11
LANCOM Router IDS springt im lokalen Netz an und verwirft Pakete
Guten Morgen,
wie der Titel beschreibt.
Muss ich mir Gedanken machen, wenn das IDS anspringt? Vor allem im lokalen Netz? (intern zu intern) (win10; Srv 2k12r2 - aktuelle Updates)
Es geht um einen LANCOM 1783VA-4G (over ISDN) mit aktuellem FW Stand in einem kleinen /24er Netz.
Tante Google brachte mich nicht auf den rechten Pfad, obwohl wir uns sonst ganz gut verstehen.
Auf Nachfrage bei LANCOM erhielt ich die Antwort, ich solle die Port-anfragen erhöhen. Hat ein LANCOM Techniker angepasst(Haben einen Wartungsvertrag daher fass' ich den Router erst gar nicht an, was Konfig angeht). Von 50 auf 100 gesetzt.
Es wurde dadurch zwar weniger, jedoch immer noch nicht behoben.
Höher möchte ich die Port-anfragen eigentlich nicht setzen(lassen) sonst ist ja der Sinn von IDS völlig verfehlt.
Das Verhalten tritt auch auf einem frisch installierten Rechner(Win10, 1803, Pro, voll geupdated) auf daher gehe ich von einem Netzwerkproblem aus? Wie kommt sowas zu Stande?
Ich möchte dies gerne gelöst bekommen, da es mir tatsächlich Bauchschmerzen bereitet. - hätte Ihr hier einen Ansatz wo ich mal forschen könnte? Switches? Netzwerkdesign? Rechnerkonfig? Windoofs?
Falls euch Infos fehlen, bitte habt Verständnis, es ist früh. Die gewünschten Infos liefere ich sogut ich kann nach.
Danke und viele Grüße
pixl
wie der Titel beschreibt.
Muss ich mir Gedanken machen, wenn das IDS anspringt? Vor allem im lokalen Netz? (intern zu intern) (win10; Srv 2k12r2 - aktuelle Updates)
Es geht um einen LANCOM 1783VA-4G (over ISDN) mit aktuellem FW Stand in einem kleinen /24er Netz.
Tante Google brachte mich nicht auf den rechten Pfad, obwohl wir uns sonst ganz gut verstehen.
Auf Nachfrage bei LANCOM erhielt ich die Antwort, ich solle die Port-anfragen erhöhen. Hat ein LANCOM Techniker angepasst(Haben einen Wartungsvertrag daher fass' ich den Router erst gar nicht an, was Konfig angeht). Von 50 auf 100 gesetzt.
Es wurde dadurch zwar weniger, jedoch immer noch nicht behoben.
Höher möchte ich die Port-anfragen eigentlich nicht setzen(lassen) sonst ist ja der Sinn von IDS völlig verfehlt.
Das Verhalten tritt auch auf einem frisch installierten Rechner(Win10, 1803, Pro, voll geupdated) auf daher gehe ich von einem Netzwerkproblem aus? Wie kommt sowas zu Stande?
Ich möchte dies gerne gelöst bekommen, da es mir tatsächlich Bauchschmerzen bereitet. - hätte Ihr hier einen Ansatz wo ich mal forschen könnte? Switches? Netzwerkdesign? Rechnerkonfig? Windoofs?
Falls euch Infos fehlen, bitte habt Verständnis, es ist früh. Die gewünschten Infos liefere ich sogut ich kann nach.
Danke und viele Grüße
pixl
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 384193
Url: https://administrator.de/contentid/384193
Ausgedruckt am: 24.11.2024 um 02:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
Wieso senden denn die re chner mit der IP .218 .80 und .66 ?
Und was senden die für Pakete?
Hänge eine Wireshark rein und schaue dir an was da passiert!
Brammer
Wieso senden denn die re chner mit der IP .218 .80 und .66 ?
Und was senden die für Pakete?
Hänge eine Wireshark rein und schaue dir an was da passiert!
Brammer
Hi Brammer,
Wireshark und sein unendlicher Output.. ich schaue mal wie weit ich komme (Filtern werde ich ja noch hinbekommen).
Gruß
Wieso senden denn die re chner mit der IP .218 .80 und .66 ?
Hänge eine Wireshark rein und schaue dir an was da passiert!
Jep - werde ich machen, muss nur schauen wie ich das sinnvoll "entschlüssele".Wireshark und sein unendlicher Output.. ich schaue mal wie weit ich komme (Filtern werde ich ja noch hinbekommen).
Gruß
Moin,
Hadt Du schon mit whois nachgeschaut, wem die externen IP-Adressen gehören?
Und kann es sein, das die Rechner such gegenseitig windowsupdates zuschieben wollen?
und hast Du mal geschsut, welche siftware auf den betroffenen rechnern läuft?
lks
Hadt Du schon mit whois nachgeschaut, wem die externen IP-Adressen gehören?
Und kann es sein, das die Rechner such gegenseitig windowsupdates zuschieben wollen?
und hast Du mal geschsut, welche siftware auf den betroffenen rechnern läuft?
lks
Beim üblichen Klogang, kam mir der Gedanke auf: "Was hat eigentlich der Router mit den PC-Clients zutun im internen Netzwerk?" Wieso gehen lokale bzw. interne Pakete an die interne Telefonanlage über den Router!??!
Habe ich was verpasst? ClientPaket <> Switch <> Telefonanlage - da hat der Router doch nichts drin verloren!?
Das bringt mich in Richtung Routing? (Haben 3 entfernte VPN Standorte - eingerichtet von LANCOM, inkl. Routing)
@aqui mal anstubs
Derzeit schaut das ja eher so aus: ClientPaket <> Switch <> Router <> Switch <> Telefonanlage oder täusche ich mich?
Client PC und Telefonanlage hängen im gleichen (Sub)netz!
Gruß
Habe ich was verpasst? ClientPaket <> Switch <> Telefonanlage - da hat der Router doch nichts drin verloren!?
Das bringt mich in Richtung Routing? (Haben 3 entfernte VPN Standorte - eingerichtet von LANCOM, inkl. Routing)
@aqui mal anstubs
Derzeit schaut das ja eher so aus: ClientPaket <> Switch <> Router <> Switch <> Telefonanlage oder täusche ich mich?
Client PC und Telefonanlage hängen im gleichen (Sub)netz!
Gruß
Moin LKS,
um die externe IP geht es mir momentan nicht unbedingt. Das ist sehr selten dass da was auftaucht. (Externe IP im o.g. Bild ist die IP von unserem Mailserver)
gruß
um die externe IP geht es mir momentan nicht unbedingt. Das ist sehr selten dass da was auftaucht. (Externe IP im o.g. Bild ist die IP von unserem Mailserver)
Und kann es sein, das die Rechner such gegenseitig windowsupdates zuschieben wollen?
Windows 10! "Share Update im LAN" - Guter Ansatz, schaue ich ob es da was zerbröselt hat!und hast Du mal geschsut, welche siftware auf den betroffenen rechnern läuft?
Wie gesagt, Stock Rechner (Win10 Pro, 1803, voll geupdated) bringt das gleiche Problem hervor.gruß
Zitat von @nepixl:
Beim üblichen Klogang, kam mir der Gedanke auf: "Was hat eigentlich der Router mit den PC-Clients zutun im internen Netzwerk?" Wieso gehen lokale bzw. interne Pakete an die interne Telefonanlage über den Router!??!
Habe ich was verpasst? ClientPaket <> Switch <> Telefonanlage - da hat der Router doch nichts drin verloren!?
Das bringt mich in Richtung Routing? (Haben 3 entfernte VPN Standorte - eingerichtet von LANCOM, inkl. Routing)
@aqui mal anstubs
Derzeit schaut das ja eher so aus: ClientPaket <> Switch <> Router <> Switch <> Telefonanlage oder täusche ich mich?
Client PC und Telefonanlage hängen im gleichen (Sub)netz!
Gruß
Moin,Beim üblichen Klogang, kam mir der Gedanke auf: "Was hat eigentlich der Router mit den PC-Clients zutun im internen Netzwerk?" Wieso gehen lokale bzw. interne Pakete an die interne Telefonanlage über den Router!??!
Habe ich was verpasst? ClientPaket <> Switch <> Telefonanlage - da hat der Router doch nichts drin verloren!?
Das bringt mich in Richtung Routing? (Haben 3 entfernte VPN Standorte - eingerichtet von LANCOM, inkl. Routing)
@aqui mal anstubs
Derzeit schaut das ja eher so aus: ClientPaket <> Switch <> Router <> Switch <> Telefonanlage oder täusche ich mich?
Client PC und Telefonanlage hängen im gleichen (Sub)netz!
Gruß
hat da jemand die LAN Buchsen vom Lancom als Switch missbraucht.
Hab sowas auch schon mal gesehen, da ging der komplette Netzwerk Traffic über eine Fast Ethernet Schnittstelle von einem Speedport.
Bei kleinere Betrieben durchaus üblich, daß der switch im Router gleichzeitig die "Wurzel" der switchkaskade ist. Da kommt dann natürlich "jeder Dreck" vorbei.
Andererseits ist ein IDS eigentlich nur sinnvoll, wenn es den "Dreck" auch sieht.
lks
hat da jemand die LAN Buchsen vom Lancom als Switch missbraucht.
Nicht dass ich wüsste.LANCOM <>1x CAT7 <> Primary Switch <> Secondary Switches <> Clients
So sollten die internen Pakete auch (meiner Meinung nach) nicht über den Router gehen oder geht mir was unter?
Gruß
Zitat von @nepixl:
LANCOM <>1x CAT7 <> Primary Switch <> Secondary Switches <> Clients
So sollten die internen Pakete auch (meiner Meinung nach) nicht über den Router gehen oder geht mir was unter?
hat da jemand die LAN Buchsen vom Lancom als Switch missbraucht.
Nicht dass ich wüsste.LANCOM <>1x CAT7 <> Primary Switch <> Secondary Switches <> Clients
So sollten die internen Pakete auch (meiner Meinung nach) nicht über den Router gehen oder geht mir was unter?
Kommt auf die switch-Einstellungen an. Ein IDS ist ja nur sinnvoll, wenn es alle Pakete sieht, die im Netz herumschwirren. ggf. ist im Primary switch eingestellt, daß er die Pakete auch dem LanCom "zeigt".
lks
daß er die Pakete auch dem LanCom "zeigt".
Aha? Schaue ich mir an, ob es in der Hinsicht etwas einzustellen gibt. Sind recht dumme HP Switches, HPE V1910-48G.. -für Tipps bin ich dankbar.Danke mal.
pixl
Schönen guten Morgen,
Habe meine Switches alle mal geprüft und kann nichts derartiges finden (schubs die Pakete alle übern Router, dann ans Ziel - oder so ähnlich).
Bzgl. Wireshark: es braust so einiges im Netzwerk herum jedoch nichts auf den ersten ungeschulten Blick, was sich verdächtig ließt. (Keine Broadcastfloods) .. werde mich intensivst mit Wireshark auseinandersetzen und mir mal ein paar Bilderbuch-Netzwerk-Logs besorgen und die mir als gute-Nachtlektüre reinziehen.
Ich danke euch für das mitdenken.
Schönen, stressfreien Freitag!
Gruß
Habe meine Switches alle mal geprüft und kann nichts derartiges finden (schubs die Pakete alle übern Router, dann ans Ziel - oder so ähnlich).
Bzgl. Wireshark: es braust so einiges im Netzwerk herum jedoch nichts auf den ersten ungeschulten Blick, was sich verdächtig ließt. (Keine Broadcastfloods) .. werde mich intensivst mit Wireshark auseinandersetzen und mir mal ein paar Bilderbuch-Netzwerk-Logs besorgen und die mir als gute-Nachtlektüre reinziehen.
Ich danke euch für das mitdenken.
Schönen, stressfreien Freitag!
Gruß
