hosts werden maskiert bevor sie in den Tunnel gehen.
ps. ich weiss es sind im Moment wenig Infos, fragt einfach denn ich weis nicht was ich davon halten soll und deshalb wüsste ich nicht was noch relevant wäre.
Gruß
Casyopaya
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 282851
Url: https://administrator.de/contentid/282851
Printed on: April 27, 2024 at 13:04 o'clock
8 Comments
Latest comment
Hallo,
Mehrzahl an Geräte im Einsatz?
Gruß,
Peter
Mehrzahl an Geräte im Einsatz?
Seit einiger Zeit haben wir ein Problem.
Seit wann? Was geändert bevor es nicht mehr so ging wie vorher?In dem Moment wo ein Host auf unserer Seite über ein BOVPN Tunnel erreichbar wird verliert er die Möglichkeit mit dem Inet zu kommunizieren
Wer? Wo? Wie? Was? Ein Host auf eurer Seite? Branch Office VPN für einen Host? Wer verliert was? Wo ist der der was verliert?Im Moment sieht es so aus als ob alle Anfragen in den Tunnel statt nach Extern gehen.
Anfragen von wem und von wo nach welches Interface Richtung Internet und wo ist das Interface?Lustiger weise sieht mann z.B. einen Ping auf 8.8.8.8 nicht ein mal in den Watchguard Traffic Monitor.
Ausgeklammerte Verkehr? Ist das denn dann schon Klartext oder noch in sein BOVPN eingekapselt?Ach so unsere Hosts werden maskiert bevor sie in den Tunnel gehen.
Bedeutet genau was?relevant wäre.
Schon mal bei Watchguard an gefragt?Gruß,
Peter
Hi
das sieht aber verdächtig nach einem Routingfehler aus, dass er alles und jede Anfrage über die Site2Site Verbindung schickt, so alle "route add 0.0.0.0.0 mask 0.0.0.0 10.0.0.1 metric 1" und danach dann eine "normale Route" mit einer höheren metric die dann greift wenn site2site down ist.
Schaue in der Watchguard mal bei den BOVPN Tunnels welche dort alle eingetragen sind, da sollte keine 0.0.0.0 Route enthalten sein, es sei denn Ihr wollt alles über eine zentrale FW laufen lassen (haben wir aufgrund von 'NextGen' Features so gelöst).
Der Watchguard Traffic Monitor zeigt das nur an wenn Ihr das Logging auf dem BOVPN eingeschaltet habt, ansonsten trace das mal, das wird dir dann zeigen an welcher Stelle der den falschen Weg nimmt.
Gruß
@clSchak
das sieht aber verdächtig nach einem Routingfehler aus, dass er alles und jede Anfrage über die Site2Site Verbindung schickt, so alle "route add 0.0.0.0.0 mask 0.0.0.0 10.0.0.1 metric 1" und danach dann eine "normale Route" mit einer höheren metric die dann greift wenn site2site down ist.
Schaue in der Watchguard mal bei den BOVPN Tunnels welche dort alle eingetragen sind, da sollte keine 0.0.0.0 Route enthalten sein, es sei denn Ihr wollt alles über eine zentrale FW laufen lassen (haben wir aufgrund von 'NextGen' Features so gelöst).
Der Watchguard Traffic Monitor zeigt das nur an wenn Ihr das Logging auf dem BOVPN eingeschaltet habt, ansonsten trace das mal, das wird dir dann zeigen an welcher Stelle der den falschen Weg nimmt.
Gruß
@clSchak
Ja 2 im Cluster.
Seit einiger Zeit haben wir ein Problem.
Seit wann? Was geändert bevor es nicht mehr so ging wie vorher?In dem Moment wo ein Host auf unserer Seite über ein BOVPN Tunnel erreichbar wird verliert er die Möglichkeit mit dem Inet zu kommunizieren
Wer? Wo? Wie? Was? Ein Host auf eurer Seite? Branch Office VPN für einen Host? Wer verliert was? Wo ist der der was verliert?Auf beiden Seiten des Tunnels werden ca.20 Hosts bereitgestellt, unsere Hosts stehen im Trusted (Internen) Netz.
Im Moment sieht es so aus als ob alle Anfragen in den Tunnel statt nach Extern gehen.
Anfragen von wem und von wo nach welches Interface Richtung Internet und wo ist das Interface?Von einigen unserer Hosts die durch den Tunnel bereitgestellt werden in Richtung Internet via (normalerweise) Trusted Port der Firewall.
Lustiger weise sieht mann z.B. einen Ping auf 8.8.8.8 nicht ein mal in den Watchguard Traffic Monitor.
Ausgeklammerte Verkehr? Ist das denn dann schon Klartext oder noch in sein BOVPN eingekapselt?An dieser stelle sollte noch nicht gekapselt sein.
Ach so unsere Hosts werden maskiert bevor sie in den Tunnel gehen.
Bedeutet genau was?Die Hosts werden mit NAT behandelt bevor sie in den Tunnel gehen
relevant wäre.
Schon mal bei Watchguard an gefragt?Noch nicht habe erst mal ein Workaround angewendet indem ich jedem dieser betroffenen Hosts eine zweite LAN Karte gegeben habe, das half bei Windows aber nicht bei Debian.
Gruß
Casyopaya
Zitat von @clSchak:
Hi
das sieht aber verdächtig nach einem Routingfehler aus, dass er alles und jede Anfrage über die Site2Site Verbindung schickt, so alle "route add 0.0.0.0.0 mask 0.0.0.0 10.0.0.1 metric 1" und danach dann eine "normale Route" mit einer höheren metric die dann greift wenn site2site down ist.
Schaue in der Watchguard mal bei den BOVPN Tunnels welche dort alle eingetragen sind, da sollte keine 0.0.0.0 Route enthalten sein, es sei denn Ihr wollt alles über eine zentrale FW laufen lassen (haben wir aufgrund von 'NextGen' Features so gelöst).
Der Watchguard Traffic Monitor zeigt das nur an wenn Ihr das Logging auf dem BOVPN eingeschaltet habt, ansonsten trace das mal, das wird dir dann zeigen an welcher Stelle der den falschen Weg nimmt.
Gruß
@clSchak
Hi
das sieht aber verdächtig nach einem Routingfehler aus, dass er alles und jede Anfrage über die Site2Site Verbindung schickt, so alle "route add 0.0.0.0.0 mask 0.0.0.0 10.0.0.1 metric 1" und danach dann eine "normale Route" mit einer höheren metric die dann greift wenn site2site down ist.
Schaue in der Watchguard mal bei den BOVPN Tunnels welche dort alle eingetragen sind, da sollte keine 0.0.0.0 Route enthalten sein, es sei denn Ihr wollt alles über eine zentrale FW laufen lassen (haben wir aufgrund von 'NextGen' Features so gelöst).
Der Watchguard Traffic Monitor zeigt das nur an wenn Ihr das Logging auf dem BOVPN eingeschaltet habt, ansonsten trace das mal, das wird dir dann zeigen an welcher Stelle der den falschen Weg nimmt.
Gruß
@clSchak
Das habe ich auch immer vermutet aber es ist schwer zu belegen da Traceroute immer nur bis zu der Firewall kommt und dahinter nichts, es ist zwar ein Indiz das alles in den Tunnel geht aber sicher bin ich noch nicht.
Gruß
Casyopaya
nein, wenn die WG nicht anzeigt dass etwas über Tunnel geht, dann wird das vor der WG gekappt und kommt erst gar nicht bis zu dem Tunnel. Das ist mit Sicherheit eine falsche Regeleinstellung an der WG oder eine falsche Routing-Config im dahinterliegenden Netz.
Zitat von @clSchak:
nein, wenn die WG nicht anzeigt dass etwas über Tunnel geht, dann wird das vor der WG gekappt und kommt erst gar nicht bis zu dem Tunnel. Das ist mit Sicherheit eine falsche Regeleinstellung an der WG oder eine falsche Routing-Config im dahinterliegenden Netz.
nein, wenn die WG nicht anzeigt dass etwas über Tunnel geht, dann wird das vor der WG gekappt und kommt erst gar nicht bis zu dem Tunnel. Das ist mit Sicherheit eine falsche Regeleinstellung an der WG oder eine falsche Routing-Config im dahinterliegenden Netz.
Na ja WG Regeln könnte sein das Netz dahinter eher nicht da sonst kein Rechner rauskommen würde. Und wie gesagt betroffen sind nur einige die auch durch den Tunnel erreichbar sind.
hast du mal bei dem Host die Routingtabelle kontrolliert was die aussagt?
Ja ich hatte alles immer wieder kontrolliert, ich habe es nun auch gefunden, die besagten Rechner wurden anstatt nur in dem Tunnel in das globale NAT eingetragen und das auf den external Port. Also in dem Moment wo einer dieser Rechner über das externe Port der FW in das Internet wollte wurde seine Adresse "genatet" und er konnte nicht raus
Ich habe die Einträge jetzt in das Tunnel NAT übertragen und alles ist gut. Das lustige war das derjenige der das eingerichtet hat nun sich an diese Einträge überhaupt nicht erinnern kann und mir immer sagte das diese nicht vorhanden sind... Bis ich es selbst nachgeprüft habe.
Ich danke Euch für eure Hilfe, ich hoffe ich kann Euch auch mal helfen.
Ich habe die Einträge jetzt in das Tunnel NAT übertragen und alles ist gut. Das lustige war das derjenige der das eingerichtet hat nun sich an diese Einträge überhaupt nicht erinnern kann und mir immer sagte das diese nicht vorhanden sind... Bis ich es selbst nachgeprüft habe.
Ich danke Euch für eure Hilfe, ich hoffe ich kann Euch auch mal helfen.