Syslog: Packet Alarm

[Bernie137]

Hallo,

ich bin gerade dabei, einmal alle VPN Router durch zu sehen. Dabei fallen mir immer wieder Meldungen auf in der Form:

Code: Alles auswählen

Datum/Zeit       PACKET         Alarm       Dst:xxx.xxx.xxx.122, Src: <verschiedenste IPs>: (ESP)/<andere Ports>: connection refused

Src: IPs sind manachmal eigene andere VPN Router, aber auch fremde IP Adressen.

Was hat es damit auf sich?
Was sollte ich dagegen unternehmen?
Wie kann ich die Syslog Meldungen über die CLI oder Console abrufen?

vg Heiko

[Pothos]

Hi Bernie137,

das sind mehr oder weniger "normale" Einträge. Die rühren meist daher das irgendjemand im Inet versucht hat auf dich zuzugreifen und der LANCOM das geblockt hat. Viel dagegen machen kannst du glaub ich nicht aber vllt hat ja da jemand ne Idee.

Auf der CLI findest du die Einträge unter "/Status/TCP-IP/Syslog/Last-Messages"
(Console oder CLI (Command Line Interface) sind übrigens dasselbe .)

[backslash]

Hi Bernie137,

die Meldungen kommen aus der Maskierung, wenn ein Paket empfangen wurde, für das es keinen Maskierungseintrag gibt. Alle vom Internet empfangenen Pakete für die es keinen Listener im LANCOM selbst gibt, werden an die Maskierung weitergeleitet.

Bei den ESP-Paketen ist es so, daß das LANCOM ja einerseits selbst Tunnel-Endpunkt sein kann und andererseits *gleichzeitig* IPSec auch maskieren kann. Wenn gerade der Tunnel (bzw. eine SA) zu deiner Gegenstelle abgebaut wurde und von dort noch ein verspätetes ESP-Paket kommt, dann gibt es für dieses Paket (genauer für den SPI des Pakets) keinen Listener im LANCOM selbst und das Paket geht an die Maskierung, welche es dann verwirft.

Gruß
Backslash

[Bernie137]

Hi,

ich danke Euch für die Hinweise und Erklärungen.

(Console oder CLI (Command Line Interface) sind übrigens dasselbe .)

Ja ich meinte WEBconfig und Console und habe es verkehrt geschrieben. Nun finde ich es jedenfalls an beiden Stellen.

vg Heiko