Webbox ( Fortsetung )

Ich mache noch mal ein neues Thema auf, weil mein Problem doch ehr abweichend ist und ich neue Erkenntnisse berichten kann.

Plötzlich mal wieder, und es war in der Vergangenheit schon mal, antwortete die Webbox auf Port 443 nicht konstant, das führte auf den mobilen Endgeräten per EAS (ActiveSync) zum "Accountfehler" und dazu das Mails nicht im 1. Anlauf versendetwerden konnten und auch der Empfang hakt. Ich habe mit einem Portscanner sowohl von der Konsole des Mailservers als auch aus dem Internet festgestellt, das der Port 443 nicht durchgehend antwortete. Nehme ich im Router temporär die Portweiterleitung raus, funktioniert im lokalen der Portping an 443 des Mailservers EINWANDFREI.

Es muss also irgendetwas mit der Kommunikation von außen auf die Webbox zu tun haben. Nur was. Die Auswertung der Protokolldatei brachte mir IP Adressen zum Vorschein, die weder Vodafone, Telekom, O2, 1&1 zuzurechnen sind. Nur was wollen diese IP Adressen von meiner Webbox. Mich würde interessieren, wie man an eine vernünftige Auswertung kommt, welche IP wann was von meiner Webbox will und ob die Anfrage an der Passwortschranke passiert oder zurückgewiesen wurde. Ich habe vorerst alle mir nicht bekannten IP-Adressräume in der Routerfirewall geblockt. Scheinbar ist im Moment Ruhe in meiner Webbox. Ich hoffe niemand zu Unrecht ausgesperrt zu haben.

Übrigens ein Anruf bei Tobit brachte außer "wir können da nicht viel machen" oder "installieren Sie die neusten Windows Updates" wirklich nichts außer das ich mich wegen meiner Vehemenz auch noch beschimpfen lassen musste.

Hat jemand von Euch schon mal ein ähnliches Problem gehabt oder vielleicht hilfreiche Denkanstöße?

Update:

Mit dem Kommandozeilentool PPING Latest (Heise Download) kann man Port 443 anpingen,

beispielsweise 100 mal:

>pping_latest.exe <host> <port443> repeats=100, ich hatte 30 "open" und 70 "close". Daraufhin habe ich im Webbox-Log gesucht nach "new Connection" und alle IP-Bereiche nacheinander in der Router-Firewall verworfen, die aus Ländern kommen die verdächtigt cheinen. Ich hatte IP Adressen aus Korea, aber auch ein Netz von Amazon und Hetzner. Auf alle Fälle kamen noch alle Handyuser rein, und der Portping ergab 100 mal OPEN.

Die Möglichkeiten im David Administrator, was Auswertung darüber erlaubt, was bei der Webbox anliegt sind nicht gerade hilfreich. Es wäre gut, bei den Activ Sync Usern die IP-Adresse und die Anmeldevorgänge mit aufzunehmen, und vor allem nur die IP zu sperren, die mit falschen Anmeldungen versuchen die Webbox zu attackieren. Nur redet man bei Tobit gegen die Wand. Und immer die aktuellsten Windows Updates und Netzwerkkartentreiber.

Moin, ich habe hier einen Lancom Router, den "Türsteher" kann ich manuell konfigurieren aufgrund der eingehenden Verbindungen, aber es kommen dann andere IP Bereiche hinzu, etwas verzögert. Ich kann die Länderliste noch ergänzen, Korea (weiss nicht ob Süd oder Nord), Türkei aber auch vereinzelnt Deutschland. Ich vermute, das es zu fehlerhaften Anmeldungen kommt und dadurch die Webbox blockiert. Nur warum den auch die guten? Oder das Ding macht bei Überlastung dicht. Ich werde heute nochmal versuchen, bei Tobit jemand kompetenten ans Telefon zu bekommen, der mir vielleicht sagen kann, wie die Webbox tickt in solchen Fällen.

meine Ping liste (Auszug) (PPING latest aus Heise Download)

Starting pinging host <öffentl webboxhost adr> on TCP port(s) 443 36 times:

# 1 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

# 2 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

# 3 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

# 4 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

# 5 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

# 6 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

# 7 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 8 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 9 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 10 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 11 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 12 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 13 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 14 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

# 15 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 16 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 17 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 18 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 19 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

# 20 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

# 21 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

# 22 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

# 23 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 24 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 25 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 26 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 27 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 28 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 29 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 30 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 31 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 32 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 33 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 34 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 35 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

# 36 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

Wenn Closed, ist die Webbox nicht erreichbar und das mobile Endgerät meldet das der Server nicht erreicht wird, bzw. es kommt mitten in der Kommunikation zum Abbruch.

Ich bekam noch den Hinweis von Tobit das im David Admin unter Systm/Konfigurieren/Sicherheit unten in der Abteilung Web Access noch eingestellt werden kann, unter Brutforce Angriff: Konto für eine Stunde sperren. Das ist zwar gut gemeint, aber es hat mir nicht wirklich geholfen. Man müsste tatsächlich alle ausländischen IP in der Firewall blocken. User, die im Ausland nicht reikommen, müssten Ihre IP Adressen mitteilen, denn kann man die freigeben. Ich muss sagen das ich momentan immer wieder angegriffen werde und ich ständig stopfen muss.

Zur Frage von Black Shadow: Bei mir im Lancom ist ein Portforwardeing eingetragen. Die öffentliche IP wird im Webbox Log angezeigt. Wenn man oben im Filterfeld "new connection" eingibt bekommt an alle eingehenden Verbindungen angezeigt. Und ich hatte IP Adressen aus aller Welt, Türkei, Trump, Korea aber auch Deutschland. Jedes Mal nach dem ich auffällige IP geblockt habe, war erst mal Ruhe.