Jeg har fået til opgave prøve løse en opgave ude på mit arbejde, efter vi har opgraderet vores firewall Watchguard m200 til kører tls 1.3 så har vi et problem med når vi kalder XFF pakken så får vi den forkerte ip, vi får ip fra watchguarden istedet for klientens ip.
har efterhånden fulgt 200 guides og forsøg og scripts både i arr og i haproxy samt wireshark, men det samme resultat, har haft fat i watchguard support som har preglet os lidt imod en retning ift det noget konfiguration på vores loadbalancere som skal opsættes, men uden held!
Nogen herinde der skarpe på det når vi snakker tls 1.3 som er encryptet fra watchguarden af igennem https-proxy ud mod arr ? jeg har vedhæftet en wireshark som viser at både min iphone-wan-ip som er den jeg ønsker postet kommer ind, men også den anden forbindelse som er .254 lokal ip som jeg ikke ønsker er den, som den smider i XFF header...
Alting var sku nemmere med tls 1.2 som bare smider afsted i plaintext fra vores m200
har forsøgt med bla. I haproxy
reqidel ^X-Forwarded-For:.*
option forwardfor except 192.168.1.254 header HTTP_X_FORWARDED_FOR
option forward for
.254
Capturing on 'enp0s25'
1 0.000000000 Ubiquiti_66:d1:6a ? Broadcast ARP 60 Who has 192.168.1.254? Tell 192.168.1.120
2 1.450162408 192.168.1.254 ? 192.168.1.182 TCP 60 33514 ? 443 [ACK] Seq=1 Ack=1 Win=338 Len=0
3 2.522111947 192.168.1.254 ? 192.168.1.251 TCP 66 42674 ? 443 [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 WS=128
4 2.522150291 192.168.1.251 ? 192.168.1.254 TCP 66 443 ? 42674 [SYN, ACK] Seq=0 Ack=1 Win=64240 Len=0 MSS=1460 SACK_PERM=1 WS=128
5 2.522555186 192.168.1.254 ? 192.168.1.251 TCP 60 42674 ? 443 [ACK] Seq=1 Ack=1 Win=29312 Len=0
6 2.522716221 192.168.1.254 ? 192.168.1.251 TLSv1 571 Client Hello
7 2.523193027 192.168.1.251 ? 192.168.1.254 TLSv1.3 4150 Server Hello, Change Cipher Spec, Application Data
8 2.523602393 192.168.1.254 ? 192.168.1.251 TCP 60 42674 ? 443 [ACK] Seq=518 Ack=4097 Win=37504 Len=0
9 2.524883683 192.168.1.251 ? 192.168.1.254 TLSv1.3 525 Application Data, Application Data, Application Data
10 2.525252285 192.168.1.254 ? 192.168.1.251 TCP 60 42674 ? 443 [ACK] Seq=518 Ack=4568 Win=40320 Len=0
11 2.633418392 192.168.1.254 ? 192.168.1.251 TLSv1.3 118 Change Cipher Spec, Application Data
12 2.633760829 192.168.1.251 ? 192.168.1.254 TLSv1.3 133 Application Data
13 2.633869002 192.168.1.251 ? 192.168.1.254 TLSv1.3 133 Application Data
14 2.634156458 192.168.1.254 ? 192.168.1.251 TCP 60 42674 ? 443 [ACK] Seq=582 Ack=4647 Win=40320 Len=0
15 2.634156749 192.168.1.254 ? 192.168.1.251 TCP 60 42674 ? 443 [ACK] Seq=582 Ack=4726 Win=40320 Len=0
16 2.641464640 192.168.1.254 ? 192.168.1.251 TLSv1.3 442 Application Data
17 2.643826849 192.168.1.251 ? 192.168.1.254 TLSv1.3 237 Application Data
18 2.682144656 192.168.1.254 ? 192.168.1.251 TCP 60 42674 ? 443 [ACK] Seq=970 Ack=4909 Win=43264 Len=0
19 2.729300289 192.168.1.254 ? 192.168.1.182 TLSv1.2 100 Application Data
20 4.431582605 192.168.1.254 ? 192.168.1.251 TLSv1.3 78 Application Data
21 4.431689686 192.168.1.254 ? 192.168.1.251 TCP 60 42674 ? 443 [RST, ACK] Seq=994 Ack=4909 Win=43264 Len=0
wan ip som ønskes videresendt i xff pakken
turing on 'enp0s25'
1 0.000000000 62.198.140.115 ? 192.168.1.251 TCP 66 4672 ? 443 [SYN] Seq=0 Win=43690 Len=0 MSS=1460 SACK_PERM=1 WS=128
2 0.000064849 192.168.1.251 ? 62.198.140.115 TCP 66 443 ? 4672 [SYN, ACK] Seq=0 Ack=1 Win=64240 Len=0 MSS=1460 SACK_PERM=1 WS=128
3 0.000478725 62.198.140.115 ? 192.168.1.251 TCP 60 4672 ? 443 [ACK] Seq=1 Ack=1 Win=43776 Len=0
4 0.001859293 62.198.140.115 ? 192.168.1.251 TLSv1 571 Client Hello
5 0.002753669 192.168.1.251 ? 62.198.140.115 TLSv1.3 4150 Server Hello, Change Cipher Spec, Application Data
6 0.003176060 62.198.140.115 ? 192.168.1.251 TCP 60 4672 ? 443 [ACK] Seq=518 Ack=4097 Win=129792 Len=0
7 0.005493636 192.168.1.251 ? 62.198.140.115 TLSv1.3 525 Application Data, Application Data, Application Data
8 0.005878275 62.198.140.115 ? 192.168.1.251 TCP 60 4672 ? 443 [ACK] Seq=518 Ack=4568 Win=131072 Len=0
9 0.014059659 62.198.140.115 ? 192.168.1.251 TLSv1.3 118 Change Cipher Spec, Application Data
10 0.014255750 192.168.1.251 ? 62.198.140.115 TLSv1.3 133 Application Data
11 0.014335894 192.168.1.251 ? 62.198.140.115 TLSv1.3 133 Application Data
12 0.014656373 62.198.140.115 ? 192.168.1.251 TCP 60 4672 ? 443 [RST, ACK] Seq=582 Ack=4568 Win=131072 Len=0
^C12 packets captured
--
Pc - I5 2500K @ 4,5 Lc | Asrock ultimate6 | 4 gb Cl 7 | 6870 |
Hifi - Denon 4308 | Dali mentor 8 | Cw HFA 18x | Samsung us6705 46" Led
--
Sidst redigeret 15-10-2021 14:19