VPN Verbindung - Overlapping fragment from offset

Alles was zum Thema Firewall gehört

Moderator: Lancom-Systems Moderatoren

Antworten
LancomF
Beiträge: 81
Registriert: 15 Jan 2015, 01:26

VPN Verbindung - Overlapping fragment from offset

Beitrag von LancomF » 27 Mär 2017, 16:31

Guten Tag,

wir haben eine VPN Verbindung zwischen einer Sonicwall und einem Lancom Router.
Die Verbindung steht und Arbeiten über putty ist problemlos möglich.
Beginne ich jetzt einen Datentransfer mit WinSCP, wird dieser nach wenigen Sekunden abgebrochen und folgende Meldung im Lancom angezeigt:
intruder detected
matched this filter rule: fragment check
filter info: overlapping fragment from offset 1432 to 1456
received from interface INTERFACE
Gibt es Ideen, warum IDS eingreift?

Vielen Dank für die Hilfe!

GrandDixence
Beiträge: 337
Registriert: 19 Aug 2014, 22:41

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von GrandDixence » 27 Mär 2017, 20:07

Wahrscheinlich greift hier die Replay-Detection vom LANCOM VPN-Modul:

https://www.lancom-systems.de/docs/LCOS ... 19_30.html

Achtung: Korrekter Pfad ist: Setup > VPN > Anti-Replay-Window-Size (Fehler in der LANCOM/LCOS-Dokumentation!)

Da es sich hier um eine TCP-Verbindung handelt (SSH/SCP/SFTP => TCP Port 22), schliesse ich eine Fragmentierung der TCP-Pakete aus.

LancomF
Beiträge: 81
Registriert: 15 Jan 2015, 01:26

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von LancomF » 27 Mär 2017, 21:24

Danke für deine Antwort. Ich kann "Anti-Replay-Window-Size" in meinem Lancom nicht finden.
Was mir aufgefallen ist: Wenn ich die Firewall temporär deaktiviere, dann tritt der Fehler nicht auf.

backslash
Moderator
Moderator
Beiträge: 5720
Registriert: 08 Nov 2004, 22:26
Wohnort: Aachen

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von backslash » 28 Mär 2017, 14:52

Hi LancomF,

es gab da einen Bug, durch den einkommende Fragmente dummerweise doppelt "gezählt" wurden, wenn in der Firewall Mindestbandbreiten aktiv waren... Beim "zweiten" mal wurden sie denn fälchlich als Angriff gewertet. Der sollte mit der 9.24 RU4 aber behoben sein...

siehe Releasenotes:
Das Weiterleiten von IPv4-Fragmenten (/setup/ip-router/1-N-NAT/Fragments/) bei gleichzeitiger QoS-Limitierung wird nicht mehr als Angriff gewertet. Dadurch ist eine Kommunikation wieder möglich.
Gruß
Backslash

LancomF
Beiträge: 81
Registriert: 15 Jan 2015, 01:26

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von LancomF » 28 Mär 2017, 19:26

Hi,

vielen Dank für die detaillierte Nachricht.
Aktuell verwende ich noch 9.24 RU3, weil über LANconfig noch nichts Neueres angeboten wird.
Also wird es bei mir bestimmt am besagten Bug liegen.
Sobald ich das Update drauf habe (wenn es über LANconfig verteilt wird), werde ich hier nochmals Rückmeldung geben.

Schönen Abend!

Benutzeravatar
LoUiS
Site Admin
Site Admin
Beiträge: 4871
Registriert: 07 Nov 2004, 19:29
Wohnort: Aix la Chapelle

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von LoUiS » 28 Mär 2017, 20:49

Hi,

ich denke nicht das 9.24 RU4 noch aktiv im AutoUpdater verteilt wird, da die Freigabe des LCOS 10.00 kurz bevor steht.
Du solltest die Version also selbst vom FTP, oder der LANCOM Seite herunter laden und manuell einspielen.


Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.

LancomF
Beiträge: 81
Registriert: 15 Jan 2015, 01:26

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von LancomF » 29 Mär 2017, 19:31

9.24 RU4 ist installiert, übermorgen wird getestet 8)

LancomF
Beiträge: 81
Registriert: 15 Jan 2015, 01:26

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von LancomF » 31 Mär 2017, 08:36

Guten Morgen,

leider schlechte Nachricht. Auch mit 9.24 RU4 bekomme ich den Fehler:

matched this filter rule: fragment check
filter info: overlapping fragment from offset 1432 to 1456
received from interface INTERFACE


Grüße

backslash
Moderator
Moderator
Beiträge: 5720
Registriert: 08 Nov 2004, 22:26
Wohnort: Aachen

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von backslash » 31 Mär 2017, 12:48

Hi LancomF,

dann würde ich davon ausgehen, daß da wirklich überlappende Fragmente ankommen und die Firewall sie korrekterweise verwirft... Das läßt sich aber mit den passenen Traces sicherlich überprüfen (IP-Router, VPN-Packet, Ethernet). Die Traces sollten etweder massiv gefiltert werden oder aber es sollte tunlichst darauf geachtet werden, daß kein weiterer Traffic läuft, denn sonst sieht man den Wald vor lauter Bäumen nicht...

Gruß
Backlsash

LancomF
Beiträge: 81
Registriert: 15 Jan 2015, 01:26

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von LancomF » 06 Apr 2017, 09:15

Guten Tag,

aktuell brauche ich noch ein wenig, um Ergebnisse liefern zu können.

Grüße

LancomF
Beiträge: 81
Registriert: 15 Jan 2015, 01:26

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von LancomF » 07 Apr 2017, 08:11

Guten Morgen,

heute habe ich einen Trace erstellt, kurz bevor ich den Kopiervorgang über VPN gestartet habe. Den Trace muss ich noch detailiert analysieren.
Dabei ist mir aufgefallen, dass der Router kurz nach Start des Kopiervorgangs über WinSCP einen Neustart macht.
Das Verhalten tritt nur bei aktivierter Firewall auf.
Danach ist die IP der Gegenstelle gesperrt, wie ich es bei den IDS Einstellungen festgelegt habe.

Schöne Grüße

LancomF
Beiträge: 81
Registriert: 15 Jan 2015, 01:26

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von LancomF » 11 Apr 2017, 13:30

Guten Tag,

die Lösung meines Problems ist:

1. MTU Größe über die VPN-Verbindung ermitteln:
z.B.: ping 192.168.178.1 -f -l 1492
ping 192.168.178.1 -f -l 1491
ping 192.168.178.1 -f -l 1490
MTU Größe reduzieren bis die Antwort "paket müsste fragmentiert werden" nicht mehr kommt.
Anders als beim MTU-Wert des DSL Interface NICHT 28 zum ermittelten MTU-Wert addieren.

2. MTU-Wert im Lancom Router unter Kommunikation, Protokolle, MTU-Liste mit der VPN-Gegenstelle verknüpft, eintragen.


Danke für die Antworten und schöne Grüße

Antworten

Zurück zu „Fragen zum Thema Firewall“