Hallo,
1781-4G, 9.24.0217
Portforwarding im vorgeschalteten Router auf die Ports 443/22 auf die lokale IP (!) des LANCOMs. Es wird von extern mit öffentlicher IP über den vorgeschalteten Router versucht, auf das LANCOM zuzugreifen. Die Default-Route im LANCOM zeigt auf T-Mobile (von dort erfolgt kein Zugriff).
Das IDS löst aus, obwohl die Adressprüfung in dem IP-Netzwerk auf Flexibel gestellt ist.
Schaltet man die Firewall oder das IDS aus (IDS-Paket-Aktion Übertragen), ist alles ok. Das IDS dürfte doch aber nicht auslösen, wenn die Adressprüfung auf Flexibel steht.
Bug? Ich würde sagen ja. Backslash, bist Du anderer Meinung?
Vielen Dank und viele Grüße,
Jirka
IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt ist
Moderator: Lancom-Systems Moderatoren
Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt
Hi Jirka,
wie ist dein Aufbau genau? Der Router mit dem Portforwarding hängt am Internet und LANCOM mit seinem LAN steht im LAN dieses Routers? Dann sollte das IDFS nicht zuschlagen. Oder hast du eine Routerkaskade aufgebaut und das LANCOM steht mit seiner WAN-Seite an dem Router? In dem Fall schlägt das IDS trotzdem zu...
Gruß
Backslash
wie ist dein Aufbau genau? Der Router mit dem Portforwarding hängt am Internet und LANCOM mit seinem LAN steht im LAN dieses Routers? Dann sollte das IDFS nicht zuschlagen. Oder hast du eine Routerkaskade aufgebaut und das LANCOM steht mit seiner WAN-Seite an dem Router? In dem Fall schlägt das IDS trotzdem zu...
Gruß
Backslash
Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt
Hallo Backslash,
da ich den Fehler gemeinsam mit Jirka festgestellt habe, antworte ich mal auf Deine Frage.
VDSL-Modem <-PPPOE-> Securepoint RC300 [mit Portforwarding] <-LAN-> Lancom 1781-4G [ETH1 (LAN1)]
Somit sollte das IDS nicht auslösen.
Grüße
Cpuprofi
da ich den Fehler gemeinsam mit Jirka festgestellt habe, antworte ich mal auf Deine Frage.
VDSL-Modem <-PPPOE-> Securepoint RC300 [mit Portforwarding] <-LAN-> Lancom 1781-4G [ETH1 (LAN1)]
Somit sollte das IDS nicht auslösen.
Grüße
Cpuprofi
Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt
Hi cpuprofi,
da - würde ich erstmal sagen - sollte das IDS nicht zuschlagen... Oder hat das Gerät mehrere ARF-Netze und du willst eins ansprechen, daß nicht an LAN-1 gebunden ist - d.h. das Paket würde doch wieder über den Forwarding-Zweig laufen, was das gleiche wäre, als ob das Gerät vom WAN angesprochen würde...
Gruß
Backslash
da - würde ich erstmal sagen - sollte das IDS nicht zuschlagen... Oder hat das Gerät mehrere ARF-Netze und du willst eins ansprechen, daß nicht an LAN-1 gebunden ist - d.h. das Paket würde doch wieder über den Forwarding-Zweig laufen, was das gleiche wäre, als ob das Gerät vom WAN angesprochen würde...
Gruß
Backslash
Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt
Hallo Backslash,
der Lancom hat nur ein ARF-Netz und es wird über das Portforwarding nur direkt auf den Lancom zugegriffen (HTTPS,SSH,SNMP).
Grüße
Cpuprofi
der Lancom hat nur ein ARF-Netz und es wird über das Portforwarding nur direkt auf den Lancom zugegriffen (HTTPS,SSH,SNMP).
Grüße
Cpuprofi
Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt
Hallo Backslash,
kann es sein, dass das Problem immer noch nicht gefixt ist? Zufälligerweise ist genau 1 Jahr um. Ich habe gerade über 2 Stunden wegen dieses Problems verprasst. Das Problem ist megamäßig nervig, wenn ein LANCOM plötzlich hinter einer FRITZ!Box landet, wo er vorher davor war.
(Test-)Aufbau:
LANCOM mit Portforwarding (anstelle einer FRITZ!Box) von Port 444 HTTPS und Port 22 SSH auf die 10.0.0.20. Die 10.0.0.20 ist der LANCOM, auf den zugegriffen werden soll. Er befindet sich im lokalen LAN des LANCOMs (10.0.0.1).
Konfiguration des 10.0.0.20-er LANCOMs (readscript):
Problem: Zugriff nicht möglich
Ursache (Firewall-Trace):
Würde mich freuen, wenn das mal gefixt werden würde. Koppelfeld kannst Du es dann sogar als neues Feature verkaufen.
Firmware ist 9.24.0379 vom 09.03.2018
Viele Grüße,
Jirka
kann es sein, dass das Problem immer noch nicht gefixt ist? Zufälligerweise ist genau 1 Jahr um. Ich habe gerade über 2 Stunden wegen dieses Problems verprasst. Das Problem ist megamäßig nervig, wenn ein LANCOM plötzlich hinter einer FRITZ!Box landet, wo er vorher davor war.
(Test-)Aufbau:
LANCOM mit Portforwarding (anstelle einer FRITZ!Box) von Port 444 HTTPS und Port 22 SSH auf die 10.0.0.20. Die 10.0.0.20 ist der LANCOM, auf den zugegriffen werden soll. Er befindet sich im lokalen LAN des LANCOMs (10.0.0.1).
Konfiguration des 10.0.0.20-er LANCOMs (readscript):
Code: Alles auswählen
lang English
flash No
set /Setup/Name "Zugriff-LAN"
cd /Setup/WAN/Layer
del *
tab WAN-layer Encaps. Lay-3 Lay-2 L2-Opt. Lay-1
add "INTERNET" LLC-MUX PPP PPPoE none ADSL
cd /
cd /Setup/WAN/PPP
del *
tab Peer Authent.request Authent-response Key Time Try Conf Fail Term Username Rights
add "DEFAULT" MS-CHAPv2,MS-CHAP,CHAP,PAP MS-CHAPv2,MS-CHAP,CHAP,PAP "" 0 5 10 5 2 "" none
add "INTERNET" none MS-CHAPv2,MS-CHAP,CHAP,PAP "12345678" 5 5 10 5 2 "0011223344555511223344550001@t-online.de" IP
cd /
cd /Setup/WAN/DSL-Broadband-Peers
del *
tab Peer SH-Time AC-name Servicename WAN-layer ATM-VPI ATM-VCI MAC-Type user-def.-MAC DSL-ifc(s) VLAN-ID Prio-Mapping
add "INTERNET" 9999 "" "" "INTERNET" 1 32 local 000000000000 "" 0 1TR-112
cd /
cd /Setup/VPN/Load-Balancer/Message-Profiles
del *
tab Profile-Name Interface Address Port Interval Holdtime Replay-Window Max-Time-Skew Secret Cipher HMAC Comment
add "DEFAULT" "INTRANET" "239.255.22.11" 1987 500 3000 5 15 "" None 96-Bits ""
cd /
cd /Setup/TCP-IP/Network-list
del *
tab Network-name IP-Address IP-Netmask VLAN-ID Interface Src-check Type Rtg-tag Comment
add "INTRANET" 10.0.0.20 255.255.255.0 0 LAN-1 loose Intranet 0 "local intranet"
cd /
cd /Setup/IP-Router/IP-Routing-Table
del *
tab IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active Comment
add 192.168.0.0 255.255.0.0 0 "0.0.0.0" 0 No No "template: block private networks: 192.168.x.y"
add 172.16.0.0 255.240.0.0 0 "0.0.0.0" 0 No No "template: block private networks: 172.16-31.x.y"
add 10.0.0.0 255.0.0.0 0 "0.0.0.0" 0 No No "template: block private network: 10.x.y.z"
add 224.0.0.0 224.0.0.0 0 "0.0.0.0" 0 No Yes "block multicasts: 224-255.x.y.z"
add 255.255.255.255 0.0.0.0 0 "INTERNET" 0 on Yes "Diese Route wurde durch den Internet-Assistenten erzeugt"
cd /
cd /Setup/IP-Router/RIP/LAN-Sites
del *
tab Network-name RIP-Type RIP-Send RIP-Accept Propagate Poisoned-Reverse Dft-Rtg-Tag Rtg-Tag-List Rx-Filter Tx-Filter
add "INTRANET" Off No No No No 0 "" "" ""
cd /
cd /Setup/IP-Router/Firewall/Rules
del *
tab Name Prot. Source Destination Action Linked Prio Firewall-Rule VPN-Rule Stateful Src-Tag Rtg-tag Comment
add "WINS" "UDP TCP" "anyhost netbios" "anyhost" "internet-filter" No 0 Yes No Yes 0 0 "block NetBIOS/WINS name resolution via DNS"
cd /
cd /Setup/DHCP/Network-list
del *
tab Network-name Start-Address-Pool End-Address-Pool Netmask Broadcast-Address Gateway-Address DNS-Default DNS-Backup NBNS-Default NBNS-Backup Operating Broadcast-Bit Master-Server 2nd-Master-Server 3rd-Master-Server 4th-Master-Server Cache Adaption Cluster Max.-Lease Def.-Lease
add "INTRANET" 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 No No 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 No No No 0 0
cd /
set /Setup/Config/Config-Aging-Minutes 60
cd /Setup/Config/Access-Table
tab Ifc. Telnet TFTP HTTP SNMP HTTPS Telnet-SSL SSH SNMPv3
set LAN Yes Yes Yes Yes Yes Yes Yes Yes
set WAN No No No VPN Yes No Yes Yes
set WLAN No Yes Yes Yes Yes Yes Yes Yes
cd /
set /Setup/HTTP/SSL/Port 444
set /Setup/HTTP/SSL/Versions TLSv1.2
set /Setup/HTTP/Session-Timeout 3600
flash Yes
# done
exit
Ursache (Firewall-Trace):
Code: Alles auswählen
[Firewall] 2018/04/05 16:03:43,212
Packet matched rule intruder detection
DstIP: 10.0.0.20, SrcIP: 91.66.100.100, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 444, SrcPort: 52093, Flags: S
Seq: 3572910069, Ack: 0, Win: 8192, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 8 (multiply by 256)
Option: NOP
Option: NOP
Option: SACK permitted
Filter info: packet received from invalid interface LAN-1
send SNMP trap
packet dropped
Firmware ist 9.24.0379 vom 09.03.2018
Viele Grüße,
Jirka
-
Dr.Einstein
- Beiträge: 3236
- Registriert: 12 Jan 2010, 14:10
Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt
Hi Jirka,
wieso sollte das jetzt gehen? Du hast keine passende Rückroute, deswegen Instrusion Detection. Mach halt noch eine 2. Default Route mit Routing Tag xyz Zielpeer 10.0.0.1
Gruß Dr.Einstein
wieso sollte das jetzt gehen? Du hast keine passende Rückroute, deswegen Instrusion Detection. Mach halt noch eine 2. Default Route mit Routing Tag xyz Zielpeer 10.0.0.1
Gruß Dr.Einstein
-
Koppelfeld
- Beiträge: 991
- Registriert: 20 Nov 2013, 09:17
Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt
Moinsen,
Wie er selbst schreibt, ist die Default-Route auf das T-Online - Gateway gesetzt.
Die Moral von der Geschicht': Router kaskadiert man nicht.
Genau. Jirka hat im Kopf Art "Connection Tracking", die es aber im Router nicht gibt.Dr.Einstein hat geschrieben:
wieso sollte das jetzt gehen? Du hast keine passende Rückroute
Wie er selbst schreibt, ist die Default-Route auf das T-Online - Gateway gesetzt.
Die Moral von der Geschicht': Router kaskadiert man nicht.
-
Dr.Einstein
- Beiträge: 3236
- Registriert: 12 Jan 2010, 14:10
Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt
Eher: Hat ein Paket den Router erreicht, sag ihm wohin er es weiterreicht?Koppelfeld hat geschrieben:Die Moral von der Geschicht': Router kaskadiert man nicht.
Sprich, zweite Default Route.
Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt
Hi Dr. Einstein,
Kunde hat LANCOM-Router. Plötzlich geht das Internet nicht mehr, weil ja, das sage ich Dir besser nicht, ach was solls, Du kennst solche Schoten ja auch, weil völlig falsche Zugangsdaten in den Router eingetragen wurden, die aber zwei Jahre lang funktionierten. Jetzt wurde der Anschluss mit der Zugangsnummer in der Zentrale 600 km weiter auf BNG und SIP-Trunk umgestellt und plötzlich gingen die Daten nicht mehr. Nach einem Tag Ausfall, es wurde eine Störung bei der Telekom vermutet, stellte ich dann die Diagnose, dass das wohl an falschen Zugangsdaten liegt und sagte, die müssen geändert werden. Der Kunde hatte nun aber kein Internet und kam auf die Idee, es mal mit der alten FRITZ!Box zu probieren, so nach dem Motto der LANCOM ist vielleicht defekt. Und nun ging das sogar mit der FRITZ!Box, weil da nämlich die korrekten Daten drin waren. Wie ändere ich nun am schnellsten und unkompliziertesten die Zugangsdaten im LANCOM, wenn vor Ort nur Leute sind, wo es alleine 30 Min. braucht, bis man die überhaupt im Webinterface des LANCOMs hat? Man bedenke, FRITZ!Box und LANCOM haben die gleiche lokale IP, beide machen kein DHCP. Meine Überlegung war jetzt per TeamViewer in der FRITZ!Box HTTPS-Fernzugriff aktivieren, LANCOM anschließen lassen, lokale IP der FRITZ!Box ändern, Portforwardings auf den LANCOM einrichten (weil die FRITZ!Box keine TCP-Tunnel kann wie ein LANCOM) und Zugriff auf den LANCOM haben. Nicht schön, aber schnell. Klar könnte man auch erst noch eine VPN-Client-Verbindung zur FRITZ!Box einrichten usw., oder aber einem PC ein neues Gateway geben und die FRITZ!Box entsprechend ändern, aber den Aufwand wollte ich mir eigentlich ersparen. Ich will mit der FRITZ!Box gar nichts zu tun haben. Nur die stellt halt die einzige Möglichkeit für mich dar, dass ich schnell selber auf den LANCOM rauf komme und so nur 5 bis 10 Min. brauche, während ich sonst bei telefonischer Begleitung eines DAUs unter Einrichtung von IP-Adressen usw. und Anklemmen des LANCOMs und und und eine ganze Stunde ansetzen muss.
Man hat immer wieder mal Situationen, in denen vor Ort ein LANCOM-Router auf dem Tisch steht, wo noch was geändert werden muss, bevor dieser fürs WAN-Routing in Betrieb gehen kann. Weil sich inzwischen was geändert hat, weil was falsch übermittelt wurde o. ä. Ab und an kann man ja auch andere Wege gehen, Router resetten und richtige Konfig neu aufspielen zum Beispiel. Aber da muss man erst mal die Konfig haben... Mit der Filiale hatte ich eigentlich gar nichts zu tun...
Viele Grüße,
Jirka
ganz einfach, weil es früher auch ging.Dr.Einstein hat geschrieben:wieso sollte das jetzt gehen?
Die brauche ich auch nicht, der Router sieht ja, auf welchem Interface das einging.Dr.Einstein hat geschrieben:Du hast keine passende Rückroute, deswegen Instrusion Detection.
Das Problem ist genau genommen, dass ich das eben nicht machen kann, weil ich auf den LANCOM nicht mehr drauf komme! Und das soll auch alles keine Dauerlösung sein, sondern nur folgendes Problem lösen:Dr.Einstein hat geschrieben:Mach halt noch eine 2. Default Route mit Routing Tag xyz Zielpeer 10.0.0.1
Kunde hat LANCOM-Router. Plötzlich geht das Internet nicht mehr, weil ja, das sage ich Dir besser nicht, ach was solls, Du kennst solche Schoten ja auch, weil völlig falsche Zugangsdaten in den Router eingetragen wurden, die aber zwei Jahre lang funktionierten. Jetzt wurde der Anschluss mit der Zugangsnummer in der Zentrale 600 km weiter auf BNG und SIP-Trunk umgestellt und plötzlich gingen die Daten nicht mehr. Nach einem Tag Ausfall, es wurde eine Störung bei der Telekom vermutet, stellte ich dann die Diagnose, dass das wohl an falschen Zugangsdaten liegt und sagte, die müssen geändert werden. Der Kunde hatte nun aber kein Internet und kam auf die Idee, es mal mit der alten FRITZ!Box zu probieren, so nach dem Motto der LANCOM ist vielleicht defekt. Und nun ging das sogar mit der FRITZ!Box, weil da nämlich die korrekten Daten drin waren. Wie ändere ich nun am schnellsten und unkompliziertesten die Zugangsdaten im LANCOM, wenn vor Ort nur Leute sind, wo es alleine 30 Min. braucht, bis man die überhaupt im Webinterface des LANCOMs hat? Man bedenke, FRITZ!Box und LANCOM haben die gleiche lokale IP, beide machen kein DHCP. Meine Überlegung war jetzt per TeamViewer in der FRITZ!Box HTTPS-Fernzugriff aktivieren, LANCOM anschließen lassen, lokale IP der FRITZ!Box ändern, Portforwardings auf den LANCOM einrichten (weil die FRITZ!Box keine TCP-Tunnel kann wie ein LANCOM) und Zugriff auf den LANCOM haben. Nicht schön, aber schnell. Klar könnte man auch erst noch eine VPN-Client-Verbindung zur FRITZ!Box einrichten usw., oder aber einem PC ein neues Gateway geben und die FRITZ!Box entsprechend ändern, aber den Aufwand wollte ich mir eigentlich ersparen. Ich will mit der FRITZ!Box gar nichts zu tun haben. Nur die stellt halt die einzige Möglichkeit für mich dar, dass ich schnell selber auf den LANCOM rauf komme und so nur 5 bis 10 Min. brauche, während ich sonst bei telefonischer Begleitung eines DAUs unter Einrichtung von IP-Adressen usw. und Anklemmen des LANCOMs und und und eine ganze Stunde ansetzen muss.
Man hat immer wieder mal Situationen, in denen vor Ort ein LANCOM-Router auf dem Tisch steht, wo noch was geändert werden muss, bevor dieser fürs WAN-Routing in Betrieb gehen kann. Weil sich inzwischen was geändert hat, weil was falsch übermittelt wurde o. ä. Ab und an kann man ja auch andere Wege gehen, Router resetten und richtige Konfig neu aufspielen zum Beispiel. Aber da muss man erst mal die Konfig haben... Mit der Filiale hatte ich eigentlich gar nichts zu tun...
Viele Grüße,
Jirka
-
Dr.Einstein
- Beiträge: 3236
- Registriert: 12 Jan 2010, 14:10
Re: IDS löst aus, obwohl Adressprüfung auf Flexibel gestellt
Hey Jirka,
alles klar, mit dem Hintergrundwissen ergibt das Thema ein ganz anderes Bild. Und du hast Recht, früher ging das. Ich hätte jetzt in meinem jugendlichen Leichtsinn gesagt, lass den Router plattmachen, dann geht auch die Portweiterleitung. Aber auch hier ist genau das gleiche Thema. Das LCOS legt eine virtuelle Gegenstelle "INTERNET-DEFAULT" an, die Pakete kommen aber über LAN-1 rein. Bin der Meinung, früher gab es diese Gegenstelle nicht und das per DHCP empfangene Gateway wurde einfach so in die aktive Routing Tabelle geschrieben. Damit wäre es gegangen und du hättest deine Datensicherung einspielen können
Gut, dann fällt mir momentan leider keine weitere Lösung ein außer deine bereits genannten.
Gruß Dr.Einstein
PS: Habe gerade einen Kunden auf dem Tisch, wo bei rund 150 Standorten die T-DSL Businesskennungen einfach willkürlich deutschlandweit verteilt wurden. Und zur Krönung des Ganzen hat der Kunde noch vielleicht 50% der Kennungen abgeheftet. Gut, dass es sowas wie Schmerzensgeld gibt, hoffe, die Rechnung erzieht die Firma.
alles klar, mit dem Hintergrundwissen ergibt das Thema ein ganz anderes Bild. Und du hast Recht, früher ging das. Ich hätte jetzt in meinem jugendlichen Leichtsinn gesagt, lass den Router plattmachen, dann geht auch die Portweiterleitung. Aber auch hier ist genau das gleiche Thema. Das LCOS legt eine virtuelle Gegenstelle "INTERNET-DEFAULT" an, die Pakete kommen aber über LAN-1 rein. Bin der Meinung, früher gab es diese Gegenstelle nicht und das per DHCP empfangene Gateway wurde einfach so in die aktive Routing Tabelle geschrieben. Damit wäre es gegangen und du hättest deine Datensicherung einspielen können
Gut, dann fällt mir momentan leider keine weitere Lösung ein außer deine bereits genannten.
Gruß Dr.Einstein
PS: Habe gerade einen Kunden auf dem Tisch, wo bei rund 150 Standorten die T-DSL Businesskennungen einfach willkürlich deutschlandweit verteilt wurden. Und zur Krönung des Ganzen hat der Kunde noch vielleicht 50% der Kennungen abgeheftet. Gut, dass es sowas wie Schmerzensgeld gibt, hoffe, die Rechnung erzieht die Firma.