5
IPsec VPN - Port 143 funktioniert nur "halb"
Hallo zusammen,
hab ein ganz komisches Phenomen bei einer VPN-Verbindung. Protokoll ist IPsec.
Alles funktioniert ganz normal bis auf Port 143 (IMAP).
Das fiel auf als sich ein User beschwerte das er im Thunderbird zwar neue Mails angezeigt bekommt und die Betreffzeile etc auch angezeigt wird,
aber der Nachrichteninhalt nicht. Da zeigte TB dann immer die Meldung das der Server nicht reagieren würde oder ein Netzwerkproblem besteht.
Per Putty hab ich dann Port 143 manuell getestet. Das initiale Server-Banner vom Dovecot wird angezeigt. Danach kommt aber nichts mehr zurück
und Putty meldet dann nach einiger Zeit das die Verbindung wegen überschreitung des Zeitlimits abgebrochen wurde.
Als workaround hab ich nun am Server hinterm VPN per iptables ein Port-Redirect von 9999 auf 143 geschaltet.
Damit kann der User wieder normal mit Thunderbird arbeiten.
Was kann das sein, das das Server-banner angezeigt wird aber danach quasi es ist als ob die Rückroute fehlt?
Firewalls etc hab ich natürlich alles überprüft obgleich mir nicht einfallen würde wieso eine Firewall einen Port "partiell" blocken würde
.
Grüße
bloody
hab ein ganz komisches Phenomen bei einer VPN-Verbindung. Protokoll ist IPsec.
Alles funktioniert ganz normal bis auf Port 143 (IMAP).
Das fiel auf als sich ein User beschwerte das er im Thunderbird zwar neue Mails angezeigt bekommt und die Betreffzeile etc auch angezeigt wird,
aber der Nachrichteninhalt nicht. Da zeigte TB dann immer die Meldung das der Server nicht reagieren würde oder ein Netzwerkproblem besteht.
Per Putty hab ich dann Port 143 manuell getestet. Das initiale Server-Banner vom Dovecot wird angezeigt. Danach kommt aber nichts mehr zurück
und Putty meldet dann nach einiger Zeit das die Verbindung wegen überschreitung des Zeitlimits abgebrochen wurde.
Als workaround hab ich nun am Server hinterm VPN per iptables ein Port-Redirect von 9999 auf 143 geschaltet.
Damit kann der User wieder normal mit Thunderbird arbeiten.
Was kann das sein, das das Server-banner angezeigt wird aber danach quasi es ist als ob die Rückroute fehlt?
Firewalls etc hab ich natürlich alles überprüft obgleich mir nicht einfallen würde wieso eine Firewall einen Port "partiell" blocken würde
.Grüße
bloody
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 419245
Url: https://administrator.de/contentid/419245
Printed on: April 20, 2024 at 05:04 o'clock
5 Comments
Latest comment
Könnte auch ein MTU-Problem sein — alle kleinen Pakete (Banner und Login) gehen durch, die zu großen Pakete passen dann nich mehr und prallen am Router ab.
Mit welcher MTU ist denn die VPN-Verbindung konfiguriert (innerhalb des Tunnels)?
Mit welcher MTU ist denn die VPN-Verbindung konfiguriert (innerhalb des Tunnels)?
Hallo LordGurke,
könntest du mir einen Tipp geben wo ich das ablesen kann?
Ich weiss prinzipiell was es mit MTU auf sich hat, musste da aber noch nie dran feilen.
Das VPN-Gateway ist ein Bintec r232b hinter einer FritzBox, der Client Windows 10 pro mit NCP secure entry client, der Server debian 7.
Vielen Dank schonmal
Bloody
könntest du mir einen Tipp geben wo ich das ablesen kann?
Ich weiss prinzipiell was es mit MTU auf sich hat, musste da aber noch nie dran feilen.
Das VPN-Gateway ist ein Bintec r232b hinter einer FritzBox, der Client Windows 10 pro mit NCP secure entry client, der Server debian 7.
Vielen Dank schonmal
Bloody
Unter Windows ginge das mit
netsh interface ip show subinterfaces
Zur Sicherheit aber auch mal am VPN-Router nachsehen was da konfiguriert ist.
netsh interface ip show subinterfaces
Zur Sicherheit aber auch mal am VPN-Router nachsehen was da konfiguriert ist.
Ok ich schau mal.
Ich lasse mir auch erstmal noch sagen ob das Problem auch bei den anderen beiden VPN-Benutzern besteht oder
ob es ein Einzelfall ist.
Ich lasse mir auch erstmal noch sagen ob das Problem auch bei den anderen beiden VPN-Benutzern besteht oder
ob es ein Einzelfall ist.
Könnte auch ein MTU-Problem sein
War auch mein erster Gedanke. MTU Problematiken wären der typische Fehler.Hier wird es explizit erklärt wie sich das verhält
https://www.cisco.com/c/en/us/support/docs/ip/generic-routing-encapsulat ...
Vermutlich wird 1420 als MTU nicht richtig durchgereicht oder es gibt keine MTU Path Discovery dort die aber erforderlich ist. Oder die MSS Settings auf den korrespondierenden LAN Interfaces sind falsch oder fehlen ?
Ein Beispiel Szenario dazu findest du auch z.B. hier:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Allerdings kann man das ja komplett ausschliessen, denn ein MTU Problem ist keinesfalls Port abhängig. Wenn das bei Port TCP 143 auftritt tut es das auch bei TCP 9999 oder egal welchem Port, denn die MTU ist natürlich nie Port abhängig.
Das scheidet also vermutlich aus wenn es mit Port TCP 9999 klappt aber nicht mit TCP 143.
Dann bleibt eher noch das sich ein weiterer Dienst mit TCP 143 da tummelt oder sowas.
