IDS und VLAN: Packet received from invalid Interface LAN-1

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
michl85
Beiträge: 5
Registriert: 23 Sep 2019, 06:38

IDS und VLAN: Packet received from invalid Interface LAN-1

Beitrag von michl85 »

Hi Freunde,

ich habe folgende Konstellation:

Gateway Lancom 1781 VA mit akt. VLAN-Modul (div. VLANS, LAN-1 ist Trunk an einem VLAN-Switch, Firewall mit DENY-ALL)
WLAN L-321agn R2 mit akt. VLAN-Modul (Trunk) und Option Public-Spot
alle mit LCOS 10.40.041

Ich habe für ein öffentliches Gast-Netzwerk ein zusätzliches VLAN am Gateway und Accesspoint konfiguriert.

Leider bekomme ich von den WLAN-Clients des Public-Spots keine Verbindung ins Internet hin.
Wenn ich einen solchen Client ins WLAN einbuche und z. B. eine Internetseite aufrufe, erhalte ich am Gateway im LAN-Monitor einen Eintrag "Intrusion Detection..." mit der korrekten IP-Adresse des WLAN-Clients im Gast-VLAN.

Ein trace + firewall am 1781 zeigt mir folgende Meldung des IDS an:
Packet received from invalid interface LAN-1

Das sieht doch so aus, als würden Pakete des Gäste-VLAN auf einem anderen VLAN oder gar ungetaggt am LAN-1 des Gateway eintreffen, oder?

ZumTest, ob das VLAN-Modul am 1781 richtig konfiguriert wurde, habe ich am Switch einen Port untagged dem Gäste-VLAN zugewiesen und ein Notebook per Kupfer angeschlossen: Internetzugriff / PING einwandfrei


Könntet ihr mir sagen, was diese Meldung "packet received from invalid interface" genau heißt?
Kann evtl. ein Problem mit der Routingtabelle schuld sein?

Danke euch einstweilen und viele Grüße
Michael
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: IDS und VLAN: Packet received from invalid Interface LAN-1

Beitrag von 5624 »

Am Router ist das VLAN-Modul unnötig, außer du betreibst da Bridging. Es reicht, wenn du einfach nur beim jeweiligen IP-Netzwerk die VLAN-ID einträgst (ungetagged muss bei deaktiviertem VLAN-Modul die ID 0 haben, bei aktiviertem VLAN-Modul die ID 1).

Also wenn da nicht irgendwelche L2TP- oder GRE-Tunnel im Weg sind, einfach deaktivieren.

Was sagt ein Paketcapture am Router oder ein ethernet-Trace aus? Mit welcher VLAN-ID kommen die Pakete vom Gästenetz des AP am Router an?
LCS NC/WLAN
michl85
Beiträge: 5
Registriert: 23 Sep 2019, 06:38

Re: IDS und VLAN: Packet received from invalid Interface LAN-1

Beitrag von michl85 »

Danke für den Tipp - ein trace + ethernet @ LAN-1 beweist meine Vermutung:
Die Pakete aus dem Public-Spot-Netzwerk kommen über die falsche VLAN-ID.

Damit handelt es sich um ein Problem mit Public Spot, was hier offtopic ist... ich bin jetzt nicht vor Ort - werde später dann nochmal nachforschen, warum die Pakete am Accesspoint falsch getaggt werden.

Dass es am Gateway auch ohne aktiviertem VLAN-Modul geht wusste ich nicht :? Hab gerade zufällig einen Beitrag von Jirka gelesen, wo auch er dass so schreibt.
Ich lass es jetzt aber mal aktiv, da die Pakete ja schon falsch getaggt reinkommen.
Antworten