Port-, Netzwerkanalyse
 

Hallo zusammen,

Ich komme in letzter Zeit immer öfter in die Situation, dass ich Ports von Rechnern innerhalb eines Netzwerkes ins Internet Routen muss.

Der eigentliche Internet Router (meistens FritzBox) ist dabei immer als Exposed Host zur Firewall (ein XenServer, Firewall ist OPNsense) konfiguriert und die Firewall routet dann zwischen den verschiedene Netzwerken wie DMZ, WLAN, VOIP, ein paar WAN Anschlüsse und so weiter.

Nun kommt es oft vor, dass eine Weiterleitung irgendwie nicht auf Anhieb klappt, z.B. beim VPN auf der Firewall. Da wird es dann immer lustig den Fehler zu suchen. Kann ja an den Firewall Rules liegen, am VPN Server, an der FritzBox und so weiter.

Das erste Problem ist mal zu testen ob der Port von außen überhaupt erreichbar und offen ist.

Normalerweise würde ich das so machen:
- TCP Ports über Telnet testen, einfach da der Port ja eine Antwort liefert.
- UDP Ports über Nmap testen. Wobei ich mich hier Frage, UDP gibt ja keine Antwort zurück, woher weiß Nmap denn überhaupt, dass der Port offen ist?

Nmap gibt aber immer irgendwie Käse aus, egal welcher Port (auch einer der Definitiv zu ist) gibt immer aus: "open|filtered"

z.B. Port 5000 ist definitiv zu:
sudo nmap -sU -p 5000 meinedomain.xxx

Oder der VPN Port 1194 der offen sein sollte (sollte!):
sudo nmap -sU -p 1194 meinedomain.xxx


Hab gelesen, dass Nmap keine UDP Ports kann die TSL-Auth haben, ist das richtig? Was dann?
Denke am einfachsten wäre temporär einfach auf einen TCP Port zu wechseln und dann zu schauen ob er offen ist, oder?

Gibt es ein Tool, dass einem so eine Analyse irgendwie einfacher macht?
Was benutzen denn die Hackersens um Ports zu finden, die offen sind? Wireshark?
Was machen die bei UDP Ports?
Hab mich an Wireshark noch nicht so rangetraut, wär's dafür vielleicht mal an der Zeit?

Danke schonmal!

Wireshark ist das Tool der Wahl, wir nutzen zur Analyse von Kundenprobleme nichts Netzwerktrace ziehen an den wichigen Netzelementen und die werden mit Wireshark ausgewertet.

Die Fritzbox kann z.b. Trace an den Schnittstellen erstellen, musst nur die entsprechende Unterseite der Fritz-box GUI aufrufen

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Evtl. kann es sein, das die Seite gesperrt ist, wenn die FB von einem Provider geliefert wurde.

Es kommt darauf an zu welchem System Du scanst. "open/filtered" heißt nur das Nmap einen Port findet, der "wahrscheinlich" durch eine Firewall gefiltert wird. "Nmap's Antworten" von Windows Systemen sind anders als von Linux Systemen.

Dein Netzwerk sieht also wie folgt aus:

Für mich liegt eine DMZ zwischen Fritz und OPNsense... aber nun.

Erste Fragen:
o Das Port-Forwarding hast du bei Fritz aktiviert?
o Wie sehen die Routing-Einträge auf der OPNsense aus?
o Welche IP-Adressen/Masken nutzt du wo?

Wireshark zeigt dir Netztraffic. Falls du zwischen Fritz und OPNsense einen Lappi
anschließen kannst, so könntest du sehen, was aus der Fritzbox rausfällt. Aber(!)
die meisten (alle?) Fritzboxen haben auf der Innenseite einen Switch und damit
siehst du nicht den Traffic der anderen Anschlüsse. (Abhilfe: Lappi als Bridge)

Bei UDP-Ports nutze ich gerne netcat. Links und rechts von der Fritz je ein Lappi
und du kannst dir das genau(er) angucken.

Und nochwas (auch wenn ich jetzt Diskussionen anfache): Niemals unter Windows
anfangen, um Netzwerk-Probleme zu suchen. Linux, BSD, .... sind da besser (persönliche
Meinung... aber da stehe ich sicher nicht alleine ;) )

Oder direkt über die FritzBox nen Capture ausführen ;)

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Also wenn du testen willst ob nen Port offen ist, würde ich dir netcat empfehlen. Netcat gibt dir zurück ob was hinter derm Port arbeitet bzw ob er offen / zu ist.

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Netcat anfragen sind auch im tcpdump ersichtlich. Also kannst du so ziemlich effektiv die einzelnen abschnitte prüfen.