intrusion detection IGMP from 192.168.0.1

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
otellodb
Beiträge: 104
Registriert: 19 Jun 2008, 14:14

intrusion detection IGMP from 192.168.0.1

Beitrag von otellodb »

Hallo zusammen,
bin leider mit meinem Latein am Ende.
Ich habe einen Router 1781EF+ mit WLC Option und 3 Access Points. Der Router hat zwei Netze 192.168.22.x (Intranet) und 192.168.23.x (Gäste WLAN). Zudem ist über VPN ein weiterer Standort 192.168.33.x angebunden. Funktioniert alles zusammen gut.

Die ANbindung erfolgt über ein UNITYMDIA Kabelmodem. Es gibt ein Backup über ein LTE-Modem.
SW 10.20.RC3 auf allen Geräten.

Nun habe ich seit kurzem ständig Fehlemeldungen über intrusion dectection mit SRC: 192.168.0.1 (IGMP) an z.B. 224.0.0.1 oder
192.168.0.1:38359 (UD) an 239.255.255.250. Woher kann das kommen?
Ich habe kein 192.168.0.x Netz )

Danke für jede Idee.

otellodb
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: intrusion detection IGMP from 192.168.0.1

Beitrag von backslash »

Hi otellodb,
Ich habe kein 192.168.0.x Netz )
genau deshalb kommt die Meldung ja... Irgendwer schickt die Pakete mit dieser Absenderadresse - da mußt du nun suchen, wer das ist. Am besten läßt du dir von der Firewall eine Mail shicken - darin steht dann genauer, was für ein Paket das ist und woher es kam - insbesondere findest du darin auch die MAC-Adresse des Verursachers und kannst ihn damit hoffentlich leichter finden

Gruß
Backslash
otellodb
Beiträge: 104
Registriert: 19 Jun 2008, 14:14

Re: intrusion detection IGMP from 192.168.0.1

Beitrag von otellodb »

Hi Backslash,

die Idee hätte ich auch haben können. Der Firewall Log sagt, dass das vom Unitymedia Modem kommt.
Das schickt Pakete mit dieser Absenderadresse.

Jetzt muss ich nur noch überlegen, was ich mit denen mache. Hat das Problem sonst niemand?

Danke

otellodb
otellodb
Beiträge: 104
Registriert: 19 Jun 2008, 14:14

Re: intrusion detection IGMP from 192.168.0.1 neues Problem

Beitrag von otellodb »

Hallo zusammen.

Ich habe jetzt um die IDS weg zu bekommen folgende Route im IP4 Routing eingetragen:

192.168.0.0 255.255.255.252 auf die Gegenstelle von Unitymedia.

Jetzt das Seltsame:
Router 1: 1781EF+ Problem gelöst keine Einträge mehr im Syslog. Alles läuft
Router 2: 883 VOIP Problem gelöst keine Einträge mehr im Syslog, aber die Verbindung zu Unitymedia wird schlagartig beendet und die backup Line aktiviert. Ständige Protokollverhandlung mit Unitymedia.

Was kann man da tracen? Woran könnte es liegen?

FInde nichts. Die Router sind unitymediaseitig gleich konfiguriert. Der 883 hat noch WLAn und den Callmanager für Telefon am Laufen.

Gruss

otellodb
Maurice
Beiträge: 131
Registriert: 18 Sep 2017, 12:38

Re: intrusion detection IGMP from 192.168.0.1

Beitrag von Maurice »

Moin,

Vielleicht beschreibst Du dein Setup noch etwas genauer. Ist die UM-Kiste wirklich ein Modem (Bridge) oder doch ein Router? Falls letzteres, ist dessen LAN-Adresse vielleicht 192.168.0.1? Und wo hängt der 883 VoIP dran? An einem anderen UM-Anschluss?

(224.0.0.1 und 239.255.255.250 sind Multicast-Adressen. Wahrscheinlich laufen auf der UM-Kiste noch irgendwelche Dienste.)

Grüße

Maurice
otellodb
Beiträge: 104
Registriert: 19 Jun 2008, 14:14

Re: intrusion detection IGMP from 192.168.0.1

Beitrag von otellodb »

Hallo,

das ist bei beiden das gleiche HITRON CGNV4 im Bridge Modus. Der Anschluss ist bei beiden das gleiche Produkt.
Eigentlich sollte der Router in dem Modus nur die IP Adresse durchreichen (was er auch macht). Fixe IP ist in beiden Routern gleich eingetragen.

Dessen LAN Adresse ist die 192.168.0.1 Deshalb kommt ja auch die Intrusion Detection.
Durch Angabe der Route kann ich das bei dem einen Gerät ja auch unterdrücken. Beim 883 führt es zum Abbruch der Leitung.

Gruss

otellodb
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: intrusion detection IGMP from 192.168.0.1

Beitrag von GrandDixence »

Arbeitet ein EuroDOCSIS-Kabelmodem mit IPv4-Adressen im Bereich 192.168.0/24 (https://en.wikipedia.org/wiki/Classless ... in_Routing) handelt es sich höchst wahrscheinlich um eine ConnectBox im Router-Modus. Ein EuroDOCSIS-Kabelmodem sollte (nach Möglichkeit) im Modem-Modus (aka Bridge-Modus) betrieben werden:
aktuelle-lancom-router-serie-f41/proble ... tml#p94256

Im Router-Modus leidet man unter den Nachteilen von Dual Stack Light (DS Light):

https://www.elektronik-kompendium.de/si ... 904041.htm

https://www.elektronik-kompendium.de/si ... 010211.htm

Die "Instrusion detection"-Alarme werden durch irgendeinen auf dem EuroDOCSIS-Kabelmodem laufenden Heimnetzwerkdienst verursacht. Dieser "IP-Multicast" verwendende Heimnetzwerkdienst (zum Beispiel UPNP) kann im Webinterface (wahrscheinlich http://192.168.0.1) wahrscheinlich abgeschaltet werden.

https://en.wikipedia.org/wiki/Multicast

https://en.wikipedia.org/wiki/IP_multicast

Gemäss Wikipedia:

https://en.wikipedia.org/wiki/Multicast_address

handelt es sich um den Heimnetzwerkdienst "SSDP":
https://de.wikipedia.org/wiki/Simple_Se ... y_Protocol
Maurice
Beiträge: 131
Registriert: 18 Sep 2017, 12:38

Re: intrusion detection IGMP from 192.168.0.1

Beitrag von Maurice »

Moin!
otellodb hat geschrieben: 14 Feb 2019, 20:39 das ist bei beiden das gleiche HITRON CGNV4 im Bridge Modus. Der Anschluss ist bei beiden das gleiche Produkt.
Eigentlich sollte der Router in dem Modus nur die IP Adresse durchreichen (was er auch macht). Fixe IP ist in beiden Routern gleich eingetragen.
UM verwendet ja historisch bedingt zwei unterschiedliche Methoden zur Realisierung statischer IPv4-Adressen: DHCP-Reservierungen mit Hinterlegung der MAC-Adressen bei UM (ältere Anschlüsse in BW) oder ein getunneltes /30 bzw. /29 mit RIP (schon immer in NRW / Hessen und bei neueren Anschlüssen in BW). Hier reden wir vermutlich über letzteres? Dann verhält sich das CGNV4 nicht als Bridge, sondern routet tatsächlich. Denkbar, dass auf der Kiste auch noch andere Dienste laufen. Falls die sich nicht deaktivieren lassen würde ich die IDS-Meldungen einfach ignorieren.
GrandDixence hat geschrieben: 14 Feb 2019, 21:04 Im Router-Modus leidet man unter den Nachteilen von Dual Stack Light (DS Light).
Es geht hier offensichtlich um Business-Anschlüsse mit statischen IPv4-Adressen, da verwendet UM kein DS-Lite.
GrandDixence hat geschrieben: 14 Feb 2019, 21:04 Die "Instrusion detection"-Alarme werden durch irgendeinen auf dem EuroDOCSIS-Kabelmodem laufenden Heimnetzwerkdienst verursacht. Dieser "IP-Multicast" verwendende Heimnetzwerkdienst (zum Beispiel UPNP) kann im Webinterface (wahrscheinlich http://192.168.0.1) wahrscheinlich abgeschaltet werden.
Das wäre auch meine Vermutung.

Grüße

Maurice
Antworten