7
Problem Erreichbarkeit unserer neuen Kyocera Drucker über VPN (Sophos-pfSense)
Hallo Administratorengemeinde,
ich rolle seit Anfang der Woche neue Kyocera-Drucker und Multifunktionsgeräte aus und stoße auf mir unerklärliche und nicht nachvollziehbare Probleme bei den Systemen in den Außenstandorten:
Die Kyo's werden per fester IP ins LAN (des Standortes) eingebunden.
Die Standorte sind mit dem Hauptstandort per VPN verbunden.
Die Netzwerkeinstellungen auf den Kyo's (IP, Subnet, Defaultgateway) sind korrekt eingetragen.
Innerhalb des Standort-LAN funktioniert der Zugriff auf die Geräte (Ping, Weboberfläche) und von den Geräten auf Netzwerkressourcen am Standort (SMB-Freigaben, LDAP) einwandfrei.
Der Zugriff vom Hauptstandort auf Ressourcen des Standort-LAN funktioniert.
Der Zugriff vom Hauptstandort auf die neuen Kyo-Drucker am Standort funktioniert nicht - konkret: es wird jeweils nach Neustart des Netzwerks auf dem Kyo genau ein Ping auf das Gerät beantwortet, danach ist das Gerät nicht mehr erreichbar.
Der Zugriff von allen anderen Netzwerkgeräten auf das LAN am Hauptstandort funktioniert.
Der Zugriff von den Kyo-Druckern auf Ressoucen im LAN des Hauptstandortes funktioniert auch nicht.
Bei den bisherigen Geräten (von Canon), welche die selben IP-Adressen hatten, sind keine derartigen Probleme bekannt.
Router und Drucker neu gestartet - gleiches Ergebnis.
Am Hauptstandort gibt es 2 VLANs (192.168.204.0/24, 172.29.0.0/24) die zum Außenstandort getunnelt sind.
VPN-Gateway am Hauptstandort ist eine Sophos UTM.
VPN-Gateway am Außenstandort ist eine pfSense.
LAN am Außenstandort ist 192.168.14.0/24 (Beispielstandort - wir haben mehrere, bei manchen funktioniert es bei anderen nicht)
Meine bescheidene Interpretation des Paketmitschnitts an der pfSense am LAN-Port: Ping (von 192.168.204.26 auf den Drucker mit der 192.168.14.91) kommt und wird beantwortet...
...und am IPSec-Port: mehrere Ping Request kommen, beim ersten Mal kommt noch ein Ping Reply (nach Neustart des Netzwerks auf dem Kyo), dann ist Sense...
Das Firewall-Log der pfSense ist irgendwie wenig aufschlussreich, da die Pings im Log nicht erscheinen, obwohl die Default Rule geloggt werden sollte (Log-Einstellungen).
Ansonsten steht die Firewall auf Durchzug - LAN alle Protokolle von überall nach überall erlaubt, IPSec das Gleiche.
pfSense v.2.0.x
In den Erweiterten Eigenschaften auf der pfSense ist testweise
- IP Do-Not-Fragment compatibility
- Disable firewall Scrub
- Static route filtering
gesetzt - die Optionen sind sonst ausgeschaltet
Außerdem ist bei
- Firewall Optimization options
normal eingestellt - sonst aggressive
Ich hoffe ich habe mal die wesenlichen Fakten zusammengetragen...
Hat vielleicht jemand eine Idee, wo hier die Säge klemmt? Ich nehme stark an, dass die Ursache bei der pfSense zu suchen ist, stecke dann wiederum aber nicht so tief drin sie ausfindig zu machen... Falls Ihr eine Idee habt, her damit. Falls Ihr noch Infos braucht, die liefere ich gern nach.
Vielen dank schon mal.
Grüße mhard666
ich rolle seit Anfang der Woche neue Kyocera-Drucker und Multifunktionsgeräte aus und stoße auf mir unerklärliche und nicht nachvollziehbare Probleme bei den Systemen in den Außenstandorten:
Die Kyo's werden per fester IP ins LAN (des Standortes) eingebunden.
Die Standorte sind mit dem Hauptstandort per VPN verbunden.
Die Netzwerkeinstellungen auf den Kyo's (IP, Subnet, Defaultgateway) sind korrekt eingetragen.
Innerhalb des Standort-LAN funktioniert der Zugriff auf die Geräte (Ping, Weboberfläche) und von den Geräten auf Netzwerkressourcen am Standort (SMB-Freigaben, LDAP) einwandfrei.
Der Zugriff vom Hauptstandort auf Ressourcen des Standort-LAN funktioniert.
Der Zugriff vom Hauptstandort auf die neuen Kyo-Drucker am Standort funktioniert nicht - konkret: es wird jeweils nach Neustart des Netzwerks auf dem Kyo genau ein Ping auf das Gerät beantwortet, danach ist das Gerät nicht mehr erreichbar.
Der Zugriff von allen anderen Netzwerkgeräten auf das LAN am Hauptstandort funktioniert.
Der Zugriff von den Kyo-Druckern auf Ressoucen im LAN des Hauptstandortes funktioniert auch nicht.
Bei den bisherigen Geräten (von Canon), welche die selben IP-Adressen hatten, sind keine derartigen Probleme bekannt.
Router und Drucker neu gestartet - gleiches Ergebnis.
Am Hauptstandort gibt es 2 VLANs (192.168.204.0/24, 172.29.0.0/24) die zum Außenstandort getunnelt sind.
VPN-Gateway am Hauptstandort ist eine Sophos UTM.
VPN-Gateway am Außenstandort ist eine pfSense.
LAN am Außenstandort ist 192.168.14.0/24 (Beispielstandort - wir haben mehrere, bei manchen funktioniert es bei anderen nicht)
Meine bescheidene Interpretation des Paketmitschnitts an der pfSense am LAN-Port: Ping (von 192.168.204.26 auf den Drucker mit der 192.168.14.91) kommt und wird beantwortet...
...
7 0.998833 192.168.14.200 192.168.14.91 ICMP 70 Redirect (Redirect for host)
8 1.996616 192.168.204.26 192.168.14.91 ICMP 74 Echo (ping) request id=0x0001, seq=8746/10786, ttl=125
9 1.996795 192.168.14.91 192.168.204.26 ICMP 74 Echo (ping) reply id=0x0001, seq=8746/10786, ttl=64
10 1.997004 192.168.14.200 192.168.14.91 ICMP 70 Redirect (Redirect for host)
11 2.132078 172.29.0.35 192.168.14.91 SNMP 86 get-next-request 1.3.6.1.2.1.4.21.1.1
12 2.996016 192.168.204.26 192.168.14.91 ICMP 74 Echo (ping) request id=0x0001, seq=8747/11042, ttl=125
13 2.996205 192.168.14.91 192.168.204.26 ICMP 74 Echo (ping) reply id=0x0001, seq=8747/11042, ttl=64
14 2.996381 192.168.14.200 192.168.14.91 ICMP 70 Redirect (Redirect for host)
......und am IPSec-Port: mehrere Ping Request kommen, beim ersten Mal kommt noch ein Ping Reply (nach Neustart des Netzwerks auf dem Kyo), dann ist Sense...
...
29 328.399208 192.168.204.26 192.168.14.91 ICMP 74 Echo (ping) request id=0x0001, seq=8146/53791, ttl=125
30 328.399394 192.168.14.91 192.168.204.26 ICMP 74 Echo (ping) reply id=0x0001, seq=8146/53791, ttl=64
31 328.399623 192.168.14.200 192.168.14.91 ICMP 70 Redirect (Redirect for host)
32 329.397872 192.168.204.26 192.168.14.91 ICMP 74 Echo (ping) request id=0x0001, seq=8147/54047, ttl=125
...
36 333.939943 192.168.204.26 192.168.14.91 ICMP 74 Echo (ping) request id=0x0001, seq=8148/54303, ttl=125
37 338.949750 192.168.204.26 192.168.14.91 ICMP 74 Echo (ping) request id=0x0001, seq=8149/54559, ttl=125
38 343.942672 192.168.204.26 192.168.14.91 ICMP 74 Echo (ping) request id=0x0001, seq=8150/54815, ttl=125
39 348.951894 192.168.204.26 192.168.14.91 ICMP 74 Echo (ping) request id=0x0001, seq=8151/55071, ttl=125
40 353.945670 192.168.204.26 192.168.14.91 ICMP 74 Echo (ping) request id=0x0001, seq=8152/55327, ttl=125
...Das Firewall-Log der pfSense ist irgendwie wenig aufschlussreich, da die Pings im Log nicht erscheinen, obwohl die Default Rule geloggt werden sollte (Log-Einstellungen).
Ansonsten steht die Firewall auf Durchzug - LAN alle Protokolle von überall nach überall erlaubt, IPSec das Gleiche.
pfSense v.2.0.x
In den Erweiterten Eigenschaften auf der pfSense ist testweise
- IP Do-Not-Fragment compatibility
- Disable firewall Scrub
- Static route filtering
gesetzt - die Optionen sind sonst ausgeschaltet
Außerdem ist bei
- Firewall Optimization options
normal eingestellt - sonst aggressive
Ich hoffe ich habe mal die wesenlichen Fakten zusammengetragen...
Hat vielleicht jemand eine Idee, wo hier die Säge klemmt? Ich nehme stark an, dass die Ursache bei der pfSense zu suchen ist, stecke dann wiederum aber nicht so tief drin sie ausfindig zu machen... Falls Ihr eine Idee habt, her damit. Falls Ihr noch Infos braucht, die liefere ich gern nach.
Vielen dank schon mal.
Grüße mhard666
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 327003
Url: https://administrator.de/contentid/327003
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
7 Kommentare
Neuester Kommentar
Gibt es eventuell in den Einstellungen der Drucker eine Funktion, die Zugriffe nur aus dem eigenen Netzwerk erlaubt? Dann werden alle Zugriffe aus anderen Netzen unterbunden.
Gruß Looser
Gruß Looser
@Looser27
moin, moin.
Nee, nee, die IP-Filter sind leer. Ich checke gerade die Verbindungen zu den Druckern in allen VPNs - es betrifft sowohl die neuen Kyo's als auch unsere alten Canon - ist dort nur nie aufgefallen, da an den Geräten keiner an E-Mails scannen wollte bzw. musste.
Ich baue mir gerade eine Übersicht. Das Problem tritt über alle möglichen Versionen der pfSense auf (2.0er, 2.1er, 2.3er). Über die selben Versionen gibt es aber auch Systeme, wo die Kommunikation funktioniert.
Ich werde mir jetzt mal zwei an sich identische Konfigurationen eines gleichen Konfigurationsstandes ziehen und vergleichen... mal sehen ob das was bringt.
Gruß mhard666
moin, moin.
Nee, nee, die IP-Filter sind leer. Ich checke gerade die Verbindungen zu den Druckern in allen VPNs - es betrifft sowohl die neuen Kyo's als auch unsere alten Canon - ist dort nur nie aufgefallen, da an den Geräten keiner an E-Mails scannen wollte bzw. musste.
Ich baue mir gerade eine Übersicht. Das Problem tritt über alle möglichen Versionen der pfSense auf (2.0er, 2.1er, 2.3er). Über die selben Versionen gibt es aber auch Systeme, wo die Kommunikation funktioniert.
Ich werde mir jetzt mal zwei an sich identische Konfigurationen eines gleichen Konfigurationsstandes ziehen und vergleichen... mal sehen ob das was bringt.
Gruß mhard666
Guten Abend,
ich habe jetzt mal eine komplett neue opnSense aufgesetzt. Hier ist die Firewall irgendwie "gesprächiger"... außerdem kann man das Firewalllog schön filtern.
Jeglicher Versuch vom Hauptstandort ein System anzupingen oder auf die Konfiguration per http- oder https-Protokoll zuzugreifen wird mit dem Verweis auf folgende Firewall-Regel geblockt:
Kann mir jemand sagen, was diese Regel bewirkt, bzw. was ich tun kann damit die Pakete durchgehen?
Danke.
VG. mhard666
ich habe jetzt mal eine komplett neue opnSense aufgesetzt. Hier ist die Firewall irgendwie "gesprächiger"... außerdem kann man das Firewalllog schön filtern.
Jeglicher Versuch vom Hauptstandort ein System anzupingen oder auf die Konfiguration per http- oder https-Protokoll zuzugreifen wird mit dem Verweis auf folgende Firewall-Regel geblockt:
@64 pass out inet all flags S/SA keep state allow-opts label "let out anything IPv4 from firewall host itself" Kann mir jemand sagen, was diese Regel bewirkt, bzw. was ich tun kann damit die Pakete durchgehen?
Danke.
VG. mhard666
Hast Du den Traffic auf beiden Seiten freigegeben?
Hi,
großer Fehler meinerseits - der Traffic geht durch - und das besagt ja auch die Regel "...pass...". Das kommt wenn man zu lang in die Kiste guckt, dann kann man Kreuze nicht mehr von Pfeilen unterscheiden...
Also alles auf Anfang:
Laut Firewall-Log geht die eingehende ICMP Anfrage durch, geht aber wie gesagt auf dem Rückweg verlustig.
Firewallregeln LAN:
IPv4 * LAN Netzwerk * * * * Default allow LAN to any rule
IPv6 * LAN Netzwerk * * * * Default allow LAN IPv6 to any rule
Firewallregeln IPSEC:
IPv4 * * * * * * allow all
Firewallregeln WAN:
blockt Bogon und private Netze
Außerdem gibts ein Gateway SROUTE0, LAN-Interface mit der IP der xxxSense (192.168.27.200 in der Testumgebung):
SROUTE0 LAN 192.168.27.200
...und jeweils eine statische Route über dieses Gateway in die 2 LANs am Hauptstandort:
192.168.204.0/24 SROUTE0 - 192.168.27.200 LAN
172.29.0.0/24 SROUTE0 - 192.168.27.200 LAN
VG. mhard666
großer Fehler meinerseits - der Traffic geht durch - und das besagt ja auch die Regel "...pass...". Das kommt wenn man zu lang in die Kiste guckt, dann kann man Kreuze nicht mehr von Pfeilen unterscheiden...
Also alles auf Anfang:
Laut Firewall-Log geht die eingehende ICMP Anfrage durch, geht aber wie gesagt auf dem Rückweg verlustig.
Firewallregeln LAN:
IPv4 * LAN Netzwerk * * * * Default allow LAN to any rule
IPv6 * LAN Netzwerk * * * * Default allow LAN IPv6 to any rule
Firewallregeln IPSEC:
IPv4 * * * * * * allow all
Firewallregeln WAN:
blockt Bogon und private Netze
Außerdem gibts ein Gateway SROUTE0, LAN-Interface mit der IP der xxxSense (192.168.27.200 in der Testumgebung):
SROUTE0 LAN 192.168.27.200
...und jeweils eine statische Route über dieses Gateway in die 2 LANs am Hauptstandort:
192.168.204.0/24 SROUTE0 - 192.168.27.200 LAN
172.29.0.0/24 SROUTE0 - 192.168.27.200 LAN
VG. mhard666
Kannst Du von den Regeln und Routen mal ein paar Screenshots von beiden Firewalls anhängen?
Hallo mhard,
sag mal hast du eine Lösung für dieses Problem gefunden? - Denn ich bin in EXAKT das gleiche Problem derzeit reingelaufen.
Und weiß auch keine Lösung aktuell...
sag mal hast du eine Lösung für dieses Problem gefunden? - Denn ich bin in EXAKT das gleiche Problem derzeit reingelaufen.
Und weiß auch keine Lösung aktuell...
