pfSense Gold Subscription

Author Topic: PFSense RDP Verbindungs Abbrüche  (Read 185 times)

0 Members and 1 Guest are viewing this topic.

Offline rzlbrnft

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
PFSense RDP Verbindungs Abbrüche
« on: April 20, 2017, 11:12:43 am »
Hallo Community,

Ich bin gerade dabei eine PFSense noch weiter in unser Netzwerk zu integrieren.

Es existieren zwei Bintec Router, der eine hat das WAN Interface für den Internet Zugang und ist auch auf den Servern und Clients der Standard Gateway.
Der zweite ist für IPSEC Tunnel in unsere Filialen zuständig. Router 1 hat statische Routen in diese IPSEC Netze über Router 2.

Bintec 1 hat die 10.x.x.1, Bintec 2 die 10.x.x.2, die PFSense hat die 10.x.x.3.
An der PFSense ist der Bintec 1 als Default GW eingetragen, für die IPSEC Remote Netze hab ich statische Routen mit Router 2 als Gateway eingetragen.

Da ich Router 1 baldmöglichst mit der PFSense ersetzen will teste ich gerade wie sich das Netzwerk verhält wenn ich an meinem PC als Gateway die PFSense eingetragen hab.

PingTest mit WinMTR auf einen Server der Remote Filiale funktioniert einwandfrei. Null Paketverluste.
Mit RDP sieht das ganze anders aus, wie man im Screenshot sieht. Es existiert eine Regel die vom LAN zu ANY mit allen Protokollen passieren lässt.
Zusätzlich nochmal das die beiden Rechner miteinander kommunizieren können. RDP Version ist 2012 R2 aktuellstes Update.
Ich habs auch ohne Erfolg mit einer Floating Rule probiert für den RDP Port ohne Erfolg.

Ein anderer Thread hat mich bereits zum Interface Monitoring geführt, aber ob ich das ein oder ausschalte ist egal.
Gleicher Effekt, die RDP Verbindung bricht ab und reconnected danach wieder, das erzeugt diese Meldungen im Log.

Ich bin auf asynchrones Routing als Ursache gestoßen, aber die Routen sind statisch, müssten also immer über das selbe Gateway laufen.

Was kann es noch sein?

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2283
  • Karma: +240/-0
    • View Profile
Re: PFSense RDP Verbindungs Abbrüche
« Reply #1 on: April 20, 2017, 12:04:16 pm »
Ich bin auf asynchrones Routing als Ursache gestoßen, aber die Routen sind statisch, müssten also immer über das selbe Gateway laufen.
Das würde ich genauer untersuchen.

Du verrätst leider nicht, von welcher IP du auf welche eine RDP-Verbindung aufbauen möchtest. Aber ich vermute mal, aufgrund deiner Beschreibung hast du folgendes Szenerio.

Code: [Select]
Request:     TestPC >----------> pfSense >----------> Router2 >----------> Remote-Router >----------> ZielHost
Response:    ZielHost >----------> Remoute-Router >----------> Router 2 >----------> TestPC

Ähm. Doch nicht gleich.
Du müsstest am Router 2 eine Route für den den TestPC über die pfSense einrichten und der pfSense dann auch noch erklären, dass sie den Traffic passieren lässt.

Grüße

Offline rzlbrnft

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: PFSense RDP Verbindungs Abbrüche
« Reply #2 on: April 21, 2017, 03:35:04 am »
Hmm ok, ich ging eigentlich davon aus wenn ich schon mal im Netz bin das dann die Firewall nicht mehr dazwischen funken sollte.
Ist das ein generelles Problem mit dieser Art Firewall (Stateful Inspection?) oder ist das pfSense speziell?


//EDIT:
Es scheint wohl tatsächlich so zu sein, das er mit der Backroute nicht klar kommt.
Mit einer Route auf meinen Host zurück die erst noch den Hop über die pfSense nimmt, bricht nix ab.


Die Frage ist jetzt, haut das ganze auch hin, wenn zwischen dem IPSEC Router und dem Filialrouter ein Load Balancing besteht?
Wir haben nämlich ein paar Filialen die mit zwei IPSEC Tunneln über LTE und Adsl angebunden sind. Würde das das Routing behindern?
« Last Edit: April 21, 2017, 05:58:39 am by rzlbrnft »

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2283
  • Karma: +240/-0
    • View Profile
Re: PFSense RDP Verbindungs Abbrüche
« Reply #3 on: April 21, 2017, 12:31:29 pm »
Ist eher ein generelles Verhalten (als Problem würde ich das nicht bezeichnen) von Statefull Inspection Firewalls. Diese Firewalls achten peinlichst darauf, dass der "State" stimmt, ehe sie ein Paket weiterleitchen. D.h. dass bei TCP genau das erwartete Paket passieren muss, ansonsten werden weitere blockiert, und erwartet wird das eben auch das Antwortpaket.
https://de.wikipedia.org/wiki/Transmission_Control_Protocol#Daten.C3.BCbertragung

Bei deiner weiteren Frage kann ich dir leider nicht helfen, da hab ich nicht die Erfahrung. Allerdings denke ich schon, dass das auch problemlos mit Loadbalancing läuft, hier werden ja die beiden Übertragungskanäle von einem Router verwaltet und dem wird es egal sein, aus welchem Tunnel das erwartete Paket raus kullert.