Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
FW Regel blockiert 98% des Traffic und 2% nicht
« previous
next »
Print
Pages: [
1
]
Author
Topic: FW Regel blockiert 98% des Traffic und 2% nicht (Read 2290 times)
AndreK
Newbie
Posts: 46
Karma: 3
FW Regel blockiert 98% des Traffic und 2% nicht
«
on:
April 30, 2021, 06:52:20 pm »
Hallo zusammen,
Leider ist mir keine bessere Überschrift eingefallen, aber sie beschreibt das Problem zu 100%.
Kurz zum Aufbau:
Accesspoint -> Standort B -> Routed IPsec VPN -> Standort A -> Accesspointserver
Beim Attachment Regel-ausgehend erlaube ich dem Paket den Weg über den IPSec VPN.
Im Live View ausgehende sehe ich das die Pakete durchgelassen werden.
Ich sehe die Pakete auch auf dem Interface vom IPSec.
Nun kommen die Pakete im Standort A rein und sollen zum Server (Attachment Regel-eingehend).
Allerdings dropt er mir ca 98% der Pakete (Attachment Live View).
Ich verstehe nur nicht warum
Wenn ich auf der Serverseite mitsniffe sieht der Traffic (auch im Anhang) auch sehr mehrkwürdig aus.
Ich verstehe aber nicht warum.
Aller Traffic den ich sonst durch diesen Tunnel jage funktioniert normal.
Ich habe die Regel auf beiden Seiten auch schon mal gelöscht und neu angelegt.
Hat aber leider nicht geholfen.
Vom Server kann ich den AP auch pingen und ein tracert geht auch sauber durch.
Hatt jemand noch eine Idee?
Gruß Andre
«
Last Edit: April 30, 2021, 07:56:49 pm by AndreK
»
Logged
AndreK
Newbie
Posts: 46
Karma: 3
Re: FW Regel blockiert 98% des Traffic und 2% nicht
«
Reply #1 on:
May 11, 2021, 08:27:25 pm »
Hallo zusammen,
Ich habe die Lösung inzwischen selbst gefunden und wollte es kurz mitteilen falls jemand das gleiche Problem hat/bekommt.
Die Accesspoint sind von Ubiquiti UniFi AC PRO. Diese sollen sie am Unifi Controller melden.
Das machen sie über:
a) Broadcast
b) Über einen DHCP Option 43 Eintrag
c) Wenn man auf die AP IP per SSH geht mit set-inform
http://ip.of.the.controller:8080/inform
Leider schicken diese APs für das Keepalive und die Verbindungsprüfung einfach nur ACK Pakete.
Dies verwirft die Fiewall natülich, da die Pakete so keinen Sinn ergeben.
Ich habe um das Problem zu beheben in der Regel den State Type auf None gesetzt. Soomit gehen die Pakete durch und die doofen APs und der Controller sind glücklich.
Wer sowas programmiert gehört geprügelt
Gruß Andre
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: FW Regel blockiert 98% des Traffic und 2% nicht
«
Reply #2 on:
May 11, 2021, 10:59:22 pm »
Sorry aber stimmt so nicht. Ich hab das als Setup selbst gehabt. In dem Fall als OVPN Tunnel aber Netzwerk Equip im Ausland via VPN an Controller in Zentrale. Die APs senden definitiv nicht einfach Acks. So funktioniert kein TCP Handshake und kein Service nimmt sowas dann einfach an.
Kann ich - da mitgesnifft mit tcpdump - definitiv verneinen. Controller und AP kommunizieren völlig regulär über TCP/IP
Cheers
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
AndreK
Newbie
Posts: 46
Karma: 3
Re: FW Regel blockiert 98% des Traffic und 2% nicht
«
Reply #3 on:
May 17, 2021, 06:42:08 pm »
Hi,
Kannst du dir gerne live anschauen.
Ist definitiv so. Es war und ist das einzigste Gerät in dem Vlan was Daten senden könnte.
Darum hab ich ja geschrieben wer sowas programmiert gehört geschlagen.
Das dies kein kompletter Handshake ist ist mir wohl bewußt. Darum ging es ja auch.
Darum auch das pcap dabei.
«
Last Edit: May 17, 2021, 07:02:14 pm by AndreK
»
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: FW Regel blockiert 98% des Traffic und 2% nicht
«
Reply #4 on:
May 20, 2021, 12:33:06 am »
> Ist definitiv so. Es war und ist das einzigste Gerät in dem Vlan was Daten senden könnte.
Dann hast du IMHO andere Probleme in deinem Netz. Aber ein Gerät sendet TCP(!) NICHT einfach so mal eben als Verbindungsaufbau ein "ACK". Wie gesagt, so funktioniert TCP/IP nicht. Dann hast du ggf. asymmetrisches Routing und der Syn geht irgendwo anders hin und verloren etc. pp. Aber nope, kein Gerät fängt mit Ack zu senden an. Das ist kein TCP und würde nie einen Verbindungsaufbau hinbekommen. Wir reden hier ja nicht von UDP, sondern von einem Protokoll mit 3-Wege-Handshake. Und wenn der nicht zustande kommt, dann gibts auch keine Verbindung. Ergo: Syn, Syn Ack, Ack. Ohne die Reihenfolge passiert nichts. Wenn das nicht passiert würde ich dringend mal weiter untersuchen wo die ursprünglichen Pakete hingehen bzw. was beim Controller ankommt. Denn irgendwas läuft da definitiv falsch.
Daher wie gesagt der Hinweis: suche die anderen Pakete. Wenn die Kisten sich finden, dann müssen die irgendwo sein. Nur mit Ack läufts nicht also müssen beim Con ja irgendwo die Syns angekommen sein, die Frage ist nur woher und warum laufen sie falsch.
Cheers
\jens
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
AndreK
Newbie
Posts: 46
Karma: 3
Re: FW Regel blockiert 98% des Traffic und 2% nicht
«
Reply #5 on:
May 23, 2021, 10:31:54 pm »
Hi,
Wie TCP/IP funktioniert ist mir wohl bewusst
ich betreibe das in nem 5000 Mann Betrieb mit etwas mehr Schnickschnack als meine Sense Bastelei. Die pcaps sind alle von einem Mirror direkt mit dem AP da kann kein Packet wegkommen aus es fällt aus der Leitung
Um es kurz zu machen. Auch bei einem lokalem Test zeigt der AP das Verhalten (sinnlose ACKs).
Neuen aus der Packung geholt, angeschlossen geht. Ergo defekte Hardware.
Firmware kann ich auschließen, da ich die letzten 10 Firmware's durchgegangen bin.
Mein Verdacht lag erst dort.
Gruß Andre
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: FW Regel blockiert 98% des Traffic und 2% nicht
«
Reply #6 on:
May 25, 2021, 10:15:30 pm »
Was dann im Endeffekt unterstreicht, was ich gesagt habe - kann nicht sein
Da ich die Dinger hier im Homelab wie auch bei Kunden rumliegen habe, konnte ich da eben klar sagen, dass dem nicht so ist/sein kann. Daher die Nachfrage ob da was falsch abbiegt. Oder wenn alle Stränge reißen eben die HW checken. Oft unwahrscheinlich aber kommt nun wie man sieht doch eben mal vor. Hätte ich jetzt auch nicht gedacht, aber wie man sieht gibt's immer was, was man noch nicht gesehen hat
Aber zur ursprünglichen Frage/Aussage sei nochmals bestätigt: Via Tunnel AP und Switche vor Ort in anderem Land connecten sich ganz brav und legitim via Sense, Tunnel und anderer Sense zum Controller im Mgmt Subnetz und schütteln brav Hände. Die Inform-URL ist zwar manchmal Banane - da geb ich dir recht - weil unklar in den Dokus, aber wenn der Kram sich mal findet, lüppts eigentlich
Aber fein dass es sich gelöst hat
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
FW Regel blockiert 98% des Traffic und 2% nicht