(IP-IP): connection refused

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: (IP-IP): connection refused

Beitrag von plumpsack »

tstimper hat geschrieben: 07 Mär 2023, 11:53 Variante 1: ...
Variante 2: ...
Variante 3:

Was ist das, wenn zu dem Zeitpunkt gar kein Client online war?

Macht der Lancom das von sich aus?

Und wenn ja, warum will er sich per (IP-IP) mit "dubiosen" IP-Adressen verbinden?

Amazon Inc. - Server sind glaube ich "noch" nicht die Push-Server für Lancom-Router.
:G)
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: (IP-IP): connection refused

Beitrag von backslash »

Ich empfehle als Literatur "TCP/IP for dummies"
dann siehst diu daß IP-IP nbiucht mit DNS zu tun hat
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: (IP-IP): connection refused

Beitrag von tstimper »

backslash hat geschrieben: 10 Mär 2023, 10:17 Ich empfehle als Literatur "TCP/IP for dummies"
dann siehst diu daß IP-IP nbiucht mit DNS zu tun hat
Hi Backslash,

bei aller Achtung finde ich diese Bemerkung nicht hilfreich und zielführend.

Das Problem ist ja hier nur deshalb so hochgekocht, weil das Verhalten von LCOS im Falle des DNS - Abfragens beim Primary UND beim Backup DNS Server
aufgrund der Art und Weise, wie das bei LCOS implementiert ist, eine Menge von von "False Positive" Connection Refused Meldungen erzeugt,
die so nicht sein müsten, wenn LCOS das korekt behandeln würde.

Also je Anfrage an den Primary UND den Backup DNS Serevr einen separaten Listener öffnen und nicht nur einen einzigen.
Das ist einfach falsch in LCOS implementiert. (Warum auch immer, dafür kann es die verschiedensten Gründe geben)

Was völlig falsch ist, dann den Loglevel für ALLE Connection Refused Meldungen auf Info zu setzen,
obwohl nur der Teil der LCOS DNS bedingten "False-Positives" die User und Admins flooden verunsichern.

Ich kann doch nicht ein offensichtihces Problem damit bearbeiten indem ich nicht mehr darüber rede.
Und dann anderen empfehlen, doch mal die Basics zu lernen.

Also Empfehlung für die LCOS Entwickler:

Bei DNS Anfragen an den Backup DNS Servrr wird künftig ein seperater Listener geöffnet.
Der Loglevel für Connection Refused wird wieder standardmäßig von Info auf Alert gesetzt.

So wies jetzt ist kanns nicht bleiben.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: (IP-IP): connection refused

Beitrag von backslash »

Hi tstimper
Das Problem ist ja hier nur deshalb so hochgekocht, weil das Verhalten von LCOS im Falle des DNS - Abfragens beim Primary UND beim Backup DNS Server
aufgrund der Art und Weise, wie das bei LCOS implementiert ist, eine Menge von von "False Positive" Connection Refused Meldungen erzeugt,
die so nicht sein müsten, wenn LCOS das korekt behandeln würde.
bei dem Troll und dem Titel des Threads geht es aber nicht um DNS...

Gruß
Backslash
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: (IP-IP): connection refused

Beitrag von backslash »

Hi tsimper
Also je Anfrage an den Primary UND den Backup DNS Serevr einen separaten Listener öffnen und nicht nur einen einzigen.
Das ist einfach falsch in LCOS implementiert. (Warum auch immer, dafür kann es die verschiedensten Gründe geben)
nein, das ist nicht falsch implementiert, denn
Was völlig falsch ist, dann den Loglevel für ALLE Connection Refused Meldungen auf Info zu setzen,
obwohl nur der Teil der LCOS DNS bedingten "False-Positives" die User und Admins flooden verunsichern.
Das mit dem DNS ist *EINE* Möglichkeit, diese Meldung zu erzeugen - aber sie wird bei jedem Problem, was ein Kunde hat, immer wieder als Erstes als Grud für dieses Problem gesehen, weil das Syslog mit "connectiuon refused" Meldungen geflutet ist.

Nochmal: Diese Medlung sagt nichts darüber aus, ob ein Angriff läuft oder nicht: sie sagt nur: da ist ein Paket gekommen, für das es keinen Listener gab. Sowas ist keinen ALARM wert!
Bei DNS Anfragen an den Backup DNS Servrr wird künftig ein seperater Listener geöffnet.
Der Loglevel für Connection Refused wird wieder standardmäßig von Info auf Alert gesetzt.
Das ändert doch nichts - denn sobald vom einem Server eine Antwort kommt muß auch der zweite Listener wieder entfernt werden (wg. DNS-Cache-Poisoning) und die Meldung kommt auch für DNS wieder...

Gruß
Backslash
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: (IP-IP): connection refused

Beitrag von plumpsack »

backslash hat geschrieben: 10 Mär 2023, 11:06 bei dem Troll und dem Titel des Threads geht es aber nicht um DNS...
So langsam verstehst du es ...

Das mit dem "Troll" muss ich wohl von euch Admins und Moderatoren "hinnehmen" - obwohl das nur auf eure Medienkompetenz hinweist und nicht nett ist, da ich nicht trolle, sondern auf Probleme hinweise.

@Backslash ich nenne eine IP-Adresse mal Tumor:

Tumor habe ich vor ein paar Tagen im Syslog übersehen und nicht in die Sperrliste/Routing-Tabelle mit seinem Sub-Netz übernommen.

Tumor versucht seit diesem Zeitpunkt, IP-übergreifend (ich habe seit dem ersten Zugriffs-/Trigger-Versuch mehrfach Anfragen von Tumor gehabt) zuzugreifen.

Tumor versucht auf folgenden Ports zuzugreifen zu triggern:

Code: Alles auswählen

UDP
:5632
:1029
:135
:20000
:1434
:5355
Jetzt hast du. als Lancom-Mitarbeiter, wahrscheinlich schnelleren Zugriff auf eine Datenbank mit den CVE's, den beschrieben Ports und den Exploids.

Ansonsten: siehe auch google -> fraud udp "port-nummer"

Ich muss mir das alles mit "Tante Google" zusammensuchen.

Tumor kommt aus HongKong, was soll ich da jetzt noch zu schreiben - ist ein DNS-Fehler?
:G)

Ich habe Tumor und sein Sub-Netzwerk, mal wieder, via Routing-Tabelle entfernt/gesperrt.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: (IP-IP): connection refused

Beitrag von backslash »

was soll ich da jetzt noch zu schreiben - ist ein DNS-Fehler?
nein, aber dennoch völlig irrelevant, da das LANCOM keine Listener für diese Ports hat...

Und da "Tumor" auch nur auf die WAN-Adresse kommt (i.A. wg. Maskierung) mußt du für "Tumor" auch keine Sperr-Routen einrtichten - es sei denn du hast Angst, beim wilden Klicken auf jeden "Klick mich, hier gibt's Viagra umsonst" Button auf "Tumor"s Server zu landen un dir da eine Malware einzufangen. In dem Fall solltest du aber eher dein Klickverhalten infrage stellen, als dich in vermeindlicher Sichreit wegen Sperr-Routen zu wiegen...

Um ganz sicher zu sein, müßtest du die Default-Route in eine Sperr-Route umwandeln - denn wie man gerade erst wieder gesehen hat, kommt Ransomware nicht unbedingt nur aus China, Rußland oder der Ukraine, sondern sogar auch aus Deutschland, siehe auch https://www.heise.de/news/DoppelPaymer- ... 36759.html
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: (IP-IP): connection refused

Beitrag von plumpsack »

backslash hat geschrieben: 13 Mär 2023, 11:50 Um ganz sicher zu sein, müßtest du die Default-Route in eine Sperr-Route umwandeln - ...
So langsam kommen wir beide doch noch evtl. auf einen gemeinsamen Nenner ...

Routing-Tabelle / Sperrliste ist ca. 1.3MB - wie umwandeln?
:G)
PappaBaer
Beiträge: 157
Registriert: 21 Jul 2016, 20:49

Re: (IP-IP): connection refused

Beitrag von PappaBaer »

plumpsack hat geschrieben: 15 Mär 2023, 00:12 Routing-Tabelle / Sperrliste ist ca. 1.3MB - wie umwandeln?
:G)
Ganz einfach:
Default-Route ändern auf

255.255.255.255 0.0.0.0 0 An, sticky für RIP 0.0.0.0 0 An 0

Kleiner zusätzlicher positiver Nebeneffekt: Du hast dann deutlich weniger Last auf der WAN-Schnittstelle. Routing-Tag ggf. auf Deine Konfiguration anpassen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: (IP-IP): connection refused

Beitrag von backslash »

Hi PappaBaer
Kleiner zusätzlicher positiver Nebeneffekt: Du hast dann deutlich weniger Last auf der WAN-Schnittstelle
und wir haben auch Ruhe ;-)

Gruß
Backslash
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: (IP-IP): connection refused

Beitrag von plumpsack »

backslash hat geschrieben: 15 Mär 2023, 10:19
und wir haben auch Ruhe ;-)
Ich denke, ihr habt bei Lancom zuviel Ruhe, zuviel Zeit ...

Siehe hierzu:

LCOS-1042-RU11

Fehlende Dokumentationen - was ist los bei Lancom
:G)

RN_LCOS-1042-RU11_DE.pdf ?
RN_LCOS-1042-RU11_EN.pdf ?

Noch nicht geschrieben?


Das zieht sich weiter wie ein roter Faden:

https://ftp.lancom.de/Documentation/Release-Notes/LCOS/

Code: Alles auswählen

RN_LCOS-1042-RU9_DE.pdf 08-Dec-2022 10:04
RN_LCOS-1042-RU9_EN.pdf 08-Dec-2022 10:07

Code: Alles auswählen

RN_LCOS-1042-SU10_DE.pdf 22-Feb-2023 16:19
RN_LCOS-1042-SU10_EN.pdf 21-Feb-2023 12:26
https://ftp.lancom.de/Documentation/Feature-Notes/

Code: Alles auswählen

FN_LCOS-1012_DE.pdf
FN_LCOS-1012_EN.pdf
Da war wohl bei 1012 Ende ...
Warum?

https://ftp.lancom.de/Documentation/LCOS/Addendum/

Code: Alles auswählen

MA_LCOS-1042-RU2-Addendum_DE.pdf
MA_LCOS-1042-RU2-Addendum_EN.pdf

Code: Alles auswählen

MA_LCOS-1050-RU5-Addendum_DE.pdf
MA_LCOS-1050-RU5-Addendum_EN.pdf

Code: Alles auswählen

MA_LCOS-1072-Addendum_DE.pdf
MA_LCOS-1072-Addendum_EN.pdf
https://ftp.lancom.de/Documentation/LCO ... Reference/

Code: Alles auswählen

MA_LCOS-1050-RU5-Menu-Reference_DE.pdf
MA_LCOS-1050-RU5-Menu-Reference_EN.pdf
https://ftp.lancom.de/Documentation/LCO ... %20Manual/

Code: Alles auswählen

MA_LCOS-1042-RU2-Reference-Manual_DE.pdf
MA_LCOS-1042-RU2-Reference-Manual_EN.pdf

Code: Alles auswählen

MA_LCOS-1050-RU5-Reference-Manual_DE.pdf
MA_LCOS-1050-RU5-Reference-Manual_EN.pdf

Code: Alles auswählen

MA_LCOS-1072-Reference-Manual_DE.pdf
MA_LCOS-1072-Reference-Manual_EN.pdf
Habt ihr bei Lancom zuviel Zeit?
:G)
Antworten