IDS bei VPN per IPHONE

Anmeldungsdatum: 28.08.2008 Beiträge: 13

Hallo zusammen,

ich konfiguriere derzeit einen 1711 für die Verwendung mit IPHONES per VPN.
Dies hat technisch auch wunderbar hingehauen. Nur leider spring nun ständig das IDS an:

Code:

Src: IP:49898 {<RouterimLancom>} Dst: IP:80 {<server>} (TCP)

matched this filter rule: intruder detection
filter info: packet received from invalid interface <IPHONE>

Gibt es eine Möglichekeit hier Regeln zu erstellen, oder habe ich einfach etwas übersehen und das IDS verhält sich korrekt?

Vielen Dank für jeden Hinweis.

Grüße Simon

Site Admin Anmeldungsdatum: 07.11.2004 Beiträge: 3884 Wohnort: Aix la Chapelle

Hi,

was soll denn <RouterimLancom> sein? Wenn es nicht die IP-Adresse des iPhone ist, dsnn ist die IDS Meldung ja m.E. korrekt. Wieso sollte ein Paket von einer anderen Source-Adresse als dem iPhone selbst von der Gegenstelle <IPHONE> kommen?
Das IDS meckert ja, das ein Paket von Src: IP:49898 {<RouterimLancom>} auf dem Interface <IPHONE> ankommt.

Ciao
LoUiS

Anmeldungsdatum: 28.08.2008 Beiträge: 13

Hi,

es ist der Name es Routers im Lancom. (IP.Router / Routing-Tabelle)

Das Paket kommt von der (VPN)IP-Adresse des IPHONE zum Exchangeserver. Und genau da soll es ha auch hin. Mir leuchtet nicht ein, warum das für das IDS ein Problem darstellt ....

Site Admin Anmeldungsdatum: 07.11.2004 Beiträge: 3884 Wohnort: Aix la Chapelle

koenntest Du Dir die IDS Meldung mal per Mail zusenden lassen und dann hier posten.

Ciao
LoUiS

Anmeldungsdatum: 28.08.2008 Beiträge: 13

sehr gerne:

Date: 1/5/2010 10:26:58

The packet below

Src: 192.168.0.199:49898 {iphone} Dst: 192.168.0.254:80 {troubadix} (TCP)

MAC-Header (14 Bytes)

61 35 42 51 ef d5 27 56 19 2f f4 3f b8 c0 | a5BQ..'V ./.?..
(44 Bytes stripped by other protocols, eg. VPN)

IP-Packet (64 Bytes):

45 00 00 40 ad a1 40 00 40 06 0a 01 c0 a8 00 c7 | E..@..@. @.......
c0 a8 00 fe c2 ea 00 50 79 d2 dd db 00 00 00 00 | .......P y.......
b0 02 ff ff f7 3e 00 00 02 04 04 d8 01 03 03 02 | .....>.. ........
01 01 08 0a 32 1c 70 82 00 00 00 00 04 02 00 00 | ....2.p. ........

matched this filter rule: intruder detection
filter info: packet received from invalid interface IPHONE

because of this the actions below were performed:
reject
send SNMP trap
send email to administrator[/quote]

Anmeldungsdatum: 28.08.2008 Beiträge: 13

diesmal sogar DoS:

The packet below

Src: 192.168.0.199:5353 {iphone} Dst: 192.168.0.199:5351 {iphone} (UDP)

MAC-Header (14 Bytes)

75 28 27 7f 5d c9 64 32 a3 69 80 7b 1f 4e | u('.].d2 .i.{.N
(44 Bytes stripped by other protocols, eg. VPN)

IP-Packet (30 Bytes):

45 00 00 1e 62 07 00 00 ff 11 d6 e8 c0 a8 00 c7 | E...b... ........
c0 a8 00 c7 14 e9 14 e7 00 0a 53 2b 00 00 | ........ ..S+..

matched this filter rule: DoS protection
filter info: packet with same source and destination address received from interface IPHONE

because of this the actions below were performed:
reject
send SNMP trap
send email to administrator

Site Admin Anmeldungsdatum: 07.11.2004 Beiträge: 3884 Wohnort: Aix la Chapelle

Hi,

ich verstehe auch noch nicht wieso die IDS/DoS da zuschlaegt, ich denke naechste Woche kann ggf. Backslash dazu was sagen. Wink

Ciao
LoUiS

Anmeldungsdatum: 28.08.2008 Beiträge: 13

und? kann er? Smile

Ich nehme an, dass durch diese matches das synchronisieren mit Exchange nicht sauber läuft.
Habe ich das Phone in einem WLAN und verbinde dann per VPN klappt das super und ohne IDS / DoS Meldungen.

Bin um jeden Hinweis oder auch alternativ-Voschlag zur Konfiguration dankbar

Anmeldungsdatum: 22.05.2006 Beiträge: 22

Hallo!
Habe das gleiche Problem. Die VPN-Verbindung wurde wie in der Anleitung für das iPhone erstellt und sie kommt auch zustande. Das komische ist, dass der Zugriff vom iPhone auf den Webserver des PCs über VPN manchmal funktioniert und manchmal eben mit diesen (s.u.) IDS Meldungen geblockt wird. Ein Trennen und Neuverbinden über VPN hilft mal, mal nicht. Habe ein LCOS 7.60.0160 / 25.02.2009

Hoffe, Ihr könnt mir helfen!
Danke!

Date: 1/2/2010 14:35:38

The packet below

Src: 172.20.14.2:49216 {vpn_iphone} Dst: 172.20.14.151:80 {webserver} (TCP)

MAC-Header (58 Bytes)

ff ff ff ff ff ff ff ff ff ff ff ff ff ff 45 00 | ........ ......E.
00 6c a6 05 00 00 33 04 34 25 50 bb 6c 81 5d c0 | .l....3. 4%P.l.].
92 1d 03 82 d7 fc 00 00 00 3c 78 4d 12 83 29 60 | ........ .<xM..)`
ce 36 24 e7 62 af 07 0c 18 ba | .6$.b... ..

IP-Packet (64 Bytes):

45 00 00 40 07 5a 40 00 40 06 be 9c ac 14 0e 02 | E..@.Z@. @.......
ac 14 0e 97 c0 40 00 50 92 86 cf a3 00 00 00 00 | .....@.P ........
b0 02 ff ff c0 c7 00 00 02 04 04 d8 01 03 03 02 | ........ ........
01 01 08 0a 32 13 ad 84 00 00 00 00 04 02 00 00 | ....2... ........

matched this filter rule: intruder detection
filter info: packet received from invalid interface VPN_IPHONE

because of this the actions below were performed:
reject
send syslog message
send SNMP trap
send email to administrator

Anmeldungsdatum: 28.08.2008 Beiträge: 13

Genau das ist das ärgerliche. Die Synchonisation funktioniert - jedoch manchmal bis zu 48h verzögert.