unter Zugriffs-Rechte sind SNMPv1/v2 und SNMPv3 im lokalen LAN des LANCOMs erlaubt (ist so erforderlich).
Die SNMP-Community public ist jedoch aus Sicherheitsgründen nicht erlaubt (ebenfalls so erforderlich).
Macht jetzt ein Client im lokalen LAN eine SNMP-Anfrage (GET-Request) mit der SNMP-Community public an den LANCOM (direkt oder z. B. indirekt als Broadcast), so wertet der LANCOM-Router dies als Hack-Versuch und sperrt den SNMP-Zugriff (entsprechend der Einstellungen unter Konfigurations-Login-Sperre), übrigens auch wenn man von WAN-Seite per VPN kommt. In der Folge kann der LANCOM nicht mehr mit PRTG gemonitort werden und Fehler-E-Mails sind die Folge. Public zu verbieten ist also mit der Firmware 9.20/9.24 zum Problem geworden. Vorher hat der LANCOM einfach nicht geantwortet, fertig. Alles gut.
Hintergrund: Das Problem trat bei mir seit längerem sporadisch an verschiedenen Stellen auf. Ein Trace zeigte mir ziemlich schnell:
Code: Alles auswählen
[SNMP-Engine-Error] 2016/11/14 13:40:44,042 Devicetime: 2016/11/14 13:40:45,636 Wrong security information
Version: Integer32: 0
Community: public; OctetString: 0x70 0x75 0x62 0x6c 0x69 0x63
ConnectionInfo:
Port: 2, LAN-1
tag: 0
[SNMP-Engine-Error] 2016/11/14 13:42:03,517 Devicetime: 2016/11/14 13:42:05,109 Wrong security information
Version: Integer32: 0
Community: public; OctetString: 0x70 0x75 0x62 0x6c 0x69 0x63
ConnectionInfo:
Port: 2, LAN-1
tag: 0
[SNMP-Engine-Error] 2016/11/14 13:42:04,231 Devicetime: 2016/11/14 13:42:05,824 Wrong security information
Version: Integer32: 0
Community: public; OctetString: 0x70 0x75 0x62 0x6c 0x69 0x63
ConnectionInfo:
Port: 2, LAN-1
tag: 0
[SNMP-Engine-Error] 2016/11/14 13:42:05,438 Devicetime: 2016/11/14 13:42:07,033 SNMP access not granted: login blocked
[SNMP-Engine-Error] 2016/11/14 13:42:07,233 Devicetime: 2016/11/14 13:42:08,829 SNMP access not granted: login blocked
Druckdienste-Plug-In von Samsung:
Code: Alles auswählen
[Ethernet] 2016/11/14 20:51:12,576
Received 83 byte Ethernet packet via LAN-1:
HW Switch Port : ETH-4
IPv4 Hdr Checksum : OK
IP Proto Checksum : OK
-->IEEE 802.3 Header
Dest : ff:ff:ff:ff:ff:ff (Broadcast)
Source : 34:14:5f:0d:4e:c5 (Samsung 0d:4e:c5)
Type : IPv4
-->IPv4 Header
Version : 4
Header Length : 20
ToS/DSCP : (0x00) (Precedence 0) / (DSCP CS0/BE)
Total length : 69
ID : 59900
Fragment : Offset 0 DontFrag
TTL : 64
Protocol : UDP
Checksum : 15510 (OK)
Src Address : 10.10.10.12
Dest Address : 255.255.255.255
-->UDP Header
Src Port : 48195
Dest Port : SNMP
Length : 49
Checksum : 46595 (OK)
ASN.1 Data : SEQUENCE (len = 39)
INTEGER (len = 1): 1
OCTET-STRING (len = 6):
70 75 62 6c 69 63 public
GET-NEXT-REQUEST (len = 26)
INTEGER (len = 4): 1548192577
INTEGER (len = 1): 0
INTEGER (len = 1): 0
SEQUENCE (len = 12)
SEQUENCE (len = 10)
OBJECT-ID (len = 6): mib-2.43
NULL
Code: Alles auswählen
[Ethernet] 2016/11/14 20:54:58,014
Received 101 byte Ethernet packet via LAN-1:
HW Switch Port : ETH-4
IPv4 Hdr Checksum : OK
IP Proto Checksum : OK
-->IEEE 802.3 Header
Dest : ff:ff:ff:ff:ff:ff (Broadcast)
Source : 34:14:5f:0d:4e:c5 (Samsung 0d:4e:c5)
Type : IPv4
-->IPv4 Header
Version : 4
Header Length : 20
ToS/DSCP : (0x00) (Precedence 0) / (DSCP CS0/BE)
Total length : 87
ID : 50995
Fragment : Offset 0 DontFrag
TTL : 64
Protocol : UDP
Checksum : 19012 (OK)
Src Address : 10.10.10.12
Dest Address : 10.10.10.255
-->UDP Header
Src Port : 45433
Dest Port : SNMP
Length : 67
Checksum : 27020 (OK)
ASN.1 Data : SEQUENCE (len = 57)
INTEGER (len = 1): 0
OCTET-STRING (len = 6):
70 75 62 6c 69 63 public
GET-REQUEST (len = 44)
INTEGER (len = 1): 1
INTEGER (len = 1): 0
INTEGER (len = 1): 0
SEQUENCE (len = 33)
SEQUENCE (len = 12)
OBJECT-ID (len = 8): system.5.0
NULL
SEQUENCE (len = 17)
OBJECT-ID (len = 13): enterprises.11.2.3.9.1.1.7.0
NULL
Vielen Dank und viele Grüße,
Jirka