IDS Problem?

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
immomannen
Beiträge: 3
Registriert: 28 Sep 2020, 11:27

IDS Problem?

Beitrag von immomannen »

Hallo.

Wir haben einen PC im Netzwerk welcher nach ca. 14 Tagen Auszeit wieder Angeschalten wurde und nun keine Verbindung mehr ins Internet hat.
Verbindungen in andere per VPN Verbundenen Netze gehen auch nicht mehr.
Der Router ist ein LANCOM884 und dort werden unzählige Solche Einträge generiert:
192.168.114.168 ist die IP des Rechners.

[IP-Router] 2020/09/28 11:10:32,832 Devicetime: 2020/09/28 11:12:56,494
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 13.74.179.117, SrcIP: 192.168.114.168, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 443, SrcPort: 51893, Flags: S
Seq: 1157237099, Ack: 0, Win: 64240, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 8 (multiply by 256)
Option: NOP
Option: NOP
Option: SACK permitted
Filter (Port)

[Firewall] 2020/09/28 11:10:34,759 Devicetime: 2020/09/28 11:12:58,426
Packet matched rule intruder detection
DstIP: 104.79.90.110, SrcIP: 192.168.114.168, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 80, SrcPort: 51895, Flags: S
Seq: 598931881, Ack: 0, Win: 64240, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 8 (multiply by 256)
Option: NOP
Option: NOP
Option: SACK permitted

Filter info: packet received from invalid interface LAN-1
send SNMP trap
packet dropped

Hat jemand eine Idee was das Problem sein könnte?

VG Robert
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IDS Problem?

Beitrag von backslash »

Hi immomannen,

der Trace sagt doch schin, was ihm nicht gefällt:
packet received from invalid interface LAN-1
d.h. es gibt keine Route zur Quell-IP 192.168.114.168, die auf das Netz INTRANET zeigt.
Ohne die Konfig des Geräts (/setup/tcp-ip/network-list, /setup/ip-router/ip-routing-table) kann nicht meht geagt werden.
Letztenlich verantwortlich ist die effektive Routing-Tabelle (/status/ip-router/act.-ip-routing-tab). Da muß eine passende Route drin stehen.

Gruß
Backslash
immomannen
Beiträge: 3
Registriert: 28 Sep 2020, 11:27

Re: IDS Problem?

Beitrag von immomannen »

Hallo backslash,

vielen Dank, das war der entscheidende Tipp.
Anfang des Jahres wurde übergangsweise einen VPN eingerichtet und genau die Route war für diese IP als Überbleibsel noch drin.

VG Robert
averlon
Beiträge: 174
Registriert: 05 Okt 2012, 09:48

Re: IDS Problem?

Beitrag von averlon »

Hi alle,
ich habe ein ähnliches Problem.

Code: Alles auswählen

[Firewall] 2020/09/30 10:29:57,477  Devicetime: 2020/09/30 10:29:54,122
Packet matched rule intruder detection
DstIP: 199.253.183.183, SrcIP: 192.168.110.8, Len: 92, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 53765

Filter info: packet received from invalid interface LAN-1
send syslog message
send SNMP trap
packet dropped
Klar, drop ist bei mir im IDS eingestellt. Allerdings sollte die Quelle nicht im IDS auftauchen.

Code: Alles auswählen

ls /setup/tcp-ip/network-list

Network-name      IP-Address       IP-Netmask       VLAN-ID  Interface           Src-check      Type      Rtg-tag  Comment
==================-----------------------------------------------------------------------------------------------------------------------------------------------------------------
DMZ               192.168.108.1    255.255.255.0    108      LAN-1               loose          DMZ       0        demilitarized zone
NAS               192.168.109.1    255.255.255.0    109      LAN-3               loose          Intranet  0             
INTRANET          192.168.110.1    255.255.255.0    110      LAN-1               loose          Intranet  0        local intranet
WLAN              192.168.111.1    255.255.255.0    111      LAN-3               loose          Intranet  0             
TSI               192.168.210.1    255.255.255.0    210      LAN-1               loose          DMZ       0             

root@f42252ro:/
> ls /setup/ip-router/ip-routing-table

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment                     
===========================================-----------------------------------------------------------------------------------------------------------------
192.168.110.170  255.255.255.255  0        IKEV1_F42252NB    0         No          Semi     VPN Notebook                
192.168.111.170  255.255.255.255  0        IKEV1_F42252A8    0         No          Semi     VPN SmartPhone              
192.168.178.0    255.255.255.0    0        IKE1_HH           0         No          Yes      FRITZ!Box Felix             
192.168.0.0      255.255.0.0      0        0.0.0.0           0         No          No       template: block private networks: 192.168.x.y
172.16.0.0       255.240.0.0      0        0.0.0.0           0         No          No       template: block private networks: 172.16-31.x.y
10.0.0.0         255.0.0.0        0        0.0.0.0           0         No          No       template: block private network: 10.x.y.z
224.0.0.0        224.0.0.0        0        0.0.0.0           0         No          Yes      block multicasts: 224-255.x.y.z
255.255.255.255  0.0.0.0          100      TELEKOM           0         on          Yes      Telekom                     
255.255.255.255  0.0.0.0          0        DEGLAS            0         on          Yes      Deutsche Glasfaser          

root@f42252ro:/
> ls /status/ip-router/act.-ip-routing-tab

IP-Address       IP-Netmask       Rtg-tag  Gateway          Peer              Distance  Masquerade  Type
===========================================------------------------------------------------------------------
192.168.108.0    255.255.255.0    0        192.168.108.1    DMZ               0         No          DMZ
192.168.110.0    255.255.255.0    0        192.168.110.1    INTRANET          0         No          Intranet
192.168.109.0    255.255.255.0    0        192.168.109.1    NAS               0         No          Intranet
192.168.210.0    255.255.255.0    0        192.168.210.1    TSI               0         No          DMZ
192.168.111.0    255.255.255.0    0        192.168.111.1    WLAN              0         No          Intranet
100.72.160.1     255.255.255.255  100      255.255.255.255  DEGLAS            1         on          DHCP
100.72.160.1     255.255.255.255  0        255.255.255.255  DEGLAS            1         on          DHCP
192.168.110.170  255.255.255.255  0        255.255.255.255  IKEV1_F42252NB    16        No          Static
192.168.111.170  255.255.255.255  0        255.255.255.255  IKEV1_F42252A8    16        No          Static
192.168.178.0    255.255.255.0    0        83.135.87.100    IKE1_HH           1         No          Static
224.0.0.0        224.0.0.0        0        0.0.0.0          0.0.0.0           0         No          Static
255.255.255.255  0.0.0.0          100      62.155.242.21    TELEKOM           1         on          Static
255.255.255.255  0.0.0.0          0        100.72.160.1     DEGLAS            1         on          Static
Die Route ist doch eigentlich definiert. Wo kommt das Problem her - kann das jemand identifizieren ?

Danke
Gruß
Karl-Heinz
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IDS Problem?

Beitrag von backslash »

Hi averlon,
Allerdings sollte die Quelle nicht im IDS auftauchen.
dazu kann ich nur sagen: wenn's da auftaucht, dann hat die Firewall i.A. recht...
Die Route ist doch eigentlich definiert. Wo kommt das Problem her - kann das jemand identifizieren ?
bei immomannen war die Route auch in der Netzwerkliste definiert. Bei ihm war das Problem, das es in der Routing-Tabelle eine weitere Route gab, die die Quell-Adresse auf eine VPN-Verbinung gelegt hat... Schau doch mal in deine Routing.-Tabelle - da wird was vergleichbares drin stehen.

Deshalb schrieb ich ja auch, das letztendlich die effektive Routing-Tabelle (/status/ip-router/act.-ip-routing-tab) ausschlaggebend ist...

Gruß
Backslash
averlon
Beiträge: 174
Registriert: 05 Okt 2012, 09:48

Re: IDS Problem?

Beitrag von averlon »

Hallo backslash,
ich bezweifle nicht, dass die FW recht hat.

Code: Alles auswählen

ls /status/ip-router/act.-ip-routing-tab

IP-Address       IP-Netmask       Rtg-tag  Gateway          Peer              Distance  Masquerade  Type
===========================================------------------------------------------------------------------
192.168.108.0    255.255.255.0    0        192.168.108.1    DMZ               0         No          DMZ
192.168.110.0    255.255.255.0    0        192.168.110.1    INTRANET          0         No          Intranet
192.168.109.0    255.255.255.0    0        192.168.109.1    NAS               0         No          Intranet
192.168.210.0    255.255.255.0    0        192.168.210.1    TSI               0         No          DMZ
192.168.111.0    255.255.255.0    0        192.168.111.1    WLAN              0         No          Intranet
100.72.160.1     255.255.255.255  100      255.255.255.255  DEGLAS            1         on          DHCP
100.72.160.1     255.255.255.255  0        255.255.255.255  DEGLAS            1         on          DHCP
192.168.110.170  255.255.255.255  0        255.255.255.255  IKEV1_F42252NB    16        No          Static
192.168.111.170  255.255.255.255  0        255.255.255.255  IKEV1_F42252A8    16        No          Static
192.168.178.0    255.255.255.0    0        83.135.87.100    IKE1_HH           1         No          Static
224.0.0.0        224.0.0.0        0        0.0.0.0          0.0.0.0           0         No          Static
255.255.255.255  0.0.0.0          100      62.155.242.21    TELEKOM           1         on          Static
255.255.255.255  0.0.0.0          0        100.72.160.1     DEGLAS            1         on          Static
mmh - wo ist da was falsch und wie könnte man das ggf. korrigieren?
Gruß
Karl-Heinz
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IDS Problem?

Beitrag von backslash »

Hi averlon,

was für eine Firmware setzt du denn ein? Jedenfalls keine 10.40, denn dann sähe die effektive Routing-Tabelle anders aus...
was sagt ein "show ipv4-fib"?
was sagt ein IP-Router-Trace in dem Moment, in dem das IDS zuschlägt (hier ist wichtig, auf welchem Netz der Router meint, das Paket empfangen zu haben).?
was passiert, wenn du auf eine 10.40 wechselst?

Gruß
Backslash
averlon
Beiträge: 174
Registriert: 05 Okt 2012, 09:48

Re: IDS Problem?

Beitrag von averlon »

Hallo Backslash,

nein, aktuell noch die 10.32. Die 10.40 habe ich heute erst gesehen, aber noch nicht installiert.

Code: Alles auswählen

show ipv4-fib
IPv4 Unicast FIB

 Rtg-Tag 0

  Prefix             Next-Hop        Interface                 ID         Redistribution Type
  -------------------------------------------------------------------------------------------
  0.0.0.0/0          100.72.160.1    DEGLAS                    7          Redistribute   Static
  84.190.127.116/32  0.0.0.0         #Loopback                 1          Redistribute   Local WAN
  100.72.160.0/19    0.0.0.0         DEGLAS                    7          Redistribute   Connected WAN
  100.72.160.1/32    0.0.0.0         DEGLAS                    7          Redistribute   DHCP
  100.72.169.27/32   0.0.0.0         #Loopback                 1          Redistribute   Local WAN
  127.0.0.0/8        0.0.0.0         #Loopback                 1          Never          Loopback
  127.0.0.1/32       0.0.0.0         #Loopback                 1          Never          Loopback
  192.168.108.0/24   0.0.0.0         DMZ                       2          Redistribute   Connected LAN
  192.168.108.1/32   0.0.0.0         #Loopback                 1          Redistribute   Local LAN
  192.168.109.0/24   0.0.0.0         NAS                       4          Redistribute   Connected LAN
  192.168.109.1/32   0.0.0.0         #Loopback                 1          Redistribute   Local LAN
  192.168.110.0/24   0.0.0.0         INTRANET                  3          Redistribute   Connected LAN
  192.168.110.1/32   0.0.0.0         #Loopback                 1          Redistribute   Local LAN
  192.168.110.170/32 0.0.0.0         IKEV1_F42252NB            12         Down           Static Ifc Down
  192.168.111.0/24   0.0.0.0         WLAN                      6          Redistribute   Connected LAN
  192.168.111.1/32   0.0.0.0         #Loopback                 1          Redistribute   Local LAN
  192.168.111.170/32 0.0.0.0         IKEV1_F42252A8            11         Down           Static Ifc Down
  192.168.178.0/24   0.0.0.0         IKE1_HH                   10         Redistribute   Static
  192.168.210.0/24   0.0.0.0         TSI                       5          Redistribute   Connected LAN
  192.168.210.1/32   0.0.0.0         #Loopback                 1          Redistribute   Local LAN
  224.0.0.0/3        0.0.0.0         #Null                     0          Never          Static

 Rtg-Tag 100

  Prefix             Next-Hop        Interface                 ID         Redistribution Type
  -------------------------------------------------------------------------------------------
  0.0.0.0/0          0.0.0.0         TELEKOM                   9          Redistribute   Static
  84.190.127.116/32  0.0.0.0         #Loopback                 1          Redistribute   Local WAN
  100.72.160.0/19    0.0.0.0         DEGLAS                    7          Redistribute   Connected WAN
  100.72.160.1/32    0.0.0.0         DEGLAS                    7          Redistribute   DHCP
  100.72.169.27/32   0.0.0.0         #Loopback                 1          Redistribute   Local WAN
  127.0.0.0/8        0.0.0.0         #Loopback                 1          Never          Loopback
  127.0.0.1/32       0.0.0.0         #Loopback                 1          Never          Loopback
  192.168.108.0/24   0.0.0.0         DMZ                       2          Redistribute   Connected LAN
  192.168.108.1/32   0.0.0.0         #Loopback                 1          Redistribute   Local LAN
  192.168.110.170/32 0.0.0.0         IKEV1_F42252NB            12         Down           Static Ifc Down
  192.168.111.170/32 0.0.0.0         IKEV1_F42252A8            11         Down           Static Ifc Down

MORE [Q(uit)]>
  192.168.178.0/24   0.0.0.0         IKE1_HH                   10         Redistribute   Static
  192.168.210.0/24   0.0.0.0         TSI                       5          Redistribute   Connected LAN
  192.168.210.1/32   0.0.0.0         #Loopback                 1          Redistribute   Local LAN
  224.0.0.0/3        0.0.0.0         #Null                     0          Never          Static
Der Fall tritt nicht immer auf - insofern muss ich mit dem trace warten bis ich das wieder erwische.

Ich probiere mal einen Update auf die 10.40.
Danke vorerst mal.
Gruß
Karl-Heinz
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IDS Problem?

Beitrag von backslash »

Hi averlon,
Der Fall tritt nicht immer auf - insofern muss ich mit dem trace warten bis ich das wieder erwische.
dann ist das "show ipv4-fib", das du gerade gepostet hast, überflüssig. Es ist wichtig zu sehen, was der Router im Fehlerfall sieht und macht...

Hast du ggf RIP/SPF/BGP eingeschaltet, das die eine die Route umbiegen könnte.
Hast du ggf. eine VPN-Einwahl, die Routen setzt, z.B. in dem sie eine Adresse aus einem WAN-Pool zugewiesen bekommt, der sich aber mit Adressen in deinem LAN überlappt... oder eine "vereinfachte Einwahl mit Zertifikaten" mit "Auswahl des entfernten Netzes"?

Die Möglichkeiten sind vielfältig...

Gruß
Backslash
averlon
Beiträge: 174
Registriert: 05 Okt 2012, 09:48

Re: IDS Problem?

Beitrag von averlon »

Hi Backslash,
update auf 10.40 hat nix gebracht.

Hier eine andere IP die manchmal das gleiche Bild zeigt. Da kann ich es sogar provozieren (FRITZ!Box - telefonieren).

Code: Alles auswählen

[IP-Router] 2020/09/30 12:48:41,487  Devicetime: 2020/09/30 12:48:40,056
IP-Router Rx (TELEKOM, RtgTag: 0): 
DstIP: 192.168.111.3, SrcIP: 217.0.6.22, Len: 200, DSCP: EF (0x2e), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 7078, SrcPort: 52964
Route: LAN-3 Tx (WLAN): 

[IP-Router] 2020/09/30 12:48:41,489  Devicetime: 2020/09/30 12:48:40,067
IP-Router Rx (LAN-3, WLAN, RtgTag: 100): 
DstIP: 217.0.6.22, SrcIP: 192.168.111.3, Len: 200, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 52964, SrcPort: 7078
Route: WAN Tx (TELEKOM)

[Firewall] 2020/09/30 12:48:41,489  Devicetime: 2020/09/30 12:48:40,071
Packet matched rule intruder detection
DstIP: 217.0.6.22, SrcIP: 192.168.111.3, Len: 152, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 52965, SrcPort: 7079

Filter info: packet received from invalid interface LAN-3
send syslog message
send SNMP trap
packet dropped

[IP-Router] 2020/09/30 12:48:41,489  Devicetime: 2020/09/30 12:48:40,071
IP-Router Rx (LAN-3, WLAN, RtgTag: 0): 
DstIP: 217.0.6.22, SrcIP: 192.168.111.3, Len: 152, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 52965, SrcPort: 7079
Filter (Port)

[IP-Router] 2020/09/30 12:48:41,489  Devicetime: 2020/09/30 12:48:40,077
IP-Router Rx (TELEKOM, RtgTag: 0): 
DstIP: 192.168.111.3, SrcIP: 217.0.6.22, Len: 200, DSCP: EF (0x2e), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 7078, SrcPort: 52964
Route: LAN-3 Tx (WLAN): 

[IP-Router] 2020/09/30 12:48:41,491  Devicetime: 2020/09/30 12:48:40,087
IP-Router Rx (LAN-3, WLAN, RtgTag: 100): 
DstIP: 217.0.6.22, SrcIP: 192.168.111.3, Len: 200, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 52964, SrcPort: 7078
Route: WAN Tx (TELEKOM)
Update !!!!!
Ich bin mit den Traces nicht so versiert konnte das aber jetzt auch für die ursprunglich gemeldete IP nachstellen:

Code: Alles auswählen

[Firewall] 2020/09/30 13:00:55,333  Devicetime: 2020/09/30 13:00:54,032
Packet matched rule intruder detection
DstIP: 192.33.4.12, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 60435

Filter info: packet received from invalid interface LAN-1
send syslog message
send SNMP trap
packet dropped

[IP-Router] 2020/09/30 13:00:55,334  Devicetime: 2020/09/30 13:00:54,031
IP-Router Rx (LAN-1, DMZ, RtgTag: 0): 
DstIP: 192.33.4.12, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 60435
Filter (Port)

[Firewall] 2020/09/30 13:00:56,132  Devicetime: 2020/09/30 13:00:54,832
Packet matched rule intruder detection
DstIP: 199.7.83.42, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 58567

Filter info: packet received from invalid interface LAN-1
send syslog message
send SNMP trap
packet dropped

[IP-Router] 2020/09/30 13:00:56,132  Devicetime: 2020/09/30 13:00:54,831
IP-Router Rx (LAN-1, DMZ, RtgTag: 0): 
DstIP: 199.7.83.42, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 58567
Filter (Port)

[Firewall] 2020/09/30 13:00:56,524  Devicetime: 2020/09/30 13:00:55,227
Packet matched rule intruder detection
DstIP: 192.33.4.12, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 57395

Filter info: packet received from invalid interface LAN-1
send syslog message
send SNMP trap
packet dropped

[IP-Router] 2020/09/30 13:00:56,524  Devicetime: 2020/09/30 13:00:55,226
IP-Router Rx (LAN-1, DMZ, RtgTag: 0): 
DstIP: 192.33.4.12, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 57395
Filter (Port)

[Firewall] 2020/09/30 13:00:56,961  Devicetime: 2020/09/30 13:00:55,653
Packet matched rule intruder detection
DstIP: 192.5.5.241, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 60341

Filter info: packet received from invalid interface LAN-1
send syslog message
send SNMP trap
packet dropped

[IP-Router] 2020/09/30 13:00:56,961  Devicetime: 2020/09/30 13:00:55,652
IP-Router Rx (LAN-1, DMZ, RtgTag: 0): 
DstIP: 192.5.5.241, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 60341
Filter (Port)

[Firewall] 2020/09/30 13:00:57,335  Devicetime: 2020/09/30 13:00:56,028
Packet matched rule intruder detection
DstIP: 199.7.83.42, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Das ist ein DNS-Server.
Gruß
Karl-Heinz
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IDS Problem?

Beitrag von backslash »

Hi averlon,

bei DNS-Anfrage zeigt der Router-Trace eindeutig, wo der Fehler liegt:

Code: Alles auswählen

[IP-Router] 2020/09/30 13:00:55,334  Devicetime: 2020/09/30 13:00:54,031
IP-Router Rx (LAN-1, DMZ, RtgTag: 0): 
DstIP: 192.33.4.12, SrcIP: 192.168.110.8, Len: 68, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 60435
Filter (Port)
Das LANCOM ordnet das Paket dem Netz DMZ zu und nicht dem Netz INTRANET - und somit ist die IDS-Meldung korrekt.
Vermutlich ist die VLAN-Konfiguration auf dem Host falsch...

zur Fitzbox kann ich nichts sagen - außer daß das offenbar ein RTCP-Paket ist. Hast du das SIP-ALG an? Ggf. mast das ja etwas falsch beim Öffnen der RTCP-Session. Oder die Fritzbox hat auch ein VLAN-Problem.


Gruß
Backslash
averlon
Beiträge: 174
Registriert: 05 Okt 2012, 09:48

Re: IDS Problem?

Beitrag von averlon »

Hallo Backslash,
hast recht - wie immer :D

Es ist wohl ein Konfigurationsproblem auf dem Linux mit dem richtigen VLAN bei Nachrichten ins Internet (Default Route). Ich arbeite dran.

Da habe ich das natürlich selbst in der Hand (und auch selbst falsch gemacht).

Bei der FB muss ich noch einmal schauen - da kann man ja meist nur "außen" was machen - zumindest mit VLAN. Muss ich mir den Switch mal anschauen.
Danke für den Hinweis - bringt mich in die richtige Richtung.

ISSUE CLOSED!
Gruß
Karl-Heinz
averlon
Beiträge: 174
Registriert: 05 Okt 2012, 09:48

Re: IDS Problem?

Beitrag von averlon »

Hallo Backslash,
ich habe weitere seltsame Erkenntnisse.

Diese Nachricht:

Code: Alles auswählen

[Firewall] 2020/09/30 12:48:41,489  Devicetime: 2020/09/30 12:48:40,071
Packet matched rule intruder detection
DstIP: 217.0.6.22, SrcIP: 192.168.111.3, Len: 152, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 52965, SrcPort: 7079

Filter info: packet received from invalid interface LAN-3
send syslog message
send SNMP trap
packet dropped
hat Folgen.

Wenn ich im IDS anstelle von "verwerfen" auf "übertragen" gehe, dann kommt unter bestimmten Umständen kein Telefongespräch zustande.

Hintergrund:
Ich habe eine VDSL-Verbindung zur Telekom, mit Telefonie, und eine Glasfaserverbindung zur Deutschen Glasfaser - für den Rest.
Die FW ist so eingerichtet, dass VoIP mit einem TAG versehen wird und über die Verbindung der Telekom geht. Kalppt grundsätzlich auch.

Solange IDS auf "verwerfen" steht kommt zwar diese Fehlermeldung in der Firewall, aber ausgehende Gespräche kommen zustande und beide Gesprächspartner hören sich bzw. können miteinander reden.
Die Fehlermeldung erscheint ca. 20-30 mal, dann nicht mehr während des Gespräches.

Sobald ich IDS auf "übertragen" stelle kommt das ausgehende Gespräch zwar zustanden, der Gesprächspartner hört mich aber ich höre den Partner nicht. Es erscheinen keine weiteren Fehlermeldungen in der FW.

Kannst du dir darauf einen Reim machen ?

Danke
Gruß
Karl-Heinz
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IDS Problem?

Beitrag von backslash »

Hi averlon,

ggf. ist das ein STUN-Paket deiner TK-Anlage, das im schlimmten Fall über die Glasfaserstrecke rausgeht und somit dazu führt, daß die TK-Anlage die falsche öffentliche IP-Adresse (und Port) für die TRP-Streams an den Anrufer/Angerufenen meldet.

Mit VoIP & Co kenne ich micht aber nicht wirklich aus, du solltest aber schauen, daß deine TK-Anlage diese Pakete gar nicht erst verschickt und nicht auf einen wer weiss wie gearteten Rückfall der TK-Anlage bauen, weil das Paket von der Firewall geblockt wurde... Nein - es geht nicht darum, STUN abzuschalten, sondern darum daß das STUN-Paket im "falschen" Netz verschickt wird...

Gruß
Backslash
Antworten