Hallo,
ich habe ein Problem mit dem Routing von zwei öffentliche IP Subnetzen und hoffe, dass mir hier jemand helfen kann.
Es findet am Lancom 1722 eine PPPOE (ist ein Multilink, dürfte für das Problem aber irrelevant sein) Einwahl statt, wobei der 1722 eine feste WAN-IP erhält. Auf diese IP werden von unserem Provider 1x /29 und 1x /24 Netze geroutet.
Ich will es jetzt so haben, dass das /29 als Transfernetz zum dahinterliegenden /24 fungiert und habe dazu den 1722 selbst eine IP aus dem /29 zugeteilt. Auf das /24 Netz wurde ein Routingeintrag gesetzt.
Zur Übersicht anbei ein Bild.
Nun zum Problem/Fragen:
a) Ist das vom Aufbau her grundsätzlich richtig, oder sollte man das beim Lancom anders machen? Es ist ja laut Lancom knowledge Base ein öffentliches Netz über die DMZ zu "routen" - allerdings erscheint mir das nicht sinnvoll...
b) Woran könnte es liegen, dass ich seit einigen Tagen immer mal wieder Zeitpunkte habe, bei denen der 1722 auf 100% CPU geht und weder das 83...er noch das 87...er Interface aus dem internen Netz zu erreichen sind????
Dies geschieht seit wenigen Tagen (lief davor ca. 1/2 Jahr Problemlos) und ich kann in dieser Zeit nichts dagegen tun!
Meine Vermutung liegt darin, dass irgendein Client/Dienst aus dem hinteren 87.xxx.135.0 Netz irgendwas anstellt, was den Router ins Chaos versetzt.
Wäre sehr sehr nett und wichtig, wenn mir hier jemand helfen könnte!
Vielleicht wäre es erst mal sinnvoll zu klären, ob der Aufbau an sich richtig ist...
Routingproblem - und hohe CPU
Moderator: Lancom-Systems Moderatoren
Routingproblem - und hohe CPU
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Hi matkor
wenn's funktioniert...
- eine DMZ wird bei der automatischen VPN-Regelerzeugung nicht berücksichtigt
- wenn auf einer Route die Maskierungsoption auf "nur Intranet maskieren" steht, dann werden Hosts in der DMZ unmaskiert angebunden
- im Zusammenhang mit ARF haben DMZs zusätzlich die Eigenschaft, daß sie von allen ARF-Netzen aus sichtbar sind - und zwar unabhängig von den jeweiligen Interface-Tags
D.h. solange das LANCOM nicht maskiert (wie in deinem Fall) und keine VPN-Verbindungen aufbaut, ist es völlig egal, ob du eine DMZ oder ein Intranet verwendest...
Wenn dann das Problem wieder auftritt: schau in den Wireshark-Mittschnitt - vielleicht sieht du ja was auffälliges...
Gruß
Backslash
a) Ist das vom Aufbau her grundsätzlich richtig, oder sollte man das beim Lancom anders machen?
wenn's funktioniert...
Eine DMZ ist erstmal nur ein ganz normales Netz (wie auch ein Intranet...), das halt nur ein paar Besonderheiten aufweist:Es ist ja laut Lancom knowledge Base ein öffentliches Netz über die DMZ zu "routen" - allerdings erscheint mir das nicht sinnvoll...
- eine DMZ wird bei der automatischen VPN-Regelerzeugung nicht berücksichtigt
- wenn auf einer Route die Maskierungsoption auf "nur Intranet maskieren" steht, dann werden Hosts in der DMZ unmaskiert angebunden
- im Zusammenhang mit ARF haben DMZs zusätzlich die Eigenschaft, daß sie von allen ARF-Netzen aus sichtbar sind - und zwar unabhängig von den jeweiligen Interface-Tags
D.h. solange das LANCOM nicht maskiert (wie in deinem Fall) und keine VPN-Verbindungen aufbaut, ist es völlig egal, ob du eine DMZ oder ein Intranet verwendest...
das artet jetzt aber in Keffeesatzlesen und Kristallkugelschauen aus...b) Woran könnte es liegen, dass ich seit einigen Tagen immer mal wieder Zeitpunkte habe, bei denen der 1722 auf 100% CPU geht und weder das 83...er noch das 87...er Interface aus dem internen Netz zu erreichen sind????
Häng doch mal eine Hub (wichtig: [k]KEIN[/b] Switch) an das LANCOM und an den Hub einen PC auf dem dann ein Ethereal/Wireshark mitläuft...Dies geschieht seit wenigen Tagen (lief davor ca. 1/2 Jahr Problemlos) und ich kann in dieser Zeit nichts dagegen tun!
Meine Vermutung liegt darin, dass irgendein Client/Dienst aus dem hinteren 87.xxx.135.0 Netz irgendwas anstellt, was den Router ins Chaos versetzt.
Wenn dann das Problem wieder auftritt: schau in den Wireshark-Mittschnitt - vielleicht sieht du ja was auffälliges...
Gruß
Backslash
a) ja - funktioniert wie gesagt grundsätzlich schon seit einiger Zeit. Ich habe allerdings bedenken, dass das aktuelle Problem evtl. damit zusammenhängen könnte, dass der Lancom irgendwelche Pakete intern nicht richtig routet und daher die hohe Last kommt!
Das ist zwar pure Vermutung, aber ich kanns mir sonst nicht erklären. Ich habe weder viel Last, noch massig connections auf der Leitung. Aber der Router ist nach dem anschalten nach 10sek dicht! -> hohe CPU, Pakete werden verworfen, über WAN geht so gut wie gar nichts mehr raus!
Kann ich denn irgendwie erkennen, was die hohe CPU verursacht?
b) Dann - kein VPN, keine Maskierung. Habe auch mal Intranet durch DMZ ersetzt -> keine Änderung...
c) ich kann vor dem Lancom sniffen, aber erkenne nichts auffälliges...
Wie siehts mit dem Lancom selbst aus? Kann der mir in einem Moment in welchem er "ausbricht" nicht irgendwie mitteilen, was gerade mit ihm passiert?
Das ist zwar pure Vermutung, aber ich kanns mir sonst nicht erklären. Ich habe weder viel Last, noch massig connections auf der Leitung. Aber der Router ist nach dem anschalten nach 10sek dicht! -> hohe CPU, Pakete werden verworfen, über WAN geht so gut wie gar nichts mehr raus!
Kann ich denn irgendwie erkennen, was die hohe CPU verursacht?
b) Dann - kein VPN, keine Maskierung. Habe auch mal Intranet durch DMZ ersetzt -> keine Änderung...
c) ich kann vor dem Lancom sniffen, aber erkenne nichts auffälliges...
Wie siehts mit dem Lancom selbst aus? Kann der mir in einem Moment in welchem er "ausbricht" nicht irgendwie mitteilen, was gerade mit ihm passiert?
Hi maktor
Wenn der Angriff aus dem Internet kommt, dann kann das LANCOM das zwar noch feststellen, letztendlich etwas dagegen tun kann es aber nicht - das müßte der Provider machen...
Ggf. hilft hier ein Ping-Blocking oder der Stealth-Mode aus, damit wenigstens der Upstream nicht noch zugemüllt wird (i.Ü. die einzig sinnvolle Verwendung für diese Features)...
Gruß
Backslash
wenn du noch per Telnet auf das Gerät kommst, kannst du ja mal einen Router-Trace anwerfen (trace # ip-router. Ggf. wird das Gerät auch "nur" von einem Flood-Ping aus dem Internet zugemüllt oder eine andere DoS-Attacke läuft. Ein Flooding zumindest sollte das DoS-System der Firewall eigentlich erkennen.Wie siehts mit dem Lancom selbst aus? Kann der mir in einem Moment in welchem er "ausbricht" nicht irgendwie mitteilen, was gerade mit ihm passiert?
Wenn der Angriff aus dem Internet kommt, dann kann das LANCOM das zwar noch feststellen, letztendlich etwas dagegen tun kann es aber nicht - das müßte der Provider machen...
Ggf. hilft hier ein Ping-Blocking oder der Stealth-Mode aus, damit wenigstens der Upstream nicht noch zugemüllt wird (i.Ü. die einzig sinnvolle Verwendung für diese Features)...
Gruß
Backslash
hi,
habe beim sniffen doch was erkennen können - siehe unten (screenshot)
Scheint als würde hier eine Station aus dem "Intranet" massig connections auf eine IP haben (bzw. umgekehrt - die schwarze IP ist aus dem 87.xxx.135.0 Pool).
Von dieser fremden IP (81.177....) gingen zur internen IP gut 1000 gleichzeitige Verbindungen (konnte es nicht ganz genau zählen
)
Alle auf Port 80 und verschiedene abgehende Ports!
Was ist das? Scheinbar machen mir diese Connections den Router dicht!!
Das kann/darf doch nicht sein!
Was kann man dagegen tun? Max. Connections pro IP? Dann kommen halt die Probleme anderswo wieder, oder?
Kann jemand mit der IP was anfangen - scheint irgendwo aus Russland zu kommen...?
habe beim sniffen doch was erkennen können - siehe unten (screenshot)
Scheint als würde hier eine Station aus dem "Intranet" massig connections auf eine IP haben (bzw. umgekehrt - die schwarze IP ist aus dem 87.xxx.135.0 Pool).
Von dieser fremden IP (81.177....) gingen zur internen IP gut 1000 gleichzeitige Verbindungen (konnte es nicht ganz genau zählen
)Alle auf Port 80 und verschiedene abgehende Ports!
Was ist das? Scheinbar machen mir diese Connections den Router dicht!!
Das kann/darf doch nicht sein!
Was kann man dagegen tun? Max. Connections pro IP? Dann kommen halt die Probleme anderswo wieder, oder?
Kann jemand mit der IP was anfangen - scheint irgendwo aus Russland zu kommen...?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Hi matkor
Daher sollte als Aktion beim DoS-System "verwerfen" (default) stehen. Ebenso solltest du eine Benachrichtigung zumindest per SNMP aktivieren (default) , damit du im LANmonitor siehst, wenn das DoS-System zugeschlagen hat.
Gruß
Backslash
Das ganze nennt man SYN-Flooding und wir eigentlich vom DoS-System des LANCOMs erkannt - Jenachdem, waß du als Aktion beim eingetragen hast wird ein SYN-Flooding zurückgewiesen (d.h. jedes Paket wird mit einem RST beantwortet - was dir den Upstream zumüllt) oder die Pakete verden einfach gefiltert (läßt immerhin den Upstream frei)Scheint als würde hier eine Station aus dem "Intranet" massig connections auf eine IP haben (bzw. umgekehrt - die schwarze IP ist aus dem 87.xxx.135.0 Pool).
Von dieser fremden IP (81.177....) gingen zur internen IP gut 1000 gleichzeitige Verbindungen (konnte es nicht ganz genau zählen )
Alle auf Port 80 und verschiedene abgehende Ports!
Was ist das? Scheinbar machen mir diese Connections den Router dicht!!
Das kann/darf doch nicht sein!
Daher sollte als Aktion beim DoS-System "verwerfen" (default) stehen. Ebenso solltest du eine Benachrichtigung zumindest per SNMP aktivieren (default) , damit du im LANmonitor siehst, wenn das DoS-System zugeschlagen hat.
letztendlich müßte der Provider das blocken, da sonst zumindest dein Downstream "voll" ist. Du selbst kannst nur verhindern, daß das LANCOM zusätzlich noch den Upstream zumüllt, indem du die Fierwall passend konfigurierst (s.o.)...Was kann man dagegen tun? Max. Connections pro IP? Dann kommen halt die Probleme anderswo wieder, oder?
Gruß
Backslash
hi,
habe jetzt verwerfen eingetragen, SNMP ist an - mal sehen, momentan kommen die "Anfragen" von aussen nicht mehr...
Maximalzahl halboffener Verbindungen: 100 ist okay? Oder kille ich damit evtl. auch die ein oder andere Anwendung?
Bezieht sich der DOS Filter nur auf den Lancom selbst (also Anfragen auf Ihn direkt) oder auch (was ich doch hoffe) auf die dahinterliegenden öffentlichen Subnetze?
Okay - das heißt ich kann hier versuchen, dass Upload und/oder Download nicht voll werden. Aber kann ich denn nichts dagegen machen, dass der Lancom nicht auf 100% CPU hochschnellt?
habe jetzt verwerfen eingetragen, SNMP ist an - mal sehen, momentan kommen die "Anfragen" von aussen nicht mehr...
Maximalzahl halboffener Verbindungen: 100 ist okay? Oder kille ich damit evtl. auch die ein oder andere Anwendung?
Bezieht sich der DOS Filter nur auf den Lancom selbst (also Anfragen auf Ihn direkt) oder auch (was ich doch hoffe) auf die dahinterliegenden öffentlichen Subnetze?
Okay - das heißt ich kann hier versuchen, dass Upload und/oder Download nicht voll werden. Aber kann ich denn nichts dagegen machen, dass der Lancom nicht auf 100% CPU hochschnellt?
Hi matkor
Gruß
Backslash
i.A. reichen die Defaultwerte aus - es sei denn du bist Massenspammer...Maximalzahl halboffener Verbindungen: 100 ist okay? Oder kille ich damit evtl. auch die ein oder andere Anwendung?
Es bezieht sich auch auf den Traffic der "durch" das LANCOM geht - daher die Bemerkung mit dem Massenspammer: das würde vom DoS nämlich auch geblockt...Bezieht sich der DOS Filter nur auf den Lancom selbst (also Anfragen auf Ihn direkt) oder auch (was ich doch hoffe) auf die dahinterliegenden öffentlichen Subnetze?
Gruß
Backslash
