Kein Zugriff auf Web-GUIs
Hallo zusammen,
vielleicht kennt einer von euch das Problem und hat eine Lösung parat.
Netzaufbau wie folgt:
Domäne: int.contoso.org
A: 10.0.2.0/24 Sophos XG
B: 10.0.0.0/24 pfSense
C: 192.168.178.0/24 pfSense
Es gibt IPsec-Tunnel zwischen A -> B, C -> B und A -> C
Ich kann auf die entfernten Geräte von z.B. A nach B oder C zugreifen aber nicht auf pfSense 192.178.178.1 oder pfSense 10.0.0.1.
Jetzt das merkwürdige: Zwischendurch geht es mal, dass z.B. 192.168.178.1 nach ewigem laden dann doch verfügbar ist. Wenn es dann einmal geöffnet ist, klappt auch alles schnell und wunderbar.
Wenn ich versuche, über den Hostnamen auf das Gerät zuzugreifen bekomme ich jederzeit folgende Meldung aus dem Browser: ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Die Merkwürdigkeit hat aber noch kein Ende: Es ist völlig egal, was ich versuche zu erreichen (z.B. gelbistgrau.int.contoso.org), bekomme ich ERR_SSL_VERSION_OR_CIPHER_MISMATCH, obwohl dort definitiv kein Webserver läuft, da die Subdomain ausgedacht ist.
Lets Encrypt SSL Certs der Web-GUIs habe ich bereits geprüft und erneuert. Wenn ich mich auf die jeweilige FW per OpenVPN Client verbinde, kann ich problemlos zugreifen.
DNS-Server ist pingbar und funktioniert
nslookup liefert auch die passenden Ergebnisse.
Ich bin gespannt auf eure Lösungsvorschläge
Vielen Dank und lieben Gruß
vielleicht kennt einer von euch das Problem und hat eine Lösung parat.
Netzaufbau wie folgt:
Domäne: int.contoso.org
A: 10.0.2.0/24 Sophos XG
B: 10.0.0.0/24 pfSense
C: 192.168.178.0/24 pfSense
Es gibt IPsec-Tunnel zwischen A -> B, C -> B und A -> C
Ich kann auf die entfernten Geräte von z.B. A nach B oder C zugreifen aber nicht auf pfSense 192.178.178.1 oder pfSense 10.0.0.1.
Jetzt das merkwürdige: Zwischendurch geht es mal, dass z.B. 192.168.178.1 nach ewigem laden dann doch verfügbar ist. Wenn es dann einmal geöffnet ist, klappt auch alles schnell und wunderbar.
Wenn ich versuche, über den Hostnamen auf das Gerät zuzugreifen bekomme ich jederzeit folgende Meldung aus dem Browser: ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Die Merkwürdigkeit hat aber noch kein Ende: Es ist völlig egal, was ich versuche zu erreichen (z.B. gelbistgrau.int.contoso.org), bekomme ich ERR_SSL_VERSION_OR_CIPHER_MISMATCH, obwohl dort definitiv kein Webserver läuft, da die Subdomain ausgedacht ist.
Lets Encrypt SSL Certs der Web-GUIs habe ich bereits geprüft und erneuert. Wenn ich mich auf die jeweilige FW per OpenVPN Client verbinde, kann ich problemlos zugreifen.
DNS-Server ist pingbar und funktioniert
nslookup liefert auch die passenden Ergebnisse.
Ich bin gespannt auf eure Lösungsvorschläge
Vielen Dank und lieben Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 62361282959
Url: https://administrator.de/forum/kein-zugriff-auf-web-guis-62361282959.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
22 Kommentare
Neuester Kommentar
Mahlzeit.
Wie sehen denn die Firewall Regeln aus?
Darf aus dem IPSec Tunnel der Webserver der Sophos und PFSense über den entsprechenden Port erreicht werden?
In welchem Netzwerk steht denn der DNS Server? Gibt es mehrere?
Ich vermute mal, dass eine Domäne existiert und das alle drei Standorte dort zugehörig sind.
Gruß
Marc
Wie sehen denn die Firewall Regeln aus?
Darf aus dem IPSec Tunnel der Webserver der Sophos und PFSense über den entsprechenden Port erreicht werden?
DNS-Server ist pingbar und funktioniert
nslookup liefert auch die passenden Ergebnisse.In welchem Netzwerk steht denn der DNS Server? Gibt es mehrere?
Ich vermute mal, dass eine Domäne existiert und das alle drei Standorte dort zugehörig sind.
Gruß
Marc
"ERR_SSL_VERSION_OR_CIPHER_MISMATCH" zeigt das deine Krypto Settings in der Phase 1 oder Phase 2 nicht homogen über alle Firewalls gesetzt sind und der Peer Setup vermutlich fehlschlägt.
Achte also dadrauf das die Crypto Credentials auf allen Plattformen in beiden Phases identisch sind!
Guckst du u.a. auch HIER
Kollege @radiogugu hat es oben schon gesagt. Für mehr Trobleshooting Details reicht die etwas oberflächliche Beschreibung hier leider nicht.
Achte also dadrauf das die Crypto Credentials auf allen Plattformen in beiden Phases identisch sind!
Guckst du u.a. auch HIER
Kollege @radiogugu hat es oben schon gesagt. Für mehr Trobleshooting Details reicht die etwas oberflächliche Beschreibung hier leider nicht.
- Wer ist VPN Responder, wer ist Initiator?
- Feste WAN IPs oder Dyn IPs?
- Crypto Profile in beiden Seiten f. P1 und P2?
- Was passiert wenn du die direkten IP Adressen ansprichst und NICHT die Hostnamen?
- Regelwerke am LAN Port?
- Firewall Logs?
Die Sophos ist schuld, die ist doch immer schuld 😂. Mal den Webfilter der Sophos abschalten.
Gruß wrk
Es ist völlig egal, was ich versuche zu erreichen (z.B. gelbistgrau.int.contoso.org), bekomme ich ERR_SSL_VERSION_OR_CIPHER_MISMATCH, obwohl dort definitiv kein Webserver läuft, da die Subdomain ausgedacht ist.
Ein Wildcard DNS Eintrag macht genau das, leitet auch das was nicht vorhanden ist auf eine einzige Adresse, vermutlich der Sophos Webfilter dran schuld.Gruß wrk
Einfacher Wireshark Mittschnitt und du siehst ob es an der MTU oder sonst was liegt...
Durchgängiges ICMP type 3 von Source zur Destination sollte man wegen der PMTU auch immer machen. Deswegen auch an den Winblows Rechnern ICMP auch für die entfernten Subnetze aktivieren.
Bei den Sensen sollte man auch das Scrubbing/Buffering abschalten das pisst einem gerne auch mal ans Bein.
https://docs.netgate.com/pfsense/en/latest/config/advanced-firewall-nat. ...
Durchgängiges ICMP type 3 von Source zur Destination sollte man wegen der PMTU auch immer machen. Deswegen auch an den Winblows Rechnern ICMP auch für die entfernten Subnetze aktivieren.
Bei den Sensen sollte man auch das Scrubbing/Buffering abschalten das pisst einem gerne auch mal ans Bein.
https://docs.netgate.com/pfsense/en/latest/config/advanced-firewall-nat. ...
Zitat von @bluelight:
Vielleicht habe ich gerade einen Gehirnknoten aber wie soll mir Wireshark helfen?
Du siehst was schief läuft, z.B. lost pakets, Retransmits, fragmentation und und und ... Das ehrlich gesagt kann nur jemand fragen der noch nie mit Wireshark hantiert hat.Vielleicht habe ich gerade einen Gehirnknoten aber wie soll mir Wireshark helfen?
Bin schon fast am überlegen die Sophos runter zu schmeißen und ne sense drauf zu installieren und zu schauen, ob die Sophos mir hier streiche spielt...
Wenn ich mir die kruden Sicherheitslücken einer Sophos vor Augen führe eine gute Idee, statt ner pfSense würde ich persönlich aber auf ne OPNSense wechseln, aber das ist Geschmackssache ... Hab das mal nach Destination sortiert.
Das ist leider sehr schlecht, wenn die Reihenfolge nicht stimmt und die jeweiligen Antworten der Destination da nicht in der richtigen Reihenfolge stehen ist das wüüüüüüürg ...Aber man ja schon an der MSS von 1460, daraus resultierend eine Fragmentation und Retransmissions wegen verlorener Pakete, du hast ein MTU Problem, aber ohne richtige Reihenfolge schlecht zu beurteilen .
Die Sophos ist derzeit im NAT-T, da hinter einem Router.
Aha wieder was neues.
Da SACK_PERM sagt einem auch das da Pakete auf der Strecke bleiben.
welche Werte sollte ich MTU und MSS am Interface (LAN, WAN, beides?) geben?
Ermittle sie mittels ping zum Ziel und "DoNotFragment" Flag, bis sie unfragmentiert durchgehen. ...