15
Hinter einer Sonicwall lässt sich auf eine einzelne Domain nicht zugreifen
Hallo zusammen
Ich stehe vor einem kniffligen Problem und habe grade keinen weiteren Lösungsansatz. Vielleicht hat hier noch jemand eine zündende Idee. Ich habe das Ganze bereits mit dem Sonicwall Support angeschaut. 2h waren wir dran. Der hat allerdings keinen Fehler bei der Sonicwall gefunden und hat mich an den Hoster verwiesen. Ticket ist beim Hoster eröffnet, aber ich befürchte dass der mich wieder an Sonicwall verweist.
Folgendes Problem:
Der Kunde ruft an und beschwert sich, dass seit Montag keine E-Mails mehr abgerufen werden können. Die Postfächer liegen beim Hoster und werden per Outlook/IMAP abgerufen. Ausserdem ist seine Webseite von intern nicht erreichbar. Schliesst er sein Notebook vor der Firewall direkt am Provider-Router an, klappt alles bestens.
Zuerst hatte ich den DNS unter Verdacht. Da scheint allerdings alles korrekt zu sein. Die Domain wird auch richtig aufgelöst.
Ich habe es auch von uns versucht. Das selbe Ergebnis: Webseite ist nicht erreichbar. Auch wir sind hinter einer Sonicwall. Danach habe ich es von weiteren Kunden versucht. Auch die haben eine Sonicwall im Einsatz und verschiedenste Provider. Überall das gleiche Problem. Diese einzelne Domain ist nicht erreichbar. Gut. Blacklists gecheckt. Die Domain taucht aber nirgends auf.
Ebenso habe ich die Firewall auf Werkseinstellungen zurückgesetzt > Problem besteht weiterhin.
Ich habe dann irgendwann mal die Webseite von einem Server aufgerufen und siehe da, es klappt. Ab diesem Zeitpunkt klappt der Zugriff auf die Webseite und das abrufen der E-Mails von allen Clients im selben Subnet für eine Weile - dann wieder nicht mehr.
Die Umgebung ist typisch KMU - nichts Spezielles also: Windows Server 2012 R2 als DC, DNS, DHCP. Der DNS hat eine Weiterleitung zum Provider DNS.
Evtl. hatte jemand schon ein ähnliches Problem und weiss gleich Rat. Ich kann auch weitere Daten liefern, fall nötig.
Ich hoffe, das fällt nicht in die Kategorie "Freitagsfrage"....
Danke schon mal
Sigi
Übrigens:
Das sagt der Hai, wenn die Verbindung nicht klappt (hinter Sonicwall):
Und das, wenn die Verbindung klappt (Über Mobile LTE):
Ich stehe vor einem kniffligen Problem und habe grade keinen weiteren Lösungsansatz. Vielleicht hat hier noch jemand eine zündende Idee. Ich habe das Ganze bereits mit dem Sonicwall Support angeschaut. 2h waren wir dran. Der hat allerdings keinen Fehler bei der Sonicwall gefunden und hat mich an den Hoster verwiesen. Ticket ist beim Hoster eröffnet, aber ich befürchte dass der mich wieder an Sonicwall verweist.
Folgendes Problem:
Der Kunde ruft an und beschwert sich, dass seit Montag keine E-Mails mehr abgerufen werden können. Die Postfächer liegen beim Hoster und werden per Outlook/IMAP abgerufen. Ausserdem ist seine Webseite von intern nicht erreichbar. Schliesst er sein Notebook vor der Firewall direkt am Provider-Router an, klappt alles bestens.
Zuerst hatte ich den DNS unter Verdacht. Da scheint allerdings alles korrekt zu sein. Die Domain wird auch richtig aufgelöst.
Ich habe es auch von uns versucht. Das selbe Ergebnis: Webseite ist nicht erreichbar. Auch wir sind hinter einer Sonicwall. Danach habe ich es von weiteren Kunden versucht. Auch die haben eine Sonicwall im Einsatz und verschiedenste Provider. Überall das gleiche Problem. Diese einzelne Domain ist nicht erreichbar. Gut. Blacklists gecheckt. Die Domain taucht aber nirgends auf.
Ebenso habe ich die Firewall auf Werkseinstellungen zurückgesetzt > Problem besteht weiterhin.
Ich habe dann irgendwann mal die Webseite von einem Server aufgerufen und siehe da, es klappt. Ab diesem Zeitpunkt klappt der Zugriff auf die Webseite und das abrufen der E-Mails von allen Clients im selben Subnet für eine Weile - dann wieder nicht mehr.
Die Umgebung ist typisch KMU - nichts Spezielles also: Windows Server 2012 R2 als DC, DNS, DHCP. Der DNS hat eine Weiterleitung zum Provider DNS.
Evtl. hatte jemand schon ein ähnliches Problem und weiss gleich Rat. Ich kann auch weitere Daten liefern, fall nötig.
Ich hoffe, das fällt nicht in die Kategorie "Freitagsfrage"....
Danke schon mal
Sigi
Übrigens:
Das sagt der Hai, wenn die Verbindung nicht klappt (hinter Sonicwall):
Und das, wenn die Verbindung klappt (Über Mobile LTE):
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 376429
Url: https://administrator.de/contentid/376429
Printed on: April 23, 2024 at 10:04 o'clock
15 Comments
Latest comment
Hi,
ich kenne jetzt Sonicwall nicht, kann man da live gucken was geblockt wird?
Der wäre der erste Ansatz.
Wenn du da nichts siehst, ist NAT hier so ein Kandidat um dir das zu ruinieren.
Und hast du letzte Woche oder so ein Update der Sonicwalls gemacht?
Da es mehrere gleichzeitig haben kann das ein neuer Bug sein, den der Support noch nicht kennt.
VG,
Deepsys
ich kenne jetzt Sonicwall nicht, kann man da live gucken was geblockt wird?
Der wäre der erste Ansatz.
Wenn du da nichts siehst, ist NAT hier so ein Kandidat um dir das zu ruinieren.
Und hast du letzte Woche oder so ein Update der Sonicwalls gemacht?
Da es mehrere gleichzeitig haben kann das ein neuer Bug sein, den der Support noch nicht kennt.
VG,
Deepsys
Ach moment, evtl. falsch verstanden:
Es klappen nur seine eigene Webseite nicht? Alle anderen schon?
Die E-Mails sind auch beim gleichen Hoster?
Kann es sein, das die Hoster Firewall die IPs nach einigen Zugriffen DORT auf eine Blacklist löscht?
Dafür spricht das es ein paar funktioniert, dann nicht mehr.
Es klappen nur seine eigene Webseite nicht? Alle anderen schon?
Die E-Mails sind auch beim gleichen Hoster?
Kann es sein, das die Hoster Firewall die IPs nach einigen Zugriffen DORT auf eine Blacklist löscht?
Dafür spricht das es ein paar funktioniert, dann nicht mehr.
Zitat von @Deepsys:
[...]
Kann es sein, das die Hoster Firewall die IPs nach einigen Zugriffen DORT auf eine Blacklist löscht?
Dafür spricht das es ein paar funktioniert, dann nicht mehr.
Was aber dagegen spricht:[...]
Kann es sein, das die Hoster Firewall die IPs nach einigen Zugriffen DORT auf eine Blacklist löscht?
Dafür spricht das es ein paar funktioniert, dann nicht mehr.
Zitat von @Siglander:
Schliesst er sein Notebook vor der Firewall direkt am Provider-Router an, klappt alles bestens.
Schliesst er sein Notebook vor der Firewall direkt am Provider-Router an, klappt alles bestens.
Von daher würde ich schon vermuten, dass das Problem irgendwo in der Sonicwall steckt.
Vllt. irgendeine Funktion (AV-Engine in einem evtl. vorh. Webfilter der Sonicwall?), die hier nicht mitspielt.
Wenn die SW (=SonicWall) eine WebProtection mitbringt: kannst du die mal zum Test stilllegen?
Oder zum Test mal eine "Scheunentor-Regel", wegen meiner dediziert nur zu einem LAN-Endgerät, erstellen?
Gruß
em-pie
Hi Deepsys
Danke für die schnelle Antwort.
Genau, NAT funktioniert ja grundsätzlich. Es ist nur diese eine Webseite, die nicht geht.
Ich habe die Sonicwall beim Kunden im Zuge der Problemlösung auf den neuesten Firmwarestand gebracht. Keine Besserung. Bei den anderen Kunden, von denen aus ich es versucht habe, sind ebenso verschiedene Modelle der Sonicwall und unterschiedliche Firmwares im Einsatz. Ich hatte auch bereits ein Update der AV-Signaturen auf der Firewall im Verdacht. Aber das letzte Update wurde am Donnerstag gemacht und am Freitag funktionierte noch alles bestens.
Die E-Mails sind beim gleichen Hoster.
Hoster Firewall wäre evtl. eine Möglichkeit. Die können mir das anhand ihrer Logs sicher bestätigen.
Was mich halt stört ist: Es funktioniert den ganzen Tag nicht. Aber ab dem Moment, wo ich auf die Webseite von einem Server aus zugreife, funktionierts im ganzen Subnet für einen mehr oder weniger langen Moment. Das verhält sich in allen getesteten Netzwerken so.
Gruss
Sigi
Danke für die schnelle Antwort.
Genau, NAT funktioniert ja grundsätzlich. Es ist nur diese eine Webseite, die nicht geht.
Ich habe die Sonicwall beim Kunden im Zuge der Problemlösung auf den neuesten Firmwarestand gebracht. Keine Besserung. Bei den anderen Kunden, von denen aus ich es versucht habe, sind ebenso verschiedene Modelle der Sonicwall und unterschiedliche Firmwares im Einsatz. Ich hatte auch bereits ein Update der AV-Signaturen auf der Firewall im Verdacht. Aber das letzte Update wurde am Donnerstag gemacht und am Freitag funktionierte noch alles bestens.
Die E-Mails sind beim gleichen Hoster.
Hoster Firewall wäre evtl. eine Möglichkeit. Die können mir das anhand ihrer Logs sicher bestätigen.
Was mich halt stört ist: Es funktioniert den ganzen Tag nicht. Aber ab dem Moment, wo ich auf die Webseite von einem Server aus zugreife, funktionierts im ganzen Subnet für einen mehr oder weniger langen Moment. Das verhält sich in allen getesteten Netzwerken so.
Gruss
Sigi
Zitat von @Siglander:
Was mich halt stört ist: Es funktioniert den ganzen Tag nicht. Aber ab dem Moment, wo ich auf die Webseite von einem Server aus zugreife, funktionierts im ganzen Subnet für einen mehr oder weniger langen Moment. Das verhält sich in allen getesteten Netzwerken so.
Das spricht für die Hoster Firewall Idee, weil dann die IP auf der Blacklist steht ...Was mich halt stört ist: Es funktioniert den ganzen Tag nicht. Aber ab dem Moment, wo ich auf die Webseite von einem Server aus zugreife, funktionierts im ganzen Subnet für einen mehr oder weniger langen Moment. Das verhält sich in allen getesteten Netzwerken so.
Weil mehr als 5 Anfragen pro Stunden gilt als Angriff .... ???
EDIT: Moment, was meinst du mit "Server"?
Im gleichen Netzwerk, oder extern (das habe ich gedacht)?
Hallo em-pie
Auch dir danke für die schnelle Antwort.
Die Protection habe ich mit dem Sonicwall Support ebenfalls testweise deaktiviert. Leider keine Besserung. Zum Testen haben wir die Domain auch auf eine Blacklist gesetzt. Dann greift der Schutz sofort und eine "Access denied" meldung erscheint im Browser. Auch das explizite aufnehmen in eine Whitelist auf der Sonicwall brachte nichts.
Gruss
Sigi
Auch dir danke für die schnelle Antwort.
Die Protection habe ich mit dem Sonicwall Support ebenfalls testweise deaktiviert. Leider keine Besserung. Zum Testen haben wir die Domain auch auf eine Blacklist gesetzt. Dann greift der Schutz sofort und eine "Access denied" meldung erscheint im Browser. Auch das explizite aufnehmen in eine Whitelist auf der Sonicwall brachte nichts.
Gruss
Sigi
@Deepsys
Der Server ist im gleichen Subnet. Windows Server 2012 R2 (beim Kunden) bzw. Windows Server 2016 (bei uns).
Der Server ist im gleichen Subnet. Windows Server 2012 R2 (beim Kunden) bzw. Windows Server 2016 (bei uns).
Was für eine Sonicwall ist das denn? Type?
Wie schon geschrieben: es ist mit verschiedenen Modellen und Firmwares das selbe Problem.
Beim Kunden ist eine TZ600 im Einsatz. Bei uns eine NSA3500.
Beim Kunden ist eine TZ600 im Einsatz. Bei uns eine NSA3500.
Also ich sehe das Problem hier auch wohl eher in der SonicWall, oder im DNS. Leider kenne ich Sonic jetzt auch nicht so gut aber,
zusammenfassend:
Vom Client versucht geht nicht
Vom Server gleiches Subnetz versucht geht, danach auch von den Clients in dem Subnetz.
Ich gehe davon aus das die Clients den Server als DNS Benutzen?
Auf der SonicWall läuft eine Transparenter Proxy ?
Oben steht DNS wird aufgelöst, auch bei beiden das gleiche Ergebnis Server und Client?
Vielleicht mal mit Telnet von dem Client auf die Server IP versuchen? und danach den DNS namen.
Wenn irgendwie ein Proxy dazwischen ist den mal rausnehmen für einen Client Whitelist etc.
Was sagt der Virenschutz am Client vielleicht zickt der irgendwie rum.
bin gespannt.
Den Hoster kannst du uns wohl nicht nennen? vielleicht findet sich ja jemand mit ner Sonic hier der das mal testet. ggf. dann per PN.
zusammenfassend:
Vom Client versucht geht nicht
Vom Server gleiches Subnetz versucht geht, danach auch von den Clients in dem Subnetz.
Ich gehe davon aus das die Clients den Server als DNS Benutzen?
Auf der SonicWall läuft eine Transparenter Proxy ?
Oben steht DNS wird aufgelöst, auch bei beiden das gleiche Ergebnis Server und Client?
Vielleicht mal mit Telnet von dem Client auf die Server IP versuchen? und danach den DNS namen.
Wenn irgendwie ein Proxy dazwischen ist den mal rausnehmen für einen Client Whitelist etc.
Was sagt der Virenschutz am Client vielleicht zickt der irgendwie rum.
bin gespannt.
Den Hoster kannst du uns wohl nicht nennen? vielleicht findet sich ja jemand mit ner Sonic hier der das mal testet. ggf. dann per PN.
Ich habe mir nochmal deinen ersten Beitrag durchgelesen, so ganz steige ich da noch nicht durch.
Der Kunde kann seine Mails nicht abrufen und seine Webseite (www.meinefirma.de) nicht aufrufen. Und an einen anderen Standort, auch mit einer Sonicwall kann die gleiche Seite nicht aufgerufen werden?
Wir haben ja auch eine Sonicwall. Ich weiß, manchmal blocken die Seiten und man findet es nicht sofort, warum das so ist.
Aber den Tipp hast ja auch schon probiert, indem man den Haken bei Security Services - Content Filters deaktiviert. Darunter verstecken sich viele weitere Features, jedoch würde ich alles bei der Sonicwall durchsehen, ob sicherheitstechnisch nichts mehr aktivert ist. Leider weiß ich aus Erfahrung, dass geblockte Webseiten nicht immer im LOG erscheinen. Auch die Konfiguration des LOGs ist nicht ohne.
Hast du zufällig von der Sonicwall auch den Analyzer? Dort steht auch sehr viel drin.
Hast du die Webseite nicht mit dem DNS-Namen, sondern mal mit der IP-Adresse aufgerufen?
Der Kunde kann seine Mails nicht abrufen und seine Webseite (www.meinefirma.de) nicht aufrufen. Und an einen anderen Standort, auch mit einer Sonicwall kann die gleiche Seite nicht aufgerufen werden?
Wir haben ja auch eine Sonicwall. Ich weiß, manchmal blocken die Seiten und man findet es nicht sofort, warum das so ist.
Aber den Tipp hast ja auch schon probiert, indem man den Haken bei Security Services - Content Filters deaktiviert. Darunter verstecken sich viele weitere Features, jedoch würde ich alles bei der Sonicwall durchsehen, ob sicherheitstechnisch nichts mehr aktivert ist. Leider weiß ich aus Erfahrung, dass geblockte Webseiten nicht immer im LOG erscheinen. Auch die Konfiguration des LOGs ist nicht ohne.
Hast du zufällig von der Sonicwall auch den Analyzer? Dort steht auch sehr viel drin.
Hast du die Webseite nicht mit dem DNS-Namen, sondern mal mit der IP-Adresse aufgerufen?
Laut Wireshark geben die TCP-Pakete eine MSS von 1460 Bytes an.
Das erscheint mir zu viel, falls der Kunde über PPPoE aufs Internet zugreift.
Kannst du mal bitte prüfen, ob die MTU auf dem WAN-Interface richtig ist und MSS-Clamping stattfindet?
Das erscheint mir zu viel, falls der Kunde über PPPoE aufs Internet zugreift.
Kannst du mal bitte prüfen, ob die MTU auf dem WAN-Interface richtig ist und MSS-Clamping stattfindet?
Ignoriere den vorherigen Post.
Taupunkt über 20°C hier...
Da schon kein SYN-ACK kommt kann es nicht an der MTU liegen.
Wie sieht denn ein Traceroute aus, wenn die Seite nicht abrufbar ist?
Taupunkt über 20°C hier...
Da schon kein SYN-ACK kommt kann es nicht an der MTU liegen.
Wie sieht denn ein Traceroute aus, wenn die Seite nicht abrufbar ist?
Auch, wenn es im Widerspruch zu LordGurke steht:
Hatten nach einem Upgrade auf die 6.5.x (NSA 3600 & TZ400) ein ähnliches Problem mit einem extern https Proxy.
Laut Wireshark wurde die MTU definitiv zu groß gesetzt. Auffällig, dass es Unterschiede im LAN/WLAN gab und auch im WLAN gab es Unterschiedliche Verhaltensauffälligkeiten, je nach SSID/VLAN.
Setzte mal Testweise die MTU auf einem Client auf 100 (ja, richtig gelesen). Wenn es dann funktioniert, schalte den Contentfilter mal aus, setzte die MTU wieder hoch.
Der Contenfilter hat die Pakete zerschossen.
Hatten nach einem Upgrade auf die 6.5.x (NSA 3600 & TZ400) ein ähnliches Problem mit einem extern https Proxy.
Laut Wireshark wurde die MTU definitiv zu groß gesetzt. Auffällig, dass es Unterschiede im LAN/WLAN gab und auch im WLAN gab es Unterschiedliche Verhaltensauffälligkeiten, je nach SSID/VLAN.
Setzte mal Testweise die MTU auf einem Client auf 100 (ja, richtig gelesen). Wenn es dann funktioniert, schalte den Contentfilter mal aus, setzte die MTU wieder hoch.
Der Contenfilter hat die Pakete zerschossen.
So, wieder zurück bei der Arbeit.
@UnbekannterNR1
Ja, DNS wird korrekt aufgelöst. Per Telnet komme ich nicht auf den Server - auch dann nicht wenn die Seite grad aufgerufen werden kann. Proxy ist keiner dazwischen.
@RalphT
Genau so ist es. Den Analyzer habe ich aber leider nicht zur Verfügung.
@LordGurke
Traceroute sieht bei beiden Fällen identisch aus.
@114380
Habe die MTU an meinem Client testweise auf 100 gesetzt. Hat leider auch nichts gebracht.
Übrigens: Die Seite kann von einem x-beliebigen Server aufgerufen werden (Bspw. Backupserver), also nicht zwingend vom DNS-Server. Ab dann klappts dann im ganzen Netzwerk
@UnbekannterNR1
Ja, DNS wird korrekt aufgelöst. Per Telnet komme ich nicht auf den Server - auch dann nicht wenn die Seite grad aufgerufen werden kann. Proxy ist keiner dazwischen.
@RalphT
Genau so ist es. Den Analyzer habe ich aber leider nicht zur Verfügung.
@LordGurke
Traceroute sieht bei beiden Fällen identisch aus.
@114380
Habe die MTU an meinem Client testweise auf 100 gesetzt. Hat leider auch nichts gebracht.
Übrigens: Die Seite kann von einem x-beliebigen Server aufgerufen werden (Bspw. Backupserver), also nicht zwingend vom DNS-Server. Ab dann klappts dann im ganzen Netzwerk
