IDS bei IPTV über VLAN

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
LinuxFan
Beiträge: 10
Registriert: 11 Nov 2018, 13:57

IDS bei IPTV über VLAN

Beitrag von LinuxFan »

Morgen,

ich habe schon gelesen, dass es dieses Thema schon mehrfach hier im Forum gibt. Ich habe es allerdings in einer neuen Variante und muss daher nochmal neu fragen:

Der Internet-Anschluß ist VDSL mit statischer IP. Das Internet kommt daher ungetagged, es gibt zwei VLANs für IPTV und VOIP. Ich habe die Routen und Firewalleinträge analog dem Beispiel für "Telekom Entertain" auf der Lancom KB angelegt.
Der Receiver hängt direkt an LAN-3 am Lancom 1783VA LCOS 10.20.0175.
routes.PNG
firewall.PNG

Es funktioniert auch alles, solange man IDS auf zulassen läßt, ansonsten ist das Bild weg...

IGMP kommt durch, Snooping ist an.
[IGMP] 2018/11/11 13:44:01,625 Devicetime: 2018/11/11 13:44:02,896
Received v2 query for group 224.168.100.1 from 192.168.2.69 at WAN, IPTV
=> Forward to router

Ich bekomme IDS Alarm in Senderichtung, weil das Gerät angeblich auf dem falschen Interface ist:

[Firewall] 2018/11/11 13:44:01,595 Devicetime: 2018/11/11 13:44:02,896
Packet matched rule intruder detection
DstIP: 224.168.100.1, SrcIP: 192.168.2.69, Len: 32, DSCP: CS6 (0x30), ECT: 0, CE: 0
Prot.: IGMP (2), DstPort: ---, SrcPort: ---

Filter info: packet received from invalid interface IPTV
packet accepted

Es wird nur accepted, weil ich zulassen eingestellt habe.
Ich habe schon alles mögliche versucht und bin nun mit meinem Latein am Ende. Vermutlich, weil mir das Problem an sich nicht plausibel ist. Der Ethernet-Port ist dem lokalen Intranet zugeordnet und kann gar nicht als IPTV ankommen?!

Bitte um Hilfe und Euch einen schönen Sonntag!

Viele Grüße

Torsten
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IDS bei IPTV über VLAN

Beitrag von backslash »

Hi LinuxFan,

hast du irgendwie eine Schleife in deinem Netz aufgebaut? Denn nicht nur das IDS sondern auch das IGMP ist der Meinung, daß das Paket vom WAN kommt:
Received v2 query for group 224.168.100.1 from 192.168.2.69 at WAN, IPTV
nutzt du das interne Modem für den Internetzugang oder ein externes? Spiegelt da vielleicht der Provider das IGMP zurück (sollte er eigentlich nicht machen)? Das kannst du je nach verwendetem Anschluß mit einem Ethernet- oder VDSL-Data-Trace überprüfen (da sollten dann aber nur die IGMPs laufen, sonst "müllt" der Trace dich zu...)

Gruß
Backslash
LinuxFan
Beiträge: 10
Registriert: 11 Nov 2018, 13:57

Re: IDS bei IPTV über VLAN

Beitrag von LinuxFan »

Hallo,

ich nutze das interne VDSL Modem. Die Verbindung zum Provider ist IPoE, ich beziehe dann über DHCP. Vom Provider habe ich eine Fritzbox bekommen, nur die wird unterstützt. Da ich wegen der statischen IP an der MAC erkannt werde, muss ich die für alle 3 Verbindungen (Internet, IPVTV, VOIP) mitgeben. Lancom sind eine der wenigen Geräte, die das auch für DSL unterstützen.
Der Receiver hängt direkt am ETH-3 Port des Lancom, ohne Switch oder andere aktive Bauteile dazwischen. Das habe ich ausnahmsweise so gemacht, um nicht etwa das ganze Netzwerk mit den Multicast Paketen zuzumüllen.
Den Trace reiche ich nach, sobald ich wieder vor Ort bin.
Viele Grüße

Torsten
LinuxFan
Beiträge: 10
Registriert: 11 Nov 2018, 13:57

Re: IDS bei IPTV über VLAN

Beitrag von LinuxFan »

Morgen,

habe gestern Abend einen Trace auf VDSL-Data versucht. Da ist der Router sofort abgestürzt. Nach dem neu Booten konnte er die Konfiguration nicht neu laden, es würden die Hardwaremasken nicht übereinstimmen, ob die Firmware unterschiedlich wäre. DSL ging auch nicht mehr, Layer1 Error. Erst nach neu Laden der Firmware und Reset konnte ich den alten Zustand wieder herstellen. Das probier ich nicht nochmal...
Dann ist mir aufgefallen, das der Receiver die .17 vom DHCP bezieht. Geräte mit der bemängelten IP gibt es in meinem lokalen Netz überhaupt nicht. Würde ein Provider tatsächlich sowas konfigurieren? Melde mich wieder mit dem Trace von Ethernet...
LinuxFan
Beiträge: 10
Registriert: 11 Nov 2018, 13:57

Re: IDS bei IPTV über VLAN

Beitrag von LinuxFan »

Hallo allerseits,

habe es jetzt geschafft, den Trace aufzuzeichnen. Auf der Konsole über SSH funktioniert es hervorragend. Bin mal gespannt auf Eure Antwort. Das Gerät mit der IP 192.168.2.69 gibt es in meinem Netzwerk nicht, es ist auch nicht der Multimediareceiver!

[VDSL-DATA] 2018/11/19 19:03:07,428
Received 64 byte Ethernet packet via LL-VDSL:
IPv4 Hdr Checksum : OK
-->IEEE 802.3 Header
Dest : 01:00:5e:28:64:01 (IPv4-MCast 28:64:01)
Source : b0:b2:dc:2e:bd:de
Type : 802.1p/q VLAN
-->802.1p/q VLAN Header
VLAN Id : 141
VLAN Prio : 6
VLAN CFI : 0
Type : IPv4
-->IPv4 Header
Version : 4
Header Length : 24
ToS/DSCP : (0xc0) (Precedence 6) / (DSCP CS6)
Total length : 32
ID : 16661
Fragment : Offset 0
TTL : 1
Protocol : IGMP
Checksum : 56171 (OK)
Src Address : 192.168.2.69
Dest Address : 224.168.100.1
-->IPv4 Header Options
Router Alert : Router shall examine packet
-->IGMP Header
Type : Version 2 Membership Query
Max. Resp. Time : 1.0 s
Checksum : 43595 (OK)
Group Address : 224.168.100.1
Trailer : 00 00 00 00 00 00 00 00 ........
00 00 00 00 00 00 ......


[VDSL-DATA] 2018/11/19 19:03:15,312
Received 76 byte Ethernet packet via LL-VDSL:
IPv4 Hdr Checksum : OK
-->IEEE 802.3 Header
Dest : 01:00:5e:00:00:0d (IPv4-MCast 00:00:0d)
Source : 30:e4:db:26:67:3f (Cisco 26:67:3f)
Type : 802.1p/q VLAN
-->802.1p/q VLAN Header
VLAN Id : 141
VLAN Prio : 6
VLAN CFI : 0
Type : IPv4
-->IPv4 Header
Version : 4
Header Length : 20
ToS/DSCP : (0xc0) (Precedence 6) / (DSCP CS6)
Total length : 58
ID : 17809
Fragment : Offset 0
TTL : 1
Protocol : PIM
Checksum : 53265 (OK)
Src Address : 192.168.2.69
Dest Address : 224.0.0.13
IP Payload : 20 00 97 b2 00 01 00 02 .......
00 69 00 14 00 04 68 12 .i....h.
e0 8f 00 13 00 04 00 00 ........
00 0a 00 15 00 04 01 00 ........
00 00 fd ec 00 00 ......


[VDSL-DATA] 2018/11/19 19:03:17,200
Received 64 byte Ethernet packet via LL-VDSL:
IPv4 Hdr Checksum : OK
-->IEEE 802.3 Header
Dest : 01:00:5e:00:00:01 (IPv4-All-Hosts(?))
Source : b0:b2:dc:2e:bd:de
Type : 802.1p/q VLAN
-->802.1p/q VLAN Header
VLAN Id : 141
VLAN Prio : 6
VLAN CFI : 0
Type : IPv4
-->IPv4 Header
Version : 4
Header Length : 24
ToS/DSCP : (0xc0) (Precedence 6) / (DSCP CS6)
Total length : 32
ID : 18101
Fragment : Offset 0
TTL : 1
Protocol : IGMP
Checksum : 14964 (OK)
Src Address : 192.168.2.69
Dest Address : 224.0.0.1
-->IPv4 Header Options
Router Alert : Router shall examine packet
-->IGMP Header
Type : Version 2 Membership Query
Max. Resp. Time : 10.0 s
Checksum : 61083 (OK)
Group Address : 0.0.0.0
Trailer : 00 00 00 00 00 00 00 00 ........
00 00 00 00 00 00 ......


[VDSL-DATA] 2018/11/19 19:03:17,613
Received 64 byte Ethernet packet via LL-VDSL:
IPv4 Hdr Checksum : OK
-->IEEE 802.3 Header
Dest : 01:00:5e:28:64:01 (IPv4-MCast 28:64:01)
Source : b0:b2:dc:2e:bd:de
Type : 802.1p/q VLAN
-->802.1p/q VLAN Header
VLAN Id : 141
VLAN Prio : 6
VLAN CFI : 0
Type : IPv4
-->IPv4 Header
Version : 4
Header Length : 24
ToS/DSCP : (0xc0) (Precedence 6) / (DSCP CS6)
Total length : 32
ID : 18162
Fragment : Offset 0
TTL : 1
Protocol : IGMP
Checksum : 54670 (OK)
Src Address : 192.168.2.69
Dest Address : 224.168.100.1
-->IPv4 Header Options
Router Alert : Router shall examine packet
-->IGMP Header
Type : Version 2 Membership Query
Max. Resp. Time : 1.0 s
Checksum : 43595 (OK)
Group Address : 224.168.100.1
Trailer : 00 00 00 00 00 00 00 00 ........
00 00 00 00 00 00 ......


[VDSL-DATA] 2018/11/19 19:03:27,680
Received 64 byte Ethernet packet via LL-VDSL:
IPv4 Hdr Checksum : OK
-->IEEE 802.3 Header
Dest : 01:00:5e:28:64:01 (IPv4-MCast 28:64:01)
Source : b0:b2:dc:2e:bd:de
Type : 802.1p/q VLAN
-->802.1p/q VLAN Header
VLAN Id : 141
VLAN Prio : 6
VLAN CFI : 0
Type : IPv4
-->IPv4 Header
Version : 4
Header Length : 24
ToS/DSCP : (0xc0) (Precedence 6) / (DSCP CS6)
Total length : 32
ID : 19654
Fragment : Offset 0
TTL : 1
Protocol : IGMP
Checksum : 53178 (OK)
Src Address : 192.168.2.69
Dest Address : 224.168.100.1
-->IPv4 Header Options
Router Alert : Router shall examine packet
-->IGMP Header
Type : Version 2 Membership Query
Max. Resp. Time : 1.0 s
Checksum : 43595 (OK)
Group Address : 224.168.100.1
Trailer : 00 00 00 00 00 00 00 00 ........
00 00 00 00 00 00 ......


[VDSL-DATA] 2018/11/19 19:03:37,774
Received 64 byte Ethernet packet via LL-VDSL:
IPv4 Hdr Checksum : OK
-->IEEE 802.3 Header
Dest : 01:00:5e:28:64:01 (IPv4-MCast 28:64:01)
Source : b0:b2:dc:2e:bd:de
Type : 802.1p/q VLAN
-->802.1p/q VLAN Header
VLAN Id : 141
VLAN Prio : 6
VLAN CFI : 0
Type : IPv4
-->IPv4 Header
Version : 4
Header Length : 24
ToS/DSCP : (0xc0) (Precedence 6) / (DSCP CS6)
Total length : 32
ID : 21113
Fragment : Offset 0
TTL : 1
Protocol : IGMP
Checksum : 51719 (OK)
Src Address : 192.168.2.69
Dest Address : 224.168.100.1
-->IPv4 Header Options
Router Alert : Router shall examine packet
-->IGMP Header
Type : Version 2 Membership Query
Max. Resp. Time : 1.0 s
Checksum : 43595 (OK)
Group Address : 224.168.100.1
Trailer : 00 00 00 00 00 00 00 00 ........
00 00 00 00 00 00 ......


[VDSL-DATA] 2018/11/19 19:03:45,114
Received 76 byte Ethernet packet via LL-VDSL:
IPv4 Hdr Checksum : OK
-->IEEE 802.3 Header
Dest : 01:00:5e:00:00:0d (IPv4-MCast 00:00:0d)
Source : 30:e4:db:26:67:3f (Cisco 26:67:3f)
Type : 802.1p/q VLAN
-->802.1p/q VLAN Header
VLAN Id : 141
VLAN Prio : 6
VLAN CFI : 0
Type : IPv4
-->IPv4 Header
Version : 4
Header Length : 20
ToS/DSCP : (0xc0) (Precedence 6) / (DSCP CS6)
Total length : 58
ID : 22187
Fragment : Offset 0
TTL : 1
Protocol : PIM
Checksum : 48887 (OK)
Src Address : 192.168.2.69
Dest Address : 224.0.0.13
IP Payload : 20 00 97 b2 00 01 00 02 .......
00 69 00 14 00 04 68 12 .i....h.
e0 8f 00 13 00 04 00 00 ........
00 0a 00 15 00 04 01 00 ........
00 00 fd ec 00 00 ......


[VDSL-DATA] 2018/11/19 19:03:50,301
Received 64 byte Ethernet packet via LL-VDSL:
IPv4 Hdr Checksum : OK
-->IEEE 802.3 Header
Dest : 01:00:5e:28:64:01 (IPv4-MCast 28:64:01)
Source : b0:b2:dc:2e:bd:de
Type : 802.1p/q VLAN
-->802.1p/q VLAN Header
VLAN Id : 141
VLAN Prio : 6
VLAN CFI : 0
Type : IPv4
-->IPv4 Header
Version : 4
Header Length : 24
ToS/DSCP : (0xc0) (Precedence 6) / (DSCP CS6)
Total length : 32
ID : 22941
Fragment : Offset 0
TTL : 1
Protocol : IGMP
Checksum : 49891 (OK)
Src Address : 192.168.2.69
Dest Address : 224.168.100.1
-->IPv4 Header Options
Router Alert : Router shall examine packet
-->IGMP Header
Type : Version 2 Membership Query
Max. Resp. Time : 1.0 s
Checksum : 43595 (OK)
Group Address : 224.168.100.1
Trailer : 00 00 00 00 00 00 00 00 ........
00 00 00 00 00 00 ......


[VDSL-DATA] 2018/11/19 19:03:58,629
Received 64 byte Ethernet packet via LL-VDSL:
IPv4 Hdr Checksum : OK
-->IEEE 802.3 Header
Dest : 01:00:5e:28:64:01 (IPv4-MCast 28:64:01)
Source : b0:b2:dc:2e:bd:de
Type : 802.1p/q VLAN
-->802.1p/q VLAN Header
VLAN Id : 141
VLAN Prio : 6
VLAN CFI : 0
Type : IPv4
-->IPv4 Header
Version : 4
Header Length : 24
ToS/DSCP : (0xc0) (Precedence 6) / (DSCP CS6)
Total length : 32
ID : 24179
Fragment : Offset 0
TTL : 1
Protocol : IGMP
Checksum : 48653 (OK)
Src Address : 192.168.2.69
Dest Address : 224.168.100.1
-->IPv4 Header Options
Router Alert : Router shall examine packet
-->IGMP Header
Type : Version 2 Membership Query
Max. Resp. Time : 1.0 s
Checksum : 43595 (OK)
Group Address : 224.168.100.1
Trailer : 00 00 00 00 00 00 00 00 ........
00 00 00 00 00 00 ......
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IDS bei IPTV über VLAN

Beitrag von backslash »

Hi Linuxfan,

da kommen von einem Cisco deines Provicers IGMP Pakete, die die Mitgliedschaft für die Gruppe 224.168.100.1 anfordern. Die IGMP-Pakete habe eine private Absenderadresse (192.168.2.69) und natürlich springt das das IDS an... Die IDS-Meldungen sind zwar unschön, aber wenn du keine Sperr-Aktion (Quelle/Ziel sprerren) im IDS eingetragen hast, beeinflußt das das IPTV nicht - es sei denn, die Streming-Server deines Providers hätten auch private Adressen... Dann mußt du eine (irgendwie) getatggte Route zu den privaten Adressen in der Routing-Tabelle eintragen, die auf die IPTV-Gegenstelle verweisen. Durch diese Route schaltest du das IDS für die Adrssen quasi stumm. In dem KB-Eintrag ist ja auch eine getaggte Default-Route mit dem Kommentar "damit Pakete vom VLAN 8 akzeptiert werden" drin...

Gruß
Backslash
LinuxFan
Beiträge: 10
Registriert: 11 Nov 2018, 13:57

Re: IDS bei IPTV über VLAN

Beitrag von LinuxFan »

Hallo,

vielen Dank für die prompte Antwort! Ich hatte sowas befürchtet, dann ist das Verhalten des Routers ja völlig korrekt. Technisch sauber lösen ließe sich das ja nur, wenn ich auf ein anderes Netzwerksegment ausweiche - was enorm viel Aufwand bedeutet.
Ich habe noch LAN-4 als Gastnetz konfiguriert und den Receiver schonmal dort versucht, da geht IPTV so nicht auf Anhieb, trotz angepaßter Routen. Was gäbe es denn noch zu beachten, wenn ich z.B. mit meinem Intranet auf 192.168.5.0/24 ausweiche??

Ansonsten bitte ich den Thread als gelöst zu markieren, falls es das hier gibt.

Viele Grüße

Torsten
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IDS bei IPTV über VLAN

Beitrag von backslash »

Hi LinuxFan,
Technisch sauber lösen ließe sich das ja nur, wenn ich auf ein anderes Netzwerksegment ausweiche - was enorm viel Aufwand bedeutet.
wieso, es reicht doch eine (nochmal: irghendwie ausser 0!) getaggte Route zu dem Netz aufzunehmen, die auf die IPTV-Gegenstelle zeigt...

also z.B.:

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment
===========================================------------------------------------------------------------------------------------------------------
...
192.168.2.0      255.255.255.0    2        IPTV              0         on          Yes      Route, damit Pakete von VLAN 8 akzeptiert werden
... 
255.255.255.255  0.0.0.0          2        IPTV              0         on          Yes      Route, damit Pakete von VLAN 8 akzeptiert werden
255.255.255.255  0.0.0.0          0        INTERNET          0         on          Yes     
Gruß
Backslash
LinuxFan
Beiträge: 10
Registriert: 11 Nov 2018, 13:57

Re: IDS bei IPTV über VLAN

Beitrag von LinuxFan »

Hallo Backslash,

ich habe die Routen so eingetragen wie von Dir beschrieben. Das hat bei den öffentlich-rechtlichen Sendern erstmal funktioniert. Bei den Privaten kam erneut eine Meldung, diesmal aus dem 172.0.0.0 Netz, obwohl das eigentlich schon drinsteht. Ich habe dies als zweiten Eintrag mit dem neuen Tag nochmal ergänzt.

Es funktioniert nun alles wie es soll. Das IDS kann auf "verwerfen" bleiben und schlägt nun nicht mehr an!

Problem gelöst, vielen Dank für den tollen Support!

Torsten
Antworten