2860 macht kein "Keep State"

Alles rund um die Hardware der DrayTek VDSL Business Router Serie Vigor 2850. Dazu gehören der Vigor 2850Vn, Vigor 2850n und der DrayTek Vigor 2850.

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

2860 macht kein "Keep State"

Beitragvon Photogregor » So 27.10.2013 - 17:19

Hallo allerseits,

mein 2860 lässt Antworten auf Activesync-Verbindungsanfragen nicht raus, die auf Port 443 eingehen. Laut Syslog werden die ausgehenden Antworten durch meine Block-All-Rule geblockt, die ich im Rule-Set 12 erstellt habe. Bei meinen alten Vigor 2600 hatte ich das ebenso konfiguriert und das funktionierte. Wenn ich die Block-All-Rule testweise deaktiviere läuft Activesync.

Eingehend ist der Port 443 natürlich geöffnet, und zwar über eine Open-Port-Regel sowie über eine entsprechende Firewall-Rule. Warum funktioniert hier Keep-State für die Rückantwort auf die eingehenden Activesync-Anfragen nicht? Was muss ich noch konfigurieren? Bei deaktivierter Block-All-Rule dürfen die internen Clients alles, dann können die zum Beispiel auch ins Web ohne dass ich noch eine zusätzliche Port-80-Regel konfiguriere. Aber das kann ja nicht Sinn der Sache sein, oder?

Vielen Dank für einen Tipp und Gruß,
Tim
Photogregor
User
 
Beiträge: 23
Registriert: Fr 26.11.2004 - 20:46

Re: 2860 macht kein "Keep State"

Beitragvon Photogregor » So 27.10.2013 - 22:10

Ich glaube, meine Darstellung war zu kompliziert, deshalb noch mal eine andere Darstellung:

Ich habe folgendes konfiguriert: Ausgehend HTTP, FTP und SMPT, eingehend HTTPS (für Activesync). Bei den ausgehenden Rules gibt es kein Problem, der Vigor 2860 lässt die Rückantworten auf ausgehende HTTP-Anfragen wieder rein, ohne dass ich eine explizite eingehende Regel erstellten müsste. Aber bei eingehenden Anfragen auf Port 443 verhält er sich anders, zwarn akzeptiert er diese aufgrund des Portforwardings und der eingehenden 443-Regel, aber die entsprechenden nach außen gehenden Antworten sperrt er (ausweißlich des Syslog).

What to do?
Photogregor
User
 
Beiträge: 23
Registriert: Fr 26.11.2004 - 20:46

Re: 2860 macht kein "Keep State"

Beitragvon brian » Mo 28.10.2013 - 10:28

Hallo Photogregor,

so ganz durchblicke ich deine "rein-raus-block-all-Geschichte" noch nicht, aber bevor wir allzu sehr ins Detail gehen, versuche bitte einmal folgendes:

Ändere bitte den SSL-Port (443) unter SSL-VPN-->General Setup.

Wenn das ebenfalls keine Wirkung zeigt, dann wären vielleicht Screenshots angebracht.

MfG
brian
brian
Power-User
 
Beiträge: 194
Registriert: Do 14.10.2010 - 10:15

Re: 2860 macht kein "Keep State"

Beitragvon Photogregor » Mo 28.10.2013 - 12:52

Hi Brian,

danke für deine Antwort. Die Ports für SSL-VPN sowie für die externe Administration hatte ich schon umkonfiguriert. Leider komme ich im Moment nicht an den Router dran, da ich ihn mangels Funktion wieder abbauen musste, weshalb ich keine Screen-Shots liefern kann.

Das Problem ist letztlich einfach: Ich kann keinen internen Dienst nach außen öffnen, da der Router zwar Anfragen rein lässt (Port-Forwarding und eingehende Regel sind also ok), aber die nach außen gehenden Antworten blockiert.

Im Syslog sieht das sinngemäß so aus:

IP 10.10.10.10 Port 40000 --> IP 192.168.0.100 Port 443 Pass Rule 2:3
IP 192.168.0.100 Port 443 --> IP 10.10.10.10 Port 40000 Block Rule 12:2

Das Problem ist also Rule 12:2, sie lautet "blockiere alles, was raus geht". So hatte ich das mit dem alten Vigor geregelt: Was nicht explizit durch eine Regel erlaubt ist wird am Ende mit der Block-All-Rule verboten - da der Eingangs-Traffic durch die 443-Regel erlaubt war und der Rück-Traffic über Keep-State abgewickelt wurde kam die Block-All-Rule nicht zum Zuge.

Klar, wenn ich Regel 12:2 deaktiviere gehen die Antworten auf die 443-Anfragen raus und Activesync funktioniert. Aber dann können alle PC im internen Netz beliebig ins Internet funken, was ja nicht der Sinn der Sache ist.

Die Frage ist also letztlich, wie man den ganz alltäglichen Fall eines auf Port 443 angebotenen Dienstes in der Firewall abbildet, ohne gleich sämtlichen ausgehenden Traffic durch zu lassen.

Nochmals Danke und Gruß,
Tim
Photogregor
User
 
Beiträge: 23
Registriert: Fr 26.11.2004 - 20:46

Re: 2860 macht kein "Keep State"

Beitragvon brian » Mo 28.10.2013 - 16:24

ok, langsam lüftet es sich etwas :D

Kannst du uns bitte nochmal GROB deine Block- und Passregeln erläutern?

Dank dir.

MfG
brian
brian
Power-User
 
Beiträge: 194
Registriert: Do 14.10.2010 - 10:15

Re: 2860 macht kein "Keep State"

Beitragvon Photogregor » Di 29.10.2013 - 10:03

Hi Brian,

1. Port für SSL-VPN auf 444 und externes Management auf 450 gesetzt
2. Portforwarding eingerichtet auf Port 443, IP 192.168.0.100 (Server)
3. Regel 2:2: WAN-IP any, Port > 1023 --> LAN IP 192.168.0.100, Port 443, Service TCP, pass immediately
4. Regel 12:1: LAN-IP any, Port any --> WAN-IP any, Port any, Service any, block immediately

Da es anscheinend kein Keep State mehr gibt wird der Antwort-Traffic von Regel 12:1 geblockt. Ich könnte jetzt eine dritte Regel machen:

Regel 2:3: LAN-IP 192.168.0.100, Port 443 --> WAN IP any, Port > 1023, Service TCP, pass immediately

Da diese Regel VOR 12:1 greift, werden die Antworten vermutlich rausgelassen. Aber ich würde ungerne pauschal vom Server ausgehenden 443-Traffic ins Internet erlauben, ohne dass der Traffic zuvor explizit angefordert wurde.

Gruß,
Tim
Photogregor
User
 
Beiträge: 23
Registriert: Fr 26.11.2004 - 20:46

Re: 2860 macht kein "Keep State"

Beitragvon brian » Di 29.10.2013 - 11:43

Ich sehe hier persönlich auch keine andere Möglichkeit als eine 3. Regel anzulegen, die den ausgehenden Verkehr wieder explizit erlaubt.

Warum es dein Vigor2600 (ohne eine zusätzliche Regel) konnte ist natürlich eine andere Frage, aber zwischen dem 2600er und dem 2925er liegen natürlich schon
einige Jahre, Wer weiß was sich da Firewall-technisch getan hat.

MfG
brain
brian
Power-User
 
Beiträge: 194
Registriert: Do 14.10.2010 - 10:15

Re: 2860 macht kein "Keep State"

Beitragvon nobody » Mi 30.10.2013 - 23:38

Photogregor,
hast Du schon mal versucht, was geschieht, wenn Du die Standard-einstellung der Firewall umstellst von erlauben auf verbieten ?
Das sollte ja eigentlich auf das gleiche rauslaufen, nur, dass Du keine regel mehr brauchst die deny all heisst.
nobody
Hardcore-Poster
 
Beiträge: 1334
Registriert: So 19.09.2004 - 16:45

Re: 2860 macht kein "Keep State"

Beitragvon Photogregor » Do 14.11.2013 - 11:13

Hallo nobody,

das Ändern der Standardeinstellung hatte keinen erkennbaren Effekt.

Hallo Brian,

Am Ende habe ich den Router wieder zurückgegeben, da das "Keep State" (auch "SPI" genannt) nicht zuverlässig funktioniert bzw. nicht klar wird, wie das konfiguriert wird. Eine unverständliche oder nicht bedienbare Firewall ist für mich letztlich genauso unsicher wie eine nicht funktionierende. Für den Server eine generelle Regel zu erstellen nach dem Motto "Du darfst jederzeit ins Internet senden, auch wenn keiner eine Anfrage gestellt hat", nur damit er auf Anfragen überhaupt antworten kann, ist für mich jedenfalls keine Alternative. Um genau das zu verhindern wurde meines Wissens die SPI-Technik entwickelt.

Vielen Dank noch mal für eure Unterstützung,
Tim
Photogregor
User
 
Beiträge: 23
Registriert: Fr 26.11.2004 - 20:46


Zurück zu DrayTek Vigor 2850 Serie

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron