HowTo Debug von problematischer Anwendung

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
ToddMaller
Beiträge: 25
Registriert: Mo 04.03.2013, 10:40

HowTo Debug von problematischer Anwendung

Beitrag von ToddMaller »

Hallo,

ich habe immer wieder Probleme mit der UTM und problematischen Anwendungen, meist sind es technische Spielereien wie Sonos Lautsprecher oder mit dem Internet verbundene Heimtrainer PCs bzw. deren Software.
Die Hersteller verwenden in der Software oft nicht dokumentierte Ports oder Ziele und ich bekomme die Software dann nicht zum Laufen.

Mein Setup ist folgender:

VDSL-Modem Fritzbox 192.168.2.1 mit Transfernetz 192.168.2.x
und Dwarf 192.168.20.10.
Nun möchte ich die Geräte gerne sauber und komplett debuggen, also möglichst alle Daten oder Protokolle mitlesen können, mind. aber alle Drops und Drop-Ziele.

Wie mache ich dies am Besten?

Ich habe schon versucht die Regeln also vom ProblemGerät als Netzwerkobjekt ins Internet mit any-(stateless) und log auszustatten.
Leider fehlt hier wohl einiges.
Die Regel steht natürlich auch unter den gesamten anderen Regeln...

Ich stehe hier wirklich auf dem Schlauch, wie ich diese probematischen Programme am Besten debugge und die benötigten Ports etc. identifiziere.

Jede Hilfe nehme ich gerne an...

Gruß,
Todd

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Erstellen Sie einen Benutzer mit den Namen "root", loggen sich mit diesem an der SSH-Konsole ein und führen dann aus:

Code: Alles auswählen

# tcpdump -i eth1 -nnp host <IP>
"eth1" ersetzen Sie durch das Interface, an dem das problematische Gerät mit der <IP> angeschlossen ist.
Je nachdem wie "laut" das Gerät ist, müssen Sie den Filter dann noch erweitern.

Als ich das letzte mal nachgeschaut habe, verwendete Sonos Broadcasts, um mit den Lautsprechern zu kommunizieren. Das bekommen Sie sowieso nicht geroutet - egal, welche Ports Sie freigeben. Damit das funktioniert, müssen Sie eine Bridge zwischen den betroffenen Netzwerken einrichten.

... mit dem Internet verbundene Hometrainer... :rolleyes:

Snoopy77
Beiträge: 42
Registriert: Mo 17.02.2014, 19:57

Beitrag von Snoopy77 »

Hallo,

Danke für den Tipp.
Ich habe es einmal probiert. Leider hilft mir dies nur begrenzt weiter.
Ich habe ein wenig mit dem Log gearbeitet und dort entsprechende Server gefunden.

Bei dem Trainer handelt es sich um ein Tacx-Rollentrainer.
Die Software TTS ist ein wenig paranoid wegen der Lizenz.
Im Forum selber habe ich leider nichts darüber gefunden.
Ich scheine der einzige zu sein, der sich dies antut...

Die Firma Tacx gibt hier leider kaum Informationen heraus.

Gibt es denn eine schnelle Anleitung, wie ich zum Testen oder im Notfall einen Host ohne Proxy und ohne Filter etc. nur mit NAT ins Internet bringe?
Wegen Entertain und VDSL habe ich leider auch noch ein Transfernetz.

Ich habe im Virenscanner schon eine Whiteliste für die entsprechenden Server eingebaut.
Diese sind Tacx und ein Signaturserver der Telekom.
Alle anderen Funktionen in der Software laufen sauber (News, Updates etc.) nur die Lizenzverwaltung will nicht.
Dadurch braucht es immer eine Offline Aktivierung, die leider recht lange dauert.

Da der Rechner in den letzten Zügen liegt, wollte ich das Problem lösen, aber ich fürchte ich muss Ihn wohl direkt in Internet bringen.
Zumindest für die Lizenzierung.

Interessant wäre ein kurze How-To, wie ich einen einzelnen Host mit komplettem Zugriff ausstatte.
Gerade in Bezug auf die Prio der Regeln bin ich dort ein wenig unsicher.
Ich habe eine Regel eingefügt, die da lautet: TrainerPC - Internet - Any -> NAT
und eine Internet - TrainerPC- Any
Dies sollte dem PC doch kompletten Zugriff geben oder?
Die Regel steht aber ganz am Ende nach den anderen Regeln.

Den transparenten Proxy habe ich ausgeschaltet.

Wenn ist die beiden Regeln auf Log setze taucht dort aber leider wenig bis garnichts auf.

Gruß.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Die Regel vom Internet zum PC können Sie sich sparen. Die Regel Richtung Internet ist ok (vorrausgesetzt der nat_node [aka "das Feld in der Mitte im NAT-Abschnitt"] ist das externe Interface). Wenn der transparente Proxy aus ist, verhält sich die FW dann wie ein stupider Router. Geht es immer noch nicht, müssen Sie wohl oder übel feststellen (tcpdump!), wo welche Pakete verloren gehen.

Snoopy77
Beiträge: 42
Registriert: Mo 17.02.2014, 19:57

Beitrag von Snoopy77 »

Hallo,

es hat geklappt.
Allerdings musste ich noch im AV-Scanner eine Ausnahme für Tacx und den Zertifikatsserver der Telefon.
Ich habe folgende Ausnahme hinzugefügt, da ich nicht sicher war, was genau dort gebraucht wird.
^[^:]*://[^/]*\.telesec\.de

Es wird immer ein Zertifikat heruntergeladen, wenn die Lizenz angefasst wird.

Dies in Verbindung mit der Regel hat dann geholfen.

Vielen Dank für die Infos und die Unterstützung.

Antworten