Lancom 1721 + 1711 Webserver

Anmeldungsdatum: 28.09.2010 Beiträge: 4

Hallo zusammen.

ich hab eine Problem mit der Einrichtung eines Webservers der im VPN Netzwerk erreichbar sein soll.
Ich habe ein Netzwerk A mit der IP 192.168.40.0 und ein Netzwerk B mit der IP 192.168.50.0, VPN funktioniert einwandfrei. Webserver läuft über XAMPP auf 192.168.40.1 ohne Lancom-Firewall funktioniert der Zugriff auch ohne Probleme auf 192.168.40.1 von 192.168.50.1´.
Wenn ich die Firewall wieder zuschalte habe ich kein Zugriff mehr. Port 80 + 443 sind schon freigegeben.

Hat jemand eine Idee???

Danke schonmal im Voraus.

Moderator Anmeldungsdatum: 03.01.2005 Beiträge: 1905 Wohnort: Ex-OPAL-Gebiet

Hallo lancom55,

ja, da scheint Deine angelegte Regel dann wohl nicht zu greifen, weil sie vermutlich falsch ist -> prüfen.
Ggf. mit LANmonitor schauen, warum bei eingeschalteter Firewall keine Kommunikation möglich ist. Hier sieht man Ports und IPs.

Viele Grüße,
Jirka

Anmeldungsdatum: 28.09.2010 Beiträge: 4

Das ist ja das merkwürdige, da wird angezeigt Paket übertragen auch mit der richtigen Regel in meinem Fall Allow_Webserver -192.168.50.1 nach 192.168.40.1:80 Paket übertragen.

???

Anmeldungsdatum: 10.09.2010 Beiträge: 48 Wohnort: NRW

Dann kontrolliere bitte über einen kombinierten Trace aus den Optionen "Firewall, IP-Router", wobei der IP-Router-Trace z.B. aud die Ziel-IP gefiltert wird, ob die Pakete auf der einen Seite auf den Tunnel geroutet werden und auf der anderen Seite auch ins LAN geschickt werden.

Eventuell hat der Server oder ein Client ein anderes Gateway als den LANCOM oder ein falsches?

Gruß

Anmeldungsdatum: 28.09.2010 Beiträge: 4

Hab ich die Fehlermeldung:
bad TCP state (SYN/ACK missing)
packet rejected

Was bedeutet das?

Moderator Anmeldungsdatum: 03.01.2005 Beiträge: 1905 Wohnort: Ex-OPAL-Gebiet

Hallo lancom55,

das bedeutet, dass die TCP-Verbindung noch nicht korrekt aufgebaut wurde, das SYN/ACK fehlt noch.
Schön wäre ja gewesen, wenn man diese Fehlermeldung mal im Kontext sehen würde, ich meine wir müssen das auch irgendwie versuchen einzuordnen...

Viele Grüße,
Jirka

Moderator Anmeldungsdatum: 08.11.2004 Beiträge: 4568 Wohnort: Aachen

Hi lancom55

eine TCP-Verbinmdung wird in drei Schritten aufgebaut: C:SYN -> S:SYN/ACK -> C:ACK (C:Client, S:Server). Hier ist aber von demjenigen, der die Verbindung aufbauen will ein Paket empfangen worden, bevor das SYN/ACK kam, z.B. C:SYN -> C:ACK... Das verwirft die Firewall sofort. Hier wäre die Ausgabe des IP-Router-Trace sinnvoll... Ist das LANCOM auch das Default-Gateway für den Server, oder gibt es vielleicht noch einen zweiten Weg, zwischen Server und Client, über den das SYN/ACK gelaufen sein könnte?

Gruß
Backslash

Anmeldungsdatum: 28.09.2010 Beiträge: 4

ich Trottel,

manchmal verläuft man sich so in eine Richtung......
der Webserver hatte 2 Gateway-Adressen drin, falsche raus genommen seid dem gehts einwandfrei.

Danke für eure Hilfe

Moderator Anmeldungsdatum: 03.01.2005 Beiträge: 1905 Wohnort: Ex-OPAL-Gebiet

lancom55 hat folgendes geschrieben:

der Webserver hatte 2 Gateway-Adressen drin, falsche raus genommen seid dem gehts einwandfrei.

... was Bravestarr schon vermutet hatte, wenn ich das noch mal anmerken darf.

Viele Grüße,
Jirka

Anmeldungsdatum: 10.09.2010 Beiträge: 48 Wohnort: NRW