VLAN-Trunks: Quellinterface falsch LCOS 9.10.0530

[Rougu]

Hi,

bei LCOS 9.10.0530 wird bei VLAN-Trunks das Quellinterface falsch zugeordnet, wenn für dieselben Zielrouten zwei verschiedene Routing-Tags existieren und diese Ziele über dieselbe Schnittstelle, aber unterschiedliche VLANs geleitet werden.


Ausgangssituation:

LANCOM 1781AW:
Über die Schnittstelle LAN-1 (BRG-1) werden zwei Transfer-VLANs geführt

VLAN 7 untrusted Durchleitung Internet-Traffic mit routing tag 3
VLAN 200 trusted Durchleitung Intranet-Traffic mit routing tag 1

Intranet-Ziele können über eine dem LANCOM-Router nachgeschaltete Firewall-Appliance erreicht werden, und zwar getrennt über ein Trusted (VLAN 200) und ein Untrusted (VLN 7) Interface.

Code: Alles auswählen

> ls /Status/IP-Router/Act.-IP-Routing-Tab./

IP-Address       IP-Netmask       Rtg-tag  Gateway          Peer              Distance  Masquerade  Type    
------------------------------------------------------------------------------------------------------------
10.10.0.0        255.255.240.0    3        10.10.252.2      DMZ               2         No          Static  
10.10.0.0        255.255.240.0    1        10.10.31.2       INTRANET          2         No          Static  


> ls /Status/TCP-IP/Network-list/

Network-name      IP-Address       IP-Netmask       VLAN-ID  Interface           Src-check      Type      Rtg-tag
-----------------------------------------------------------------------------------------------------------------
INTRANET          10.10.31.1       255.255.255.0    200      BRG-1               loose          Intranet  1      
DMZ               10.10.252.1      255.255.255.252  7        BRG-1               loose          DMZ       3      

> ls /Setup/IP-Router/Tag-Table/

Peer              Rtg-tag  Start-WAN-Pool   End-WAN-Pool     DNS-Default      DNS-Backup       NBNS-Default     NBNS-Backup    
-------------------------------------------------------------------------------------------------------------------------------
10,10.252.2       3        0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0        
10.10.32.2        1        0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0        

Phase 1:

Pakete aus dem Intranet werden über ein Intranet-Transfernetz (VLAN 200 tagged) an den LANCOM-Router geleitet (und von dort via VPN weiter zum Ziel).
Die ARP-Tabelle und die Bridge sehen das Quell-Interface korrekt.

Code: Alles auswählen

:/Status/LAN-Bridge
> ls /Status/TCP-IP/ARP/Table-ARP/

IP-Address       MAC-Address   Last-access      Connect    Ethernet-Port    VLAN-ID  Peer            
-----------------------------------------------------------------------------------------------------
10.10.31.2       b40c25101f01  2750930 tics     LAN-1      ETH-1            200                      

:/Status/LAN-Bridge
> ls Address-Table/               

Index      Age    MAC-Address   VLAN-Id    Bridge-Group   Port                Ethernet-Port    Brg.-Addr.  
-----------------------------------------------------------------------------------------------------------
202        300    b40c25101f01  200        BRG-1          LAN-1               ETH-1            000000000000

Die Verbindungsliste zeigt als Quellroute "10.10.31.2": korrekt




Wenn über diese VLAN-Trunk-Strecke erstmalig Internet-Transfer-Traffic geleitet wird (VLAN 7 tagged), kommt der Eintrag für das zweite VLAN im Trunk entsprechend hinzu.

Code: Alles auswählen

:/Status
> ls LAN-Bridge/Address-Table/

Index      Age    MAC-Address   VLAN-Id    Bridge-Group   Port                Ethernet-Port    Brg.-Addr.  
-----------------------------------------------------------------------------------------------------------
9          284    b40c25101f01  7          BRG-1          LAN-1               ETH-1            000000000000
202        292    b40c25101f01  200        BRG-1          LAN-1               ETH-1            000000000000

:/Status
> ls /Status/TCP-IP/ARP/Table-ARP/

IP-Address       MAC-Address   Last-access      Connect    Ethernet-Port    VLAN-ID  Peer            
-----------------------------------------------------------------------------------------------------
10.10.31.2       b40c25101f01  2750930 tics     LAN-1      ETH-1            200                      
10.10.252.2      b40c25101f01  3861830 tics     0          ETH-1            7                        

Ab diesem Moment wird der von 10.10.31.2 empfangene Traffic mit Quellinterface "10.10.252.2" gelistet und angeblich von einen falschen Interface empfangen.
(In der ARP-Tabelle steht als connected Interface "0" -> ??)

Das ist nicht das erwartete Verhalten. Beide Datenströme sollten koexistieren können!



Beispiel für ein fehlerhaft behandeltes Verhalten (ping von 10.10.4.1 (INTRANET, VLAN 200)) nach 10.10.35.3 (VPN-Peer), Quelle und Ziel mit RtgTag 1.

Code: Alles auswählen

[Firewall] 2015/12/16 22:24:50,288
Packet matched rule intruder detection
DstIP: 10.10.35.3, SrcIP: 10.10.4.1, Len: 84, DSCP: CS6 (0x30), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x63f9, seq: 0x0001

Filter info: packet received from invalid interface LAN-1
send syslog message
send SNMP trap
packet accepted
test next filter (linked rules)

[Firewall] 2015/12/16 22:24:50,289
Packet matched rule DSCP-CS6
DstIP: 10.10.35.3, SrcIP: 10.10.4.1, Len: 84, DSCP: CS6 (0x30), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x63f9, seq: 0x0001

test next filter (linked rules)

[Firewall] 2015/12/16 22:24:50,290
Packet matched rule 1-ICMP
DstIP: 10.10.35.3, SrcIP: 10.10.4.1, Len: 84, DSCP: CS6 (0x30), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x63f9, seq: 0x0001

packet accepted

[IP-Router] 2015/12/16 22:24:50,287
IP-Router Rx (LAN-1, INTRANET, RtgTag: 1): 
DstIP: 10.10.35.3, SrcIP: 10.10.4.1, Len: 84, DSCP: CS6 (0x30), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x63f9, seq: 0x0001
Route: WAN Tx (HE05R001)

Könnte man das vielleicht beheben/umgehen?

Gruß,
rougu

[Rougu]

LCOS 9.10.0530 beta --> 9.10.0530 RU5:

[LoUiS]

Die Tag-Tabelle ist hier ueberfluessig. Die Einträge der Tabelle koennen entfernt werden, die Tabelle gilt nur für WAN-Verbindungen, es handelt es sich aber um LAN-Routen. Das Problem wird hier wohl sein, dass beide IP-Adressen 10.10.252.2 und 10.10.32.2 auf die selbe MAC-Adresse aufloesen (b40c25101f01). Das ARP merkt sich nur eine Revers-Aufloesung und zwar immer die Letzte. Die Revers-Aufloesung wird aber zur Bestimmung des ARF-Netzes verwendet. Dadurch wird hier ein falsches Netz verwendet. So hat sich das LCOS aber schon immer verhalten und sollte damit keinen Unterschied zur 9.10.530 machen. Tritt der Fehler auch auf, wenn Du unterschiedliche MAC-Adressen verwendest?

[Rougu]

Hi,

>Das ARP merkt sich nur eine Revers-Aufloesung und zwar immer die Letzte. Die Revers-Aufloesung wird aber zur Bestimmung des ARF-Netzes verwendet.

In einem VLAN-Trunk ist es doch normal, dass die Gegenseite dieselbe MAC-Adresse für alle VLANs haben kann. Das ist bei LCOS auch so. Daher ist die Bestimmung des Quellinterfaces erst hinreichend eindeutig, wenn die MAC-Adresse und das VLAN übereinstimmen, oder?


>Tritt der Fehler auch auf, wenn Du unterschiedliche MAC-Adressen verwendest?
Das wäre die Umgehung des Problems, aber diese Möglichkeit bietet sich nicht, weil die Firewall-Appliance keine konfigurierbaren MAC-Adressen zulässt. Zum Testen wäre das zwar interessant, aber es scheint mir so, als wolle man das Pferd von hinten aufzäumen.

Gruß,
rougu

[LoUiS]

Hi,

da kann man jetzt natürlich hin und her argumentieren, es aendert aber nichts an der Tatsache, dass sich ein LANCOM immer so verhaelt und verhalten hat. Es ist somit kein Bug, sondern eher ein neues Feature.


Ciao
LoUiS