bluelight
Goto Top

Kein Zugriff auf Web-GUIs

Hallo zusammen,

vielleicht kennt einer von euch das Problem und hat eine Lösung parat.

Netzaufbau wie folgt:

Domäne: int.contoso.org
A: 10.0.2.0/24 Sophos XG
B: 10.0.0.0/24 pfSense
C: 192.168.178.0/24 pfSense

Es gibt IPsec-Tunnel zwischen A -> B, C -> B und A -> C

Ich kann auf die entfernten Geräte von z.B. A nach B oder C zugreifen aber nicht auf pfSense 192.178.178.1 oder pfSense 10.0.0.1.

Jetzt das merkwürdige: Zwischendurch geht es mal, dass z.B. 192.168.178.1 nach ewigem laden dann doch verfügbar ist. Wenn es dann einmal geöffnet ist, klappt auch alles schnell und wunderbar.

Wenn ich versuche, über den Hostnamen auf das Gerät zuzugreifen bekomme ich jederzeit folgende Meldung aus dem Browser: ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Die Merkwürdigkeit hat aber noch kein Ende: Es ist völlig egal, was ich versuche zu erreichen (z.B. gelbistgrau.int.contoso.org), bekomme ich ERR_SSL_VERSION_OR_CIPHER_MISMATCH, obwohl dort definitiv kein Webserver läuft, da die Subdomain ausgedacht ist.

Lets Encrypt SSL Certs der Web-GUIs habe ich bereits geprüft und erneuert. Wenn ich mich auf die jeweilige FW per OpenVPN Client verbinde, kann ich problemlos zugreifen.

DNS-Server ist pingbar und funktioniert
nslookup liefert auch die passenden Ergebnisse.

Ich bin gespannt auf eure Lösungsvorschläge

Vielen Dank und lieben Gruß

Content-Key: 62361282959

Url: https://administrator.de/contentid/62361282959

Printed on: July 16, 2024 at 19:07 o'clock

Member: radiogugu
radiogugu Jul 08, 2024 at 12:55:12 (UTC)
Goto Top
Mahlzeit.

Wie sehen denn die Firewall Regeln aus?

Darf aus dem IPSec Tunnel der Webserver der Sophos und PFSense über den entsprechenden Port erreicht werden?

DNS-Server ist pingbar und funktioniert
nslookup liefert auch die passenden Ergebnisse.

In welchem Netzwerk steht denn der DNS Server? Gibt es mehrere?

Ich vermute mal, dass eine Domäne existiert und das alle drei Standorte dort zugehörig sind.

Gruß
Marc
Member: aqui
aqui Jul 08, 2024 updated at 13:15:14 (UTC)
Goto Top
"ERR_SSL_VERSION_OR_CIPHER_MISMATCH" zeigt das deine Krypto Settings in der Phase 1 oder Phase 2 nicht homogen über alle Firewalls gesetzt sind und der Peer Setup vermutlich fehlschlägt.
Achte also dadrauf das die Crypto Credentials auf allen Plattformen in beiden Phases identisch sind!
Guckst du u.a. auch HIER

Kollege @radiogugu hat es oben schon gesagt. Für mehr Trobleshooting Details reicht die etwas oberflächliche Beschreibung hier leider nicht. face-sad
  • Wer ist VPN Responder, wer ist Initiator?
  • Feste WAN IPs oder Dyn IPs?
  • Crypto Profile in beiden Seiten f. P1 und P2?
  • Was passiert wenn du die direkten IP Adressen ansprichst und NICHT die Hostnamen?
  • Regelwerke am LAN Port?
  • Firewall Logs?
Usw. usw.
Member: bluelight
bluelight Jul 08, 2024 at 13:17:12 (UTC)
Goto Top
Zitat von @radiogugu:

Mahlzeit.

Wie sehen denn die Firewall Regeln aus?

Darf aus dem IPSec Tunnel der Webserver der Sophos und PFSense über den entsprechenden Port erreicht werden?
Um ein blocken an der Firewall auszuschließen, habe ich zum Testen eine Scheunentorregel gemacht. Das Regelwerk scheint nicht das Problem zu sein.


DNS-Server ist pingbar und funktioniert
nslookup liefert auch die passenden Ergebnisse.

In welchem Netzwerk steht denn der DNS Server? Gibt es mehrere?

Ich vermute mal, dass eine Domäne existiert und das alle drei Standorte dort zugehörig sind.
Genau, sind 3 Standorte im AD. DNS ist unter 10.0.0.2.

Zitat von @aqui:

"ERR_SSL_VERSION_OR_CIPHER_MISMATCH" zeigt das deine Krypto Settings in der Phase 1 oder Phase 2 nicht homogen über alle Firewalls gesetzt sind und der Peer Setup vermutlich fehlschlägt.
Achte also dadrauf das die Crypto Credentials auf allen Plattformen in beiden Phases identisch sind!
Guckst du u.a. auch HIER

Kollege @radiogugu hat es oben schon gesagt. Für mehr Trobleshooting Details reicht die etwas oberflächliche Beschreibung hier leider nicht. face-sad
  • Wer ist VPN Responder, wer ist Initiator?
Sophos ist Initiator und pfSense Responder
* Crypto Settings in beiden Seiten?
gebe ich gleich durch
* Was passiert wenn du die direkten IP Adressen ansprichst und NICHT die Hostnamen?
Beim Ping alles i.O., beim Aufruf über den Webbrowser o.g. Verhalten (ewiges Laden, manchmal klappts)
* Regelwerke am LAN Port?
Hatte eine allow all-Regel um genau das auszuschließen.
* Firewall Logs?
Usw. usw.
Um ein blocken an der Firewall auszuschließen, habe ich zum Testen eine Scheunentorregel gemacht. Das Regelwerk scheint nicht das Problem zu sein.
Member: bluelight
bluelight Jul 08, 2024 at 13:18:33 (UTC)
Goto Top
* Feste WAN IPs oder Dyn IPs?
Standort B feste WAN IP, A und C DynDNS via Cloudflare
Member: WolleRoseKaufe
WolleRoseKaufe Jul 08, 2024 updated at 13:27:02 (UTC)
Goto Top
Die Sophos ist schuld, die ist doch immer schuld ­čśé. Mal den Webfilter der Sophos abschalten.
Es ist völlig egal, was ich versuche zu erreichen (z.B. gelbistgrau.int.contoso.org), bekomme ich ERR_SSL_VERSION_OR_CIPHER_MISMATCH, obwohl dort definitiv kein Webserver läuft, da die Subdomain ausgedacht ist.
Ein Wildcard DNS Eintrag macht genau das, leitet auch das was nicht vorhanden ist auf eine einzige Adresse, vermutlich der Sophos Webfilter dran schuld.

Gruß wrk
Member: bluelight
bluelight Jul 08, 2024 at 13:40:57 (UTC)
Goto Top
Zitat von @aqui:

  • Crypto Profile in beiden Seiten f. P1 und P2?
Profile auf beiden Seiten genau gleich:
P1: IKEv2 AES256, SHA256 DH14
P2: ESP, AES256, SHA256, PFS14

* Firewall Logs?
Lässt sich per se nichts draus ableiten. (Auf den schnellen Blick)
Welche Logs möchtest du genau sehen?


Zitat von @WolleRoseKaufe:

Die Sophos ist schuld, die ist doch immer schuld ­čśé. Mal den Webfilter der Sophos abschalten.
Es ist völlig egal, was ich versuche zu erreichen (z.B. gelbistgrau.int.contoso.org), bekomme ich ERR_SSL_VERSION_OR_CIPHER_MISMATCH, obwohl dort definitiv kein Webserver läuft, da die Subdomain ausgedacht ist.
Ein Wildcard DNS Eintrag macht genau das, leitet auch das was nicht vorhanden ist auf eine einzige Adresse, vermutlich der Sophos Webfilter dran schuld.

Gruß wrk

Wo lässt sich der nette Webfilter abstellen? Ich kann mich nicht erinnern, den aktiviert zu haben.

Gruß
Member: WolleRoseKaufe
WolleRoseKaufe Jul 08, 2024 updated at 13:43:44 (UTC)
Goto Top
Member: bluelight
bluelight Jul 08, 2024 at 13:52:18 (UTC)
Goto Top

Weder DPI noch Web-Proxy sind in Verwendung. Aus den Logs kann ich auch keine Ablehnung der Verbindung erkennen.
Member: bluelight
bluelight Jul 08, 2024 at 14:04:58 (UTC)
Goto Top
So, das Problem ERR_SSL_VERSION_OR_CIPHER_MISMATCH scheint schonmal gelöst zu sein. War wohl ein DNS Fehler. Als ich den DNS Server am Netzwerkadapter auf meinen eigenen beschränkt hab, kommt der Fehler nicht mehr. Die Web-GUI jedoch lädt ewig und 3 Tage aber öffnet nicht.
Member: aqui
Solution aqui Jul 08, 2024 at 14:15:50 (UTC)
Goto Top
MTU / MSS Problem ??
Hast du das MSS Clamping in den Advanced Settings unter Firewall&NAT aktiviert??
mss
Member: bluelight
bluelight Jul 08, 2024 at 14:20:42 (UTC)
Goto Top
Zitat von @aqui:

MTU / MSS Problem ??
Hast du das MSS Clamping in den Advanced Settings unter Firewall&NAT aktiviert??
mss

Jup, ist aktiviert.
Member: WolleRoseKaufe
Solution WolleRoseKaufe Jul 08, 2024 updated at 16:27:41 (UTC)
Goto Top
Einfacher Wireshark Mittschnitt und du siehst ob es an der MTU oder sonst was liegt...
Durchgängiges ICMP type 3 von Source zur Destination sollte man wegen der PMTU auch immer machen. Deswegen auch an den Winblows Rechnern ICMP auch für die entfernten Subnetze aktivieren.
Bei den Sensen sollte man auch das Scrubbing/Buffering abschalten das pisst einem gerne auch mal ans Bein.
https://docs.netgate.com/pfsense/en/latest/config/advanced-firewall-nat. ...
Member: bluelight
bluelight Jul 08, 2024 updated at 18:55:06 (UTC)
Goto Top
Zitat von @WolleRoseKaufe:

Einfacher Wireshark Mittschnitt und du siehst ob es an der MTU oder sonst was liegt...
Durchgängiges ICMP type 3 von Source zur Destination sollte man wegen der PMTU auch immer machen. Deswegen auch an den Winblows Rechnern ICMP auch für die entfernten Subnetze aktivieren.
Bei den Sensen sollte man auch das Scrubbing/Buffering abschalten das pisst einem gerne auch mal ans Bein.
https://docs.netgate.com/pfsense/en/latest/config/advanced-firewall-nat. ...

Vielleicht habe ich gerade einen Gehirnknoten aber wie soll mir Wireshark helfen? Ich komme ja z.B. per ICMP zum gewünschten Router. Sobald ich jedoch versuche das Web-GUI über IP oder Hostnamen zu erreichen, lädt es einfach ewig und mit Glück öffnet es sich auch. Es beschränkt sich dabei auf die Router-IP x.x.x.1. Eine entferne Fritte die als WLAN AP und für Telefonie fungiert bekomme ich über den Hostnamen und über die IP problemlos.
Windows Rechner bekomme ich auch per ICMP problemlos.

Gruß
Member: bluelight
bluelight Jul 10, 2024 at 08:36:14 (UTC)
Goto Top
Keiner eine weitere Idee?
Bin schon fast am überlegen die Sophos runter zu schmeißen und ne sense drauf zu installieren und zu schauen, ob die Sophos mir hier streiche spielt...
Member: WolleRoseKaufe
Solution WolleRoseKaufe Jul 10, 2024 updated at 08:45:33 (UTC)
Goto Top
Zitat von @bluelight:
Vielleicht habe ich gerade einen Gehirnknoten aber wie soll mir Wireshark helfen?
Du siehst was schief läuft, z.B. lost pakets, Retransmits, fragmentation und und und ... Das ehrlich gesagt kann nur jemand fragen der noch nie mit Wireshark hantiert hat.

Bin schon fast am überlegen die Sophos runter zu schmeißen und ne sense drauf zu installieren und zu schauen, ob die Sophos mir hier streiche spielt...
Wenn ich mir die kruden Sicherheitslücken einer Sophos vor Augen führe eine gute Idee, statt ner pfSense würde ich persönlich aber auf ne OPNSense wechseln, aber das ist Geschmackssache ...
Member: bluelight
bluelight Jul 10, 2024 at 09:10:07 (UTC)
Goto Top
Zitat von @WolleRoseKaufe:

Zitat von @bluelight:
Vielleicht habe ich gerade einen Gehirnknoten aber wie soll mir Wireshark helfen?
Du siehst was schief läuft, z.B. lost pakets, Retransmits, fragmentation und und und ... Das ehrlich gesagt kann nur jemand fragen der noch nie mit Wireshark hantiert hat.


Ich checke das mal mit Wireshark in der Hoffnung, den Output verstehen zu können und poste dir den dann mal.
Member: bluelight
bluelight Jul 10, 2024 updated at 09:38:36 (UTC)
Goto Top
Zitat von @WolleRoseKaufe:

Zitat von @bluelight:
Vielleicht habe ich gerade einen Gehirnknoten aber wie soll mir Wireshark helfen?
Du siehst was schief läuft, z.B. lost pakets, Retransmits, fragmentation und und und ... Das ehrlich gesagt kann nur jemand fragen der noch nie mit Wireshark hantiert hat.


Kannst du mit diesem Output etwas anfangen? Hab das mal nach Destination sortiert.
Kurzer Hinweis: Die Sophos ist derzeit im NAT-T, da hinter einem Router. Wenn die FW am Zielort aufgebaut wird, übernimmt diese die PPPoE Einwahl.
Ich kann das Verhalten nun auch genau reproduzieren: Versuche ich per Https auf das Webgui zu kommen, lässt er mich im ersten Verbindungsaufbau auf einem Timeout hinauslaufen. Danach kann ich zugreifen.

Die im Mitschnitt zu sehenden öffentlichen IPs sind unkritisch, da sowieso dynamisch.
wiresharkoutput
Member: WolleRoseKaufe
Solution WolleRoseKaufe Jul 10, 2024 updated at 09:46:23 (UTC)
Goto Top
Hab das mal nach Destination sortiert.
Das ist leider sehr schlecht, wenn die Reihenfolge nicht stimmt und die jeweiligen Antworten der Destination da nicht in der richtigen Reihenfolge stehen ist das wüüüüüüürg ...

Aber man ja schon an der MSS von 1460, daraus resultierend eine Fragmentation und Retransmissions wegen verlorener Pakete, du hast ein MTU Problem, aber ohne richtige Reihenfolge schlecht zu beurteilen .
Die Sophos ist derzeit im NAT-T, da hinter einem Router.
Aha wieder was neues.
Member: bluelight
bluelight Jul 10, 2024 updated at 11:05:42 (UTC)
Goto Top
Einmal die kompletten Screens in der richtigen Reihenfolge.

Solange ich mich im NAT-T befinde, welche Werte sollte ich MTU und MSS am Interface (LAN, WAN, beides?) geben?

Edit: Bilder entfernt, da die Domäne dort sichtbar war.
Member: WolleRoseKaufe
Solution WolleRoseKaufe Jul 10, 2024 updated at 10:07:26 (UTC)
Goto Top
Da SACK_PERM sagt einem auch das da Pakete auf der Strecke bleiben.
welche Werte sollte ich MTU und MSS am Interface (LAN, WAN, beides?) geben?
Ermittle sie mittels ping zum Ziel und "DoNotFragment" Flag, bis sie unfragmentiert durchgehen. ...
Member: aqui
Solution aqui Jul 10, 2024 at 10:14:47 (UTC)
Goto Top
Member: bluelight
bluelight Jul 10, 2024 updated at 11:03:14 (UTC)
Goto Top
Zitat von @WolleRoseKaufe:

Da SACK_PERM sagt einem auch das da Pakete auf der Strecke bleiben.
welche Werte sollte ich MTU und MSS am Interface (LAN, WAN, beides?) geben?
Ermittle sie mittels ping zum Ziel und "DoNotFragment" Flag, bis sie unfragmentiert durchgehen. ...


Ihr seid meine Helden <3. Mit einer MTU von 1214 klappt es unfragmentiert und stabil.