IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt ist

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt ist

Beitrag von Jirka »

Hallo,

1781-4G, 9.24.0217

Portforwarding im vorgeschalteten Router auf die Ports 443/22 auf die lokale IP (!) des LANCOMs. Es wird von extern mit öffentlicher IP über den vorgeschalteten Router versucht, auf das LANCOM zuzugreifen. Die Default-Route im LANCOM zeigt auf T-Mobile (von dort erfolgt kein Zugriff).

Das IDS löst aus, obwohl die Adressprüfung in dem IP-Netzwerk auf Flexibel gestellt ist.

Schaltet man die Firewall oder das IDS aus (IDS-Paket-Aktion Übertragen), ist alles ok. Das IDS dürfte doch aber nicht auslösen, wenn die Adressprüfung auf Flexibel steht.

Bug? Ich würde sagen ja. Backslash, bist Du anderer Meinung?

Vielen Dank und viele Grüße,
Jirka
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt

Beitrag von backslash »

Hi Jirka,

wie ist dein Aufbau genau? Der Router mit dem Portforwarding hängt am Internet und LANCOM mit seinem LAN steht im LAN dieses Routers? Dann sollte das IDFS nicht zuschlagen. Oder hast du eine Routerkaskade aufgebaut und das LANCOM steht mit seiner WAN-Seite an dem Router? In dem Fall schlägt das IDS trotzdem zu...

Gruß
Backslash
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt

Beitrag von cpuprofi »

Hallo Backslash,

da ich den Fehler gemeinsam mit Jirka festgestellt habe, antworte ich mal auf Deine Frage.

VDSL-Modem <-PPPOE-> Securepoint RC300 [mit Portforwarding] <-LAN-> Lancom 1781-4G [ETH1 (LAN1)]

Somit sollte das IDS nicht auslösen.

Grüße
Cpuprofi
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt

Beitrag von backslash »

Hi cpuprofi,

da - würde ich erstmal sagen - sollte das IDS nicht zuschlagen... Oder hat das Gerät mehrere ARF-Netze und du willst eins ansprechen, daß nicht an LAN-1 gebunden ist - d.h. das Paket würde doch wieder über den Forwarding-Zweig laufen, was das gleiche wäre, als ob das Gerät vom WAN angesprochen würde...

Gruß
Backslash
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt

Beitrag von cpuprofi »

Hallo Backslash,

der Lancom hat nur ein ARF-Netz und es wird über das Portforwarding nur direkt auf den Lancom zugegriffen (HTTPS,SSH,SNMP).

Grüße
Cpuprofi
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt

Beitrag von Jirka »

Hallo Backslash,

kann es sein, dass das Problem immer noch nicht gefixt ist? Zufälligerweise ist genau 1 Jahr um. Ich habe gerade über 2 Stunden wegen dieses Problems verprasst. Das Problem ist megamäßig nervig, wenn ein LANCOM plötzlich hinter einer FRITZ!Box landet, wo er vorher davor war.

(Test-)Aufbau:
LANCOM mit Portforwarding (anstelle einer FRITZ!Box) von Port 444 HTTPS und Port 22 SSH auf die 10.0.0.20. Die 10.0.0.20 ist der LANCOM, auf den zugegriffen werden soll. Er befindet sich im lokalen LAN des LANCOMs (10.0.0.1).

Konfiguration des 10.0.0.20-er LANCOMs (readscript):

Code: Alles auswählen

lang English
flash No

set /Setup/Name "Zugriff-LAN"
cd /Setup/WAN/Layer
del *
tab  WAN-layer  Encaps.   Lay-3     Lay-2     L2-Opt.   Lay-1
add  "INTERNET"  LLC-MUX   PPP       PPPoE     none      ADSL
cd /
cd /Setup/WAN/PPP
del *
tab  Peer              Authent.request             Authent-response            Key       Time  Try   Conf  Fail  Term  Username                                                          Rights
add  "DEFAULT"         MS-CHAPv2,MS-CHAP,CHAP,PAP  MS-CHAPv2,MS-CHAP,CHAP,PAP  ""        0     5     10    5     2     ""                                                                none
add  "INTERNET"        none                        MS-CHAPv2,MS-CHAP,CHAP,PAP  "12345678"  5     5     10    5     2     "0011223344555511223344550001@t-online.de"                        IP           
cd /
cd /Setup/WAN/DSL-Broadband-Peers
del *
tab  Peer              SH-Time  AC-name                                                           Servicename                       WAN-layer  ATM-VPI  ATM-VCI  MAC-Type   user-def.-MAC  DSL-ifc(s)                                                       VLAN-ID  Prio-Mapping
add  "INTERNET"        9999     ""                                                                ""                                "INTERNET"  1        32       local      000000000000   ""                                                               0        1TR-112
cd /
cd /Setup/VPN/Load-Balancer/Message-Profiles
del *
tab  Profile-Name      Interface         Address          Port   Interval   Holdtime   Replay-Window   Max-Time-Skew       Secret     Cipher       HMAC      Comment                                    
add  "DEFAULT"         "INTRANET"        "239.255.22.11"  1987   500        3000       5               15                  ""         None         96-Bits   ""
cd /
cd /Setup/TCP-IP/Network-list
del *
tab  Network-name      IP-Address       IP-Netmask       VLAN-ID  Interface           Src-check      Type      Rtg-tag  Comment
add  "INTRANET"        10.0.0.20        255.255.255.0    0        LAN-1               loose          Intranet  0        "local intranet"
cd /
cd /Setup/IP-Router/IP-Routing-Table
del *
tab  IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment
add  192.168.0.0      255.255.0.0      0        "0.0.0.0"         0         No          No       "template: block private networks: 192.168.x.y"
add  172.16.0.0       255.240.0.0      0        "0.0.0.0"         0         No          No       "template: block private networks: 172.16-31.x.y"
add  10.0.0.0         255.0.0.0        0        "0.0.0.0"         0         No          No       "template: block private network: 10.x.y.z"
add  224.0.0.0        224.0.0.0        0        "0.0.0.0"         0         No          Yes      "block multicasts: 224-255.x.y.z"
add  255.255.255.255  0.0.0.0          0        "INTERNET"        0         on          Yes      "Diese Route wurde durch den Internet-Assistenten erzeugt"
cd /
cd /Setup/IP-Router/RIP/LAN-Sites
del *
tab  Network-name      RIP-Type    RIP-Send    RIP-Accept  Propagate    Poisoned-Reverse  Dft-Rtg-Tag  Rtg-Tag-List                       Rx-Filter         Tx-Filter
add  "INTRANET"        Off         No          No          No           No                0            ""                                 ""                ""
cd /
cd /Setup/IP-Router/Firewall/Rules
del *
tab  Name                              Prot.       Source                                    Destination                               Action                                    Linked      Prio   Firewall-Rule  VPN-Rule   Stateful  Src-Tag    Rtg-tag  Comment                                         
add  "WINS"                            "UDP TCP"   "anyhost netbios"                         "anyhost"                                 "internet-filter"                         No          0      Yes            No         Yes       0          0        "block NetBIOS/WINS name resolution via DNS"
cd /
cd /Setup/DHCP/Network-list
del *
tab  Network-name      Start-Address-Pool  End-Address-Pool    Netmask             Broadcast-Address   Gateway-Address     DNS-Default      DNS-Backup       NBNS-Default     NBNS-Backup      Operating  Broadcast-Bit  Master-Server    2nd-Master-Server   3rd-Master-Server   4th-Master-Server   Cache   Adaption   Cluster  Max.-Lease        Def.-Lease
add  "INTRANET"        0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0          No         No             0.0.0.0          0.0.0.0             0.0.0.0             0.0.0.0             No      No         No       0                 0
cd /
set /Setup/Config/Config-Aging-Minutes 60
cd /Setup/Config/Access-Table
tab  Ifc.    Telnet  TFTP    HTTP    SNMP    HTTPS   Telnet-SSL  SSH     SNMPv3
set  LAN     Yes     Yes     Yes     Yes     Yes     Yes         Yes     Yes
set  WAN     No      No      No      VPN     Yes     No          Yes     Yes
set  WLAN    No      Yes     Yes     Yes     Yes     Yes         Yes     Yes
cd /
set /Setup/HTTP/SSL/Port 444
set /Setup/HTTP/SSL/Versions TLSv1.2
set /Setup/HTTP/Session-Timeout 3600
flash Yes

# done
exit
Problem: Zugriff nicht möglich

Ursache (Firewall-Trace):

Code: Alles auswählen

[Firewall] 2018/04/05 16:03:43,212
Packet matched rule intruder detection
DstIP: 10.0.0.20, SrcIP: 91.66.100.100, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 444, SrcPort: 52093, Flags: S
Seq: 3572910069, Ack: 0, Win: 8192, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 8 (multiply  by 256)
Option: NOP
Option: NOP
Option: SACK permitted

Filter info: packet received from invalid interface LAN-1
send SNMP trap
packet dropped
Würde mich freuen, wenn das mal gefixt werden würde. Koppelfeld kannst Du es dann sogar als neues Feature verkaufen.

Firmware ist 9.24.0379 vom 09.03.2018

Viele Grüße,
Jirka
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt

Beitrag von Dr.Einstein »

Hi Jirka,

wieso sollte das jetzt gehen? Du hast keine passende Rückroute, deswegen Instrusion Detection. Mach halt noch eine 2. Default Route mit Routing Tag xyz Zielpeer 10.0.0.1

Gruß Dr.Einstein
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt

Beitrag von Koppelfeld »

Moinsen,
Dr.Einstein hat geschrieben:
wieso sollte das jetzt gehen? Du hast keine passende Rückroute
Genau. Jirka hat im Kopf Art "Connection Tracking", die es aber im Router nicht gibt.
Wie er selbst schreibt, ist die Default-Route auf das T-Online - Gateway gesetzt.

Die Moral von der Geschicht': Router kaskadiert man nicht.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt

Beitrag von Dr.Einstein »

Koppelfeld hat geschrieben:Die Moral von der Geschicht': Router kaskadiert man nicht.
Eher: Hat ein Paket den Router erreicht, sag ihm wohin er es weiterreicht? :G)

Sprich, zweite Default Route.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt

Beitrag von Jirka »

Hi Dr. Einstein,
Dr.Einstein hat geschrieben:wieso sollte das jetzt gehen?
ganz einfach, weil es früher auch ging.
Dr.Einstein hat geschrieben:Du hast keine passende Rückroute, deswegen Instrusion Detection.
Die brauche ich auch nicht, der Router sieht ja, auf welchem Interface das einging.
Dr.Einstein hat geschrieben:Mach halt noch eine 2. Default Route mit Routing Tag xyz Zielpeer 10.0.0.1
Das Problem ist genau genommen, dass ich das eben nicht machen kann, weil ich auf den LANCOM nicht mehr drauf komme! Und das soll auch alles keine Dauerlösung sein, sondern nur folgendes Problem lösen:
Kunde hat LANCOM-Router. Plötzlich geht das Internet nicht mehr, weil ja, das sage ich Dir besser nicht, ach was solls, Du kennst solche Schoten ja auch, weil völlig falsche Zugangsdaten in den Router eingetragen wurden, die aber zwei Jahre lang funktionierten. Jetzt wurde der Anschluss mit der Zugangsnummer in der Zentrale 600 km weiter auf BNG und SIP-Trunk umgestellt und plötzlich gingen die Daten nicht mehr. Nach einem Tag Ausfall, es wurde eine Störung bei der Telekom vermutet, stellte ich dann die Diagnose, dass das wohl an falschen Zugangsdaten liegt und sagte, die müssen geändert werden. Der Kunde hatte nun aber kein Internet und kam auf die Idee, es mal mit der alten FRITZ!Box zu probieren, so nach dem Motto der LANCOM ist vielleicht defekt. Und nun ging das sogar mit der FRITZ!Box, weil da nämlich die korrekten Daten drin waren. Wie ändere ich nun am schnellsten und unkompliziertesten die Zugangsdaten im LANCOM, wenn vor Ort nur Leute sind, wo es alleine 30 Min. braucht, bis man die überhaupt im Webinterface des LANCOMs hat? Man bedenke, FRITZ!Box und LANCOM haben die gleiche lokale IP, beide machen kein DHCP. Meine Überlegung war jetzt per TeamViewer in der FRITZ!Box HTTPS-Fernzugriff aktivieren, LANCOM anschließen lassen, lokale IP der FRITZ!Box ändern, Portforwardings auf den LANCOM einrichten (weil die FRITZ!Box keine TCP-Tunnel kann wie ein LANCOM) und Zugriff auf den LANCOM haben. Nicht schön, aber schnell. Klar könnte man auch erst noch eine VPN-Client-Verbindung zur FRITZ!Box einrichten usw., oder aber einem PC ein neues Gateway geben und die FRITZ!Box entsprechend ändern, aber den Aufwand wollte ich mir eigentlich ersparen. Ich will mit der FRITZ!Box gar nichts zu tun haben. Nur die stellt halt die einzige Möglichkeit für mich dar, dass ich schnell selber auf den LANCOM rauf komme und so nur 5 bis 10 Min. brauche, während ich sonst bei telefonischer Begleitung eines DAUs unter Einrichtung von IP-Adressen usw. und Anklemmen des LANCOMs und und und eine ganze Stunde ansetzen muss.
Man hat immer wieder mal Situationen, in denen vor Ort ein LANCOM-Router auf dem Tisch steht, wo noch was geändert werden muss, bevor dieser fürs WAN-Routing in Betrieb gehen kann. Weil sich inzwischen was geändert hat, weil was falsch übermittelt wurde o. ä. Ab und an kann man ja auch andere Wege gehen, Router resetten und richtige Konfig neu aufspielen zum Beispiel. Aber da muss man erst mal die Konfig haben... Mit der Filiale hatte ich eigentlich gar nichts zu tun...

Viele Grüße,
Jirka
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt

Beitrag von Dr.Einstein »

Hey Jirka,

alles klar, mit dem Hintergrundwissen ergibt das Thema ein ganz anderes Bild. Und du hast Recht, früher ging das. Ich hätte jetzt in meinem jugendlichen Leichtsinn gesagt, lass den Router plattmachen, dann geht auch die Portweiterleitung. Aber auch hier ist genau das gleiche Thema. Das LCOS legt eine virtuelle Gegenstelle "INTERNET-DEFAULT" an, die Pakete kommen aber über LAN-1 rein. Bin der Meinung, früher gab es diese Gegenstelle nicht und das per DHCP empfangene Gateway wurde einfach so in die aktive Routing Tabelle geschrieben. Damit wäre es gegangen und du hättest deine Datensicherung einspielen können :(

Gut, dann fällt mir momentan leider keine weitere Lösung ein außer deine bereits genannten.

Gruß Dr.Einstein

PS: Habe gerade einen Kunden auf dem Tisch, wo bei rund 150 Standorten die T-DSL Businesskennungen einfach willkürlich deutschlandweit verteilt wurden. Und zur Krönung des Ganzen hat der Kunde noch vielleicht 50% der Kennungen abgeheftet. Gut, dass es sowas wie Schmerzensgeld gibt, hoffe, die Rechnung erzieht die Firma.
Antworten