Altijd ERR_CONNECTION_RESET van één site

Mijn vraag:
Binnen mijn netwerk is er sinds woensdag 21-aug rond 15:30 één (publieke) URL die steevast ERR_CONNECTION_RESET geeft bij alle browsers en bij alle devices. Dit is https://werkplek.rws.nl.

Belangrijkste vraag: wat wil deze melding precies zeggen?
Waar zou dit door getriggerd kunnen worden?


Relevante software en hardware die ik gebruik:
* OpnSense, Omada, Box12 of Fritzbox router
* NGNIX based reverse proxy genaamd SWAG
* Pihole
* Cloudflare


Wat ik al gevonden of geprobeerd heb
* Zowel Pihole als reverse proxy uit
* UPnP aan en firewall rules uit (alles is toegestaan)
* Box12 en Fritzbox met fabrieksinstellingen
* Eén plat netwerk met subnet 192.168.2.0/24 (Box12) - dus geen vlans
* Linux Mint en Windows 11; beiden met Chrome, Edge en FF.
* ChromeOS en Android
Geen van deze levert iets werkends.


Wat wel werkt:
* Een hotspot via mijn mobiel
* Wifi van de buren (via Ziggo)
* Via een VPN met de router bij een maatje in een ander dorp

internet4me schreef op zondag 25 augustus 2024 @ 11:23:
2. Je zit achter een ip adres die bekend staat als slecht. Bv via een vpn dienst of je hebt lopen hacken/spammen. (Bot beveiliging bij de websitebeheerder, zoek eens op ip reputation lookup)

Heb ik gedaan met het eigen IP adres. Voor e-mail staat het complete subnet op een lijst bij Spamhaus.org:

77.168.0.0/14 is listed on the Policy Block List (PBL)
Outbound Email policy of KPN Internet / AS8737 / AS1136. for this IP range

It is the policy of KPN Internet that unauthenticated email sent from this IP address should be sent out only via the designated outbound mail server allocated to KPN Internet customers. To find the hostname of the correct mail server to use, customers should consult the original signup documentation or contact KPN Internet Technical Support.

Ik heb geen eigen mailserver draaien => ga er vooralsnog vanuit dat dit geen invloed heeft?!

jnr24 schreef op zondag 25 augustus 2024 @ 12:30:
Je klinkt heel fanatiek met allerlei probeersels en verre van doorsnee apparatuur en software. Eén van die probeersels heeft een limiet of argwaan bij een systeem van RWS.

Ja - klopt - ik steek de nodige tijd, energie en geld om voor mezelf een goede en veilige werkplek te creëren.

Maar ik gok dat je dat eigenlijk niet bedoeld met deze opmerking...

mark1111 schreef op zondag 25 augustus 2024 @ 12:40:
Heb je het ook vanuit een Incognito Window in Chrome geprobeerd?

En zorg dat je geen VPN verbinding actief hebt

Ja - ik heb zowel bij Chrome, FF en Edge incognito een poging gedaan.
En dat zowel bij Linux Mint als Windows 11.
In alle gevallen geen verbetering.

Er is geen VPN in het spel.

[ Voor 7% gewijzigd door Airw0lf op 25-08-2024 14:14 ]

jnr24 schreef op zondag 25 augustus 2024 @ 12:53:
[...]

Nou ik bedoel er niks mee, ik geef je groot gelijk. Maar daardoor val je misschien heel subtiel en onbewust buiten een soort limiet. Dat kan van alles zijn, wisselende user-agents, onbekend OS in user-agent, ik weet niet of je heel zuinig bent met bepaalde cookies/headers.

Voorbeeld: een fietsenstalling, daar valt de persoon die zijn fiets met 8 sloten op slot zet ook meer op, misschien niet direct door het aantal sloten, maar doordat hij verdacht lang aan een fiets zit te rommelen.

CONNECTION_RESET is een TCP laag melding als ik het goed heb. Hoogstwaarschijnlijk een firewall of zo'n 'smart proxy' die keihard afkapt.

Hoe gebruik je cloudflare precies voor deze verbinding? Heb je wisselende IP adressen met hetzelfde token waardoor je een ddos achtige aanpak lijkt te gebruiken?

Bedankt voor de uitgebreide toelichting.

Ik gebruik Cloudflare alleen i.c.m. een reverse proxy.
Waarbij Cloudflare de eerste lijn van DDoS verdediging is.
En iets dat heet SWAG met Fail2Ban de tweede lijn is.
In beide gevallen is er een vorm van Geo-blocking aan gekoppeld.

Uitgaand is er niks => direct internet zonder proxy of wat dan ook.
Enkel een basale DNS beveiliging via Cloudflare op basis van 1.1.1.2 en 1.0.0.2.

synoniem schreef op zondag 25 augustus 2024 @ 13:57:
[...]

Wat gebeurt er als je de volledige link gebruikt? https://werkplek.rws.nl/logon/LogonPoint/tmindex.html
(De achterliggende NetScaler is vernieuwd.)

Dit lijkt me wat veel off-topic te gaan => heb je een PB gestuurd met de resultaten.

jnr24 schreef op zondag 25 augustus 2024 @ 12:53:
[...]

CONNECTION_RESET is een TCP laag melding als ik het goed heb. Hoogstwaarschijnlijk een firewall of zo'n 'smart proxy' die keihard afkapt.

Vanmorgen contact gehad met de tweede lijn bij RWS.
En dit bleek inderdaad het geval - dit als gevolg van een blacklist entry bij webroot.
Mijn IP adres is nu bij hun op een whitelist gezet.

[ Voor 6% gewijzigd door Airw0lf op 26-08-2024 10:49 ]