Hallo.
Wir haben einen PC im Netzwerk welcher nach ca. 14 Tagen Auszeit wieder Angeschalten wurde und nun keine Verbindung mehr ins Internet hat.
Verbindungen in andere per VPN Verbundenen Netze gehen auch nicht mehr.
Der Router ist ein LANCOM884 und dort werden unzählige Solche Einträge generiert:
192.168.114.168 ist die IP des Rechners.
[IP-Router] 2020/09/28 11:10:32,832 Devicetime: 2020/09/28 11:12:56,494
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 13.74.179.117, SrcIP: 192.168.114.168, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 443, SrcPort: 51893, Flags: S
Seq: 1157237099, Ack: 0, Win: 64240, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 8 (multiply by 256)
Option: NOP
Option: NOP
Option: SACK permitted
Filter (Port)
[Firewall] 2020/09/28 11:10:34,759 Devicetime: 2020/09/28 11:12:58,426
Packet matched rule intruder detection
DstIP: 104.79.90.110, SrcIP: 192.168.114.168, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 80, SrcPort: 51895, Flags: S
Seq: 598931881, Ack: 0, Win: 64240, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 8 (multiply by 256)
Option: NOP
Option: NOP
Option: SACK permitted
Filter info: packet received from invalid interface LAN-1
send SNMP trap
packet dropped
Hat jemand eine Idee was das Problem sein könnte?
VG Robert
IDS Problem?
Moderator: Lancom-Systems Moderatoren
Re: IDS Problem?
Hi immomannen,
der Trace sagt doch schin, was ihm nicht gefällt:
Ohne die Konfig des Geräts (/setup/tcp-ip/network-list, /setup/ip-router/ip-routing-table) kann nicht meht geagt werden.
Letztenlich verantwortlich ist die effektive Routing-Tabelle (/status/ip-router/act.-ip-routing-tab). Da muß eine passende Route drin stehen.
Gruß
Backslash
der Trace sagt doch schin, was ihm nicht gefällt:
d.h. es gibt keine Route zur Quell-IP 192.168.114.168, die auf das Netz INTRANET zeigt.packet received from invalid interface LAN-1
Ohne die Konfig des Geräts (/setup/tcp-ip/network-list, /setup/ip-router/ip-routing-table) kann nicht meht geagt werden.
Letztenlich verantwortlich ist die effektive Routing-Tabelle (/status/ip-router/act.-ip-routing-tab). Da muß eine passende Route drin stehen.
Gruß
Backslash
-
immomannen
- Beiträge: 3
- Registriert: 28 Sep 2020, 11:27
Re: IDS Problem?
Hallo backslash,
vielen Dank, das war der entscheidende Tipp.
Anfang des Jahres wurde übergangsweise einen VPN eingerichtet und genau die Route war für diese IP als Überbleibsel noch drin.
VG Robert
vielen Dank, das war der entscheidende Tipp.
Anfang des Jahres wurde übergangsweise einen VPN eingerichtet und genau die Route war für diese IP als Überbleibsel noch drin.
VG Robert
Re: IDS Problem?
Hi alle,
ich habe ein ähnliches Problem.
Klar, drop ist bei mir im IDS eingestellt. Allerdings sollte die Quelle nicht im IDS auftauchen.
Die Route ist doch eigentlich definiert. Wo kommt das Problem her - kann das jemand identifizieren ?
Danke
ich habe ein ähnliches Problem.
Code: Alles auswählen
[Firewall] 2020/09/30 10:29:57,477 Devicetime: 2020/09/30 10:29:54,122
Packet matched rule intruder detection
DstIP: 199.253.183.183, SrcIP: 192.168.110.8, Len: 92, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 53765
Filter info: packet received from invalid interface LAN-1
send syslog message
send SNMP trap
packet droppedCode: Alles auswählen
ls /setup/tcp-ip/network-list
Network-name IP-Address IP-Netmask VLAN-ID Interface Src-check Type Rtg-tag Comment
==================-----------------------------------------------------------------------------------------------------------------------------------------------------------------
DMZ 192.168.108.1 255.255.255.0 108 LAN-1 loose DMZ 0 demilitarized zone
NAS 192.168.109.1 255.255.255.0 109 LAN-3 loose Intranet 0
INTRANET 192.168.110.1 255.255.255.0 110 LAN-1 loose Intranet 0 local intranet
WLAN 192.168.111.1 255.255.255.0 111 LAN-3 loose Intranet 0
TSI 192.168.210.1 255.255.255.0 210 LAN-1 loose DMZ 0
root@f42252ro:/
> ls /setup/ip-router/ip-routing-table
IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active Comment
===========================================-----------------------------------------------------------------------------------------------------------------
192.168.110.170 255.255.255.255 0 IKEV1_F42252NB 0 No Semi VPN Notebook
192.168.111.170 255.255.255.255 0 IKEV1_F42252A8 0 No Semi VPN SmartPhone
192.168.178.0 255.255.255.0 0 IKE1_HH 0 No Yes FRITZ!Box Felix
192.168.0.0 255.255.0.0 0 0.0.0.0 0 No No template: block private networks: 192.168.x.y
172.16.0.0 255.240.0.0 0 0.0.0.0 0 No No template: block private networks: 172.16-31.x.y
10.0.0.0 255.0.0.0 0 0.0.0.0 0 No No template: block private network: 10.x.y.z
224.0.0.0 224.0.0.0 0 0.0.0.0 0 No Yes block multicasts: 224-255.x.y.z
255.255.255.255 0.0.0.0 100 TELEKOM 0 on Yes Telekom
255.255.255.255 0.0.0.0 0 DEGLAS 0 on Yes Deutsche Glasfaser
root@f42252ro:/
> ls /status/ip-router/act.-ip-routing-tab
IP-Address IP-Netmask Rtg-tag Gateway Peer Distance Masquerade Type
===========================================------------------------------------------------------------------
192.168.108.0 255.255.255.0 0 192.168.108.1 DMZ 0 No DMZ
192.168.110.0 255.255.255.0 0 192.168.110.1 INTRANET 0 No Intranet
192.168.109.0 255.255.255.0 0 192.168.109.1 NAS 0 No Intranet
192.168.210.0 255.255.255.0 0 192.168.210.1 TSI 0 No DMZ
192.168.111.0 255.255.255.0 0 192.168.111.1 WLAN 0 No Intranet
100.72.160.1 255.255.255.255 100 255.255.255.255 DEGLAS 1 on DHCP
100.72.160.1 255.255.255.255 0 255.255.255.255 DEGLAS 1 on DHCP
192.168.110.170 255.255.255.255 0 255.255.255.255 IKEV1_F42252NB 16 No Static
192.168.111.170 255.255.255.255 0 255.255.255.255 IKEV1_F42252A8 16 No Static
192.168.178.0 255.255.255.0 0 83.135.87.100 IKE1_HH 1 No Static
224.0.0.0 224.0.0.0 0 0.0.0.0 0.0.0.0 0 No Static
255.255.255.255 0.0.0.0 100 62.155.242.21 TELEKOM 1 on Static
255.255.255.255 0.0.0.0 0 100.72.160.1 DEGLAS 1 on StaticDanke
Gruß
Karl-Heinz
Karl-Heinz
Re: IDS Problem?
Hi averlon,
Deshalb schrieb ich ja auch, das letztendlich die effektive Routing-Tabelle (/status/ip-router/act.-ip-routing-tab) ausschlaggebend ist...
Gruß
Backslash
dazu kann ich nur sagen: wenn's da auftaucht, dann hat die Firewall i.A. recht...Allerdings sollte die Quelle nicht im IDS auftauchen.
bei immomannen war die Route auch in der Netzwerkliste definiert. Bei ihm war das Problem, das es in der Routing-Tabelle eine weitere Route gab, die die Quell-Adresse auf eine VPN-Verbinung gelegt hat... Schau doch mal in deine Routing.-Tabelle - da wird was vergleichbares drin stehen.Die Route ist doch eigentlich definiert. Wo kommt das Problem her - kann das jemand identifizieren ?
Deshalb schrieb ich ja auch, das letztendlich die effektive Routing-Tabelle (/status/ip-router/act.-ip-routing-tab) ausschlaggebend ist...
Gruß
Backslash
Re: IDS Problem?
Hallo backslash,
ich bezweifle nicht, dass die FW recht hat.
mmh - wo ist da was falsch und wie könnte man das ggf. korrigieren?
ich bezweifle nicht, dass die FW recht hat.
Code: Alles auswählen
ls /status/ip-router/act.-ip-routing-tab
IP-Address IP-Netmask Rtg-tag Gateway Peer Distance Masquerade Type
===========================================------------------------------------------------------------------
192.168.108.0 255.255.255.0 0 192.168.108.1 DMZ 0 No DMZ
192.168.110.0 255.255.255.0 0 192.168.110.1 INTRANET 0 No Intranet
192.168.109.0 255.255.255.0 0 192.168.109.1 NAS 0 No Intranet
192.168.210.0 255.255.255.0 0 192.168.210.1 TSI 0 No DMZ
192.168.111.0 255.255.255.0 0 192.168.111.1 WLAN 0 No Intranet
100.72.160.1 255.255.255.255 100 255.255.255.255 DEGLAS 1 on DHCP
100.72.160.1 255.255.255.255 0 255.255.255.255 DEGLAS 1 on DHCP
192.168.110.170 255.255.255.255 0 255.255.255.255 IKEV1_F42252NB 16 No Static
192.168.111.170 255.255.255.255 0 255.255.255.255 IKEV1_F42252A8 16 No Static
192.168.178.0 255.255.255.0 0 83.135.87.100 IKE1_HH 1 No Static
224.0.0.0 224.0.0.0 0 0.0.0.0 0.0.0.0 0 No Static
255.255.255.255 0.0.0.0 100 62.155.242.21 TELEKOM 1 on Static
255.255.255.255 0.0.0.0 0 100.72.160.1 DEGLAS 1 on StaticGruß
Karl-Heinz
Karl-Heinz
Re: IDS Problem?
Hi averlon,
was für eine Firmware setzt du denn ein? Jedenfalls keine 10.40, denn dann sähe die effektive Routing-Tabelle anders aus...
was sagt ein "show ipv4-fib"?
was sagt ein IP-Router-Trace in dem Moment, in dem das IDS zuschlägt (hier ist wichtig, auf welchem Netz der Router meint, das Paket empfangen zu haben).?
was passiert, wenn du auf eine 10.40 wechselst?
Gruß
Backslash
was für eine Firmware setzt du denn ein? Jedenfalls keine 10.40, denn dann sähe die effektive Routing-Tabelle anders aus...
was sagt ein "show ipv4-fib"?
was sagt ein IP-Router-Trace in dem Moment, in dem das IDS zuschlägt (hier ist wichtig, auf welchem Netz der Router meint, das Paket empfangen zu haben).?
was passiert, wenn du auf eine 10.40 wechselst?
Gruß
Backslash
Re: IDS Problem?
Hallo Backslash,
nein, aktuell noch die 10.32. Die 10.40 habe ich heute erst gesehen, aber noch nicht installiert.
Der Fall tritt nicht immer auf - insofern muss ich mit dem trace warten bis ich das wieder erwische.
Ich probiere mal einen Update auf die 10.40.
Danke vorerst mal.
nein, aktuell noch die 10.32. Die 10.40 habe ich heute erst gesehen, aber noch nicht installiert.
Code: Alles auswählen
show ipv4-fib
IPv4 Unicast FIB
Rtg-Tag 0
Prefix Next-Hop Interface ID Redistribution Type
-------------------------------------------------------------------------------------------
0.0.0.0/0 100.72.160.1 DEGLAS 7 Redistribute Static
84.190.127.116/32 0.0.0.0 #Loopback 1 Redistribute Local WAN
100.72.160.0/19 0.0.0.0 DEGLAS 7 Redistribute Connected WAN
100.72.160.1/32 0.0.0.0 DEGLAS 7 Redistribute DHCP
100.72.169.27/32 0.0.0.0 #Loopback 1 Redistribute Local WAN
127.0.0.0/8 0.0.0.0 #Loopback 1 Never Loopback
127.0.0.1/32 0.0.0.0 #Loopback 1 Never Loopback
192.168.108.0/24 0.0.0.0 DMZ 2 Redistribute Connected LAN
192.168.108.1/32 0.0.0.0 #Loopback 1 Redistribute Local LAN
192.168.109.0/24 0.0.0.0 NAS 4 Redistribute Connected LAN
192.168.109.1/32 0.0.0.0 #Loopback 1 Redistribute Local LAN
192.168.110.0/24 0.0.0.0 INTRANET 3 Redistribute Connected LAN
192.168.110.1/32 0.0.0.0 #Loopback 1 Redistribute Local LAN
192.168.110.170/32 0.0.0.0 IKEV1_F42252NB 12 Down Static Ifc Down
192.168.111.0/24 0.0.0.0 WLAN 6 Redistribute Connected LAN
192.168.111.1/32 0.0.0.0 #Loopback 1 Redistribute Local LAN
192.168.111.170/32 0.0.0.0 IKEV1_F42252A8 11 Down Static Ifc Down
192.168.178.0/24 0.0.0.0 IKE1_HH 10 Redistribute Static
192.168.210.0/24 0.0.0.0 TSI 5 Redistribute Connected LAN
192.168.210.1/32 0.0.0.0 #Loopback 1 Redistribute Local LAN
224.0.0.0/3 0.0.0.0 #Null 0 Never Static
Rtg-Tag 100
Prefix Next-Hop Interface ID Redistribution Type
-------------------------------------------------------------------------------------------
0.0.0.0/0 0.0.0.0 TELEKOM 9 Redistribute Static
84.190.127.116/32 0.0.0.0 #Loopback 1 Redistribute Local WAN
100.72.160.0/19 0.0.0.0 DEGLAS 7 Redistribute Connected WAN
100.72.160.1/32 0.0.0.0 DEGLAS 7 Redistribute DHCP
100.72.169.27/32 0.0.0.0 #Loopback 1 Redistribute Local WAN
127.0.0.0/8 0.0.0.0 #Loopback 1 Never Loopback
127.0.0.1/32 0.0.0.0 #Loopback 1 Never Loopback
192.168.108.0/24 0.0.0.0 DMZ 2 Redistribute Connected LAN
192.168.108.1/32 0.0.0.0 #Loopback 1 Redistribute Local LAN
192.168.110.170/32 0.0.0.0 IKEV1_F42252NB 12 Down Static Ifc Down
192.168.111.170/32 0.0.0.0 IKEV1_F42252A8 11 Down Static Ifc Down
MORE [Q(uit)]>
192.168.178.0/24 0.0.0.0 IKE1_HH 10 Redistribute Static
192.168.210.0/24 0.0.0.0 TSI 5 Redistribute Connected LAN
192.168.210.1/32 0.0.0.0 #Loopback 1 Redistribute Local LAN
224.0.0.0/3 0.0.0.0 #Null 0 Never StaticIch probiere mal einen Update auf die 10.40.
Danke vorerst mal.
Gruß
Karl-Heinz
Karl-Heinz
Re: IDS Problem?
Hi averlon,
Hast du ggf RIP/SPF/BGP eingeschaltet, das die eine die Route umbiegen könnte.
Hast du ggf. eine VPN-Einwahl, die Routen setzt, z.B. in dem sie eine Adresse aus einem WAN-Pool zugewiesen bekommt, der sich aber mit Adressen in deinem LAN überlappt... oder eine "vereinfachte Einwahl mit Zertifikaten" mit "Auswahl des entfernten Netzes"?
Die Möglichkeiten sind vielfältig...
Gruß
Backslash
dann ist das "show ipv4-fib", das du gerade gepostet hast, überflüssig. Es ist wichtig zu sehen, was der Router im Fehlerfall sieht und macht...Der Fall tritt nicht immer auf - insofern muss ich mit dem trace warten bis ich das wieder erwische.
Hast du ggf RIP/SPF/BGP eingeschaltet, das die eine die Route umbiegen könnte.
Hast du ggf. eine VPN-Einwahl, die Routen setzt, z.B. in dem sie eine Adresse aus einem WAN-Pool zugewiesen bekommt, der sich aber mit Adressen in deinem LAN überlappt... oder eine "vereinfachte Einwahl mit Zertifikaten" mit "Auswahl des entfernten Netzes"?
Die Möglichkeiten sind vielfältig...
Gruß
Backslash
Re: IDS Problem?
Hi Backslash,
update auf 10.40 hat nix gebracht.
Hier eine andere IP die manchmal das gleiche Bild zeigt. Da kann ich es sogar provozieren (FRITZ!Box - telefonieren).
Update !!!!!
Ich bin mit den Traces nicht so versiert konnte das aber jetzt auch für die ursprunglich gemeldete IP nachstellen:
Das ist ein DNS-Server.
update auf 10.40 hat nix gebracht.
Hier eine andere IP die manchmal das gleiche Bild zeigt. Da kann ich es sogar provozieren (FRITZ!Box - telefonieren).
Code: Alles auswählen
[IP-Router] 2020/09/30 12:48:41,487 Devicetime: 2020/09/30 12:48:40,056
IP-Router Rx (TELEKOM, RtgTag: 0):
DstIP: 192.168.111.3, SrcIP: 217.0.6.22, Len: 200, DSCP: EF (0x2e), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 7078, SrcPort: 52964
Route: LAN-3 Tx (WLAN):
[IP-Router] 2020/09/30 12:48:41,489 Devicetime: 2020/09/30 12:48:40,067
IP-Router Rx (LAN-3, WLAN, RtgTag: 100):
DstIP: 217.0.6.22, SrcIP: 192.168.111.3, Len: 200, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 52964, SrcPort: 7078
Route: WAN Tx (TELEKOM)
[Firewall] 2020/09/30 12:48:41,489 Devicetime: 2020/09/30 12:48:40,071
Packet matched rule intruder detection
DstIP: 217.0.6.22, SrcIP: 192.168.111.3, Len: 152, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 52965, SrcPort: 7079
Filter info: packet received from invalid interface LAN-3
send syslog message
send SNMP trap
packet dropped
[IP-Router] 2020/09/30 12:48:41,489 Devicetime: 2020/09/30 12:48:40,071
IP-Router Rx (LAN-3, WLAN, RtgTag: 0):
DstIP: 217.0.6.22, SrcIP: 192.168.111.3, Len: 152, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 52965, SrcPort: 7079
Filter (Port)
[IP-Router] 2020/09/30 12:48:41,489 Devicetime: 2020/09/30 12:48:40,077
IP-Router Rx (TELEKOM, RtgTag: 0):
DstIP: 192.168.111.3, SrcIP: 217.0.6.22, Len: 200, DSCP: EF (0x2e), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 7078, SrcPort: 52964
Route: LAN-3 Tx (WLAN):
[IP-Router] 2020/09/30 12:48:41,491 Devicetime: 2020/09/30 12:48:40,087
IP-Router Rx (LAN-3, WLAN, RtgTag: 100):
DstIP: 217.0.6.22, SrcIP: 192.168.111.3, Len: 200, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 52964, SrcPort: 7078
Route: WAN Tx (TELEKOM)
Ich bin mit den Traces nicht so versiert konnte das aber jetzt auch für die ursprunglich gemeldete IP nachstellen:
Code: Alles auswählen
[Firewall] 2020/09/30 13:00:55,333 Devicetime: 2020/09/30 13:00:54,032
Packet matched rule intruder detection
DstIP: 192.33.4.12, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 60435
Filter info: packet received from invalid interface LAN-1
send syslog message
send SNMP trap
packet dropped
[IP-Router] 2020/09/30 13:00:55,334 Devicetime: 2020/09/30 13:00:54,031
IP-Router Rx (LAN-1, DMZ, RtgTag: 0):
DstIP: 192.33.4.12, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 60435
Filter (Port)
[Firewall] 2020/09/30 13:00:56,132 Devicetime: 2020/09/30 13:00:54,832
Packet matched rule intruder detection
DstIP: 199.7.83.42, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 58567
Filter info: packet received from invalid interface LAN-1
send syslog message
send SNMP trap
packet dropped
[IP-Router] 2020/09/30 13:00:56,132 Devicetime: 2020/09/30 13:00:54,831
IP-Router Rx (LAN-1, DMZ, RtgTag: 0):
DstIP: 199.7.83.42, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 58567
Filter (Port)
[Firewall] 2020/09/30 13:00:56,524 Devicetime: 2020/09/30 13:00:55,227
Packet matched rule intruder detection
DstIP: 192.33.4.12, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 57395
Filter info: packet received from invalid interface LAN-1
send syslog message
send SNMP trap
packet dropped
[IP-Router] 2020/09/30 13:00:56,524 Devicetime: 2020/09/30 13:00:55,226
IP-Router Rx (LAN-1, DMZ, RtgTag: 0):
DstIP: 192.33.4.12, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 57395
Filter (Port)
[Firewall] 2020/09/30 13:00:56,961 Devicetime: 2020/09/30 13:00:55,653
Packet matched rule intruder detection
DstIP: 192.5.5.241, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 60341
Filter info: packet received from invalid interface LAN-1
send syslog message
send SNMP trap
packet dropped
[IP-Router] 2020/09/30 13:00:56,961 Devicetime: 2020/09/30 13:00:55,652
IP-Router Rx (LAN-1, DMZ, RtgTag: 0):
DstIP: 192.5.5.241, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 60341
Filter (Port)
[Firewall] 2020/09/30 13:00:57,335 Devicetime: 2020/09/30 13:00:56,028
Packet matched rule intruder detection
DstIP: 199.7.83.42, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Gruß
Karl-Heinz
Karl-Heinz
Re: IDS Problem?
Hi averlon,
bei DNS-Anfrage zeigt der Router-Trace eindeutig, wo der Fehler liegt:
Vermutlich ist die VLAN-Konfiguration auf dem Host falsch...
zur Fitzbox kann ich nichts sagen - außer daß das offenbar ein RTCP-Paket ist. Hast du das SIP-ALG an? Ggf. mast das ja etwas falsch beim Öffnen der RTCP-Session. Oder die Fritzbox hat auch ein VLAN-Problem.
Gruß
Backslash
bei DNS-Anfrage zeigt der Router-Trace eindeutig, wo der Fehler liegt:
Das LANCOM ordnet das Paket dem Netz DMZ zu und nicht dem Netz INTRANET - und somit ist die IDS-Meldung korrekt.Code: Alles auswählen
[IP-Router] 2020/09/30 13:00:55,334 Devicetime: 2020/09/30 13:00:54,031 IP-Router Rx (LAN-1, DMZ, RtgTag: 0): DstIP: 192.33.4.12, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0 Prot.: UDP (17), DstPort: 53, SrcPort: 60435 Filter (Port)
Vermutlich ist die VLAN-Konfiguration auf dem Host falsch...
zur Fitzbox kann ich nichts sagen - außer daß das offenbar ein RTCP-Paket ist. Hast du das SIP-ALG an? Ggf. mast das ja etwas falsch beim Öffnen der RTCP-Session. Oder die Fritzbox hat auch ein VLAN-Problem.
Gruß
Backslash
Re: IDS Problem?
Hallo Backslash,
hast recht - wie immer
Es ist wohl ein Konfigurationsproblem auf dem Linux mit dem richtigen VLAN bei Nachrichten ins Internet (Default Route). Ich arbeite dran.
Da habe ich das natürlich selbst in der Hand (und auch selbst falsch gemacht).
Bei der FB muss ich noch einmal schauen - da kann man ja meist nur "außen" was machen - zumindest mit VLAN. Muss ich mir den Switch mal anschauen.
Danke für den Hinweis - bringt mich in die richtige Richtung.
ISSUE CLOSED!
hast recht - wie immer
Es ist wohl ein Konfigurationsproblem auf dem Linux mit dem richtigen VLAN bei Nachrichten ins Internet (Default Route). Ich arbeite dran.
Da habe ich das natürlich selbst in der Hand (und auch selbst falsch gemacht).
Bei der FB muss ich noch einmal schauen - da kann man ja meist nur "außen" was machen - zumindest mit VLAN. Muss ich mir den Switch mal anschauen.
Danke für den Hinweis - bringt mich in die richtige Richtung.
ISSUE CLOSED!
Gruß
Karl-Heinz
Karl-Heinz
Re: IDS Problem?
Hallo Backslash,
ich habe weitere seltsame Erkenntnisse.
Diese Nachricht:
hat Folgen.
Wenn ich im IDS anstelle von "verwerfen" auf "übertragen" gehe, dann kommt unter bestimmten Umständen kein Telefongespräch zustande.
Hintergrund:
Ich habe eine VDSL-Verbindung zur Telekom, mit Telefonie, und eine Glasfaserverbindung zur Deutschen Glasfaser - für den Rest.
Die FW ist so eingerichtet, dass VoIP mit einem TAG versehen wird und über die Verbindung der Telekom geht. Kalppt grundsätzlich auch.
Solange IDS auf "verwerfen" steht kommt zwar diese Fehlermeldung in der Firewall, aber ausgehende Gespräche kommen zustande und beide Gesprächspartner hören sich bzw. können miteinander reden.
Die Fehlermeldung erscheint ca. 20-30 mal, dann nicht mehr während des Gespräches.
Sobald ich IDS auf "übertragen" stelle kommt das ausgehende Gespräch zwar zustanden, der Gesprächspartner hört mich aber ich höre den Partner nicht. Es erscheinen keine weiteren Fehlermeldungen in der FW.
Kannst du dir darauf einen Reim machen ?
Danke
ich habe weitere seltsame Erkenntnisse.
Diese Nachricht:
Code: Alles auswählen
[Firewall] 2020/09/30 12:48:41,489 Devicetime: 2020/09/30 12:48:40,071
Packet matched rule intruder detection
DstIP: 217.0.6.22, SrcIP: 192.168.111.3, Len: 152, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 52965, SrcPort: 7079
Filter info: packet received from invalid interface LAN-3
send syslog message
send SNMP trap
packet droppedWenn ich im IDS anstelle von "verwerfen" auf "übertragen" gehe, dann kommt unter bestimmten Umständen kein Telefongespräch zustande.
Hintergrund:
Ich habe eine VDSL-Verbindung zur Telekom, mit Telefonie, und eine Glasfaserverbindung zur Deutschen Glasfaser - für den Rest.
Die FW ist so eingerichtet, dass VoIP mit einem TAG versehen wird und über die Verbindung der Telekom geht. Kalppt grundsätzlich auch.
Solange IDS auf "verwerfen" steht kommt zwar diese Fehlermeldung in der Firewall, aber ausgehende Gespräche kommen zustande und beide Gesprächspartner hören sich bzw. können miteinander reden.
Die Fehlermeldung erscheint ca. 20-30 mal, dann nicht mehr während des Gespräches.
Sobald ich IDS auf "übertragen" stelle kommt das ausgehende Gespräch zwar zustanden, der Gesprächspartner hört mich aber ich höre den Partner nicht. Es erscheinen keine weiteren Fehlermeldungen in der FW.
Kannst du dir darauf einen Reim machen ?
Danke
Gruß
Karl-Heinz
Karl-Heinz
Re: IDS Problem?
Hi averlon,
ggf. ist das ein STUN-Paket deiner TK-Anlage, das im schlimmten Fall über die Glasfaserstrecke rausgeht und somit dazu führt, daß die TK-Anlage die falsche öffentliche IP-Adresse (und Port) für die TRP-Streams an den Anrufer/Angerufenen meldet.
Mit VoIP & Co kenne ich micht aber nicht wirklich aus, du solltest aber schauen, daß deine TK-Anlage diese Pakete gar nicht erst verschickt und nicht auf einen wer weiss wie gearteten Rückfall der TK-Anlage bauen, weil das Paket von der Firewall geblockt wurde... Nein - es geht nicht darum, STUN abzuschalten, sondern darum daß das STUN-Paket im "falschen" Netz verschickt wird...
Gruß
Backslash
ggf. ist das ein STUN-Paket deiner TK-Anlage, das im schlimmten Fall über die Glasfaserstrecke rausgeht und somit dazu führt, daß die TK-Anlage die falsche öffentliche IP-Adresse (und Port) für die TRP-Streams an den Anrufer/Angerufenen meldet.
Mit VoIP & Co kenne ich micht aber nicht wirklich aus, du solltest aber schauen, daß deine TK-Anlage diese Pakete gar nicht erst verschickt und nicht auf einen wer weiss wie gearteten Rückfall der TK-Anlage bauen, weil das Paket von der Firewall geblockt wurde... Nein - es geht nicht darum, STUN abzuschalten, sondern darum daß das STUN-Paket im "falschen" Netz verschickt wird...
Gruß
Backslash