Intruder Detection ist nicht erklärbar

[mcfly71]

Hallo Gemeinde,

vielleicht kann man hier jemand bei meinem Firewall Problem helfen.
Parameter sind:

Lancom 1783VA
Firewall IPv4 angeschaltet
Im internen Netz eine synologynas laufen, die einen VPN-Server laufen hat.
Zum Testen einen externen Computer per VPN Verbindung verbunden.
Interne IP Nummer der VPN Verbindung beim SynologyNas: 10.8.0.x (hier immer 10.8.0.6)
Regel in der Firewall eingetragen:

!!! Accept / Quelle 10.8.0.0/255.255.255.0 / Ziel Jeder / Alle Protokolle alle Quellen und Ziele !!!

Die VPN Verbindung funktioniert soweit. Trotzdem kommt in Abständen ein

Quelle: 10.8.0.6 Ziel: z.B. 1858.199.109.133 6(TCP) 48158 443(https) INTRUDER DETECTION Paket verworfen etc....

WIESO ???? Die Regel müsste doch alles durchlassen ?!?!

Für Hilfe wäre ich dankbar....

MfG
mcfly

[backslash]

Hi mcfly71,

WIESO ???? Die Regel müsste doch alles durchlassen ?!?!

nein... Die Meldung hat nichts mit der Regel zu tun...
Die Meldung kommt, wenn das Paket über ein Interface kommt, auf das die Route zur Quelladresse des Pakets NICHT zeigt.

In deinem Fall vermute ich, hast du die Route zum 10.8.0.x Netz auf die VPN-Verbindung gelegt. Wenn dein NAS aber buggy ist und Pakete am VPN vorbei sendet, dann kommen sie über direkt dein LAN rein - und da dürfen eben sie nicht herkommen und das IDS schlägt zu. Am besten läßt du dir von der Firewall eine Mail schicken - da ist dann ganz genau aufgeschlüsselt, warum das IDS das Paket verworfen hat.

Du kannst aber in jedem Fall davon ausgehen, daß das IDS Recht hat...

Gruß
Backslash

[mcfly71]

Hallo backslash,

danke schön für die Antwort, aber ich habe da noch Fragen:

1) Ich habe SMTP eingerichtet und Testmails funktionieren auch, aber ich hatte nun nochmals einen solchen Event, aber
es kam keine EMail. Wo muss ich was anschalten, damit dort dann eine EMail geschickt wird ?!

2) Eigentlich soll jeder Verkehr von den 10.8.0.x Adressen direkt ins Internet geroutet werden.
Auch hier weiß ich nicht, wie ich dass dem Lancom mitteilen soll. Denn dies klappt eigentlich,
ansonsten könnte ich ja nicht auf github oder ähnliches zugreifen von dem VPN Rechner.
Muss ich irgendwo noch speziell eine Route eintragen ?


MfG
mcfly

[UKernchen]

Ich würde für diese Aufgabe den VPN-Port im Lancom auf das NAS forwarden.
Fertig.
Dann benötige ich doch keine Firewall-Regel im Router mehr?

[backslash]

Hi mcfly71

1) Ich habe SMTP eingerichtet und Testmails funktionieren auch, aber ich hatte nun nochmals einen solchen Event, aber
es kam keine EMail. Wo muss ich was anschalten, damit dort dann eine EMail geschickt wird ?!

im LANcomfig unter Firewall/QoS -> IDS-Aktionen -> IDS sonstige Maßnahmen das Häkchen bei E-Mail-Nachricht senden setzen

2) Eigentlich soll jeder Verkehr von den 10.8.0.x Adressen direkt ins Internet geroutet werden.
Auch hier weiß ich nicht, wie ich dass dem Lancom mitteilen soll. Denn dies klappt eigentlich,
ansonsten könnte ich ja nicht auf github oder ähnliches zugreifen von dem VPN Rechner.
Muss ich irgendwo noch speziell eine Route eintragen ?

wie - das 10.8.0.x Netz soll sowohl direkt erreichbar sein als auch über VPN?
Da bekommst du aber ein Problem...

Gruß
Backslash

[mcfly71]

Hallo liebe Helferlein,

also, ich habe nun die Meldung als EMail:

intruder detected
The packet below

Src: 10.8.0.6:51870 Dst: 185.199.108.133:443 (TCP)

matched this filter rule: intruder detection
filter info: packet received from invalid interface LAN-1

because of this the actions below were performed:
drop
send syslog message
send SNMP trap
send email to administrator

...

Was ich möchte: Wenn ich mit zB meinem Handy mich per OpenVPN einlogge, so soll das Handy die Möglichkeit haben über
meinen Internetzugang zuhause in Internet zu gehen. Dies ist Primär.
Sekundär wäre es auch schön, wenn es Zugriff auf mein internes Netz hätte, als ob es zuhause in meinem WLan ist. Das muss aber nicht.

VG
mcfly

[Ganzfix]

Und warum nutzt Du nicht das VPN des Lancom?

[backslash]

Hi mcfly71,

hast du denn eine Route zum 10.8.0.0/25 Netz und wenn ja, wo zeigt sie hin?
Poste doch mal deine Routing-Tabelle. Du findet sie im CLI unter /setup/ip-router/routing-table (konfigurierte Tabelle) bzw. unter /Status/IP-Router/Act.-IPv4-Routing-Tab (aus ihr erstellte, tatsächliche Routing-Tabelle).

ggf. mußt du nur eine passende Route aufnehmen, die auf das NAS zeigt...

@Ganzfix:
er will unbedingt OpenVPN machen - und das kann das LANCOM nicht.

Gruß
Backslash

[mcfly71]

Hallo Backslash,

ersteinmal: ja genau wegen OpenVPN geht der Vorschlag von GanzFix nicht.

Meine Routing Tabelle lautet gerade :

IP-Adresse Netzmaske Tag Schaltzustand Router Distanz Mask. Kommentar
192.168.1.0 255.255.255.0 0 An, sticky für RIP PHALANXHYPER 0 Aus VPN HYPER
255.255.255.255 0.0.0.0 0 An, sticky für RIP UNITMEDIA 0 An

(Mein eigenes Netzt hat 192.168.2.x)

Ich hatte da einen Eintrag drin der folgendermaßen lautete:

10.8.0.0 255.255.255.0 0 An, sticky für RIP UNITMEDIA 0 An

Aber dann tat es auf einmal am nächsten Tag mein "normales" Internet nicht mehr. Ich dachte weiß Gott was wegen Unitymedia, Störung, etc.
sei passiert.
Dann erinnerte ich mich : 1 Tag vorher hatte ich diesen Eintrag gemacht, und als ich Ihn rausnahm tat es wieder alles... (???!!!!)
Deshalb steht momentan nix drin

Soll ich den doch wieder reinsetzen ?

VG
mcfly

[backslash]

Hi mcfly71

du mußt die Route zum 10.8.0.0/24 auf die IP-Adresse deines NAS zeigen lassen...

Gruß
Backslash

[mcfly71]

Hallo Backslash,

wie mache ich denn sowas ?In so einem Eintrag steht doch nur sowas wie der DSL Eintrag zur Verfügung.
Wie trage ich denn da eine simple IP Adresse ein ?

VG
mcfly

[Dr.Einstein]

Nicht irritieren lassen. Du kannst in das Feld auch händisch eine IP-Adresse eintragen statt das Drop Down Menü zu benutzen.

[mcfly71]

Servus alle zusammen,

jaaaaa... manchmal der Wald und die Bäume.... Danke schön, ich teste...


VG
mcfly