Lancom 1721 + 1711 Webserver

lancom55 · Beitrag von **lancom55** » 28 Sep 2010, 15:31

Hallo zusammen.

ich hab eine Problem mit der Einrichtung eines Webservers der im VPN Netzwerk erreichbar sein soll.
Ich habe ein Netzwerk A mit der IP 192.168.40.0 und ein Netzwerk B mit der IP 192.168.50.0, VPN funktioniert einwandfrei. Webserver läuft über XAMPP auf 192.168.40.1 ohne Lancom-Firewall funktioniert der Zugriff auch ohne Probleme auf 192.168.40.1 von 192.168.50.1´.
Wenn ich die Firewall wieder zuschalte habe ich kein Zugriff mehr. Port 80 + 443 sind schon freigegeben.

Hat jemand eine Idee???

Danke schonmal im Voraus.

Jirka · Beitrag von **Jirka** » 28 Sep 2010, 20:15

Hallo lancom55,

ja, da scheint Deine angelegte Regel dann wohl nicht zu greifen, weil sie vermutlich falsch ist -> prüfen.
Ggf. mit LANmonitor schauen, warum bei eingeschalteter Firewall keine Kommunikation möglich ist. Hier sieht man Ports und IPs.

Viele Grüße,
Jirka

lancom55 · Beitrag von **lancom55** » 29 Sep 2010, 07:27

Das ist ja das merkwürdige, da wird angezeigt Paket übertragen auch mit der richtigen Regel in meinem Fall Allow_Webserver -192.168.50.1 nach 192.168.40.1:80 Paket übertragen.

???

Bravestarr · Beitrag von **Bravestarr** » 29 Sep 2010, 14:32

Dann kontrolliere bitte über einen kombinierten Trace aus den Optionen "Firewall, IP-Router", wobei der IP-Router-Trace z.B. aud die Ziel-IP gefiltert wird, ob die Pakete auf der einen Seite auf den Tunnel geroutet werden und auf der anderen Seite auch ins LAN geschickt werden.

Eventuell hat der Server oder ein Client ein anderes Gateway als den LANCOM oder ein falsches?

Gruß

lancom55 · Beitrag von **lancom55** » 29 Sep 2010, 16:29

Hab ich die Fehlermeldung:
bad TCP state (SYN/ACK missing)
packet rejected

Was bedeutet das?

Jirka · Beitrag von **Jirka** » 29 Sep 2010, 19:02

Hallo lancom55,

das bedeutet, dass die TCP-Verbindung noch nicht korrekt aufgebaut wurde, das SYN/ACK fehlt noch.
Schön wäre ja gewesen, wenn man diese Fehlermeldung mal im Kontext sehen würde, ich meine wir müssen das auch irgendwie versuchen einzuordnen...

Viele Grüße,
Jirka

backslash · Beitrag von **backslash** » 29 Sep 2010, 20:17

Hi lancom55

eine TCP-Verbinmdung wird in drei Schritten aufgebaut: C:SYN -> S:SYN/ACK -> C:ACK (C:Client, S:Server). Hier ist aber von demjenigen, der die Verbindung aufbauen will ein Paket empfangen worden, bevor das SYN/ACK kam, z.B. C:SYN -> C:ACK... Das verwirft die Firewall sofort. Hier wäre die Ausgabe des IP-Router-Trace sinnvoll... Ist das LANCOM auch das Default-Gateway für den Server, oder gibt es vielleicht noch einen zweiten Weg, zwischen Server und Client, über den das SYN/ACK gelaufen sein könnte?

Gruß
Backslash

lancom55 · Beitrag von **lancom55** » 30 Sep 2010, 13:05

ich Trottel,

manchmal verläuft man sich so in eine Richtung......
der Webserver hatte 2 Gateway-Adressen drin, falsche raus genommen seid dem gehts einwandfrei.

Danke für eure Hilfe

Jirka · Beitrag von **Jirka** » 30 Sep 2010, 19:52

lancom55 hat geschrieben:der Webserver hatte 2 Gateway-Adressen drin, falsche raus genommen seid dem gehts einwandfrei.

... was Bravestarr schon vermutet hatte, wenn ich das noch mal anmerken darf.

Viele Grüße,
Jirka

Bravestarr · Beitrag von **Bravestarr** » 01 Okt 2010, 10:34