Einzelne SSL Verbindungen bleiben hängen

[zwer2k]

Hallo alle Zusammen,


hab schon vor längerem festgestellt, dass einzelne Verbindungen hängen bleiben. Das Problem ist relativ gut nachvollziehbar, nur leider scheint es nur in Verbindung von OpnSense und Vodafone-Kabel-Leitung aufzutreten. Eventuell hat es auch noch etwas mit der Statischen-Public-IP zutun. Das komische ist, dass die gleiche Verbindung mit anderem Client funktioniert.

Weiter unten ist ein kleiner Script in node-js, es versucht eigentlich nur ein Login auf xiaomi.com durchzuführen. Der Script bleibt aber immer im Request hängen. Andere node-js Bibliotheken funktionieren auch nicht. Genau die gleiche Aufrufe mit Curl oder Go liefern wie erwartet die Daten. Andere Seiten sind problemlos per node-js erreichbar. Wenn ich die Internetverbindung ohne OpnSense direkt mit der Fritz!Box herstelle funktioniert node-js auch problemlos. Andere Rechner (Linux + Wondows) verhalten sich genau so.
Hab den Script an zwei anderen Internetleitungen mit OpnSense getestet, an einer Leitung trat der Fehler ebenfalls auf, da wird auch Vodofone mit fester IP verwendet. An der zweiter Leitung wird Internet durch 1&1 bertgestellt, da gibt es kein probleme.

D.h. Problem tritt nur in Verbindung node-js + OpnSense + Vodafone-Internet und nur bei bestimmten Seiten.

Code Select Expand

var request = require('request');
var options = {
  'method': 'GET',
  'url': 'https://account.xiaomi.com/pass/serviceLogin?sid=xiaomiio&_json=true',
  'headers': {
    'Content-Type': 'application/x-www-form-urlencoded',
    'User-Agent': 'Android-7.1.1-1.0.0-ONEPLUS A3010-136-9D28921C354D7 APP/xiaomi.smarthome APPV/62830',
    'Cookie': 'sdkVersion=accountsdk-18.8.15; userId=abc@abc.de; deviceId=taivtx; pass_trace=GBZqboswliVT5OUf+T0IZilucW1hziEHBi3SbwmdMo6+q8nCtEbuhheXzmCuFImSx5FVVJNiAMgAbQ2qtM4BMA==; pass_ua=web; uLocale=de_DE; JSESSIONID=aaakeq0WViSAReR74QMux'
  }
};
request(options, function (error, response) {
  if (error) throw new Error(error);
  console.log(response.body);
});


     

[Gauss23]

Welches Kabelmodem verwendest Du? Ist es eine Fritzbox?

Netzwerkplan wäre hilfreich.

[zwer2k]

Ja eine Fritz!Box 6591 .

An meinem Netzwerk ist eigentlich nichts spannendes.

OpnSense läuft als VM unter Proxmox.
Der Proxmox Server hat für WAN, LAN und WLAN separate Netzwerkkarten. WAN und WLAN werden nur für OpnSense verwendet, LAN wird mit dem Server und da drauf laufenden VMs geteilt.
Der WAN-Anschluß ist direkt mit der FB verbunen, der Anschluß in der FB unter Zugangsart-Portkonfiguration als Public-IP und Exposed-Host konfiguriert.
Der Fehler tritt sowohl auf einem Windows WLAN-Client als auch Linux VM unter Proxmox auf.
An Firewall-Rollen sollte es auch nicht liegen.

Die Andere OpnSense an denen ich getestet habe laufen auf eigener Hardware.

[Gauss23]

Ich habe da als Erstes immer das doppelte NAT in Verdacht.
Wäre es denkbar, dass du das aus dem Weg schaffst?
Also die Route ins OPNsense Netz als statische Route in der Fritzbox mit Gateway WAN IP von der sense?
Dann kannst du das outbound NAT an der Sense deaktivieren.

Eine andere Ursache kommt mir gerade nicht in den Sinn

[zwer2k]

Das wird nicht einfach. Ich würde auch gern NAT der Sense überlassen.
Wie gesagt die WAN IP ist eine Statische-Public-IP und ist in der FB als Exposed-Host angegeben. Da sollte doch die NAT in der FB deaktiviert sein.
Hab auch testweise Firewall und NAT in der Sense mit dem Parameter (Firewall deaktivieren) deaktiviert.

[zwer2k]

Bin dem Problem auf die Schliche gekommen. Es scheint so, als ob die Packet-Hardwarebeschleunigung den Fehler verursacht. Der Fehler tritt nur auf wenn die Hardwarebeschleunigung aktiviert ist.