22
Kein Zugriff auf Web-GUIs
Hallo zusammen,
vielleicht kennt einer von euch das Problem und hat eine Lösung parat.
Netzaufbau wie folgt:
Domäne: int.contoso.org
A: 10.0.2.0/24 Sophos XG
B: 10.0.0.0/24 pfSense
C: 192.168.178.0/24 pfSense
Es gibt IPsec-Tunnel zwischen A -> B, C -> B und A -> C
Ich kann auf die entfernten Geräte von z.B. A nach B oder C zugreifen aber nicht auf pfSense 192.178.178.1 oder pfSense 10.0.0.1.
Jetzt das merkwürdige: Zwischendurch geht es mal, dass z.B. 192.168.178.1 nach ewigem laden dann doch verfügbar ist. Wenn es dann einmal geöffnet ist, klappt auch alles schnell und wunderbar.
Wenn ich versuche, über den Hostnamen auf das Gerät zuzugreifen bekomme ich jederzeit folgende Meldung aus dem Browser: ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Die Merkwürdigkeit hat aber noch kein Ende: Es ist völlig egal, was ich versuche zu erreichen (z.B. gelbistgrau.int.contoso.org), bekomme ich ERR_SSL_VERSION_OR_CIPHER_MISMATCH, obwohl dort definitiv kein Webserver läuft, da die Subdomain ausgedacht ist.
Lets Encrypt SSL Certs der Web-GUIs habe ich bereits geprüft und erneuert. Wenn ich mich auf die jeweilige FW per OpenVPN Client verbinde, kann ich problemlos zugreifen.
DNS-Server ist pingbar und funktioniert
nslookup liefert auch die passenden Ergebnisse.
Ich bin gespannt auf eure Lösungsvorschläge
Vielen Dank und lieben Gruß
vielleicht kennt einer von euch das Problem und hat eine Lösung parat.
Netzaufbau wie folgt:
Domäne: int.contoso.org
A: 10.0.2.0/24 Sophos XG
B: 10.0.0.0/24 pfSense
C: 192.168.178.0/24 pfSense
Es gibt IPsec-Tunnel zwischen A -> B, C -> B und A -> C
Ich kann auf die entfernten Geräte von z.B. A nach B oder C zugreifen aber nicht auf pfSense 192.178.178.1 oder pfSense 10.0.0.1.
Jetzt das merkwürdige: Zwischendurch geht es mal, dass z.B. 192.168.178.1 nach ewigem laden dann doch verfügbar ist. Wenn es dann einmal geöffnet ist, klappt auch alles schnell und wunderbar.
Wenn ich versuche, über den Hostnamen auf das Gerät zuzugreifen bekomme ich jederzeit folgende Meldung aus dem Browser: ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Die Merkwürdigkeit hat aber noch kein Ende: Es ist völlig egal, was ich versuche zu erreichen (z.B. gelbistgrau.int.contoso.org), bekomme ich ERR_SSL_VERSION_OR_CIPHER_MISMATCH, obwohl dort definitiv kein Webserver läuft, da die Subdomain ausgedacht ist.
Lets Encrypt SSL Certs der Web-GUIs habe ich bereits geprüft und erneuert. Wenn ich mich auf die jeweilige FW per OpenVPN Client verbinde, kann ich problemlos zugreifen.
DNS-Server ist pingbar und funktioniert
nslookup liefert auch die passenden Ergebnisse.
Ich bin gespannt auf eure Lösungsvorschläge
Vielen Dank und lieben Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 62361282959
Url: https://administrator.de/contentid/62361282959
Ausgedruckt am: 06.10.2024 um 10:10 Uhr
22 Kommentare
Neuester Kommentar
Mahlzeit.
Wie sehen denn die Firewall Regeln aus?
Darf aus dem IPSec Tunnel der Webserver der Sophos und PFSense über den entsprechenden Port erreicht werden?
In welchem Netzwerk steht denn der DNS Server? Gibt es mehrere?
Ich vermute mal, dass eine Domäne existiert und das alle drei Standorte dort zugehörig sind.
Gruß
Marc
Wie sehen denn die Firewall Regeln aus?
Darf aus dem IPSec Tunnel der Webserver der Sophos und PFSense über den entsprechenden Port erreicht werden?
DNS-Server ist pingbar und funktioniert
nslookup liefert auch die passenden Ergebnisse.In welchem Netzwerk steht denn der DNS Server? Gibt es mehrere?
Ich vermute mal, dass eine Domäne existiert und das alle drei Standorte dort zugehörig sind.
Gruß
Marc
"ERR_SSL_VERSION_OR_CIPHER_MISMATCH" zeigt das deine Krypto Settings in der Phase 1 oder Phase 2 nicht homogen über alle Firewalls gesetzt sind und der Peer Setup vermutlich fehlschlägt.
Achte also dadrauf das die Crypto Credentials auf allen Plattformen in beiden Phases identisch sind!
Guckst du u.a. auch HIER
Kollege @radiogugu hat es oben schon gesagt. Für mehr Trobleshooting Details reicht die etwas oberflächliche Beschreibung hier leider nicht.
Achte also dadrauf das die Crypto Credentials auf allen Plattformen in beiden Phases identisch sind!
Guckst du u.a. auch HIER
Kollege @radiogugu hat es oben schon gesagt. Für mehr Trobleshooting Details reicht die etwas oberflächliche Beschreibung hier leider nicht.
- Wer ist VPN Responder, wer ist Initiator?
- Feste WAN IPs oder Dyn IPs?
- Crypto Profile in beiden Seiten f. P1 und P2?
- Was passiert wenn du die direkten IP Adressen ansprichst und NICHT die Hostnamen?
- Regelwerke am LAN Port?
- Firewall Logs?
Zitat von @radiogugu:
Mahlzeit.
Wie sehen denn die Firewall Regeln aus?
Darf aus dem IPSec Tunnel der Webserver der Sophos und PFSense über den entsprechenden Port erreicht werden?
Um ein blocken an der Firewall auszuschließen, habe ich zum Testen eine Scheunentorregel gemacht. Das Regelwerk scheint nicht das Problem zu sein.Mahlzeit.
Wie sehen denn die Firewall Regeln aus?
Darf aus dem IPSec Tunnel der Webserver der Sophos und PFSense über den entsprechenden Port erreicht werden?
DNS-Server ist pingbar und funktioniert
nslookup liefert auch die passenden Ergebnisse.In welchem Netzwerk steht denn der DNS Server? Gibt es mehrere?
Ich vermute mal, dass eine Domäne existiert und das alle drei Standorte dort zugehörig sind.
Zitat von @aqui:
"ERR_SSL_VERSION_OR_CIPHER_MISMATCH" zeigt das deine Krypto Settings in der Phase 1 oder Phase 2 nicht homogen über alle Firewalls gesetzt sind und der Peer Setup vermutlich fehlschlägt.
Achte also dadrauf das die Crypto Credentials auf allen Plattformen in beiden Phases identisch sind!
Guckst du u.a. auch HIER
Kollege @radiogugu hat es oben schon gesagt. Für mehr Trobleshooting Details reicht die etwas oberflächliche Beschreibung hier leider nicht.
Sophos ist Initiator und pfSense Responder"ERR_SSL_VERSION_OR_CIPHER_MISMATCH" zeigt das deine Krypto Settings in der Phase 1 oder Phase 2 nicht homogen über alle Firewalls gesetzt sind und der Peer Setup vermutlich fehlschlägt.
Achte also dadrauf das die Crypto Credentials auf allen Plattformen in beiden Phases identisch sind!
Guckst du u.a. auch HIER
Kollege @radiogugu hat es oben schon gesagt. Für mehr Trobleshooting Details reicht die etwas oberflächliche Beschreibung hier leider nicht.
- Wer ist VPN Responder, wer ist Initiator?
* Crypto Settings in beiden Seiten?
gebe ich gleich durch* Was passiert wenn du die direkten IP Adressen ansprichst und NICHT die Hostnamen?
Beim Ping alles i.O., beim Aufruf über den Webbrowser o.g. Verhalten (ewiges Laden, manchmal klappts)* Regelwerke am LAN Port?
Hatte eine allow all-Regel um genau das auszuschließen.* Firewall Logs?
Usw. usw.
Um ein blocken an der Firewall auszuschließen, habe ich zum Testen eine Scheunentorregel gemacht. Das Regelwerk scheint nicht das Problem zu sein.Usw. usw.
* Feste WAN IPs oder Dyn IPs?
Standort B feste WAN IP, A und C DynDNS via Cloudflare
Die Sophos ist schuld, die ist doch immer schuld 😂. Mal den Webfilter der Sophos abschalten.
Gruß wrk
Es ist völlig egal, was ich versuche zu erreichen (z.B. gelbistgrau.int.contoso.org), bekomme ich ERR_SSL_VERSION_OR_CIPHER_MISMATCH, obwohl dort definitiv kein Webserver läuft, da die Subdomain ausgedacht ist.
Ein Wildcard DNS Eintrag macht genau das, leitet auch das was nicht vorhanden ist auf eine einzige Adresse, vermutlich der Sophos Webfilter dran schuld.Gruß wrk
1
Profile auf beiden Seiten genau gleich:
P1: IKEv2 AES256, SHA256 DH14
P2: ESP, AES256, SHA256, PFS14
Welche Logs möchtest du genau sehen?
Wo lässt sich der nette Webfilter abstellen? Ich kann mich nicht erinnern, den aktiviert zu haben.
Gruß
P1: IKEv2 AES256, SHA256 DH14
P2: ESP, AES256, SHA256, PFS14
* Firewall Logs?
Lässt sich per se nichts draus ableiten. (Auf den schnellen Blick)Welche Logs möchtest du genau sehen?
Zitat von @13676056485:
Die Sophos ist schuld, die ist doch immer schuld 😂. Mal den Webfilter der Sophos abschalten.
Gruß wrk
Die Sophos ist schuld, die ist doch immer schuld 😂. Mal den Webfilter der Sophos abschalten.
Es ist völlig egal, was ich versuche zu erreichen (z.B. gelbistgrau.int.contoso.org), bekomme ich ERR_SSL_VERSION_OR_CIPHER_MISMATCH, obwohl dort definitiv kein Webserver läuft, da die Subdomain ausgedacht ist.
Ein Wildcard DNS Eintrag macht genau das, leitet auch das was nicht vorhanden ist auf eine einzige Adresse, vermutlich der Sophos Webfilter dran schuld.Gruß wrk
Wo lässt sich der nette Webfilter abstellen? Ich kann mich nicht erinnern, den aktiviert zu haben.
Gruß
Weder DPI noch Web-Proxy sind in Verwendung. Aus den Logs kann ich auch keine Ablehnung der Verbindung erkennen.
So, das Problem ERR_SSL_VERSION_OR_CIPHER_MISMATCH scheint schonmal gelöst zu sein. War wohl ein DNS Fehler. Als ich den DNS Server am Netzwerkadapter auf meinen eigenen beschränkt hab, kommt der Fehler nicht mehr. Die Web-GUI jedoch lädt ewig und 3 Tage aber öffnet nicht.
MTU / MSS Problem ??
Hast du das MSS Clamping in den Advanced Settings unter Firewall&NAT aktiviert??
Hast du das MSS Clamping in den Advanced Settings unter Firewall&NAT aktiviert??
Zitat von @aqui:
MTU / MSS Problem ??
Hast du das MSS Clamping in den Advanced Settings unter Firewall&NAT aktiviert??
MTU / MSS Problem ??
Hast du das MSS Clamping in den Advanced Settings unter Firewall&NAT aktiviert??
Jup, ist aktiviert.
Einfacher Wireshark Mittschnitt und du siehst ob es an der MTU oder sonst was liegt...
Durchgängiges ICMP type 3 von Source zur Destination sollte man wegen der PMTU auch immer machen. Deswegen auch an den Winblows Rechnern ICMP auch für die entfernten Subnetze aktivieren.
Bei den Sensen sollte man auch das Scrubbing/Buffering abschalten das pisst einem gerne auch mal ans Bein.
https://docs.netgate.com/pfsense/en/latest/config/advanced-firewall-nat. ...
Durchgängiges ICMP type 3 von Source zur Destination sollte man wegen der PMTU auch immer machen. Deswegen auch an den Winblows Rechnern ICMP auch für die entfernten Subnetze aktivieren.
Bei den Sensen sollte man auch das Scrubbing/Buffering abschalten das pisst einem gerne auch mal ans Bein.
https://docs.netgate.com/pfsense/en/latest/config/advanced-firewall-nat. ...
1Zitat von @13676056485:
Einfacher Wireshark Mittschnitt und du siehst ob es an der MTU oder sonst was liegt...
Durchgängiges ICMP type 3 von Source zur Destination sollte man wegen der PMTU auch immer machen. Deswegen auch an den Winblows Rechnern ICMP auch für die entfernten Subnetze aktivieren.
Bei den Sensen sollte man auch das Scrubbing/Buffering abschalten das pisst einem gerne auch mal ans Bein.
https://docs.netgate.com/pfsense/en/latest/config/advanced-firewall-nat. ...
Einfacher Wireshark Mittschnitt und du siehst ob es an der MTU oder sonst was liegt...
Durchgängiges ICMP type 3 von Source zur Destination sollte man wegen der PMTU auch immer machen. Deswegen auch an den Winblows Rechnern ICMP auch für die entfernten Subnetze aktivieren.
Bei den Sensen sollte man auch das Scrubbing/Buffering abschalten das pisst einem gerne auch mal ans Bein.
https://docs.netgate.com/pfsense/en/latest/config/advanced-firewall-nat. ...
Vielleicht habe ich gerade einen Gehirnknoten aber wie soll mir Wireshark helfen? Ich komme ja z.B. per ICMP zum gewünschten Router. Sobald ich jedoch versuche das Web-GUI über IP oder Hostnamen zu erreichen, lädt es einfach ewig und mit Glück öffnet es sich auch. Es beschränkt sich dabei auf die Router-IP x.x.x.1. Eine entferne Fritte die als WLAN AP und für Telefonie fungiert bekomme ich über den Hostnamen und über die IP problemlos.
Windows Rechner bekomme ich auch per ICMP problemlos.
Gruß
Keiner eine weitere Idee?
Bin schon fast am überlegen die Sophos runter zu schmeißen und ne sense drauf zu installieren und zu schauen, ob die Sophos mir hier streiche spielt...
Bin schon fast am überlegen die Sophos runter zu schmeißen und ne sense drauf zu installieren und zu schauen, ob die Sophos mir hier streiche spielt...
Zitat von @bluelight:
Vielleicht habe ich gerade einen Gehirnknoten aber wie soll mir Wireshark helfen?
Du siehst was schief läuft, z.B. lost pakets, Retransmits, fragmentation und und und ... Das ehrlich gesagt kann nur jemand fragen der noch nie mit Wireshark hantiert hat.Vielleicht habe ich gerade einen Gehirnknoten aber wie soll mir Wireshark helfen?
Bin schon fast am überlegen die Sophos runter zu schmeißen und ne sense drauf zu installieren und zu schauen, ob die Sophos mir hier streiche spielt...
Wenn ich mir die kruden Sicherheitslücken einer Sophos vor Augen führe eine gute Idee, statt ner pfSense würde ich persönlich aber auf ne OPNSense wechseln, aber das ist Geschmackssache ...1Zitat von @13676056485:
Zitat von @bluelight:
Vielleicht habe ich gerade einen Gehirnknoten aber wie soll mir Wireshark helfen?
Du siehst was schief läuft, z.B. lost pakets, Retransmits, fragmentation und und und ... Das ehrlich gesagt kann nur jemand fragen der noch nie mit Wireshark hantiert hat.Vielleicht habe ich gerade einen Gehirnknoten aber wie soll mir Wireshark helfen?
Ich checke das mal mit Wireshark in der Hoffnung, den Output verstehen zu können und poste dir den dann mal.
Zitat von @13676056485:
Zitat von @bluelight:
Vielleicht habe ich gerade einen Gehirnknoten aber wie soll mir Wireshark helfen?
Du siehst was schief läuft, z.B. lost pakets, Retransmits, fragmentation und und und ... Das ehrlich gesagt kann nur jemand fragen der noch nie mit Wireshark hantiert hat.Vielleicht habe ich gerade einen Gehirnknoten aber wie soll mir Wireshark helfen?
Kannst du mit diesem Output etwas anfangen? Hab das mal nach Destination sortiert.
Kurzer Hinweis: Die Sophos ist derzeit im NAT-T, da hinter einem Router. Wenn die FW am Zielort aufgebaut wird, übernimmt diese die PPPoE Einwahl.
Ich kann das Verhalten nun auch genau reproduzieren: Versuche ich per Https auf das Webgui zu kommen, lässt er mich im ersten Verbindungsaufbau auf einem Timeout hinauslaufen. Danach kann ich zugreifen.
Die im Mitschnitt zu sehenden öffentlichen IPs sind unkritisch, da sowieso dynamisch.
Hab das mal nach Destination sortiert.
Das ist leider sehr schlecht, wenn die Reihenfolge nicht stimmt und die jeweiligen Antworten der Destination da nicht in der richtigen Reihenfolge stehen ist das wüüüüüüürg ...Aber man ja schon an der MSS von 1460, daraus resultierend eine Fragmentation und Retransmissions wegen verlorener Pakete, du hast ein MTU Problem, aber ohne richtige Reihenfolge schlecht zu beurteilen .
Die Sophos ist derzeit im NAT-T, da hinter einem Router.
Aha wieder was neues.1
Einmal die kompletten Screens in der richtigen Reihenfolge.
Solange ich mich im NAT-T befinde, welche Werte sollte ich MTU und MSS am Interface (LAN, WAN, beides?) geben?
Edit: Bilder entfernt, da die Domäne dort sichtbar war.
Solange ich mich im NAT-T befinde, welche Werte sollte ich MTU und MSS am Interface (LAN, WAN, beides?) geben?
Edit: Bilder entfernt, da die Domäne dort sichtbar war.
Da SACK_PERM sagt einem auch das da Pakete auf der Strecke bleiben.
welche Werte sollte ich MTU und MSS am Interface (LAN, WAN, beides?) geben?
Ermittle sie mittels ping zum Ziel und "DoNotFragment" Flag, bis sie unfragmentiert durchgehen. ...1Zitat von @13676056485:
Da SACK_PERM sagt einem auch das da Pakete auf der Strecke bleiben.
Da SACK_PERM sagt einem auch das da Pakete auf der Strecke bleiben.
welche Werte sollte ich MTU und MSS am Interface (LAN, WAN, beides?) geben?
Ermittle sie mittels ping zum Ziel und "DoNotFragment" Flag, bis sie unfragmentiert durchgehen. ...Zitat von @aqui:
Siehe dazu:
https://blog.boll.ch/basic-stuff-mtu-groesse-mit-ping-testen/
https://kb.netgear.com/de/19863/Ping-Test-zur-Ermittlung-der-optimalen-M ...
Siehe dazu:
https://blog.boll.ch/basic-stuff-mtu-groesse-mit-ping-testen/
https://kb.netgear.com/de/19863/Ping-Test-zur-Ermittlung-der-optimalen-M ...
Ihr seid meine Helden <3. Mit einer MTU von 1214 klappt es unfragmentiert und stabil.
