IDS + OpenVPN + LANCOM

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
pixl
Beiträge: 10
Registriert: 05 Nov 2020, 07:16

IDS + OpenVPN + LANCOM

Beitrag von pixl »

Hallo werte Gemeinde :)

Folgende Konstellation:

LANCOM VA 1783 Router (192.168.20.x/24). Dahinter ein OPENVPN Server (10.8.0.x/24).
Portforward auf den Server klappt problemlos. Die Clients verbinden sich und die VPN hält dauerhaft und ist ziemlich performant.

Bis auf eine Kleinigkeit.
Einige Clients lösen ständig das IDS aus und werden dann einige Minuten geblockt. ->Die VPN bleibt bestehen nur die aufgerufene Seite geht nicht mehr auf.

Aktuell ist die IDS Setting wie folgt:
100 Portanfragen; verwerfen (damit haben die Clients regelmäßige Aufrufprobleme)

Nun habe ich zu Testzwecken mal auf 1000 gestellt und 'Übertragen'. Ich sehe nun in dem Firewalllog, dass wieder ein Client das IDS auslöst aber nun nicht mehr getrennt/geblockt wird seitens Router.

Nun meine Frage: gibt es Konfigfehler seitens OpenVPN Server? Ist es der Client (ganz frisch aufgesetztes MacBook) oder habe ich eine Möglichkeit eine Ausnahme der IP Adresse im Bezug auf IDS zu setzen?

Ich möchte das IDS eigentlich nicht deswegen deaktivieren - eine korrekte Konfig wäre mir lieber.

Wie ist hier die best practise?

beste Grüße und vielen Dank.
-pixl
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IDS + OpenVPN + LANCOM

Beitrag von backslash »

Hi pixl,
un habe ich zu Testzwecken mal auf 1000 gestellt und 'Übertragen'. Ich sehe nun in dem Firewalllog, dass wieder ein Client das IDS auslöst aber nun nicht mehr getrennt/geblockt wird seitens Router.
also wenn die Anzahl der Portanfragen ein Problem darstellen, dann stimmt was mit den Clients nicht, das würde am Ende bedeuten. daß sie immer wieder neue Ports nutzen - und zwar in der mehr als die 100 in 30 Sekunden
Das IDS meckert aber nicht nur Portscans an... Am besten läßt du dir von der Firewall eine Mail schicken ("E-Mail Nachricht senden" bei den IDS-Aktionen anhaken), den die sagt manchmal mehr als einfach nur der Firewall-Trace

Und wenn die die Aktion auf "übertragen" stellst, dann wird natülich nichts mehr blockiert
Nun meine Frage: gibt es Konfigfehler seitens OpenVPN Server? Ist es der Client (ganz frisch aufgesetztes MacBook)
das hängt am Ende davon ab, warum das IDS anschlägt - aber ehrlich gesagt würde ich schon auf ein Problem im Client tippen...
habe ich eine Möglichkeit eine Ausnahme der IP Adresse im Bezug auf IDS zu setzen?
mir wäre keine bekannt...
Ich möchte das IDS eigentlich nicht deswegen deaktivieren - eine korrekte Konfig wäre mir lieber.
Das Stellen der Aktion auf "übertragen" schaltet das IDS ja nicht ab - es ist weiter aktiv und meldet mögliche Einbruchsversuche auch - ein laufender Portcsan wird dann einfach nur nicht unterbrochen. Aber Portscans an sich sind auch nicht gefähliches - solange aktuelle Software und sichere Paßwörter verwendet werden...

Gruß
Backslash
Antworten