1781VA -> Probleme nach Update auf 10.40.210

[Protector]

Hallo zusammen,

in meinem 1781VA habe ich mehrere VLANs zur Netztrennung eingerichtet, welche auf dem angeschlossenen Switch auf die entsprechenden Ports aufgeteilt werden. Ziel dieser Konfiguration ist es, stationäre Rechner vom WLAN-Zoo zu trennen, jedoch die Netzwerkdrucker für beide VLANs verfügbar zu machen.

Bis zur Version 10.34.100 hat dies auch wie gewünscht funktioniert, nach dem Update auf 10.40.210 spring jedoch sofort die Intruder Detection an, welche zuverlässig sämtliche Druckaufträge verhindert, ironischerweise klappt jedoch der Zugriff per HTTP auf das Konfigurationsinterface der Drucker.

Firewall-Log:
17:09:50: intruder detection - UDP-Paket von 192.168.10.51:60926 nach 192.168.35.10:161 - Paket verworfen

Ist das ein Bug oder ein Feature?

[maiki]

Hallo Proctector,

es scheint ein Bug zu schein, ich habe mit einem 1906 bei ähnlichem Netzwerkaufbau (mehrere ARF Netze mit unterschiedlichen VLANs) ähnliche Probleme. Ping und HTTP/HTTPS geht, aber SNMAP ABfragen werden von der Firewall als IDS erkannt und blockiert.

Mit der 10.32 hat alles noch funktioniert, mit der 10.40 geht es nicht wie erwartet.

LG Maik

[backslash]

Hi maiki,

an einen Bug glaube ich eher nicht - oder höchstens an einen in älteren Firmwaren.

Ich vermute eher ein Konfigurationsproblem, denn wenn das IDS anschlägt, dann hat das i.A. auch seinen Grund - meist fehlt eine Route. Welche das ein könnte, kann ich dir nicht sagen - dafür ist die Problembeschreibung zu unspezifisch.

Da mußt du in die effektive Routing-Tabelle schauen und dabei bedenken, daß die Routig-Tabellen pro Routing-Tag in sich geschlossen sind.
Natrülich könnte dir auch die genaue Meldung des IDS helfen, den Fehler einzukreisen, z.B. über einen Firewall-Trace oder (besser noch) eine Mail, die du dier von der Firewall schicken läßt.

Falls du das Problem damit nicht in den Griff bekommst und immer noch der Meinung bist, es wäre ein Bug, dann melde ihn mit Konfig, Netzbeschreibung und allem nötigen Traces (Firewall, IP-Router) direkt bei LANCOM...

Gruß
Backslash

[maiki]

Hallo Backslash,

ein Ticket bei Lancom habe ich bereits eröffnet. Ich habe merhrere ARF Netzwerke mit Schnittstellentag 0 aber unterschiedlichen VLANs. Alle an LAN-1 gebunden.
Nehmen wir einmal an mein PC ist in einem Netz und ein Switch in einem anderen ARF Netz.
Ich kann con meinem PC den Switch anpingen (ICMP) und erreiche die Webseite (HTTP/HTTPS) vom Switch. Hier meldet die FW nichts.
Möchte ich nun per SNMP den Switch abfragen bekomme ich einen Timeout, da die IDS das paket verwirft. Ich glaube nicht an einem Fehler in der Routing Tabelle. Dann würde ja ICMP und HTTP ebenfalls nicht funktionieren. Alles in allen Merkwürdig.

LG Maik

[Protector]

Hallo Maik,

vielleicht kannst du auf diesem Wege auch kommunizieren, was denn der Lancom-Support zum genannten Problem zu sagen hat ... danke.

Gruß

[maiki]

das kann ich tun. Ich habe allerdings bisher nichts gehört.

[Uller]

Gibt es zu dem Problem vielleicht Neuigkeiten?

Nachdem ich den Thread hier gelesen habe, bin ich vorerst bei 10.34 geblieben, da ich VLANs auch recht intensiv nutze.

Schon einmal vielen Dank!

[geforce28]

Mahlzeit.

Habe ein ähnliches Problem.
Da der Lancom ja bisher keine IP-Maskierung (Nat) bei internen Netzen offiziell unterstützt, habe ich mir eine zusätzliche Gegenstelle (IPOE) eingerichtet, an die das eine Netz, in das ich Natten möchte, zusätzlich dranhängt.

Falls sich Leute nach der Sinnhaftigkeit Fragen:
Bose Lautsprecher / Smart Speaker bei mir haben intern in der Firmware einen nicht abschaltbaren Sicherheitsmechanismus, dass sie nur Anfragen aus ihrem eigenen Netz annehmen - Daher das Nat.

Und das hat auch mit der 10.34 und allen Firmware Version davor in Perfektion funktioniert.
Aber sobald ich auf die 10.40 gehe, schmiert bei mir jeder Zugriff über das NAT teilweise (ja manche Anfrage funktionieren noch, aber viele nicht) ab.


Also ich bin sehr gespannt, was der LAncom Support zu @maiki sagt.
Warten wir mal ab

EDIT:
Bei mir sagt das Trace dann übrigens:

Code: Alles auswählen

Packet matched rule intruder detection
Filter info: packet received from invalid interface MULTIMEDIA_NAT

und

Code: Alles auswählen

Packet matched rule INET_VLAN30
inbound masquerading, packet rejected

Ich möchte nochmal betonen, dass mit der 10.34 diese Meldung und exakt identischer Konfiguration nicht auftreten.

[egli]

Ich habe auch massive Probleme mit dem 1781VA seit dem Update auf 10.40.210. Ich habe in der Firewall eine Deny-All-Strategie und seit dem Upgrade lässt er keinerlei Pakete mehr ins Internet, interne Netzwerkregeln und Regeln für Netze über VPN werden aber korrekt angewendet. Das führte zu der Paradoxen Situation, dass Filialen, die per VPN angebunden waren, mit dem Hauptstandort kommunizieren konnten, aber der Hauptstandort nicht ins Internet kam zum Browsen. Nach einem Downgrade der Firmware auf 10.32.0176 lässt mich nun LANMonitor nicht mehr aufs Gerät und meldet:

"Die Anmeldung bei dem Gerät mit der IP-Adresse XX.XX.XX.XX war nicht erfolgreich. Entweder ist das Passwort falsch oder im Gerät wurde der Benutzer falsch konfiguriert. Verwenden Sie zur Authentifizierung SHA256 und für die Verschlüsselung AES256."

Das Passwort ist sicher richtig, an den SNMPv3-Einstellungen habe ich nichts geändert.

Interessanterweise traten die Probleme nur beim 1781VA auf. Alle anderen Router (Typen 1781EW und 883 VoIP) haben das Upgrade auf die 10.40.210 problemlos überstanden....

Peter

[Protector]

So, mit der Version 10.40.0414 RU3 ist zumindest das von mir geschilderte Problem behoben, ein entsprechender Eintrag (Problembeschreibung) ist auch in den Release-Notes zu finden.