Problem: aus e. Netz mit LINUX-Firewall soll HBCI betrieben werden mit Chipkarte als Sicherheitsmedium. Als Client wird SFirm unter W2k benutzt; leider bricht die Verbindung nach ein paar Paketen ab;
- die Verbindung bricht ab, egal auf welcher Maschine im Netz die Software gestartet wird;
- Das Netz ist per TKOM-DSL an das Internet angeschlossen;
- HBCI mit Sicherheitsdiskette funktioniert problemlos, egal welche Maschine, Software (SFirm, EFIX, MoneyPlex, StarMoney), Betriebssystem (W32, Linux), bei HBCI mit Chipkarte bricht die Verbindung bei allen Varianten an derselben Stelle ab (es müsste theoretisch wieder ein Paket von der Bank kommen, lt. HBCI-Zentrale wird das Protokoll fehlerfrei abgearbeitet, sie schicken angeblich die Daten, die nie ankommen).
- Client, Chipkarte und -leser funktionieren nachweislich (in anderen Netz, kein DSL) ohne Probleme
- bei einem Windowsclient direkt an das DSL-Modem angeschlossen hat wieder alles funktioniert.
Der Verkehr wurde mit tcpdump -i any host x.x.x.x überwacht, da es TCP ist, müssen alle Pakete bestätigt werden, ein 'heimlicher' Wechsel von Port oder
Serverhost ist nicht möglich; jedes mitgeschnittene Paket taucht dreimal auf: vom Clienthost an die Firewall, vom Clienthost an den Zielhost, von der Firewall an den Zielhost, auch wenn man länger wartet kommt vom Bankrechner kein Datenpaket mehr an, SFirm bricht nach Ablauf des Timeouts mit einer Fehlermeldung ab.
Auf der Firewall habe ich verschiedene Varianten durchprobiert ohne Änderung des Verhaltens:
- Portforwarding (Pakete vom Bankrechner werden direkt durchgeschalten zum SFirm Rechner)
- normales Forwarding mit Statefull Inspection und Masquerading für Port 3000 (Hin- und Rückkanal)
- völliges Freischalten aller Datenpakete vom Clientrechner.
Da HBCI mit Diskette in allen Fällen funktioniert, gehe ich davon aus,daß, wie auch in anderen betreuten Netzen, das normale Forwarding für Pakete zum Port 3000 des Bankrechners ausreichend ist.
Was ist, protokolltechnisch, der Unterschied zwischen HBCI mit Chipkarte und Diskette, wie kann sich das auswirken (unterschiedlich große Datenpakete?); die MTU bei DSL ist 1492, allerdings überschreitet keines der Pakete zu Beginn der Kommunikation 500 Byte, also kommt ein Fragmentierungsproblem auch nicht in Frage.
Die Bank sieht den Fehler im Netzwerk, resp. der Firewall, ich kann allerdings, aufgrund der Verschlüsselung, den Inhalt der Pakete nicht untersuchen und so gegf. das Gegenteil beweisen.
Ist irgendwem dieses seltsame Verhalten schon einmal begegnet?
Danke
- die Verbindung bricht ab, egal auf welcher Maschine im Netz die Software gestartet wird;
- Das Netz ist per TKOM-DSL an das Internet angeschlossen;
- HBCI mit Sicherheitsdiskette funktioniert problemlos, egal welche Maschine, Software (SFirm, EFIX, MoneyPlex, StarMoney), Betriebssystem (W32, Linux), bei HBCI mit Chipkarte bricht die Verbindung bei allen Varianten an derselben Stelle ab (es müsste theoretisch wieder ein Paket von der Bank kommen, lt. HBCI-Zentrale wird das Protokoll fehlerfrei abgearbeitet, sie schicken angeblich die Daten, die nie ankommen).
- Client, Chipkarte und -leser funktionieren nachweislich (in anderen Netz, kein DSL) ohne Probleme
- bei einem Windowsclient direkt an das DSL-Modem angeschlossen hat wieder alles funktioniert.
Der Verkehr wurde mit tcpdump -i any host x.x.x.x überwacht, da es TCP ist, müssen alle Pakete bestätigt werden, ein 'heimlicher' Wechsel von Port oder
Serverhost ist nicht möglich; jedes mitgeschnittene Paket taucht dreimal auf: vom Clienthost an die Firewall, vom Clienthost an den Zielhost, von der Firewall an den Zielhost, auch wenn man länger wartet kommt vom Bankrechner kein Datenpaket mehr an, SFirm bricht nach Ablauf des Timeouts mit einer Fehlermeldung ab.
Auf der Firewall habe ich verschiedene Varianten durchprobiert ohne Änderung des Verhaltens:
- Portforwarding (Pakete vom Bankrechner werden direkt durchgeschalten zum SFirm Rechner)
- normales Forwarding mit Statefull Inspection und Masquerading für Port 3000 (Hin- und Rückkanal)
- völliges Freischalten aller Datenpakete vom Clientrechner.
Da HBCI mit Diskette in allen Fällen funktioniert, gehe ich davon aus,daß, wie auch in anderen betreuten Netzen, das normale Forwarding für Pakete zum Port 3000 des Bankrechners ausreichend ist.
Was ist, protokolltechnisch, der Unterschied zwischen HBCI mit Chipkarte und Diskette, wie kann sich das auswirken (unterschiedlich große Datenpakete?); die MTU bei DSL ist 1492, allerdings überschreitet keines der Pakete zu Beginn der Kommunikation 500 Byte, also kommt ein Fragmentierungsproblem auch nicht in Frage.
Die Bank sieht den Fehler im Netzwerk, resp. der Firewall, ich kann allerdings, aufgrund der Verschlüsselung, den Inhalt der Pakete nicht untersuchen und so gegf. das Gegenteil beweisen.
Ist irgendwem dieses seltsame Verhalten schon einmal begegnet?
Danke
, Chipkarte anmelden mit Chipkarte Lesen im HBCI-Dialog, danach Kennung vergeben und Benutzerdaten aktualisieren)