Kein Ping geht mehr aus ACTION Konsole seit neuer FW

[diemoories]

Liebe Lancomgemeinde,

ich stelle gerade fest, dass mit der Fw-Version 8.80.0159RU1 / 19.04.2013
kein Ping mehr aus der Action-Tabelle funktioniert.
Schnelle auf das Gerät Fw-Version 8.62.0050RU2 / 07.08.2012 gespielt und siehe da, Aktion-Ping geht wieder...

Ich verwende folgende Zeile als Aktion:
exec:sleep 2000; ping 192.168.0.1; sleep 5000; # aktuellen InmarSAT Link-Status abfragen

-versuchsweise eigene IP eingetragen, gleiches Ergebnis
-Telnet-Pings gehen alle...

Ausserdem fällt mir auf, das die neue Fw eine IDS Meldung zeigt, die offensichtlich aus dem Polling herrührt. Aber das hier nur am Rande als Hinweis auf mögliche Zusammenhänge.

Viele Grüße
Ralf

[diemoories]

Ich antworte mir mal selber, weils vielleicht auch andere interessiert:
Das Problem liegt zwischen Fw 8.6xxx und Fw 8.8xxx - da hat es offensichtlich einige Änderungen im Intruder Detection System (IDS) gegeben. Ein paar andere Beiträge gibt es dazu auch im Forum.

Auf jeden Fall löst bei mir folgende Konfiguration das Problem aus:

- eigene LAN-IP 192.168.42.197
- DHCPoE-Gegenstelle als Default Gateway
- auf gleiche Gegenstelle statische Route gesetzt fürs Management

3 Folgen hat das:

1. Das Polling auf die Gegenstelle löst IDS aus:

[Firewall] ...
Packet matched rule intruder detection
DstIP: 192.168.42.197, SrcIP: 8.8.8.8, Len: 84, DSCP/TOS: 0x00
Prot.: ICMP (1), echo reply, id: 0x007b, seq: 0x0000

Filter info: packet received from invalid interface INMARSAT_ETH2
send SNMP trap
packet dropped

2. Ein Ping aus der Action-Tabelle (s.o.) liefert "kein" Ergebnis, obwohl Telnet-Ping geht
Das ist etwas wunderlich, da die virtuelle Action-Konsole doch mit dem Telnet-Interface identisch sein sollte...

3. Die Verbindung zur Gegenstelle wird nicht aufgebaut (logisch)

Weitere Erkenntnisse:
-wenn ich IDS versuchsweise auf "accept" stelle, wird das Paket zwar durch die Firewall gelassen, aber intern nicht weiterverarbeitet, da es ja auf der falschen Schnitstelle ankam.
Wenn ich das richtig interpretiere, schickt der Lancom-Router das Polling-Paket über die eine Schnittstelle (z.B. die Default-Gateway) raus und nimmt es auf dem anderen (der statischen Route) wieder an. Woraufhin NEUERDINGS, also ab (Fw 8.8xxx) die IDS klingelt.

Was empfehlen die Profis?

[Dr.Einstein]

Ich hatte jetzt auch mehrfach Tickets wegen der IDS (aber andere Fälle wie deiner) geöffnet bei Lancom, ein paar wurden bis
jetzt gefixt. Also wirst du wohl auch solange die 8.62 RU5 einspielen müssen, und fleißig Trace abliefern .

Gruß Dr.Einstein

[diemoories]

Moin Dr.Einstein,

das fehlt mir auch noch.
Ich bin allerdings versessen auf die neue Möglichkeit seit 8.82.0051RC1, mein DNS mit Routing-Tags versehen zu können. Dadurch kann ich meine Konfigurationen endlich "aufräumen".

Vielen Dank an dieser Stelle an die Entwickler!

Deshalb wäre es schöner, wenn mir jemand sagt, wie es anders geht, dass ich im lancom'schen Sinne sauber auf die Managementschnittstellen meiner DSL-Gegenstellen komme. Das Problem stellt sich ja immer wieder...

Danke!
Ralf

[diemoories]

Weitere Erkenntnisse!

-Eigenständige Gegenstelle für den Konfigurationszugriff (Webinterface) mit identischen Parametern angelegt:
-- DSL-Gegenstellen
-- Polling-Eintrag, aber NUR auf LAN-Adresse des Gateways*
-- IP-Parameter

-Statische Route LAN-IP des Webinterface > Neue Gegenstelle, maskiert

Jetzt KEINE IDS-Ereignisse mehr.
*Diese entstehen wieder, wenn man für diese Gegenstelle eine Internetadresse als Polling-Eintrag eingibt.

WEB-Zugriff auf DSL-Gegenstelle geht jetzt!
Das eigentliche Problem wie oben geschildert geht aber immer nicht nicht:
Kein Ping geht mehr aus ACTION Konsole seit neuer FW

Viele Grüße
Ralf

[diemoories]

Welchen Grund könnte es geben, dass ein ping in der Aktionstabelle seit 8.8 nicht mehr geht?
Im CONNACT - Trace bleibt jede Antwort leer, egal wohin der Ping geht.

Viele Grüße
Ralf

[diemoories]

Habs nochmal gröndlich gestestet:
Ping geht nicht mehr als Action Befehl seit Fw 8.8x. Möglicherweise ein Timing-Problem. Zumindest in meiner Umgebung. Falls jemand ähnliches bei sich feststellt, wäre nett, wenn er es hier posten würde.
Ich habe das bei mir jetzt anders gelöst.

Viele Grüße
Ralf