gelöst Verbindung zum Linux Server nicht möglich

Mitglied: it-fraggle

it-fraggle (Level 2) - Jetzt verbinden

2020/08/07, aktualisiert 12:19 Uhr, 517 Aufrufe, 13 Kommentare, 7 Danke

Hallo zusammen,

habe gerade ein sonderbares Problem auf dessen Lösung ich gerade nicht komme. Wir haben hier seit einigen Jahren einen Nextcloud Server in einer extra isolierten Zone laufen. Rein Debian 9.x mit einer alten NC-Version. Ruft man NC im Browser vom LAN aus auf, so erscheint der Login. So weit, so gut. Nun habe ich gestern einen Außenstandort per VPN angeschlossen. Anforderung ist, dass der Standort ebenfalls NC nutzen kann. Versuche ich von dort eine Verbindung aufzubauen, dann verschwinden alle Anfragen ins Nirvana. Eine Regel, die den Zugriff erlaubt, habe ich in Iptables bereits hinterlegt. Ein benachbarter Server des NC (gleiche Zone) lässt sich problemlos erreichen.

Nun dachte ich zuerst, dass die Anfragen nicht richtig geroutet werden. Die Verfolgung sagt mir aber, dass von der FW am Standort die Pakete ins VPN gesteckt werden. Die FW hier am Hauptstandort bestätigt das. Auf dem Server sehe ich sogar mit pktstat die eintreffende Anfrage. Ein tcpdump -n -i eno1 bestätigt mir das auch noch mal. So, und jetzt habe ich sogar einen Verbindungsversuch mit ncat hinter mir. Auch hier sehe ich den ankommenden Verbindungsversuch, aber dann passiert nichts mehr. Iptables-Tabelle ist jetzt sogar leer. Daran liegt es also nicht.

Und /etc/hosts.allow bzw. hosts.deny ist nichts hinterlegt. Gerade habe ich keine weitere Idee woran es hängen könnte. Jemand noch eine Idee?

Danke und Gruß

Neue Erkenntnis:
Verbindungen aus dem gleichen Netzwerksegment funktionieren. Ich kann also von einem Testclient, der zum Test dort eingebracht ist den Server anpingen. Auch netcat geht. Aus dem LAN heraus geht es auch. Aber nicht, wenn die Verbindung vom VPN kommt.
Mitglied: emeriks
2020/08/07 um 11:25 Uhr
Hi,
ins Blaue geraten: Kennt der Server die Rück-Route?

E.
Bitte warten ..
Mitglied: it-fraggle
2020/08/07 um 11:28 Uhr
Ah, habe ich vergessen reinzuschreiben. Ein Ping vom Server aus zum Client am Außenstandort ist problemlos möglich. Ich habe das Gefühl als wäre am Server selbst irgendwas konfiguriert, was Antworten verhindert, wenn sie nicht aus dem LAN kommen.
Bitte warten ..
Mitglied: altmetaller
2020/08/07, aktualisiert um 11:36 Uhr
Hallo,

bei Owncloud konfiguriert man ein Array mit Hostnamen, über die man den Server anspricht. Vielleicht ist das bei NC auch so und Du nutzt einen anderen Hostnamen (oder Direktaufruf über IP-Adresse), der aber noch nicht in der Liste geführt ist?

In dem Fall gibt es aber "eigentlich" auch eine eindeutige Meldung

Gruß,
Jörg
Bitte warten ..
Mitglied: it-fraggle
2020/08/07 um 11:39 Uhr
Danke, aber das schließe ich aus, denn, wie du sagst, gibt es eine Meldung, die besagt, dass er für die Adresse/Name XXXX konfiguriert ist. Ich schließe es aber auch deswegen aus, weil ich mit ncat keine Verbindung hinbekomme. Auch steht in den Apachelogs nichts.
Bitte warten ..
Mitglied: Spirit-of-Eli
2020/08/07 um 11:47 Uhr
Moin,

Nextcloud meldet sich bei nicht autorisierter Adresse selbst und bitte diese dicht m durch den Admin hinzu zu fügen. Daher sollte es daran nicht scheitern. Es sei denn davor läuft noch ein Reverseproxy welche dahin gehend filtert.

Das heißt pingen kannst du den Server?

Gruß
Spirit
Bitte warten ..
Mitglied: it-fraggle
2020/08/07 um 11:59 Uhr
Leider auch nicht. Der Server kann pingen, aber nicht angepingt werden.
Bitte warten ..
Mitglied: Lochkartenstanzer
2020/08/07 um 12:15 Uhr
Zitat von it-fraggle:

Jemand noch eine Idee?

Wie ist denn die Uptime des Servers? Nicht umsonst heißt es "reboot tut gut!"

lks

PS: iptables sollte zumindest eine default regel (deny oder allow) haben und nicht leer sein.
Bitte warten ..
Mitglied: it-fraggle
2020/08/07 um 12:19 Uhr
Neue Erkenntnis:
Verbindungen aus dem gleichen Netzwerksegment funktionieren. Ich kann also von einem Testclient, der zum Test dort eingebracht ist den Server anpingen. Auch netcat geht. Aus dem LAN heraus geht es auch. Aber nicht, wenn die Verbindung vom VPN kommt.
Bitte warten ..
Mitglied: Lochkartenstanzer
2020/08/07, aktualisiert um 12:24 Uhr
Zitat von it-fraggle:

Neue Erkenntnis:
Verbindungen aus dem gleichen Netzwerksegment funktionieren. Ich kann also von einem Testclient, der zum Test dort eingebracht ist den Server anpingen. Auch netcat geht. Aus dem LAN heraus geht es auch. Aber nicht, wenn die Verbindung vom VPN kommt.

Dann prüf mal, was die (SYN-)Pakete aus dem VPN von denen unterscheidet, die aus dem gleichen Netzsegment kommen.

lks
Bitte warten ..
Mitglied: BirdyB
2020/08/07 um 13:09 Uhr
Moin,
blöde Frage:
In der Firewall sind alle Verbindungen vom VPN-Netz zum Servernetz erlaubt?

Viele Grüße
Bitte warten ..
Mitglied: it-fraggle
2020/08/07 um 14:06 Uhr
Ja, sind erlaubt. Es endet am Server und dort passiert nichts. Weder ncat noch Aufrufe (Apache) der Website funktionieren. Am Server kommt es an, aber er reagiert nicht.
Bitte warten ..
Mitglied: LordGurke
LÖSUNG 2020/08/07, aktualisiert um 14:19 Uhr
Ich habe so den Verdacht, dass dein Server doch eine andere Route für den Rückweg nutzt als die anderen Server.
Das kannst du mit "ip route get <ipadresse>" nachprüfen und vergleichen.
Wenn die Antworten über ein falsches Interface gesendet werden, könnten diese dort an Firewalls versanden oder z.B. durch NAT auf eine falsche IP-Adresse übersetzt werden.
Mach vom Server auch mal einen Traceroute (mal mit ICMP und mal mit TCP-Source-Port 80 / 443 - dafür musst du den Apache kurz stoppen) zu dem Client von dem aus du den Zugriff testest. Nicht, dass der vorgelagerte Router aufgrund irgendwelcher PBR-Regeln den HTTP-Traffic woandersher leiten will und damit die Route bricht.
Bitte warten ..
Mitglied: it-fraggle
2020/08/07 um 14:34 Uhr
ip route get <ipadresse> zeigte mir eine falsche Rückroute. Jetzt läuft es. Vielen Dank an alle für die Mühe, Tips und Hinweise. Jetzt kann ich Feierabend machen
Bitte warten ..
Ähnliche Inhalte
Linux

OUTPUT Traffic Linux Server baut Verbindung DNS-NTP-Webserver auf

gelöst Frage von decehakanLinux13 Kommentare

Hallo Zusammen, ich betreibe seit grad mal einen Halbjahr ein Linux-Server, lese viel und versuch auch vieles zu verstehen, ...

Samba

Linux Server und Windows Linux Client

gelöst Frage von 137898Samba17 Kommentare

Hallo, ich bräuchte dringend bei der Aufgabe etwas Hilfe. Die Firma XYZ besteht auf zwei Abteilungen Logistik und Technik ...

Debian

Linux Tablet

gelöst Frage von djevil-adDebian12 Kommentare

Hi, ich möchte mir gerne ein günstiges, gebrauchtes Tablet (50€) in der Bucht schiessen, auf dem ich ein BELIEBIGES ...

Schulung & Training

Linux - Zertifizierung

Frage von SeeyaaSchulung & Training1 Kommentar

Hallo. Ist LPI ist noch die am meisten anerkannte Linux Zertifizierung in Deutschland? Oder gibt es Alternativen? Wichtig für ...

Linux

Infoscreen Linux

Frage von Jannik2018Linux5 Kommentare

Hallo zusammen, ich bin derzeit auf der Suche nach einem möglichst kostenlosen tool für linux Debian/Ubuntu welches mir die ...

Cluster

Linux Failover

gelöst Frage von akadawaCluster3 Kommentare

Hallo liebe Community, Ich soll eine MySQL-Datenbank, welche auf einem physischen Server (Debian) läuft , in einer virtuellen Maschine ...

Heiß diskutierte Inhalte
Notebook & Zubehör
Macbook oder Surface Book 3?
gelöst Frage von FamousDex089Notebook & Zubehör36 Kommentare

Hallo Zusammen :-), ich bin komplett neu in der IT Admin schiene und neu in diesem Forum. Ich habe ...

Outlook & Mail
Outlook App auf Android
gelöst Frage von PeterGygerOutlook & Mail21 Kommentare

Hallo Folgende Situation: Samsung S3 Samsung S5 Mini Die Microsoft Outlook App kann nicht mehr gestartet werden. Es waren ...

Windows Server
AD (virtualisiert) und alle angeschlossenen Clients fahren ungeplant herunter
Frage von tobitobsnWindows Server18 Kommentare

Ich habe aktuell ein Problem, dass ein frisch aufgesetzer Hyper-V mit einem virtualisierten AD regelmäßig 1x die Woche herunterfährt ...

Humor (lol)
So eine Art Jobangebot
Frage von Melvin.van.HorneHumor (lol)18 Kommentare

Moin, ich habe eben eine Zeit damit zugebracht eine GPO für eine Gruppe von Clients zu erstellen. Egal was ...

Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
Frage von ipzipzapSwitche und Hubs17 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

SAN, NAS, DAS
Probleme mit der GIGABIT Leitung - Finden der Krücke - Wer ist schuld ?
gelöst Frage von daswinimramSAN, NAS, DAS16 Kommentare

Hallo Community , folgender Aufbau : "erfolgreich" umgestellt auf Gigabit Tarif am 26.09.20 Speedtests wurden von allen PCs hinter ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT