VPN Verbindung - Overlapping fragment from offset

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
LancomF
Beiträge: 85
Registriert: 15 Jan 2015, 00:26

VPN Verbindung - Overlapping fragment from offset

Beitrag von LancomF »

Guten Tag,

wir haben eine VPN Verbindung zwischen einer Sonicwall und einem Lancom Router.
Die Verbindung steht und Arbeiten über putty ist problemlos möglich.
Beginne ich jetzt einen Datentransfer mit WinSCP, wird dieser nach wenigen Sekunden abgebrochen und folgende Meldung im Lancom angezeigt:
intruder detected
matched this filter rule: fragment check
filter info: overlapping fragment from offset 1432 to 1456
received from interface INTERFACE
Gibt es Ideen, warum IDS eingreift?

Vielen Dank für die Hilfe!
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von GrandDixence »

Wahrscheinlich greift hier die Replay-Detection vom LANCOM VPN-Modul:

https://www.lancom-systems.de/docs/LCOS ... 19_30.html

Achtung: Korrekter Pfad ist: Setup > VPN > Anti-Replay-Window-Size (Fehler in der LANCOM/LCOS-Dokumentation!)

Da es sich hier um eine TCP-Verbindung handelt (SSH/SCP/SFTP => TCP Port 22), schliesse ich eine Fragmentierung der TCP-Pakete aus.
LancomF
Beiträge: 85
Registriert: 15 Jan 2015, 00:26

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von LancomF »

Danke für deine Antwort. Ich kann "Anti-Replay-Window-Size" in meinem Lancom nicht finden.
Was mir aufgefallen ist: Wenn ich die Firewall temporär deaktiviere, dann tritt der Fehler nicht auf.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von backslash »

Hi LancomF,

es gab da einen Bug, durch den einkommende Fragmente dummerweise doppelt "gezählt" wurden, wenn in der Firewall Mindestbandbreiten aktiv waren... Beim "zweiten" mal wurden sie denn fälchlich als Angriff gewertet. Der sollte mit der 9.24 RU4 aber behoben sein...

siehe Releasenotes:
Das Weiterleiten von IPv4-Fragmenten (/setup/ip-router/1-N-NAT/Fragments/) bei gleichzeitiger QoS-Limitierung wird nicht mehr als Angriff gewertet. Dadurch ist eine Kommunikation wieder möglich.
Gruß
Backslash
LancomF
Beiträge: 85
Registriert: 15 Jan 2015, 00:26

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von LancomF »

Hi,

vielen Dank für die detaillierte Nachricht.
Aktuell verwende ich noch 9.24 RU3, weil über LANconfig noch nichts Neueres angeboten wird.
Also wird es bei mir bestimmt am besagten Bug liegen.
Sobald ich das Update drauf habe (wenn es über LANconfig verteilt wird), werde ich hier nochmals Rückmeldung geben.

Schönen Abend!
Benutzeravatar
LoUiS
Site Admin
Site Admin
Beiträge: 5031
Registriert: 07 Nov 2004, 18:29
Wohnort: Aix la Chapelle

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von LoUiS »

Hi,

ich denke nicht das 9.24 RU4 noch aktiv im AutoUpdater verteilt wird, da die Freigabe des LCOS 10.00 kurz bevor steht.
Du solltest die Version also selbst vom FTP, oder der LANCOM Seite herunter laden und manuell einspielen.


Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
LancomF
Beiträge: 85
Registriert: 15 Jan 2015, 00:26

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von LancomF »

9.24 RU4 ist installiert, übermorgen wird getestet 8)
LancomF
Beiträge: 85
Registriert: 15 Jan 2015, 00:26

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von LancomF »

Guten Morgen,

leider schlechte Nachricht. Auch mit 9.24 RU4 bekomme ich den Fehler:

matched this filter rule: fragment check
filter info: overlapping fragment from offset 1432 to 1456
received from interface INTERFACE


Grüße
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von backslash »

Hi LancomF,

dann würde ich davon ausgehen, daß da wirklich überlappende Fragmente ankommen und die Firewall sie korrekterweise verwirft... Das läßt sich aber mit den passenen Traces sicherlich überprüfen (IP-Router, VPN-Packet, Ethernet). Die Traces sollten etweder massiv gefiltert werden oder aber es sollte tunlichst darauf geachtet werden, daß kein weiterer Traffic läuft, denn sonst sieht man den Wald vor lauter Bäumen nicht...

Gruß
Backlsash
LancomF
Beiträge: 85
Registriert: 15 Jan 2015, 00:26

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von LancomF »

Guten Tag,

aktuell brauche ich noch ein wenig, um Ergebnisse liefern zu können.

Grüße
LancomF
Beiträge: 85
Registriert: 15 Jan 2015, 00:26

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von LancomF »

Guten Morgen,

heute habe ich einen Trace erstellt, kurz bevor ich den Kopiervorgang über VPN gestartet habe. Den Trace muss ich noch detailiert analysieren.
Dabei ist mir aufgefallen, dass der Router kurz nach Start des Kopiervorgangs über WinSCP einen Neustart macht.
Das Verhalten tritt nur bei aktivierter Firewall auf.
Danach ist die IP der Gegenstelle gesperrt, wie ich es bei den IDS Einstellungen festgelegt habe.

Schöne Grüße
LancomF
Beiträge: 85
Registriert: 15 Jan 2015, 00:26

Re: VPN Verbindung - Overlapping fragment from offset

Beitrag von LancomF »

Guten Tag,

die Lösung meines Problems ist:

1. MTU Größe über die VPN-Verbindung ermitteln:
z.B.: ping 192.168.178.1 -f -l 1492
ping 192.168.178.1 -f -l 1491
ping 192.168.178.1 -f -l 1490
MTU Größe reduzieren bis die Antwort "paket müsste fragmentiert werden" nicht mehr kommt.
Anders als beim MTU-Wert des DSL Interface NICHT 28 zum ermittelten MTU-Wert addieren.

2. MTU-Wert im Lancom Router unter Kommunikation, Protokolle, MTU-Liste mit der VPN-Gegenstelle verknüpft, eintragen.


Danke für die Antworten und schöne Grüße
Antworten