This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Invalid Packet bei Verbindung zum Kundennetzwerk

Servus,

ich habe das Problem das ich ein NAS hinter einer Kunden-UTM erreichen muss. Wir sind per IPSec mit der UTM des Kunden verbunden, das NAS ist wiederum über eine RED mit der UTM des Kunden verbunden. Ping geht fehlerfrei von unserem Netzwerk zum NAS durch, ich kann das NAS aber weder auf über https noch SMB erreichen. Firewallregen sind gesetzt. Im Log steht folgendes:

11:43:00

Invalid packet

TCP

192.168.200.41

60677

→

192.168.171.230

5001

[ACK]

len=40

ttl=127

tos=0x00

srcmac=00:15:5d:c8:03:22

dstmac=00:15:5d:c8:03:04

11:43:00

Invalid packet

TCP

192.168.200.41

60677

→

192.168.171.230

5001

[ACK PSH]

len=557

ttl=127

tos=0x00

srcmac=00:15:5d:c8:03:22

dstmac=00:15:5d:c8:03:04

11:43:00

Invalid packet

TCP

192.168.200.41

60677

→

192.168.171.230

5001

[ACK PSH]

len=557

ttl=127

tos=0x00

srcmac=00:15:5d:c8:03:22

dstmac=00:15:5d:c8:03:04

11:43:00

Invalid packet

TCP

192.168.200.41

60677

→

192.168.171.230

5001

[ACK PSH]

len=557

ttl=127

tos=0x00

srcmac=00:15:5d:c8:03:22

dstmac=00:15:5d:c8:03:04

11:43:01

Invalid packet

TCP

192.168.200.41

60677

→

192.168.171.230

5001

[ACK]

len=52

ttl=127

tos=0x00

srcmac=00:15:5d:c8:03:22

dstmac=00:15:5d:c8:03:04

11:43:01

Invalid packet

TCP

192.168.200.41

60677

→

192.168.171.230

5001

[ACK PSH]

len=557

ttl=127

tos=0x00

srcmac=00:15:5d:c8:03:22

dstmac=00:15:5d:c8:03:04

11:43:03

Invalid packet

TCP

192.168.200.41

60677

→

192.168.171.230

5001

[ACK PSH]

len=557

ttl=127

tos=0x00

srcmac=00:15:5d:c8:03:22

dstmac=00:15:5d:c8:03:04

Unter Erweitert habe ich bereits den Punkt "Block invalid Packets" deaktiviert, die Verbindung funktioniert jedoch immer noch nicht, es wird aber auch nichts mehr protokolliert.

Alles was direkt hinter der Kunden-UTM hängt ist fehlerfrei erreichbar, woran hängt es hier?

Grüße

Norbert

This thread was automatically locked due to age.

Top Replies

Norbert Horn over 4 years ago in reply to BAlfson +1

Hi Bob, ich habe die RED testweise mal umkonfiguriert, zuerst war sie auf Standard/getrennt eingestellt. Nachdem ich die Konfig auf Standard/vereint geändert habe, konnte ich fehlerfrei zugreifen. Warum…

0 jprusch over 4 years ago

Hallo Norbert,

ist das eine Synology? Dann musst du den Port 5001 in der Firewallregel freigeben.

Mit freundlichem Gruß, best regards from Germany,

Philipp Rusch

New Vision GmbH, Germany
Sophos Silver-Partner

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 Norbert Horn over 4 years ago in reply to jprusch

Ja, es ist ein Synology. 5001 wäre nur für https, SMB funktioniert aber auch nicht ...

13:17:53 Invalid packet TCP

192.168.200.27 : 64042

→

192.168.171.230 : 445

[ACK] len=40 ttl=127 tos=0x00 srcmac=00:15:5d:c8:03:23 dstmac=00:15:5d:c8:03:04

13:17:53 Invalid packet TCP

192.168.200.27 : 64042

→

192.168.171.230 : 445

[ACK PSH] len=113 ttl=127 tos=0x00 srcmac=00:15:5d:c8:03:23 dstmac=00:15:5d:c8:03:04

13:17:53 Invalid packet TCP

192.168.200.27 : 64042

→

192.168.171.230 : 445

[ACK PSH] len=113 ttl=127 tos=0x00 srcmac=00:15:5d:c8:03:23 dstmac=00:15:5d:c8:03:04

13:17:53 Invalid packet TCP

192.168.200.27 : 64042

→

192.168.171.230 : 445

[ACK PSH] len=113 ttl=127 tos=0x00 srcmac=00:15:5d:c8:03:23 dstmac=00:15:5d:c8:03:04

Die Firewallregel sieht so aus:

Internal Network -> any -> Kunde-Intern-Network
Internal Network -> any -> Kunde-RED-Network

Kunde-Internal Network -> any -> Internal Network
Kunde-RED-Network -> any -> Internal Network

Die gesagt, Ping geht fehlerfrei durch. Es steht auch ein NAS im Internen Netzwerk des Kunden, das kann ich fehlerfrei über https und SMB erreichen.

Wenn alles funktioniert werd ich natürlich die Regel so umbauen das nur der Datenverkehr in unser Netz gelangen kann der durch muss, die Regel ist jetzt nur testweise eingestellt...

Grüße

Norbert
Cancel
Vote Up 0 Vote Down

Cancel
0 BAlfson over 4 years ago

Hallo Norbert,

(Sorry, my German-speaking brain isn't creating thoughts at the moment.)

Alone among the logs, the Firewall Live Log presents abbreviated information in a format easier to read quickly. Usually, you can't troubleshoot without looking at the corresponding line from the full Firewall log file. Please post one line corresponding to those above.

However, the fact that only Invalid packets were blocked indicates a routing problem...

Also, please show pictures of the Edits of the IPsec Connection and Remote Gateway from both sites. Also the Edit of the RED server definition.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Sophos UTM Community Moderator
Sophos Certified Architect - UTM
Sophos Certified Engineer - XG
Gold Solution Partner since 2005

MediaSoft, Inc. USA
Cancel
Vote Up 0 Vote Down

Cancel
0 Norbert Horn over 4 years ago in reply to BAlfson

Hi Bob,

ich habe die RED testweise mal umkonfiguriert, zuerst war sie auf Standard/getrennt eingestellt. Nachdem ich die Konfig auf Standard/vereint geändert habe, konnte ich fehlerfrei zugreifen. Warum das nur in der Konfiguration funktioniert würde mich interessieren, bei uns sind die Internetzugänge leider nicht so schnell... Deutschland halt... ;-)

Grüße

Norbert

Grüße

Norbert
Cancel
Vote Up +1 Vote Down

Cancel
0 BAlfson over 4 years ago in reply to Norbert Horn

OK, Norbert, that that works indicates an initial misconfiguration of the RED tunnel or a need for a Static Route. Do you have a picture of the initial getrennt configuration? What were the subnets on each side?

Cheers - Bob

Sophos UTM Community Moderator
Sophos Certified Architect - UTM
Sophos Certified Engineer - XG
Gold Solution Partner since 2005

MediaSoft, Inc. USA
Cancel
Vote Up 0 Vote Down

Cancel