an-x-ur
Goto Top

OFTP2 Verbindung kann nicht aufgebaut werden

Hallo an die Community,

ich habe nur mal eine Verständnisfrage.

Wir haben eine eine Software am laufen, die mittels OFTP2 EDI-Daten austauschen soll.
Das Funktioniert leider nur semi gut, da ich Kommunikation von Außen nicht möglich ist.

Wenn von uns aus eine Verbdingung aufgebaut wird, werden die Daten übertragen.
Kommt jetzt vom BP eine Datei, wird diese abgelehnt.

Das Tool spuckt die Fehlermeldung
TCP/IP-Fehler: Verbindung von Gegenseite zurückgesetzt (Fehlercode 10054 - Eine vorhandene Verbindung wurde vom Remotehost geschlossen)

Das wars dann aber auch.

Ich bin mittlerweile recht ratlos, was ich hier noch prüfen könnte.

Content-ID: 93917223073

Url: https://administrator.de/forum/oftp2-verbindung-kann-nicht-aufgebaut-werden-93917223073.html

Ausgedruckt am: 21.12.2024 um 17:12 Uhr

12764050420
12764050420 30.04.2024 aktualisiert um 09:42:54 Uhr
Goto Top
Hi.
Mal einen Wireshark Trace machen, Fehlermeldung hört sich nach einem TCP Reset nach ausbleibenden Paketen an. Vermutlich fehlende Portfreigaben am Gateway.
The OFTP2 uses 2 standard TCP ports: 3305 for V1 compatibility and 6619 for TLS.

Gruß schrick
Spirit-of-Eli
Spirit-of-Eli 30.04.2024 um 09:34:14 Uhr
Goto Top
Moin,

EDI erfordert zwingend eine Verbindung von außen. Das muss gewährleistet werden wenn ihr Daten erhalten wollt.

Daher OFTP2 von extern nach Intern frei geben. Der EDI Server sollte in einer DMZ stehen.

Gruß
Spirit
an-x-ur
an-x-ur 30.04.2024 um 09:41:00 Uhr
Goto Top
Wireshark hat folgendes ausgegeben.

20240430_000018

die vorletzte Zeile ist hier sehr aufschlussreich, denke ich.
12764050420
12764050420 30.04.2024 aktualisiert um 09:45:26 Uhr
Goto Top
Musst du mal die Details aufmachen.
Wer stellt die Certs aus? Selfsigned? Sind alle trusted in den Stores hinterlegt?
Spirit-of-Eli
Spirit-of-Eli 30.04.2024 um 09:53:19 Uhr
Goto Top
Und die Zertifikats Thematik muss hinterlegt sein.
an-x-ur
an-x-ur 30.04.2024 um 09:54:53 Uhr
Goto Top
In der OFTP2 Software wurden die Zertifikate, die uns zur Verfügung gestellt wurden, hinterlegt.

Das Root-Zert ist installiert als vertrauenswürdiges Stammzertifikat.
12764050420
12764050420 30.04.2024 aktualisiert um 11:15:18 Uhr
Goto Top
Ist der Trace vom Server oder vom Client?
Wenn vom Client, dann wird dieser der CA wohl nicht vertrauen.
Wie gesagt Details aufmachen dann sieht man mehr. Haben alle Certs die entsprechenden keyUsage Flags für Server und Client-Auth?
Bring deine Trust-Chain auf die Reihe dann wird das schon.
an-x-ur
an-x-ur 30.04.2024 um 11:58:19 Uhr
Goto Top
Der Trace ist vom Client auf unserer Seite.

Die Zertifikate habe ich via MMC in die einzelnen Segmente importiert.

Haben alle Certs die entsprechenden keyUsage Flags für Server und Client-Auth?

Wie kann ich das rausfinden? Denn die Zertifikate kommen nicht von uns.
an-x-ur
an-x-ur 30.04.2024 um 12:03:25 Uhr
Goto Top
20240430_000019

Laut Details sind sie es
Dani
Dani 01.05.2024 um 11:49:35 Uhr
Goto Top
Moin,
Laut Details sind sie es
der Zertifizierungspfad ist korrekt und ohne Warnungen und Fehler?

Die Zertifikate habe ich via MMC in die einzelnen Segmente importiert.
Des aktuell angemeldeten Benutzers oder im Kontext des Maschine? Ist dann wichtig, wenn Tool/Software nicht im selben Benutzerkontext ausgeführt wird (z.B. als Dienst im Kontext des Systems).

die vorletzte Zeile ist hier sehr aufschlussreich, denke ich.
Habt ihr evtl. für den Zugriff ins Internet einen Proxy/Firewall im Einsatz, welche SSL Interception macht?!


Gruß,
Dani
an-x-ur
an-x-ur 17.05.2024 um 08:25:39 Uhr
Goto Top
Zum Abschluss und zur Aufklärung der Problematik.

Es stellt sich heraus, dass es auf Seiten des BP ein Problem gab. Dieses wurde aber nicht mehr behoben, da eine Migration auf ein neues System anstand. Stattdessen dass uns das mitgeteilt wurde, lief es einfach so weiter. Wir hatten nie eine Chance diesen Fehler zu beheben. Das Problem lag auf der Gegenseite, doch diese war nicht mehr gewillt auch nur einen Handschlag zu machen.

Alles in Allem hat es mich mehrere Tage, diverse Teams-Calls, hier die Hilfeanfrage und Nerven gekostet für das Resultat: wir warten auf die Umstellung, die demnächst erfolgen wird.

Vielen Dank an die Community, dass ihr dennoch so gute Hinweise und Ratschläge parat hattet.