Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - Sphinx

Pages1
#1
German - Deutsch / Re: [WireGuard] Firewall Regel "Default deny rule"
May 18, 2021, 01:05:35 PM
Hallo zusammen,

ich habe mal die packets gedumpt auf den Interfaces und hatte gesehen das der TCP Stack etwas corrupted ist hin und wieder "Retransmission, Out Of Order, Fragmented" (das liegt wahrscheinlich an WireGuard).
Sobald ich "interface scrubbing" disabled habe, funktioniert alles.
Ich muss mal schauen ob dies eine Dauerhafte Lösung sein wird.

Nach dem Reboot der Firewall und einer anpassung der Regel gibt es kein "default deny rule" mehr:
- Keep State (bi directional traffic)  + TCP ANY Flag

Danke und Gruss
Sphinx



#2
German - Deutsch / [WireGuard] Firewall Regel "Default deny rule"
May 17, 2021, 06:52:38 PM
Sehr geehrte Damen und Herren,

nach einigen Stunden googeln und diversen Versuchen, habe ich mich dazu entschlossen bei euch Profis mal die Frage zu stellen.

Ich habe einen WireGuard S2S Tunnel, auf beiden Seiten stehen die Regeln und die Kommunikation funktioniert.
Es gibt 2 Seiten:

  • A: 172.16.62.0/24
  • B: 172.16.12.0/24

Bei allem was jetzt folgt handelt es sich um die Seite A.

Im Live Log erhalte ich folgende messages:
Code Select
wg0 May 17 15:59:33 172.16.12.253:(Transmission) 172.16.62.100 tcp Default deny rule
wg0 May 17 15:59:33 172.16.12.253:18443 172.16.62.100:53318 tcp Default deny rule

Was ich auch versucht habe:

  • Floating ANY Rule (inkl. Direction und Destination)
  • Eindeutigere Regeln (Andere Priority)
  • States Sloppy & None
  • TCP Flag: Any


Das einzige was bis jetzt funktioniert hat ist unter Firewall -> Advanced -> "Disable all packet filtering."

Sonstiges:

  • IPS Disabled
  • Hardware CRC,TSO,LRO Disabled (Denke nicht das dies was ausmacht)

Hierzu folgende Regel die nicht berücksichtig wird unter WireGuard mit direction (in):
Code Select
IPv4 * 172.16.12.0/24 * 172.16.62.0/24 * * *   

Details:
Code Select

__timestamp__ May 17 16:22:48
ack 2509983260
action [block]
anchorname
datalen 1300
dir [in]
dst 172.16.62.100
dstport 53406
ecn
id 53361
interface wg0
interface_name wg0
ipflags +
label Default deny rule
length 1340
offset 0
proto 6
protoname tcp
reason match
rid 02f4bab031b57d1e30553ce08e0ec131
ridentifier 0
rulenr 14
seq 1036248394:1036249694
src 172.16.12.253
srcport 18443
subrulenr
tcpflags A
tcpopts
tos 0x0
ttl 62
urp 16384
version 4


Vielen Dank im Voraus

Gruss
Sphinx
Pages1