Portforwarding auf 1781 debuggen

claus129 · Beitrag von **claus129** » 19 Feb 2013, 18:19

Hallo,

ich habe einen 1781A-3G an einer DSL-Leitung (3G ist nicht aktiviert/konfiguriert).

Internetverbindung mit dynamischer IP funktioniert, dyndns-Updates gehen auch.

Ich habe unter Konfiguration - IP-Router - Masquerading - Inverses Maskieren Portforwards angelegt. Dabei habe ich die WAN-IP auf 0.0.0.0 belassen.

Nach meinem Verständnis sind diese sofort (bzw. nach Neustart) funktionsfähig. Es müssen keine expliziten Firewallregeln angelegt werden?

Die Portforwards haben auch ein paar Tage funktioniert, jetzt tun sie es nicht mehr.

Ein trace # tcp-ip @ 83.102.162.157 (das ist eine Maschine im Internet, von der aus ich den Port anspreche) zeigt mir folgendes:

[IP-masquerading] 2013/02/19 17:27:44,976
Open: TCP 83.102.162.157, 22414 => 31442

[IP-Router] 2013/02/19 17:27:44,977
IP-Router Rx (BELGACOM, RtgTag: 0):
DstIP: 172.17.1.254, SrcIP: 83.102.162.157, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 22, SrcPort: 22414, Flags: S
Seq: 3220743653, Ack: 0, Win: 14600, Len: 0
Option: Maximum segment size = 1460
Option: SACK permitted
Option: 08 = 33 44 d8 53 00 00 00 00
Option: NOP
Option: Window scale = 4 (multiply by 16)
Filter (Port)

[IP-Router] 2013/02/19 17:27:45,963
IP-Router Rx (BELGACOM, RtgTag: 0):
DstIP: 172.17.1.254, SrcIP: 83.102.162.157, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 22, SrcPort: 22414, Flags: S
Seq: 3220743653, Ack: 0, Win: 14600, Len: 0
Option: Maximum segment size = 1460
Option: SACK permitted
Option: 08 = 33 44 d9 4d 00 00 00 00
Option: NOP
Option: Window scale = 4 (multiply by 16)
Filter (Port)

[IP-Router] 2013/02/19 17:27:47,967
IP-Router Rx (BELGACOM, RtgTag: 0):
DstIP: 172.17.1.254, SrcIP: 83.102.162.157, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 22, SrcPort: 22414, Flags: S
Seq: 3220743653, Ack: 0, Win: 14600, Len: 0
Option: Maximum segment size = 1460
Option: SACK permitted
Option: 08 = 33 44 db 42 00 00 00 00
Option: NOP
Option: Window scale = 4 (multiply by 16)
Filter (Port)

Was sagt mir das? Bzw. was müßte noch passieren, damit die Pakete ins LAN weitergeleitet werden?

Ein tcpdump auf der Zielmaschine zeigt nichts. D.h. der Lancom forwardet auch nichts ins LAN.

Neustarts des Lancom haben nicht geholfen, die Portforwards wieder ans Laufen zu bekommen.

Danke für jeglichen Hinweis und viele Grüße
Claus

PS: Echte Männer haben kein Windows. Daher hilft auch kein Lanconfig.

Dr.Einstein · Beitrag von **Dr.Einstein** » 19 Feb 2013, 18:25

Hallo claus129.

Filter (Port) bei allen Paketen deutet auf eine Firewallregel hin bzw.
Schnittstellentags / Routing-Tags, die eine Interaktion verhindern.

Trace # firewall und man sieht bestimmt die Ursache.

Gruß Dr.Einstein

claus129 · Beitrag von **claus129** » 19 Feb 2013, 18:35

Hallo Dr. Einstein,

das war schonmal ein guter Tip. Danke.

Trace der Firewall zeigt

[Firewall] 2013/02/19 18:30:12,562
Packet matched rule intruder detection
DstIP: 172.17.1.254, SrcIP: 83.102.162.157, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 22, SrcPort: 23653, Flags: S
Seq: 2732273635, Ack: 0, Win: 14600, Len: 0
Option: Maximum segment size = 1460
Option: SACK permitted
Option: 08 = 33 53 24 11 00 00 00 00
Option: NOP
Option: Window scale = 4 (multiply by 16)

Filter info: packet received from invalid interface BELGACOM
send SNMP trap
packet dropped

Warum das?

(Ich hatte das schon am Anfang. Mit Updaten der Firmware und Neu-Anlegen der Portforwards funktionierten auf gleiche Weise angelegte Portforwards aber. Und jetzt funktionieren sie auf einmal wieder nicht mehr. Und ich habe nichts am Lancom gemacht. Ich schwöre.

Ich habe zu der Intruder-Detection nicht viel gefunden, die ist immer Teil einer aktivierten Firewall? Oder kann man das irgendwo abschalten? Will man das überhaupt?

Viele Grüße
Claus

Dr.Einstein · Beitrag von **Dr.Einstein** » 19 Feb 2013, 19:25

Hoi claus129,

naja die IDS kannst du unter Firewall / IDS von verwerfen auf zulassen setzen,
aber das ist bestimmt nicht Sinn der Sache. Der Lancom erwartet die Pakete auf
einem anderen Interface. Eventuell liegt der Fehler irgendwo in der Routing-
Tabelle oder/und unter den Netzwerk bei TCP/IP. Kannst die mal auslesen?

Gruß Dr.Einstein

claus129 · Beitrag von **claus129** » 19 Feb 2013, 19:44

Hallo Dr. Einstein,

BELGACOM ist das DSL-Interface, mit Assistent angelegt.

Bei den Portforwards ist es als Gegensteile eingetragen:

Aktiv Anfangs-Port End-Port Gegenstelle Adresse Map-Port Protokoll WAN-Adresse Kommentar
n 22 22 BELGACOM 172.17.1.254 0 TCP 0.0.0.0 SSH

In der Routing-Tabelle stehen die 4 Default Einträge für private Netze und der vom Assi erzeugte Default-Eintrag:

IP-Adresse Netzmaske Routing-Tag Schaltzustand Router Distanz Mask. Kommentar
255.255.255.255 0.0.0.0 0 An, sticky für RIP BELGACOM 0 An

Das Lancom selbst hat in dem 172.17.1er Netz die IP .250.

Viele Grüße
Claus

Beitrag von **LoUiS** » 19 Feb 2013, 20:05

Hi Claus129,

welches LCOS setzt Du auf dem 1781 ein? Ich wuerde eine aktuelle 8.62 RU7, oder 8.80 RC3 empfehlen.
In den letzten Versionen ist an der IDS Pruefung gearbeitet worden.
Es besteht also die berechtigte Moeglichkeit, das ein LCOS Update Dein Problem behebt.

Ciao
LoUiS

claus129 · Beitrag von **claus129** » 19 Feb 2013, 21:42

8.62.0086 / 07.11.2012

Viele Grüße
Claus

claus129 · Beitrag von **claus129** » 26 Feb 2013, 12:58

Hallo,

zur Auflösung: Ich habe die Firewall abgeschaltet und schon funktionieren die Portforwards wieder.

Keine Sorge, ich habe jetzt eine Firewall zwischen Lancom und LAN eingebaut (die auch nochmal forwardet).

Das IDS ist immer mit der Firewall kombiniert? Ich finde nichts, um es einzeln stillzulegen.

Wäre es möglich/ausreichend, bei der IDS-Aktion statt %d%n evt. andere Buchstaben ins Rennen zu werfen, um die Firewall nutzen zu können, das IDS aber Pakete passieren zu lassen? (Hat vielleicht jemand sogar eine Liste der an dieser Stelle möglichen Buchstaben und deren Bedeutung? Im Reference Manual finde ich nichts dazu.)

Viele Grüße
Claus