xDSL.at

hallo,

da sitzt ich letztens bei freunden in kärnten, werd zuerst mit einem feinen abendessen bestochen und bekomm dann ein notebook auf den tisch gestellt mit der bitte, mir anzuschauen, warum da eine remote desktop-verbindung ins büro nicht mehr klappt.

herausgestellt hat sich nach einer ausführlichen debugging-session, daß ein gerät bei der telekom auf bestimmte TCP-SYN-pakete ein RST zurückschickt, den verbindungsaufbau also verhindert. konkret schaut das so aus:

Code: Alles auswählen

$ sudo hping3 -S -T -p 3389 123.456.789.123
HPING 123.456.789.123 (wlan0 123.456.789.123) S set, 40 headers + 0 data bytes
hop=1 TTL 0 during transit from ip=192.168.1.1 name=UNKNOWN
hop=1 hoprtt=1.6 ms
hop=2 TTL 0 during transit from ip=10.0.0.138 name=UNKNOWN
hop=2 hoprtt=1.5 ms
len=40 ip=123.456.789.123 ttl=125 id=40718 sport=3389 flags=RA seq=2 win=0 rtt=2

(hier werden SYN-pakete mit ansteigender TTL gesendet, also so wie's traceroute tut). offenbar sabotiert das gerät hinter 10.0.0.138 diese verbindung, indem es ein RST-ACK-paket vom echten server fälscht.

der auslöser für dieses verhalten scheint der source-port des SYN-paketes zu sein -- wenn der niedrig (also ab 1024) ist, gibt's die resets, wenn er hoch ist (wie bei einem linux ab 49000), geht die verbindung durch.

außerdem scheint für die ports 25, 53, 80, 110, 443 diese sabotage-funktion ganz abgeschaltet zu sein.

zwei fragen dazu:

a) hat das schon mal wer gesehen und weiß genaueres?

b) wie bringt man der telekom bei, das abzudrehen? beim support anzurufen wird wenig chancen auf erfolg haben, befürchte ich.

ciao,

cm.

ich hab schon von unzähligen telekom anschlüssen (business und privat) rdp benutzt, hat immer funktioniert.

ist evtl. auf dem router oder dem modem irgend eine firewall (evtl. mit deep packet inspection) aufgedreht?

ansonsten würde (zumindest mir) wohl ein wireshark capture file etwas mehr helfen als das hier

martin hat geschrieben:ich hab schon von unzähligen telekom anschlüssen (business und privat) rdp benutzt, hat immer funktioniert.

es liegt ja nicht ursächlich am RDP, das problem ließ sich genauso mit ssh und imap provozieren.

ist evtl. auf dem router oder dem modem irgend eine firewall (evtl. mit deep packet inspection) aufgedreht?

keine ahnung, wie soll das was zur sache tun, wenn das RST eindeutig von hinter dem modem kommt? erstens tritt es erst auf, wenn die TTL des SYN-paketes 3 ist, zweitens hat es eine TTL von 125 == 128 - 3, das paßt also zusammen.

ansonsten würde (zumindest mir) wohl ein wireshark capture file etwas mehr helfen als das hier

captures hab ich keine mehr, aber der gepostete hping-output zeigt das problem eh deutlicher...

cm.

Um dich zu beruhigen, niemand sabotiert dein RDP. Ich bin mir noch etwas im unklaren wie so ein Porttrace funktioniert wenn man ein ungültiges Target eingibt. ich würd ja sowas gleich mit dem passenden Ziel durchführen.

also zu a) du bist paranoid, zu

b) richtig, ein 0815 Hotliner wird etwa so vor dem schirm sitzen , ein halbwegs kompetenter so

>>captures hab ich keine mehr, aber der gepostete hping-output zeigt das problem eh deutlicher...
Der is IMO für A und F, und am ehesten wird vermutlich die Firewall des Router/Modems als Angriff werten... allein schon wegen einer IP, dies einfach nicht gibt -> vielleicht intressiert das deinen Mickymausrouter nicht, jedes halbwegs Intelligente Device wird dir sagen, no Route to Destination. (Erinnert mich an einen Routenplaner welcher als Route nach Amerika angab "schwimmen sie über den Atlantik")

SCNR, aber Troubleshooting geht anders

/edit: ganz unrecht hast du nicht - bei Privatprodukten ist TCP 25 eingehend gesperrt, aber das aus gutem Grund

wicked_one hat geschrieben:Um dich zu beruhigen, niemand sabotiert dein RDP. Ich bin mir noch etwas im unklaren wie so ein Porttrace funktioniert wenn man ein ungültiges Target eingibt. ich würd ja sowas gleich mit dem passenden Ziel durchführen.

muß ich zu einer adresse, die die oktette "456" und "789" enthält, wirklich explizit dazuschreiben, daß ich die verändert hab (weil die echte adresse nix zur sache tut)?

Der is IMO für A und F, und am ehesten wird vermutlich die Firewall des Router/Modems als Angriff werten... allein schon wegen einer IP, dies einfach nicht gibt -> vielleicht intressiert das deinen Mickymausrouter nicht, jedes halbwegs Intelligente Device wird dir sagen, no Route to Destination. (Erinnert mich an einen Routenplaner welcher als Route nach Amerika angab "schwimmen sie über den Atlantik")

genaugenommen wird mir hping, wenn ich "123.456.789.123" als adresse verwenden will, erzählen, daß es den hostnamen nicht gibt, weil inet_ntoa den string nicht parsen kann und er daher als hostname interpretiert wird, daher eine DNS-auflösung versucht wird, und die fehlschlägt. schaumamal:

Code: Alles auswählen

$ hping3 123.456.789.123
Unable to resolve '123.456.789.123'

SCNR, aber Troubleshooting geht anders

das eine oder andere netzwerkproblem hab ich in meinem leben ja schon diagnostiziert und behoben, aber ich laß mir gern neue ansätze zeigen -- was würdest du aus den im OP dargelegten fakten für schlußfolgerungen ziehen?

cm.

@cm: dass du die ziel-ip verschleierst, kann ich verstehen, aber die ip des boesen telekom-routers, der deine packerl nicht durchlaesst zu verschleiern, halte ich fuer wenig hilfreich. wie soll man da draufkommen, welches geraet schuld ist und wieso es sich fehlverhaelt?

@wicked_one: ich darf dich beruhigen: auch "micky-mouse router" lassen sich mit hping nicht alles einreden

srv01:/home/jutta# hping3 -S -T -p 3389 123.456.789.123
Unable to resolve '123.456.789.123'

und ein beispiel mit echten ip adressen: beim ersten mal war das portforwarding auf 3389 in meinem router abgedreht, daher kam nach hop 10 nichts mehr, beim zweiten mal dann auf:

Code: Alles auswählen

srv01:/home/jutta# hping3 -S -T -p 3389 ju-bf.no-ip.info
HPING ju-bf.no-ip.info (eth0 85.127.92.4): S set, 40 headers + 0 data bytes
hop=1 TTL 0 during transit from ip=88.116.97.217 name=UNKNOWN   
hop=1 hoprtt=1.2 ms
hop=2 TTL 0 during transit from ip=62.47.95.239 name=UNKNOWN   
hop=2 hoprtt=10.8 ms
hop=3 TTL 0 during transit from ip=172.19.63.189 name=UNKNOWN   
hop=3 hoprtt=15.9 ms
hop=4 TTL 0 during transit from ip=195.3.68.101 name=UNKNOWN   
hop=4 hoprtt=10.5 ms
hop=5 TTL 0 during transit from ip=195.3.70.162 name=UNKNOWN   
hop=5 hoprtt=7.3 ms
hop=6 TTL 0 during transit from ip=193.203.0.23 name=vix.chello.at
hop=6 hoprtt=10.3 ms
hop=7 TTL 0 during transit from ip=212.186.166.230 name=vie5-vl-00-994.shuttle.vien.upc.at
hop=7 hoprtt=21.0 ms
hop=8 TTL 0 during transit from ip=212.186.166.193 name=vie3-vl-00-095.shuttle.vien.upc.at
hop=8 hoprtt=10.6 ms
hop=9 TTL 0 during transit from ip=212.41.253.210 name=lac4-viech3.inode.at
hop=9 hoprtt=7.1 ms
hop=10 TTL 0 during transit from ip=85.127.92.4 name=85-127-92-4.dynamic.xdsl-line.inode.at
hop=10 hoprtt=16.0 ms
^C
--- ju-bf.no-ip.info hping statistic ---
165 packets transmitted, 10 packets received, 94% packet loss
round-trip min/avg/max = 1.2/11.1/21.0 ms



Code: Alles auswählen

srv01:/home/jutta# hping3 -S -T -p 3389 ju-bf.no-ip.info
HPING ju-bf.no-ip.info (eth0 85.127.92.4): S set, 40 headers + 0 data bytes
hop=1 TTL 0 during transit from ip=88.116.97.217 name=UNKNOWN   
hop=1 hoprtt=1.1 ms
hop=2 TTL 0 during transit from ip=62.47.95.239 name=UNKNOWN   
hop=2 hoprtt=10.5 ms
hop=3 TTL 0 during transit from ip=172.19.63.189 name=UNKNOWN   
hop=3 hoprtt=12.7 ms
hop=4 TTL 0 during transit from ip=195.3.68.101 name=UNKNOWN   
hop=4 hoprtt=10.3 ms
hop=5 TTL 0 during transit from ip=195.3.70.126 name=IIX10-AUX11.highway.telekom.at
hop=5 hoprtt=7.6 ms
hop=6 TTL 0 during transit from ip=193.203.0.23 name=vix.chello.at
hop=6 hoprtt=9.8 ms
hop=7 TTL 0 during transit from ip=212.186.166.230 name=vie5-vl-00-994.shuttle.vien.upc.at
hop=7 hoprtt=8.0 ms
hop=8 TTL 0 during transit from ip=212.186.166.193 name=vie3-vl-00-095.shuttle.vien.upc.at
hop=8 hoprtt=49.9 ms
hop=9 TTL 0 during transit from ip=212.41.253.210 name=lac4-viech3.inode.at
hop=9 hoprtt=7.5 ms
hop=10 TTL 0 during transit from ip=85.127.92.4 name=85-127-92-4.dynamic.xdsl-line.inode.at
hop=10 hoprtt=16.2 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=10 win=5840 rtt=19.0 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=11 win=5840 rtt=15.3 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=12 win=5840 rtt=18.8 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=13 win=5840 rtt=16.0 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=14 win=5840 rtt=17.6 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=15 win=5840 rtt=39.1 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=16 win=5840 rtt=16.8 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=17 win=5840 rtt=15.2 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=18 win=5840 rtt=17.6 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=19 win=5840 rtt=14.0 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=20 win=5840 rtt=17.0 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=21 win=5840 rtt=13.9 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=22 win=5840 rtt=16.5 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=23 win=5840 rtt=18.9 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=24 win=5840 rtt=16.2 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=25 win=5840 rtt=18.0 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=26 win=5840 rtt=16.0 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=27 win=5840 rtt=18.3 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=28 win=5840 rtt=14.2 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=29 win=5840 rtt=17.8 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=30 win=5840 rtt=15.4 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=31 win=5840 rtt=16.0 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=32 win=5840 rtt=19.0 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=33 win=5840 rtt=16.6 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=34 win=5840 rtt=17.5 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=35 win=5840 rtt=15.7 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=36 win=5840 rtt=17.3 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=37 win=5840 rtt=14.1 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=38 win=5840 rtt=17.2 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=39 win=5840 rtt=15.7 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=40 win=5840 rtt=17.8 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=41 win=5840 rtt=14.6 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=42 win=5840 rtt=17.6 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=43 win=5840 rtt=15.0 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=44 win=5840 rtt=16.9 ms
len=46 ip=85.127.92.4 ttl=54 DF id=0 sport=3389 flags=SA seq=45 win=5840 rtt=14.9 ms
^C
--- ju-bf.no-ip.info hping statistic ---
46 packets transmitted, 46 packets received, 0% packet loss
round-trip min/avg/max = 1.1/16.3/49.9 ms
srv01:/home/jutta#



mit privater aon-ip am einen oder anderen ende kann ich es erst am abend probieren.

da ich grad mit meinen pings beschaeftigt war, waehrend du gepostet hast, erst jetzt zu deiner frage, wie ich das problem "warum da eine remote desktop-verbindung ins büro nicht mehr klappt", angesichts der symptome angehen wuerde:

ich wuerde zunaechst einmal in erfahrung bringen, welche hardware mit welchen einstellungen an beiden enden werkelt.

das:

hop=1 TTL 0 during transit from ip=192.168.1.1 name=UNKNOWN
hop=1 hoprtt=1.6 ms
hop=2 TTL 0 during transit from ip=10.0.0.138 name=UNKNOW

deutet zb auf zwei nattende devices hintereinander hin. sowas kann kann probleme erzeugen (muss aber im konkreten fall nicht kausal sein)

dann waere natuerlich interessant, an welcher art anschluss und hinter welcher art firewall der zu fernwartende rechner steckt.

sicherheitshalber wuerde ich es auch von einem anderen anschluss aus probieren (zb per mobil-card eines anderen providers).

es *kann* durchaus sein, dass ein verwirrtes device der telekom tcp behindert, aber um das rauszufinden, muessten wir das device identifizieren koennen. generell/im gesamten netz/ wird es sicher nicht geblockt, sonst haetten schon millionen leute aufgejault.

cmock hat geschrieben:muß ich zu einer adresse, die die oktette "456" und "789" enthält, wirklich explizit dazuschreiben, daß ich die verändert hab (weil die echte adresse nix zur sache tut)?

Yep, wäre extrem hilfreich - du glaubst nicht, was leute alles probieren

>aber ich laß mir gern neue ansätze zeigen -- was würdest du aus den im OP dargelegten fakten für schlußfolgerungen >ziehen?
Ich zäum das Pferd von unten auf, und man glaubts kaum, user können hiflreich sein. erstmal würde ich mir mal darlegen lassen, was alles involviert ist. funktioniert die RDP Verbindung von anderen Kollegen, Surfen die über Mobiles, oder ein anderes Modem, gibts nen EDV Betreuer der mir weiterhelfen kann.

Ausgehende Verbindungen sind seltenst von irgendwelchen Einschränkungen betroffen, den hPing kenn ich nicht genug, um ihm zu beglaubigen, dass er immer verlässliche Ergebnisse liefert.

Wenns ein Portforwarding gibt, fallen mir 2 Szenarien ein. Bei einem TA Business (grad eben gehabt) ... Produktwechsel von Secure auf Basic - TA macht wies sich gehört die Ports wieder zu, und große Verwirrung herrscht.

Auch vergessen leute gern, Portforward macht man auf statische IP´s .. wenn der DHCP aus irgend nem Grund auf die Idee kommt, ne ander IP zu vergeben, is wieder alles für die Katz.

Mit verlaub, worauf ich hinaus will ist, ohne Kenntnis von der Gegenseite zu haben, würd ich mich nie so weit rauslehnen und eine solche Diagnose stellen...

Wie gesagt, wenn dur wirklcih ein Gerät im Telekom Netz in verdacht hast, welches deine RDP Verbindung abwürgt, mach eine wirkliche RDP Session vom betroffenen System aus, lass wireshark/tcpdump mitrennen, bzw siehst du auch in Netstat gleich mal, ob wirklcih ein RST kommt, oder nur das Modem welches die Verbindung ausgehend transportiert mit dem hPing nichts anzufangen weiss

cmock hat geschrieben:keine ahnung, wie soll das was zur sache tun, wenn das RST eindeutig von hinter dem modem kommt? erstens tritt es erst auf, wenn die TTL des SYN-paketes 3 ist, zweitens hat es eine TTL von 125 == 128 - 3, das paßt also zusammen.

firewalls auf geräten der kategorie "fischer price - my first router" machen oft sehr komische sachen, darum schadet ein deaktivieren zu testzwecken sicher nicht

cmock hat geschrieben:captures hab ich keine mehr, aber der gepostete hping-output zeigt das problem eh deutlicher...

eine 5 zeilige zusammenfassung sagt mehr aus als ein dump der rohdaten? interessant...

als routinierter netzwerk troubleshooter solltest du eigentlich schon bemerkt haben, dass bei wirklich hartnäckigen problemen kaum ein weg am sniffern vorbeiführt. würde dein hping reichen, würdest du kaum hier im forum posten müssen um die ursache zu finden, oder?

ich hab grad einen haufen pakete sinloss durch die gegend gejagt. vorlaeufige erkenntnis daraus:

R-flag im output duerfte bei ta-devices nicht selten sein, hat aber bei meinen versuchen keinen negativen einfluss auf die erreichbarkeit.

das ist der server eines bekannten:

Code: Alles auswählen

srv01:/home/jutta# hping3 -S -T -p 22 80.120.52.**
HPING 80.120.52.** (eth0 80.120.52.**): S set, 40 headers + 0 data bytes
hop=1 TTL 0 during transit from ip=88.116.97.217 name=UNKNOWN   
hop=1 hoprtt=1.1 ms
hop=2 TTL 0 during transit from ip=62.47.95.239 name=UNKNOWN   
hop=2 hoprtt=29.7 ms
hop=3 TTL 0 during transit from ip=172.19.63.189 name=UNKNOWN   
hop=3 hoprtt=8.5 ms
hop=4 TTL 0 during transit from ip=195.3.68.101 name=UNKNOWN   
hop=4 hoprtt=10.2 ms
hop=5 TTL 0 during transit from ip=195.3.118.234 name=UNKNOWN   
hop=5 hoprtt=16.8 ms
hop=6 TTL 0 during transit from ip=172.19.93.226 name=UNKNOWN   
hop=6 hoprtt=14.6 ms
hop=7 TTL 0 during transit from ip=172.16.17.11 name=UNKNOWN   
hop=7 hoprtt=18.0 ms
len=46 ip=80.120.52.** ttl=248 id=19380 sport=22 flags=RA seq=7 win=0 rtt=18.2 ms
len=46 ip=80.120.52.** ttl=248 id=48132 sport=22 flags=RA seq=8 win=0 rtt=18.9 ms
len=46 ip=80.120.52.** ttl=248 id=9306 sport=22 flags=RA seq=9 win=0 rtt=16.2 ms
snip^C
--- 80.120.52.** hping statistic ---
20 packets transmitted, 20 packets received, 0% packet loss
round-trip min/avg/max = 1.1/16.5/29.7 ms
srv01:/home/jutta#


srv01:/home/jutta# hping3 -S -T -p 80 80.120.52.**
HPING 80.120.52.** (eth0 80.120.52.**): S set, 40 headers + 0 data bytes
hop=1 TTL 0 during transit from ip=88.116.97.217 name=UNKNOWN   
hop=1 hoprtt=1.2 ms
hop=2 TTL 0 during transit from ip=62.47.95.239 name=UNKNOWN   
hop=2 hoprtt=12.4 ms
hop=3 TTL 0 during transit from ip=172.19.63.189 name=UNKNOWN   
hop=3 hoprtt=8.3 ms
hop=4 TTL 0 during transit from ip=195.3.68.101 name=UNKNOWN   
hop=4 hoprtt=10.9 ms
hop=5 TTL 0 during transit from ip=195.3.118.234 name=UNKNOWN   
hop=5 hoprtt=41.8 ms
hop=6 TTL 0 during transit from ip=172.19.93.226 name=UNKNOWN   
hop=6 hoprtt=15.9 ms
hop=7 TTL 0 during transit from ip=172.16.17.11 name=UNKNOWN   
hop=7 hoprtt=14.3 ms
len=46 ip=80.120.52.** ttl=248 id=24064 sport=80 flags=RA seq=7 win=0 rtt=19.6 ms
len=46 ip=80.120.52.** ttl=248 id=62856 sport=80 flags=RA seq=8 win=0 rtt=50.2 ms
snip^C
--- 80.120.52.** hping statistic ---
15 packets transmitted, 15 packets received, 0% packet loss
round-trip min/avg/max = 1.2/18.5/50.2 ms
srv01:/home/jutta#


wenn ich das gleiche aus einem fremdnetz versuche (in meinem fall aus dem inode/upc netz), krieg ich am ende kein
len=46 ip=80.120.52.** ttl=248 id=24064 sport=80 flags=RA seq=7 win=0 rtt=19.6 ms, sondern gar keine antwort (timeout und packet-loss)

komme aber sowohl per http als auch ssh problemlos drauf (zumindest bis zur pw-eingabe).
somit vermute ich, dass das ding bloss was gegen ping hat.

hmmja, vorausgeschickt: man soll sich seine eigenen daten genau anschauen, bevor man schlußfolgerungen zieht. dann sieht man auch (was man hier wegen cut&paste nicht mehr sieht), daß das RST mit einer RTT von 2.0ms kommt, oder mit anderen worten, lokal und nicht am anderen ende der DSL-leitung generiert wird.

jutta hat geschrieben:@cm: dass du die ziel-ip verschleierst, kann ich verstehen, aber die ip des boesen telekom-routers, der deine packerl nicht durchlaesst zu verschleiern, halte ich fuer wenig hilfreich. wie soll man da draufkommen, welches geraet schuld ist und wieso es sich fehlverhaelt?

das RST-paket mu8 ja die absenderadresse des zielhosts haben (die wird vom resettenden device "gefälscht"), um seinen zweck zu erfüllen... und praktischerweise hat der verdächtige hop #3 bei traceroute und funktionierenden "hping -T"-runs auch nur "* * *" von sich gegeben.

jutta hat geschrieben:ich wuerde zunaechst einmal in erfahrung bringen, welche hardware mit welchen einstellungen an beiden enden werkelt.

das war wohl mein fehler, ich bin's end-to-end angegangen. was am drüberen ende (=server) läuft, war ab dem moment wurscht, an dem ich unter linux eine erfolgreiche rdesktop-connection bekommen hab und gesehen habe, daß das RST von hop #3 kommt, während der server über 10 hops weg war und das auch mit den TTLs der entsprechenden pakete konsistent ist -- der server (oder seine firewall) können das nie im leben verursachen.

die lokale seite hätt ich halt nicht komplett ignorieren dürfen, und daß ich mich bislang erfolgreich vom telekom-ADSL ferngehalten hab und die 10.0.0.138 nur vage zuordnen konnte, hat sicher auch seinen teil dazu beigetragen; ich bin davon ausgegangen, daß hop #3 jedenfalls der telekom-PPTP-konzentrator (oder wie auch immer das kastl heißt) ist. hätt halt auf die RTTs schauen müssen, dann wär das klar gewesen.

und dann hab ich mich auch noch davon ablenken lassen, wieso zwei XPs auf demselben SP- und patchstand unterschiedliche TCP-options in ihren SYN-paketen schicken. das kommt davon, wenn man netten leuten zuliebe von seiner "windows? was ist bitte windows?"-lebensphilosophie abgeht.

mobilkarte wurde übrigens probiert, das war ja der anfang der ganzen geschichte, "am DSL gehts ned, aber mit der datenkarte schon".

wicked_one hat geschrieben:Mit verlaub, worauf ich hinaus will ist, ohne Kenntnis von der Gegenseite zu haben, würd ich mich nie so weit rauslehnen und eine solche Diagnose stellen...

Wie gesagt, wenn dur wirklcih ein Gerät im Telekom Netz in verdacht hast, welches deine RDP Verbindung abwürgt, mach eine wirkliche RDP Session vom betroffenen System aus, lass wireshark/tcpdump mitrennen, bzw siehst du auch in Netstat gleich mal, ob wirklcih ein RST kommt, oder nur das Modem welches die Verbindung ausgehend transportiert mit dem hPing nichts anzufangen weiss

die gegenseite spielt, wie oben dargestellt, keine rolle. wireshark ist auch hinreichend zum einsatz gekommen, ich wollt hier aber nur die wesentlichen fakten bringen und euch nicht mit einer abendfüllenden debug-session langweilen: auf der betroffenen windows-kiste, auf meinem linux-notebook, ich hab die windows-kiste über ethernet ans linux gehängt und darüber gebridget, um am linux schnüffeln zu können und auszuschließen, daß eine windows-firewall verrückt spielt; die SYN-pakete der funktionierenden und nicht-funktionierenden connections verglichen, versucht, dem einen windows beizubringen, sich so zu verhalten wie das andere, und schlußendlich festgestellt, daß der trigger für das seltsame verhalten der sourceport im SYN-paket ist.

verhaut hab ich mich halt damit, wo die böse kiste steht, und das zipft mich an, ich könnt das inzwischen gelernt haben, nicht allzu vorschnell schlußzufolgern.

cm.

martin hat geschrieben:firewalls auf geräten der kategorie "fischer price - my first router" machen oft sehr komische sachen, darum schadet ein deaktivieren zu testzwecken sicher nicht

wenn das nur auf geräten der "my first router"-kategorie so wäre, wär's ja OK, ich hab das auch schon zu oft auf geräten mit deutlich höheren ansprüchen (und entsprechenden preisschildern) gesehen. deshalb hab ich ja auch nicht ausgeschlossen, daß die TA irgend ein "carrier grade IPS" einsetzt, das versucht, besonders intelligent zu sein.

eine 5 zeilige zusammenfassung sagt mehr aus als ein dump der rohdaten? interessant...

in diesem fall: ja. weil es die wesentlichen informationen beinhaltet, auch die, die ich übersehen habe

jutta hat geschrieben:ich hab grad einen haufen pakete sinloss durch die gegend gejagt. vorlaeufige erkenntnis daraus:

R-flag im output duerfte bei ta-devices nicht selten sein, hat aber bei meinen versuchen keinen negativen einfluss auf die erreichbarkeit.

und jetzt widersprech ich mir scheinbar selber: schau dir mal die SYNs, die das hping generiert, mit einem sniffer an -- bei meinem (3.0.0-alpha-2) ist da das ACK-feld nicht null, was in einem SYN-paket flasch ist. mir sind schon einige firewalls (von mickymaus bis elefantenkategorie) untergekommen, die das abchecken und die packerln rejecten oder droppen.

probier einmal ein "-L 0" in der commandline zusätzlich.

ciao,

cm.

PS: nein, das ist nicht die ursache meines ursprünglichen problems, ich hab wirklich alle unterschiede zwischen funktionierenden und nicht-funktionierenden SYN-paketen systematisch ausgeschlossen, es ist der sourceport.

wicked_one hat geschrieben:>aber ich laß mir gern neue ansätze zeigen -- was würdest du aus den im OP dargelegten fakten für schlußfolgerungen >ziehen?
Ich zäum das Pferd von unten auf, und man glaubts kaum, user können hiflreich sein. erstmal würde ich mir mal darlegen lassen, was alles involviert ist. funktioniert die RDP Verbindung von anderen Kollegen, Surfen die über Mobiles, oder ein anderes Modem, gibts nen EDV Betreuer der mir weiterhelfen kann.

cmock's Problem ist dass er hier als newbie gilt mit seinen 4 Postings. Wenn man in a.i.p nachsieht dann sieht man mit wem man hier spricht ...

local.host hat geschrieben: a.i.p

schreibs aus...
das nutznetz ist nur mehr zum saugen bekannt...