UTM stellt Anfrage an c11resolver.­ctmail.­com, aber Antwort wird gedroppt. Was ist da los?

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

First, try #1 in Rulz.  If you see a drop in a log, post that line for us here.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo Bob,

Danke für Deine Antwort. Natürlich sehe ich Hinweise im Log daher ja meine Frage. Diese Adressen befinden sich auch auf der Top Dropped Source Host liste auf den ersten drei Plätzen:

1		c2resolver.­ctmail.­com	467	51.95
2		c2iprep1.­ctmail.­com	131	14.57
3		c12resolver.­ctmail.­com	107	11.90

Im Firewall Log sieht das dann zum Beispiel so aus (172.16.0.249 ist die UTM Adresse zum WAN):

Da meine UTM hinter einem Router steht, kann ich dort einen Tracert auf die Adresse machen und sehe folgendes:

[IP-Router] 2016/06/03 07:50:50,105  Devicetime: 2016/06/03 07:50:50,104
IP-Router Rx (LAN-2, DMZ, RtgTag: 0):
DstIP: 84.39.152.31, SrcIP: 172.16.0.249, Len: 52, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 48485, Flags: FA
Seq: 2390188039, Ack: 2929531557, Win: 238, Len: 0
Option: NOP
Option: NOP
Option: 08 = 05 a7 e1 c0 a8 ed 47 b9
Route: WAN Tx (UNITYMEDIA)

Daher sage ich die Anfrage kommt von der UTM, aber sie dropped laut Firewall Log die Antwort oder?

IDS ist leer und zeigt keine Einträge.

Danke und Gruß, Steffen

Die UTM ist die .249? Habt ihr Countryblocking aktiv?

Servus,


die UTM ist die Home Version als VM in Version 9.403-4.

Country Blocking ist aktiv, aber nix aus North America und da sind die Anfrage her oder?

Gruß, Steffen

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

Alone among the logs, the Firewall Live Log presents abbreviated information in a format easier to read quickly.  Usually, you can't troubleshoot without looking at the corresponding line from the full Firewall log file.  Please post one line corresponding to those above.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Here we are:

2016:06:06-12:14:59 gateway ulogd[11336]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="00:a0:57:1e:95:c2" dstmac="00:50:56:8b:be:b1" srcip="84.39.152.31" dstip="172.16.0.249" proto="6" length="40" tos="0x00" prec="0x00" ttl="60" srcport="80" dstport="48724" tcpflags="RST"
2016:06:06-12:15:02 gateway ulogd[11336]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="00:a0:57:1e:95:c2" dstmac="00:50:56:8b:be:b1" srcip="84.39.152.31" dstip="172.16.0.249" proto="6" length="40" tos="0x00" prec="0x00" ttl="60" srcport="80" dstport="55126" tcpflags="RST"
2016:06:06-12:15:13 gateway ulogd[11336]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="00:a0:57:1e:95:c2" dstmac="00:50:56:8b:be:b1" srcip="84.39.152.31" dstip="172.16.0.249" proto="6" length="40" tos="0x00" prec="0x00" ttl="60" srcport="80" dstport="48724" tcpflags="RST"
2016:06:06-12:15:30 gateway ulogd[11336]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="00:a0:57:1e:95:c2" dstmac="00:50:56:8b:be:b1" srcip="84.39.152.31" dstip="172.16.0.249" proto="6" length="40" tos="0x00" prec="0x00" ttl="60" srcport="80" dstport="55126" tcpflags="RST"
2016:06:06-12:15:43 gateway ulogd[11336]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="00:a0:57:1e:95:c2" dstmac="00:50:56:8b:be:b1" srcip="84.39.152.31" dstip="172.16.0.249" proto="6" length="40" tos="0x00" prec="0x00" ttl="60" srcport="80" dstport="48724" tcpflags="RST"
2016:06:06-12:17:09 gateway ulogd[11336]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="00:a0:57:1e:95:c2" dstmac="00:50:56:8b:be:b1" srcip="216.163.176.36" dstip="172.16.0.249" proto="6" length="40" tos="0x00" prec="0x00" ttl="60" srcport="80" dstport="48802" tcpflags="RST"

Die UTM dropped die RSTs. 

Jetzt ist die Frage, warum ein RST kommt und warum die UTM die verwirft.

Machst Du SNAT auf dem WAN?

Nee, habe kein SNAT, nur normales Masquerading von Intern nach Extern. Seltsam ist dass es sich nur um solche ctmail Adressen handelt:

Ich werde nicht so richtig schlau aus diesen Anfragen?

Gruß, Steffen

Geht man auf ctmail.com bekommt man folgende Anzeige:

Hello, ctmail.com is a domain used by Internet security software and devices

Daher dachte ich die Anfrage kommt von der UTM. Warum sie die Antworten dann blockt verstehe ich zwar immer noch nicht aber wäre zumindest ein Hinweis ...

Steffen

Gut, nenne es masquerading.

Damit wäre die Fragestellung, ob es wirklich von der UTM kommt.

Eine Option wäre tcpdump auf dem internen und externen Interface auf die Zieladressen.

ctmail gehört zum Spamcheck, aber den nutzt nicht nur die UTM.

Ich weiß von einigen Fällen, bei denen das Problem mit RST nie geklärt und behoben werden konnte. Häufig traten sie bei externen VoIP-TK-Anlagen auf, wenn NAT erforderlich war, oder wenn doppeltes NAT genutzt wurde. Bei Dir maskiert die UTM und der Router, wenn ich es richtig verstanden haben? Vielleicht kannst Du das kurzfristig umgehen?

Wenn das ganze von Intern kommt, müsste ich ja entsprechende Anfragen auf der Seite sehen. Ich lasse aktuell eigentlich alles loggen und sehe keine Anfragen, die an diese Server gehen!?

Ja, ich benutzte doppeltes NAT, sprich Router - UTM, aber das kann ich nicht so einfach umbiegen ...

Vielleicht wirklich mal einen Dump machen, denn interessieren würde es mich schon. Wie kann ich das mit der UTM am Besten machen?

Gruß, Steffen

Wenn das ganze von Intern kommt, müsste ich ja entsprechende Anfragen auf der Seite sehen. Ich lasse aktuell eigentlich alles loggen und sehe keine Anfragen, die an diese Server gehen!?

Ja, ich benutzte doppeltes NAT, sprich Router - UTM, aber das kann ich nicht so einfach umbiegen ...

Vielleicht wirklich mal einen Dump machen, denn interessieren würde es mich schon. Wie kann ich das mit der UTM am Besten machen?

Gruß, Steffen

Unter Support - Advanced - LAN Connections sehe ich die ctmail Adressen einige male als Foreign Address und als Local Address steht dann immer die WAN Adresse der UTM?!

Gruß, Steffen

(Immernoch dasselbe - my German-speaking brain isn't creating thoughts at the moment. [:(])

Unless you're having other problems, I wouldn't worry about RST packets.  It's just the server not realizing you were finished talking to it.  Likely a mis-configuration on their part.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo Bob.

Es gibt eigentlich keine weiteren Probleme, allerdings ist es schon blöd wenn man hauptsächlich diese Pakete und Quellen sieht. Statistiken wie zum Beispiel Top Dropped Source Hosts zeigen hauptsächlich diese IP's. Daher kann man, wie auch im Firewall Log leicht die wichtigen Einträge übersehen, da alles voll mit den RST Paketen ist.

Gruß und Danke, Steffen