Hallo,
ich habe hier einen 7100 mit einigen VLANs und eine Firewall (UTM Appliance, AV, IPS, IDS, Reverse Proxy etc.) ebenfalls mit einigen VLANs installiert.
Im 7100 ist einen statische Route zu 172.20.55.0/24 (VLAN55) via UTM Appliance ("DMZ", 172.20.5.xx, VLAN5) eigerichtet. Das VLAN55 hängt nur an der Appliance mit dieser als Default Route. Ist alles aus LANCOM Sicht LAN-1, "DMZ", RTG-Tag:55. Interessant: bisher habe ich nur SRCip: 172.20.55.111
IDS Messages gefunden, keine DSTip. Die 172.20.55.111 IP wird via IP Masq. für bestimmte Ports vom 7100 angesprochen.
Der Routing Tag wird benötigt, da auf der UTM Appliance 3 VLANs (aus unterschiedlichen Gründen) ankommen die von 7100 gerouted werden und sonst die Firewall das IP Spoofing anschlägt. Das Gerät wird nur für ein paar Server und Clients genutzt, der Rest läuft direkt über den 7100 ( aus Kostengründen ).
Nun schlägt ca. 1-5*/h das LANCOM IDS zu. Besteht die Möglichkeit an Hand der Trace Einträgt zu sagen, was hier das LCOS nicht mag und wieso?
Es gibt hier kein permanentes Problem ([11/Feb/2016 01:48:35] HTTP/ActiveSync: User xxx authenticated from IP address 176.6.19.119; Apple-iPhone4C1/1304.15, [11/Feb/2016 02:17:26] HTTP/ActiveSync: User xxx authenticated from IP address 176.6.19.119; Apple-iPhone4C1/1304.15
).
Danke
Henri
[Firewall] 2016/02/11 02:00:02,827 Devicetime: 2016/02/11 02:00:03,639
Packet matched rule intruder detection
DstIP: 176.6.19.119, SrcIP: 172.20.55.111, Len: 409, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 53564, SrcPort: 4443, Flags: PA
Seq: 2877921977, Ack: 2963717330, Win: 4104, Len: 357
Option: NOP
Option: NOP
Option: 08 = 07 0c 6d 1e 4a b6 66 75
Filter info: packet received from invalid interface LAN-1
send syslog message
send SNMP trap
packet dropped
[IP-Router] 2016/02/11 02:00:02,827 Devicetime: 2016/02/11 02:00:03,638
IP-Router Rx (LAN-1, DMZ, RtgTag: 55):
DstIP: 176.6.19.119, SrcIP: 172.20.55.111, Len: 409, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 53564, SrcPort: 4443, Flags: PA
Seq: 2877921977, Ack: 2963717330, Win: 4104, Len: 357
Option: NOP
Option: NOP
Option: 08 = 07 0c 6d 1e 4a b6 66 75
Filter (Port)
UTM Appliance Debug:
[11/Feb/2016 02:00:47] {pktdrop} packet dropped: 3-way handshake not completed (from Local Network Access DMZ (VLAN55), proto:TCP, len:483, 172.20.55.111:4443 -> 176.6.19.119:53564, flags:[ FIN ACK PSH ], seq:2877921977 ack:2963717330, win:4104, tcplen:431)
[11/Feb/2016 02:00:48] {pktdrop} packet dropped: 3-way handshake not completed (from Local Network Access DMZ (VLAN55), proto:TCP, len:396, 172.20.55.111:4443 -> 80.187.105.23:24994, flags:[ FIN ACK PSH ], seq:1110542842 ack:683887297, win:4109, tcplen:344)
Packet matched rule intruder detection
Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie
Moderator: Lancom-Systems Moderatoren
Zurück zu „Fragen zur LANCOM Systems Routern und Gateways“
Gehe zu
- Ankündigungen
- ↳ LANCOM-Forum.de Ankündigungen
- LANCOM Management Cloud (LMC)
- ↳ LANCOM Management Cloud
- LANCOM-Systems Router
- ↳ Fragen zur LANCOM Systems Routern und Gateways
- ↳ Fragen zu LANCOM UMTS/LTE Router
- ↳ Fragen zum Thema Firewall
- ↳ Fragen zum Thema VPN
- ↳ Fragen zum Thema IPv6
- ↳ Fragen zu LANCOM Systems VoIP Router
- LANCOM-Systems WLAN Controller
- ↳ Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller
- LANCOM Systems Accesspoints, Karten und Antennen
- ↳ LANCOM Wireless aktuelle Accesspoints
- ↳ LANCOM Wireless aeltere Accesspoints
- ↳ LANCOM AirLancer
- ↳ AirLancer Extender Antennen
- LANCOM LCMS - LANCOM Management System
- ↳ LANCOM LCMS/LANtools - (LANconfig, LANmonitor, LANtracer ...)
- ↳ LANCOM Wireless ePaper
- ↳ LANCOM Large Scale Monitor (LSM) und Large Scale Rollout (LSR)
- ↳ LANCOM: LANCOM LANCAPI und CAPI Fax-Modem
- ↳ LANCOM Software-Optionen
- ↳ LANCOM "Mobile Apps"
- ↳ Alles zum LANCOM Advanced VPN Client
- LANCOM Ethernet Switches
- ↳ LANCOM "managed" Switches
- ↳ LANCOM "unmanaged" Switches
- LANCOM-Forum Allgemeines
- ↳ LANCOM-Forum.de Regeln
- ↳ LANCOM: News und Ankündigungen
- ↳ LANCOM FAQ: FAQ-Bereich
- ↳ LANCOM: Allgemeine Fragen
- ↳ LANCOM: Feature Wünsche
- ↳ LANCOM: Custom LANCOM
- Sonstiges
- ↳ Allemeine Themen
- ↳ LANCOM-Forum.de