Moin,
ich habe 2 DSL Leitungen und über policy routing jedem meiner beiden subnetze eine dsl leitung zugeteilt. Sonst steht nichts grossartiges in der firewall (kein deny all etc). Auf einem Lancom 1721 funktionierte das auch tadellos. Jetzt sollte die konfig auf einen neu gekauften lancom übetragen werden(gleiches modell, gleiche Firmware 8.00.0221)
mein problem ist nun, das clients(die telefone) anscheinend von der Firewall als intruder detection wahrgenommen werden und somit nicht zu ihrem provider im internet durchkommen um sich anzumelden. Das passiert nur mit dem einem Lan aber nicht mit dem PC Lan welches über DHCP läuft.
ich habe also zwei subnetze von dem eines immer wieder von der firewall gestört(UDP Pakete verworfen) wird durch falsche intruder detection meldungen.
hat jemand eine idee?
Firewall intruder detection des internen LANs
Moderator: Lancom-Systems Moderatoren
Hi henryy,
i.A. sind die "intruder detection" Meldungen korrekt und es stimmt was nicht am den beteiligten Geräten. Du sagst du hast zwei Netze, eins mit DHCP und eins ohne... Bist du sicher, daß die Telefone, die ja offenbar im Netz ohne DHCP stehen, auch wirklich korrekt konfiguriert sind?
Laß die von der Firewall mal als IDS-Aktion eine Mail schicken... Da steht dann explizit drin, weshalb die Firewall das Paket abgelehnt hat
Gruß
Backslash
i.A. sind die "intruder detection" Meldungen korrekt und es stimmt was nicht am den beteiligten Geräten. Du sagst du hast zwei Netze, eins mit DHCP und eins ohne... Bist du sicher, daß die Telefone, die ja offenbar im Netz ohne DHCP stehen, auch wirklich korrekt konfiguriert sind?
Laß die von der Firewall mal als IDS-Aktion eine Mail schicken... Da steht dann explizit drin, weshalb die Firewall das Paket abgelehnt hat
Gruß
Backslash
Hi Backslash,
Was könnte an den telefonen falsch konfiguriert sein? Feste ip haben sie und standardgateway natürlich auch. An einem anderen 1721 hat alles super funktioniert
es werden auch manchmal udp pakete aus dem PC Lan verworfen zb an port 161 snmp oder port 53 domain. Bei den telefonen wird anscheinend alles an udp wie sip ntp und nut stun port verworfen. Dadurch könnne sie sich natürlich nicht an der im internet liegenden telefonanlage von n-fone anmelden
Mir ist noch etwas merkwürdiges aufgefallen. Wenn ich das telefon direkt in den ETH3 port des lancoms stecke funktioniert es super, aber sobald ich einen kleinen Switch dazwischen hänge funktioniert es nicht mehr.
Bin gerade völlig ratlos. Was könnte ein Switch(layer2) damit zu tun haben??
Was könnte an den telefonen falsch konfiguriert sein? Feste ip haben sie und standardgateway natürlich auch. An einem anderen 1721 hat alles super funktioniert
es werden auch manchmal udp pakete aus dem PC Lan verworfen zb an port 161 snmp oder port 53 domain. Bei den telefonen wird anscheinend alles an udp wie sip ntp und nut stun port verworfen. Dadurch könnne sie sich natürlich nicht an der im internet liegenden telefonanlage von n-fone anmelden
Mir ist noch etwas merkwürdiges aufgefallen. Wenn ich das telefon direkt in den ETH3 port des lancoms stecke funktioniert es super, aber sobald ich einen kleinen Switch dazwischen hänge funktioniert es nicht mehr.
Bin gerade völlig ratlos. Was könnte ein Switch(layer2) damit zu tun haben??
Nochmal kurz: es hat sich bestätigt, dass die Probleme nur auftauchen wenn ein switch dazwischen hängt. Sobald ich das telefon direkt an den Eth Port des lancoms hänge läuft allles reibungslos.
Das macht doch keinen sinn oder??
Die Firewall erkennt also nur intruder detection wenn das telefon über den Switch kommt
Das macht doch keinen sinn oder??
Die Firewall erkennt also nur intruder detection wenn das telefon über den Switch kommt
Hi henryy
Gruß
Backslash
du hast den einen Switch aber nicht zufällig in beiden Netzen hängen? Denn dann wäre klar, warum das nicht funktioniert: Das LANCOM hat auf allen LAN-Ports immer die gleiche MAC-Adresse und wenn der Switch an zwei LAN-Ports des LANCOMs hängt, dann ist es purer Zufall, an welchen Port er ein an das LANCOM gerichtetes Paket weitersendet - und wenn das halt der falsche ist, dann gibt es eine IDS-Meldung...ochmal kurz: es hat sich bestätigt, dass die Probleme nur auftauchen wenn ein switch dazwischen hängt.
Gruß
Backslash
Moin,
@backslash
Danke nochmal für den Tipp. Das hat mir den heutigen Tag gerettet, denn ich war schon kurz vorm abdrehen. Hatte alles schon 3mal hin und her getauscht, Router, Firmware etc und selbst der lancom Support hatte sich die Konfig angeschaut, alles gut und meinte nur tauschen sie doch mal den Switch,vieleicht ist der ja defekt
Grüße aus Hamburg
@backslash
Danke nochmal für den Tipp. Das hat mir den heutigen Tag gerettet, denn ich war schon kurz vorm abdrehen. Hatte alles schon 3mal hin und her getauscht, Router, Firmware etc und selbst der lancom Support hatte sich die Konfig angeschaut, alles gut und meinte nur tauschen sie doch mal den Switch,vieleicht ist der ja defekt
Grüße aus Hamburg