DOS... Router sendet sich selbst ICMP-Pakete seit LCOS 5.00

[filou]

Hallo,
ich habe seit gestern das Problem, dass die FW des Routers anschlägt und eine DOS-Protection-Warnung bringt, indem er sich selbst ICMP-Pakete schickt

Code: Alles auswählen

The packet below

Src: 192.168.1.254 {LANCOM1621}  Dst: 192.168.1.254 {LANCOM1621} (ICMP)


   45 00 00 38 a0 54 00 00  3c 01 59 24 c0 a8 01 fe | E..8.T.. <.Y$....
   c0 a8 01 fe 03 00 09 e5  00 00 00 00 45 00 00 64 | ........ ....E..d
   7b 4b 00 00 40 11 79 f1  c0 a8 01 fe c0 a8 01 d3 | {K..@.y. ........
   00 35 04 02 00 50 ee be                          | .5...P..         

matched this filter rule: DoS protection
filter info:              packet with same source and destination address received from interface LAN

because of this the actions below were performed:
   reject
   send SNMP trap
   send email to administrator

Ich habe an der Config von 4.12 nichts verändert und lediglich die neue(5.00) eingespielt.
Könnte es sein, dass etwas in der Config steht, was sich nun mit der Firmware 5.00 beisst?

[Fourty2]

ich habe seit gestern das Problem, dass die FW des Routers anschlägt und eine DOS-Protection-Warnung bringt, indem er sich selbst ICMP-Pakete schickt

Könnte es sein, dass etwas in der Config steht, was sich nun mit der Firmware 5.00 beisst?

Hatte ich gestern bei einem unserer 1811 (nur Intranet/VPN) auch.
Das Gerät mit DMZ (zweites Subnet) hat es nicht gemacht, ist aber
jetzt wegen WLAN-Bug wieder auf 4.12...

Grüße,
Stefan

[Michael008]

Hi filou
schau mal nach ob du in SNMP ..in der folgenden Liste senden
Die 192.168.1.254 (bei mir wars die 127.0.0.1) eingetragen hast.
Gruß
Michael

[filou]

Hi filou
schau mal nach ob du in SNMP ..in der folgenden Liste senden
Die 192.168.1.254 (bei mir wars die 127.0.0.1) eingetragen hast.

Da habe ich zwar 2 IP´s drin stehen, aber nicht die Router-IP, sondern von anderen Teilnehmern.
Muss einen anderen Grund haben

Danke aber trotzdem für eure Antworten und habe das Gefühl ich bin nicht allein mit dem Problem

Noch eine Anmerkung hierzu:
Wie ich dies feststellte waren schon 10-15 solcher Einträge vorhanden.
Danach habe ich heute den Router resetet und nun stehen schon wieder zwei Einträge drin.

[Fourty2]

Jaja... die x.00 er Versionen haben ihren speziellen Reiz.

Stefan

[filou]

Jaja... die x.00 er Versionen haben ihren speziellen Reiz.

Stefan

Ja den Gedanken hatte ich gestern vorm Upgrade schon ...alte Weisheit: Traue keiner Version mit einer 0 am Ende ...oder so
Aber die Ursache ist ja noch nicht geklärt...

[filou]

Hallo Profis und Lancomer,

gibts zum Thema schon irgendwelche Erkenntnisse?
Habt ihr Ideen?

Vielen Dank im Voraus!

P.S. Ich habe heute schon wieder 4 neue Einträge in der Statistik

[expert]

Hier gibts auch einen Thread:

http://www.lancom-forum.de/topic,1021,- ... quest.html

Lancom Support ist auch schon informiert.

[filou]

Hallo expert,
den thread hatte ich schon gesehen.

Hast du den Support verständigt?
Würdest du das Ergebnis hier bzw. in deinem thread posten, wenn bis dahin hier keine Lösung gefunden wurde?
Hoffentlich dauert die Antwort vom Support diesmal nicht so lang!

[backslash]

Hi filou,

nach dem Blick in expert's Thread habe ich da eine Vermutung.

Hast Du wie expert auch den DNS-Server lokal weitergeleitet?

Das Paket, auf das die Firewall regiert ist nämlich wie bei expert ein ICMP-Network unreachble auf die Antwort des DNS-Servers (192.168.1.211).

Gruß
Backslash

[filou]

Ja, DNS ist ein W2K3-Server und der Lancom 1621 fungiert so und zu sagen als Ersatz bzw. Nothilfe bei Ausfall des Servers.
Bisher hat das funktioniert... DNS am W2K3 war bisher always reacheble. Wo liegt das Problem?

[filou]

Hallo backslash,

Ich habe versuchsweise den DNS-Server des Lancom abgeschaltet ...brachte aber auch keine Änderung

Gibts noch Punkte, wo man ansetzen könnte?
Könnte es daran liegen, dass der lancominterne DHCP-Server auf automatisch steht und solang der DHCP-Server des W2003 zur Verfügung steht, Anfragen weiterleitet?

[backslash]

Hi filou,

Ich habe versuchsweise den DNS-Server des Lancom abgeschaltet ...brachte aber auch keine Änderung

das ist schonmal ein Ansatz - danach mußt du aber auch dafür sorgen, daß die Rechner im Netz "vergessen", daß das LANCOM einer der DNS-Server ist.

Dazu müssten sich die Rechner eine neue IP-Adresse über DHCP holen (bei WinNT/2k/XP: ipconfig /release und dann ipconfig /renew auf der Kommandozeile eingeben und bei Win 9x/ME das Tool winipcfg verwenden und dort "alles freigeben" und dann "alles aktualisieren" klicken). Dann weist der DHCP-Server des LANCOMs sich selbst nicht mehr als DNS-Server zu. Das ist zwar nur ein Workarrond, sollte aber funktionieren bis eine entsprechende Bugfix-Firmware zur Verfügung steht...

Gruß
Backslash

[filou]

dafür sorgen, daß die Rechner im Netz "vergessen", daß das LANCOM einer der DNS-Server ist.

Dazu müsste ich den Lancom als sek. DNS am DHCP (W2K3-Server) austragen und die LAN-Teilnehmer newreleasen ...werde ich testen

[backslash]

Hi filou,

ich habe es hier gerade mal nachgestellt und es gibt einen weiteren Workarround:

Schalte Proxy-ARP und lokales Routing ein, dann funktioniert es auch wieder.

Gruß
Backslash