This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Invalid Packet bei Verbindung zum Kundennetzwerk

Servus,

ich habe das Problem das ich ein NAS hinter einer Kunden-UTM erreichen muss. Wir sind per IPSec mit der UTM des Kunden verbunden, das NAS ist wiederum über eine RED mit der UTM des Kunden verbunden. Ping geht fehlerfrei von unserem Netzwerk zum NAS durch, ich kann das NAS aber weder auf über https noch SMB erreichen. Firewallregen sind gesetzt. Im Log steht folgendes:

11:43:00

Invalid packet

TCP

192.168.200.41

60677

→

192.168.171.230

5001

[ACK]

len=40

ttl=127

tos=0x00

srcmac=00:15:5d:c8:03:22

dstmac=00:15:5d:c8:03:04

11:43:00

Invalid packet

TCP

192.168.200.41

60677

→

192.168.171.230

5001

[ACK PSH]

len=557

ttl=127

tos=0x00

srcmac=00:15:5d:c8:03:22

dstmac=00:15:5d:c8:03:04

11:43:00

Invalid packet

TCP

192.168.200.41

60677

→

192.168.171.230

5001

[ACK PSH]

len=557

ttl=127

tos=0x00

srcmac=00:15:5d:c8:03:22

dstmac=00:15:5d:c8:03:04

11:43:00

Invalid packet

TCP

192.168.200.41

60677

→

192.168.171.230

5001

[ACK PSH]

len=557

ttl=127

tos=0x00

srcmac=00:15:5d:c8:03:22

dstmac=00:15:5d:c8:03:04

11:43:01

Invalid packet

TCP

192.168.200.41

60677

→

192.168.171.230

5001

[ACK]

len=52

ttl=127

tos=0x00

srcmac=00:15:5d:c8:03:22

dstmac=00:15:5d:c8:03:04

11:43:01

Invalid packet

TCP

192.168.200.41

60677

→

192.168.171.230

5001

[ACK PSH]

len=557

ttl=127

tos=0x00

srcmac=00:15:5d:c8:03:22

dstmac=00:15:5d:c8:03:04

11:43:03

Invalid packet

TCP

192.168.200.41

60677

→

192.168.171.230

5001

[ACK PSH]

len=557

ttl=127

tos=0x00

srcmac=00:15:5d:c8:03:22

dstmac=00:15:5d:c8:03:04

Unter Erweitert habe ich bereits den Punkt "Block invalid Packets" deaktiviert, die Verbindung funktioniert jedoch immer noch nicht, es wird aber auch nichts mehr protokolliert.

Alles was direkt hinter der Kunden-UTM hängt ist fehlerfrei erreichbar, woran hängt es hier?

Grüße

Norbert

This thread was automatically locked due to age.

Top Replies

Norbert Horn over 4 years ago in reply to BAlfson +1

Hi Bob, ich habe die RED testweise mal umkonfiguriert, zuerst war sie auf Standard/getrennt eingestellt. Nachdem ich die Konfig auf Standard/vereint geändert habe, konnte ich fehlerfrei zugreifen. Warum…

Parents

0 jprusch over 4 years ago

Hallo Norbert,

ist das eine Synology? Dann musst du den Port 5001 in der Firewallregel freigeben.

Mit freundlichem Gruß, best regards from Germany,

Philipp Rusch

New Vision GmbH, Germany
Sophos Silver-Partner

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 Norbert Horn over 4 years ago in reply to jprusch

Ja, es ist ein Synology. 5001 wäre nur für https, SMB funktioniert aber auch nicht ...

13:17:53 Invalid packet TCP

192.168.200.27 : 64042

→

192.168.171.230 : 445

[ACK] len=40 ttl=127 tos=0x00 srcmac=00:15:5d:c8:03:23 dstmac=00:15:5d:c8:03:04

13:17:53 Invalid packet TCP

192.168.200.27 : 64042

→

192.168.171.230 : 445

[ACK PSH] len=113 ttl=127 tos=0x00 srcmac=00:15:5d:c8:03:23 dstmac=00:15:5d:c8:03:04

13:17:53 Invalid packet TCP

192.168.200.27 : 64042

→

192.168.171.230 : 445

[ACK PSH] len=113 ttl=127 tos=0x00 srcmac=00:15:5d:c8:03:23 dstmac=00:15:5d:c8:03:04

13:17:53 Invalid packet TCP

192.168.200.27 : 64042

→

192.168.171.230 : 445

[ACK PSH] len=113 ttl=127 tos=0x00 srcmac=00:15:5d:c8:03:23 dstmac=00:15:5d:c8:03:04

Die Firewallregel sieht so aus:

Internal Network -> any -> Kunde-Intern-Network
Internal Network -> any -> Kunde-RED-Network

Kunde-Internal Network -> any -> Internal Network
Kunde-RED-Network -> any -> Internal Network

Die gesagt, Ping geht fehlerfrei durch. Es steht auch ein NAS im Internen Netzwerk des Kunden, das kann ich fehlerfrei über https und SMB erreichen.

Wenn alles funktioniert werd ich natürlich die Regel so umbauen das nur der Datenverkehr in unser Netz gelangen kann der durch muss, die Regel ist jetzt nur testweise eingestellt...

Grüße

Norbert
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 Norbert Horn over 4 years ago in reply to jprusch

Ja, es ist ein Synology. 5001 wäre nur für https, SMB funktioniert aber auch nicht ...

13:17:53 Invalid packet TCP

192.168.200.27 : 64042

→

192.168.171.230 : 445

[ACK] len=40 ttl=127 tos=0x00 srcmac=00:15:5d:c8:03:23 dstmac=00:15:5d:c8:03:04

13:17:53 Invalid packet TCP

192.168.200.27 : 64042

→

192.168.171.230 : 445

[ACK PSH] len=113 ttl=127 tos=0x00 srcmac=00:15:5d:c8:03:23 dstmac=00:15:5d:c8:03:04

13:17:53 Invalid packet TCP

192.168.200.27 : 64042

→

192.168.171.230 : 445

[ACK PSH] len=113 ttl=127 tos=0x00 srcmac=00:15:5d:c8:03:23 dstmac=00:15:5d:c8:03:04

13:17:53 Invalid packet TCP

192.168.200.27 : 64042

→

192.168.171.230 : 445

[ACK PSH] len=113 ttl=127 tos=0x00 srcmac=00:15:5d:c8:03:23 dstmac=00:15:5d:c8:03:04

Die Firewallregel sieht so aus:

Internal Network -> any -> Kunde-Intern-Network
Internal Network -> any -> Kunde-RED-Network

Kunde-Internal Network -> any -> Internal Network
Kunde-RED-Network -> any -> Internal Network

Die gesagt, Ping geht fehlerfrei durch. Es steht auch ein NAS im Internen Netzwerk des Kunden, das kann ich fehlerfrei über https und SMB erreichen.

Wenn alles funktioniert werd ich natürlich die Regel so umbauen das nur der Datenverkehr in unser Netz gelangen kann der durch muss, die Regel ist jetzt nur testweise eingestellt...

Grüße

Norbert
Cancel
Vote Up 0 Vote Down

Cancel

Children

No Data