[Gelöst] Intranet von Android über SSL VPN nicht aufrufbar

[BusinessTux]

Hallo zusammen,

ich stehe gerade vor dem Rätsel, warum interne Webseiten über einen SSL VPN auf Android-Geräten nicht erreichbar sind. Mit der gleichen SSL-VPN-Verbindung auf einem Windows-Rechner kann ich die Webseiten aufrufen.

Ziel ist, dass ich die Apps von Synology oder Unifi direkt auf dem Handy/Tablet nutzen kann, wenn ich mich per VPN nach Hause verbunden habe.

Aktuell kann ich die OpenVPN-Verbindung sowohl von Android, als auch von Windows-Geräten erfolgreich verbinden. Aber nur auf Windows kann ich danach im Browser die jeweiligen Webseiten im interenen LAN aufrufen (Unifi, Synology, Netbox).

Auf dem Android-Geräte (hier Tablet) sieht netzwerktechnisch alles ok aus.
* VPN ist verbunden
* In der Routing-Tabelle zeigen die konfigurierten Einträge auf das tun-Device
* Ein Portscan zeigt die offenen Ports

Und trotzdem kommt es zu einem Timeout, wenn ich die interne Webseite im Browser aufrufe. Gleiches gilt dann natürlich für die Android-Apps.


Netzwerk-Aufbau:

Code Select Expand

#
# Stand: 18.07.2021
#

   WAN / Internet                       WAN / Internet
         :                                    :
         : Mobilfunk (Telekom)                : Telekom/VDSL 100
         :                                    :
    .----+----------.                   .-----+----------.
    |  LTE-Gateway  |                   |  VDSL-Gateway  |  (Zyxel VMG3006-D70A)
    '----+----------'                   '-----+----------'
         | 192.168.8.1/24                     |
         |                                    |
         |   Gatewaygruppe WANGWGroup         |
         \----------  ------------------------/
                    \/
   192.168.8.104/24 || PPPoE
             Tier 2 || Tier 1
  WANLTE (opt2,re3) || WAN (wan,re0)
                    ||
    .---------------::----------------------.
    |  OPNsense.opn.mydomain.com            |
    |  21.1.7_1-amd64                       |- IPsec 100.64.1.0/24
    |  CPU: i3-4130T 4x2,9 GHz              |- ovpn1 100.64.2.0/24
    |  RAM/HDD: 8GB / 2x128 GB SSD Mirror   |
    '--------------:---------:--:-----------'
                   |      re1|  | re2
                   |          \/   
                   |          ++--lagg0
                   |          ||  |
                   |          ||  |    VLAN            IP            Subnet           DHCPv4  OPT
       10.0.1.253  |          ||  +--- 20 Intra        10.0.2.253    10.0.2.0/24        off   opt4
  MGMT (lan,alc0)  |          ||  +--- 30 Gäste        10.0.3.253    10.0.3.0/24        off   
      10.0.1.0/24  |          ||  +--- 40 Test         10.0.4.253    10.0.4.0/24        off   opt3
                   |          ||  +--- 41 WLAN intern  192.168.1.253 192.168.1.0/24     off 
                   |          ||  +--- 70 IoT          10.0.7.253    10.0.7.0/24        on    opt1
                   |          ||
                   |          ||
                   |          ||
                   |          ||
      .------------+------.   ||
      | LAN-Switch        +---'|
      | Unifi USW-48      +----'
      '-----+-+-+-+-+-----'
            | | | | |
            | | | | '----... (Netzwerkdevices/Servers)  VLAN 10  mgmt.mydomain.com
            | | | |
            | | | '------... (Clients/Servers)          VLAN 20 intra.mydomain.com
            | | |
            | | '--------... (Clients)                  VLAN 30
            | |
            | '----------... (Clients/Servers)          VLAN 40  test.mydomain.com
            |
            '------------... (IoT Devices)              VLAN 70   han.mydomain.com
           

Aktivierte Dienste
- C-ICAP
- ClamAV
- DHCPv4
- Dynamisches DNS
- Unbound DNS
- Web-Proxy
  + http
  + https
  + transparent proxy
  + ICAP
  + Remote Access Lists
- VPN-Server
  + IPsec
    * Site2Site
  + OpenVPN
    * SSL VPN   

DHCPv4 auf Schnittstelle VLAN 70
- Subnetz       10.0.7.0
- Subnetzmakse  255.255.255.0
- Bereich       10.0.7.100 - 10.0.7.199
- DNS-Server    10.0.7.253 (OPNsense)
- Gateway       10.0.7.253 (OPNsense)
- Domain Name   han.mydomain.com

DHCPv4 auf Schnittstelle MGMT
- Subnetz       10.0.1.0
- Subnetzmakse  255.255.255.0
- Bereich       10.0.1.100 - 10.0.1.199
- DNS-Server    10.0.1.253 (OPNsense)
- Gateway       10.0.1.253 (OPNsense)
- Domain Name   mgmt.mydomain.com

Hat jemand eine Idee für mich, warum es auf Window funktioniert und auf Android nicht?

Danke

[BusinessTux]

hier noch die zwei fehlenden Screenshots zum Netzwerk-Status auf Android

[fabian]

Probier mal nen TCP-Dump auf der OPNsense. Der könnte helfen.

[BusinessTux]

Stimmt danke.

Es sieht für mich so aus, als wenn unter Android der Rück-Kanal nicht funktioniert. Da fallen die ganzen Retransmittions auf.

[BusinessTux]

Zum Vergleich mal der Screenshot von Windows.

[fabian]

Das fin ack am Ende geht scheinbar durch. Würde mal auf IPS tippen.

[BusinessTux]

IPS auf der OPNsense? Ich wüßte nicht das ich das aktiviert habe.  ???

Oder gibt es sowas jetzt schon auf Android?

[BusinessTux]

Also ich habe das Thema zwar noch auf der Agenda, aber bisher noch nichts aktiviert.

[BusinessTux]

Ich weiß nicht was sich geändert hat, aber seit dem Update auf 21.7 funktionieren alle Zugriffe via VPN von meinen Android-Geräten.