MikroTik blokuje odchozí port 1194

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
MikroTik blokuje odchozí port 1194
« kdy: 14. 03. 2020, 12:21:46 »
Ahoj,
řeším velmi záhadný problém.
Na mikrotiku mám openVPN server na default port 1194. Spojení na něj funguje v pořádku.
Problém je když se klienti z lokální sítě spojují na openVPN (PFsense) v internetu který beží na stejném portu 1194 a mimo to ještě na 1196.

Pokud se klienti spojují na  openVPN (PFsense) na port 1194, tak to neprojde (TLS error...) na port 1196 vše OK.
Jakmile se na openVPN (PFsense) 1194 spojuji z jiné sítě vše OK.

Nedaří se mi dohledat proč Mikrotik v mojí síti spojení na externí openVPN 1194 shodí. Firewall to není, pač jsem zkusil všechny pravidla umlčet a beze změny.
« Poslední změna: 14. 03. 2020, 13:04:03 od Petr Krčmář »
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.


Re:Mikrotik - blokuje odchozí 1194
« Odpověď #1 kdy: 14. 03. 2020, 13:04:49 »
TLS error neznamená, že se nedaří navázat spojení, ale je to chyba při šifrování komunikace – nedůvěryhodný certifikát, obě strany se nedomluví na podporovaných protokolech či algoritmech apod.

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:Mikrotik - blokuje odchozí 1194
« Odpověď #2 kdy: 14. 03. 2020, 13:22:58 »
TLS error neznamená, že se nedaří navázat spojení, ale je to chyba při šifrování komunikace – nedůvěryhodný certifikát, obě strany se nedomluví na podporovaných protokolech či algoritmech apod.
Stejný notebook ze kterého to zkouším spojím přes mobilní hotspot a okamžitě se to chytne.
Ještě mám podezření na switch HP Procurve(management) co mi stojí v cestě, protože snifováním na interface Mikrotiku nebyla vůbec vidět komunikace s destination vzdalené VPNky
« Poslední změna: 14. 03. 2020, 13:24:41 od ZAJDAN »
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:MikroTik blokuje odchozí port 1194
« Odpověď #3 kdy: 14. 03. 2020, 17:12:27 »
Tipnul bych si na nefunkční NAT na Mikrotiku. Řekl bych, že ten paket sežere sám a TLS error je pak chyba toho, že se pokoušíš připojit na jiný stroj, než jsi chtěl. Zkus dump na vnitřním iterface mikrotiku a uvidíš, jestli se bude od mikrotiku vracet nějaká odpověď.

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:MikroTik blokuje odchozí port 1194
« Odpověď #4 kdy: 14. 03. 2020, 21:58:50 »
Tipnul bych si na nefunkční NAT na Mikrotiku. Řekl bych, že ten paket sežere sám a TLS error je pak chyba toho, že se pokoušíš připojit na jiný stroj, než jsi chtěl. Zkus dump na vnitřním iterface mikrotiku a uvidíš, jestli se bude od mikrotiku vracet nějaká odpověď.
Takové podezdření právě mám...
Zkusil jsem poslouchat na portu kterej je spojenej se switchem a přes switch jde klient.
V době kdy zkouším na klientovi vytočit openVPN tam prolitne neco na protokolu UDP IPV6.
VPN mám na UDP, ale nikde nepoužívám IPV6.....pěkně záhadné
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.


ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:MikroTik blokuje odchozí port 1194
« Odpověď #5 kdy: 15. 03. 2020, 09:52:57 »
tak opravdu to páchal switch!
má několik features:
Auto DoS      
Prevent Land Attack      
Prevent TCP Blat Attack      
Prevent UDP Blat Attack      
Prevent Invalid TCP Flags Attack      
Prevent TCP Fragment Attack      
Check First Fragment Only      
Prevent Smurf Attack      
Prevent Ping Flood Attack      
Prevent SYN Flood Attack


všechny jsem je vypnul a je klid, oVPN se spojí.
Napadá mne zda v konfiguraci oVPN klienta není nějaké metoda šifrování, kterou když switch v paketu vidí, tak to zablokuje.
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:MikroTik blokuje odchozí port 1194
« Odpověď #6 kdy: 15. 03. 2020, 11:20:53 »