Bereits 10764 Beiträge!


Neue Beiträge
"Da war keiner"...
19.04.2014 - Dachschaden
Routerkonfiguration per T...
17.04.2014 - IT-Kraut
Analog vs. Digital
16.04.2014 - Karin
IT-geeignete Büror&a...
16.04.2014 - Amis
Dämonen Controller
14.04.2014 - shaolin
diese gemeine PDF ...
14.04.2014 - Karin
Zeitreise dank Abwesenhei...
14.04.2014 - Der Reisende
Am falschen Ende gespart ...
12.04.2014 - Dachschaden
Jaja, da steht zwar Garan...
11.04.2014 - Dachschaden
Wie man den Job NICHT bek...
10.04.2014 - Dr4ch3

Neue Kommentare
OT: Zugfahrt mit ... - RTL-Kamera
Jaja, da steht zw... - o|dBoy-Fan
Analog vs. Digita... - Zweieinhal...
Das Mikrowellenme... - EisenzahnF...
Die kommt von der... - Franzoesis...
Lieber Kollege... - Forenleitu...
OT: falsches Kenn... - Foren-Lebe...
Hochzeit - isjairre!!...
Konnektivitä... - Dwargh
Lastenaufzüg... - Daufinder

Sicherheit geht vor...

Beitrag von moregothic, am 24.07.2012
Durchschnittliches Voting: 4.14


Kunde ruft an, hat eine UTM-Firewall im Einsatz. Hat einen Tunnel zu einem seiner Kunden, der eine UTM-Firewall eines anderen Herstellers im Einsatz hat, einen ipsec-Tunnel gebaut. An sich eine einfache Sache, beide GWs haben feste, öffentliche IPs und basieren auf Linux, d.h. beide setzen den Strongswan-ipsec-Daemon ein.

Nun baut sich zwar der Tunnel auf, es geht aber kein Traffic durch. Ich konnte auf unserer Seite keinen Konfig-Fehler entdecken und hab dann geprüft ob die Pakete die Firewall verlassen, und zwar so:

tcpdump -i any proto 1 or proto 50

Das zeigt mir sowohl den eingehenden echo request, als auch das ausgehende verschlüsselte ESP-Paket. Und so kam es auch:

Ping rein -> ESP-Paket raus. Mit aufeinanderfolgenden Sequenznummern. Aus meiner Sicht konnte ich mich zurücklehnen und der Dinge harren die da kommen, denn bei uns war alles tutti.

Das behauptete die andere Seite allerdings auch, und so kam es nach einigen Monaten und wiederholten Beteuerungen dass die Daten bei uns einwandfrei in den Tunnel gehen. Die Gegenseite behauptete aber exakt das gleiche...

So kam es dann irgendwann zum Showdown in Form einer Telefonkonferenz, bestehend aus mir (M), unserem Kunden (K), dem Admin des Kunden unseres Kunden (A) und dem Dienstleister der das andere Gateway betreut (D)

M: So ich schicke jetzt einen Ping, und es müssten jetzt ESP-Pakete mit folgenden Sequenznummern ankommen: ...

D: Hier kommt nix an...

M: Pingen Sie mal von Ihrer Seite, und führen Sie vorher auf dem GW folgenden tcpdump-Befehl aus: ...

D: OK ich seh die Pakete mit folgenden Sequenznummern...

M: (leicht konsterniert) Verdammt wo bleiben die Pakete hängen?

Wie gesagt, beide GWs hatten feste, öffentliche IP-Nummern, eigentlich Idealbedingungen, und der Tunnelaufbau kam auch einwandfrei zustande, nur ging nix durch...

M: Darf ich mal per ssh auf das andere Gateway schauen?

A: hmm nee das wird schwierig...

Nach einigem Hin und Her dann A: Kann es sein dass die von der Cisco-Firewall geblockt werden die ich noch vor der UTM-Firewall habe?

M: *tilt*
K: *tilt*
D: *tilt*

Und genau so war es, auf der sich davor befindlichen Cisco Pix war nur 500/udp freigegeben, von einem Protokoll namens ESP (M: Nein, Protokollnummer 50, nicht Port 50....x() hatte der Admin des Kunden noch nie was gehört...



Wie gut hat Dir dieser Beitrag gefallen:




Kommentare


Eigenen Kommentar verfassen!

(Bei beleidigenden / besonders dämlichen Kommentaren, bitte mich verständigen, damit ich sie löschen kann ... Ich kann leider nicht ALLE Kommentare lesen ... DANKE!)

Seufzender am 27.07.2012
> was muss man studdieren? [Rest > /dev/null]

Wenn sowas auf einer Plattform namens "gutefrage.net" steht, will ich lieber gar nicht wissen, wie schlechte Fragen aussehen würden....

kabel120 am 27.07.2012
was muss man studdieren?

wie machen wissenschaftler das eigentlich mit den ganzen technischen erfindungen zb beim iphone woher wissen wenn das und das zusamm macht kommt das dabei herraus oder es werden jaa auch immer neue waffen erfunden woher wissem die das wie das geht und was haben studiert oder gemacht halt

alte Omma am 26.07.2012
Junger Mann, datt kann isch machen, woll? So sind wir kölsche Mädsche eben. Aber hörense mal, hamse auch so datt Wasser in die Beine? Aber wollt isch denn? Da war doch watt? Die Wassertabletten? Ne. Sachense junger Mann, watt wolltt isch doch gleich? Könnse mir das mal saachen? Und hamse auch so datt Wasser inne Beine?

Ach, nu wees isch et wieder. Isch wollt Ihnen datt ja üwersetzen tun tun. Der hatt die Probleme mit dem Wasser inne Beine. Sachter.

Hansvomwurst am 26.07.2012
aha, und wer übersetzt den Kauderwelch mal ins Deutsche?

Kalauer am 26.07.2012
Tja. Lustig wirds erst wenn ein Carrier dazwischen droppt.

OSI-Freak am 25.07.2012
Das kommt davon, wenn man das (vielleicht schon veraltete, aber im Fehlerfall immernoch hilfreiche) OSI-Modell nicht zu Rate zieht...von Netzplänen hat man dort wohl auch noch nie gehört, sonst könnte man aus der Dokumentation ersehen, dass dort noch ne FW hängt... Naja...an sich gut geschrieben, und die Pointe eines DAUs würdig, der eigentlich wissen müsste, was er in seinem Netzwerk so alles an Gerätschaften hat...

Johannes der Verpennte am 25.07.2012 (® Profil)
Drittöööööööööööööööööööööööööööööööööööör!

Manfred Nikolaus am 24.07.2012
Ich habe gestern eine Ananas auf ebay ersteigert. Heute kam das Paket schon an, die Ananas war sehr freundlich und ist mir eine große Hilfe im Haushalt.

Sorry ! am 24.07.2012
Bisher kein Kommentar zu dieser Geschichte! :-(