Starface hinter Firewall - Probleme mit TCP Retransmissions

  • Hallo,


    Ich hoffe, ich bin mit der Frage in diesem Forum überhaupt richtig ;)


    Wir betreiben seit einigen Monaten eine Starface Compact mit aktueller Firmware.
    Die Starface hing bis vor kurzem direkt hinter dem Router (ASUS DSL-AC68U).
    Bis dahin lief alles wunderbar:
    - Die "Trunks" (Telekom All-IP) konnten sich connecten
    - Der Zugriff auf die GUI hat funktioniert
    - Der Zugriff des Clients über XMPP hat funktioniert
    - Der SSH-Zugriff hat funktioniert


    Um die Sicherheit zu erhöhen (nicht nur der Starface), wird nun eine FortiGate 30E Firewall eingesetzt.
    Diese ist quasi zwischen Starface und Router geschaltet und wird im Router/NAT-Mode betrieben. NAT ist jedoch über das Regelwerk abgeschaltet, so dass nur NAT am DSL-Router (ASUS) gemacht wird und die Firewall nur routed.


    Die Starface hat nun eine neue IP bekommen (e.g. 192.168.10.1/24).
    Die Clients befinden sich immer noch im selben Netz wie vorher (e.g. 192.168.11.x/24).
    Die Verbindung funktioniert soweit, ICMP Pings werden beantwortet.
    Die Firewall-Regeln in das "Starface-Netz" lassen sowohl eingehenden wie auch ausgehenden Datenverkehr (noch) uneingeschränkt zu.
    Trotzdem kommt es zu folgenden Effekten:


    - Der GUI-Zugriff funktioniert nur sporadisch. Manchmal kann ich mich connecten und auch den Admin-Modus wechseln. Aber dann bricht plötzlich die Verbindung ab und die Sitzung somit auch.
    - Das gleiche gilt für den SSH-Zugriff: per SSH connected, 2-x Befehle abgesetzt, Verbindungsabbruch.
    - Der UCC-Client kann sich mittlerweile wohl connecten, hatte aber bis vor kurzem ebenfalls die oben genannten Probleme. Seit gestern scheint er zu laufen, aber sicher ist das nicht :(
    - Wenn ich etwas warte, geht meist auch der GUI-Zugriff wieder.
    - Die "Trunks" (UDP) sind permanent verfügbar, ebenso connecten sich die Telefone aus dem 192.168.10.x/24 Netz (ebenfalls UDP).


    Auf der Firewall ist ein SSL-VPN eingerichtet, von dem aus ich auch auf die Starface-GUI zugreifen kann. Hier treten die o.g. Probleme nicht auf. XMPP und SSH kann ich aber leider nicht testen darüber.


    Wenn ich Wireshark auf dem Client mitlaufen lasse, sehe ich jede Menge TCP Retransmissions, wenn der Zugriff nicht funktioniert. Diese sind aber verschwunden bei funktionierendem Zugriff.
    Die betroffenen Clients sind auf der Starface whitelisted (Reiter Sicherheit).
    Das Problem tritt sowohl bei Namensauflösung auf als auch bei direkter Verbindung über die IP-Adresse.


    Fragen:
    - Gibt es möglicherweise eine "Begrenzung" der zulässigen Netze, die sich verbinden dürfen (Also z.B. nur das Netz, in dem sich die Starface befindet)? Könnte ich diese Einstellung verändern?
    - Läuft auf der Starface selbst noch eine Firewall, die den Zugriff beschränkt, weil meine Zugriffe möglicherweise als unzulässig markiert werden?
    - Wie könnte ich die eingehenden Pakete debuggen? Am besten direkt auf der Starface, oder über Wireshark...


    Freue mich auf eure Unterstützung.
    (So langsam gehen mir die Haare zum Raufen aus 8-) )


    Greetz
    Olaf

    Edited once, last by okoester: Typos beseitigt ().

  • Willkommen im Forum!


    - Gibt es möglicherweise eine "Begrenzung" der zulässigen Netze, die sich verbinden dürfen (Also z.B. nur das Netz, in dem sich die Starface befindet)? Könnte ich diese Einstellung verändern?


    Nein.



    - Läuft auf der Starface selbst noch eine Firewall, die den Zugriff beschränkt, weil meine Zugriffe möglicherweise als unzulässig markiert werden?


    Ja, wenn ein Angriffsversuch erkannt wird kann die IP gesperrt werden, allerdings bezieht sich das soweit ich weiß nur auf SIP Verbindungen.
    https://knowledge.starface.de/…d+Whitelist+konfigurieren



    - Wie könnte ich die eingehenden Pakete debuggen? Am besten direkt auf der Starface, oder über Wireshark...


    Du kannst einfach ein tcpdump auf der Konsole mitlaufen lassen und es dann später auf dem Client in Wireshark betrachten.


    Aber, ich denke Du musst das Problem auf deiner Firewall/Router suchen.


    Edit:
    Hat die Starface eine statische IP oder kommt die von einem DHCP Server?

    Grüße
    slu


    ---
    Ich bin kein Starface Partner - zufriedener Starface Anwender seit Anfang 2008.

    Meine Module: Einfache Community Blacklist

    Edited once, last by slu ().

  • Willkommen im Forum!


    Danke!



    Ja, wenn ein Angriffsversuch erkannt wird kann die IP gesperrt werden, allerdings bezieht sich das soweit ich weiß nur auf SIP Verbindungen.
    https://knowledge.starface.de/…d+Whitelist+konfigurieren


    Das kenne ich schon. Meine Clients sind alle unbegrenzt whitelisted.



    Du kannst einfach ein tcpdump auf der Konsole mitlaufen lassen und es dann später auf dem Client in Wireshark betrachten.


    Danke, das muss ich mal ausprobieren...


    Aber, ich denke Du musst das Problem auf deiner Firewall/Router suchen.


    Ja, davon gehe ich auch aus, aber ich würde natürlich gerne auch an beiden Enden der Verbindung vergleichen, was gesendet wird und was ankommt. So könnte ich dann erkennen, wo etwas schiefläuft (zumindest ist das der Plan)...



    Edit:
    Hat die Starface eine statische IP oder kommt die von einem DHCP Server?


    Die Adresse ist statisch vergeben...


    Viele Grüße,
    Olaf

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!