@Asulu said in pfSense: TLS-Handshake friert bei bestimmten Webseiten ein:
Hallo zusammen,
ich stehe vor einem absolut paradoxen Phänomen auf meiner pfSense (Netgate 8200) und brauche frische Augen für das Problem.
25.11.1-RELEASE
Das Problem
Von meinem Server-VLAN aus laden bestimmte Webseiten (z. B. menuelounge.com) nicht. Der Browser lädt unendlich, ein curl -Iv friert reproduzierbar mitten im TLS-Handshake ein. Aus anderen VLANs (z. B. dem WLAN-VLAN oder einem weiteren kabelgebundenen VLAN) funktioniert der Aufruf derselben Webseiten vom exakt selben Client-PC über das exakt selbe physische Kabel ohne Probleme.
Die Umgebung
Firewall: pfSense Plus (Netgate 8200), Ausgänge über 10G SFP+ (ix Treiber).
Switche: Aruba 2930M Stack.
VLANs: * VLAN 3 (ix0.3): Server-VLAN (Hier tritt der Fehler auf)
VLAN 30 (ix0.30): WLAN-VLAN (Hier funktioniert es)
Alle Interfaces haben identische Firewall-Regeln (Any->Any Testregeln), DNS ist sauber und das Outbound-NAT läuft für alle Netze identisch über Hybrid-Regeln auf das WAN-Interface.
Die Packet Captures (Das Paradoxon)
Beim genauen Hinsehen im Packet Capture der pfSense zeigt sich, dass im fehlerhaften Server-VLAN (VLAN 3) die ankommenden Paketgrößen vom Webserver mitten im Handshake abgeschnitten werden:
Hier funktioniert es NICHT (Server-VLAN 3):
Der TCP-Handshake klappt, der Client schickt sein Client Hello (tcp 1440 + tcp 285). Die Gegenseite antwortet, aber es kommt kein Paket an, das größer als 1176 Bytes ist. Danach friert die Verbindung ein.
Plaintext
18:38:11.675576 IP 192.168.203.35.51748 > 13.93.53.82.443: tcp 0
18:38:11.707106 IP 13.93.53.82.443 > 192.168.203.35.51748: tcp 0
18:38:11.710466 IP 192.168.203.35.51748 > 13.93.53.82.443: tcp 1440
18:38:11.710482 IP 192.168.203.35.51748 > 13.93.53.82.443: tcp 285
18:38:11.742184 IP 13.93.53.82.443 > 192.168.203.35.51748: tcp 1176 <-- Größtes Paket, danach Ende
Hier FUNKTIONIERT es (WLAN-VLAN 30):
Gleicher PC, gleiches Kabel (nur am Switch das VLAN gewechselt). Der Webserver schickt hier problemlos Fragmente mit tcp 1452 (was inklusive Header exakt der PPPoE MTU von 1492 entspricht). Der Handshake läuft komplett durch.
Plaintext
18:39:51.958333 IP 192.168.230.189.64437 > 13.93.53.82.443: tcp 0
18:39:51.989592 IP 13.93.53.82.443 > 192.168.230.189.64437: tcp 0
18:39:52.001969 IP 192.168.230.189.64437 > 13.93.53.82.443: tcp 1440
18:39:52.033393 IP 13.93.53.82.443 > 192.168.230.189.64437: tcp 1452 <-- Pakete kommen mit Full-Size an
Was bereits geprüft/ausgeschlossen wurde:
Hardware/Kabel/Client-OS: Da es derselbe PC am selben Port/Kabel ist, können wir NIC, Windows-Schannel-Fehler oder physische Defekte ausschließen.
Outbound NAT: Steht auf Hybrid. Die automatischen Regeln greifen für beide Subnetze (192.168.203.0/24 und 192.168.230.0/24) absolut identisch.
Switch-MTU: Beide VLANs (3 und 30) sind auf den Aruba-Switchen identisch konfiguriert (Jumbo: No). Sie laufen über dieselben getaggten Trunks (Trk1) zur pfSense. Ein Testweise Deaktivieren des funktionalen Interfaces auf der pfSense brachte keine Besserung für VLAN 3.
Hardware Offloading: Ist auf der pfSense komplett deaktiviert (Checksum, TSO, LRO).
Jemand eine Idee?
Außer das ich jetzt das VLAN mal auf ein eigenes Interface lege weiß ich gerade nicht mehr weiter.
Danke
Da ist zwar noch etwas wenig Detail mit im Spiel und wir kennen die Config nicht - nicht nur die der Sense, sondern auch Switche und das was im Servernet steht, aber
hat der Server ggf. zwei Netzwerkkarten und/oder ist in zweierlei Netzen?
Wie sind die Netze/VLANs konfiguriert?
irgendwo noch ein anderer Router im Netz?
Hat der Server oder das Gerät mit dem du testest im Server VLAN ein anderes GW als die Sense?
Alles was "anders" ist zählt. Könnte asymmetrisches Routing sein, anderes GW, zwei Netzwerkkarten und der Traffic läuft falsch rum, etc. etc. - das könnte alles sein. Ohne mehr Details oder das Setup zu sehen ist das schwer.
Cheers
\jens
