ICMP-Redirect geht nach Upgrade auf 10.42 nicht mehr

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
nighthawk
Beiträge: 1
Registriert: 14 Jun 2022, 18:49

ICMP-Redirect geht nach Upgrade auf 10.42 nicht mehr

Beitrag von nighthawk »

Hallo,

wir haben nach dem Upgrade einer Lancom 1781VA von LCOS 9.24 auf 10.42.0889RU7 das Problem, dass das Routing aus dem LAN (LOCALNET) zu diversen Netzen über einen zweiten Router im LAN (eine pfSense) nicht mehr funktioniert.

Die Option "ICMP-Redirects senden" ist an (wohl vor dem Upgrade auch), die Option "Pakete von internen Diensten über den Router senden" ist aus.
Ich sehe aber auf den Stationen (hier ein Ubuntu 20.04) keinen ICMP Redirect im Trace, und die Pakete werden nicht weitergeleitet.

Drehe ich die Einstellung (ICMP-Redirect aus, Weiterleiten an) sehe ich trotzdem keine weitergeleiteten Pakete.

Die Firewall-Regeln auf der Lancom sind unverändert - vielleicht blockiert hier eine Regel die ICMPs oder die Weiterleitung?
Eine neue explizite hochpriorisierte Regel für "ACCEPT ICMP von %A192.168.2.200 zu LOCALNET" (Lancom hat 192.168.2.200) hilft nicht.
Die Weiterleitung ist über explizite Regeln (von LOCALNET zu Ziel-Netz) schon vorher erlaubt.

Wo ist mein Denkfehler? Ist 10.42.0889RU7 buggy? Muss ich in 10.42 was schalten / erlauben, was in 9.24 noch nicht notwendig war?
Was kann in der übernommenen Konfiguration falsch oder widersprüchlich sein, dass Redirect/Weiterleitung mit 10.42 nicht mehr funktioniert?

Danke für Hinweise, Denkanstöße ..
louis
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: ICMP-Redirect geht nach Upgrade auf 10.42 nicht mehr

Beitrag von Dr.Einstein »

Hey louis,

soweit mir bekannt ist, wurden in älteren Versionen halboffene Verbindungen (was bei ICMP Redirects entsteht) anders behandelt. Wenn du ein paar Pakete über SSH mitschneidest (trace # ip-router @ <IP-Adresse eines Zieles> , solltest du "filtered" als Ausgabe sehen. Zusätzlich solltest du im Firewall-Trace DOS / Halboffene Verbindungen sehen.

Um das zu prüfen, stelle die IDS auf durchleiten, LanConfig unter Firewall / DOS> übertragen.

Ansonsten hat sich noch jede Menge Richtung Routing Tags etc getan. Was vorher vielleicht noch durchgerutscht ist, benötigt jetzt explizit korrekte Routing Tags unter IPv4-Netzwerke / Routing Tabelle. Das solltest du aber ebenfalls mittels genannter Trace direkt erkennen können.

Gruß Dr.Einstein
Antworten