6
Lancom Router und Cisco L3 Switch - woher kommen Intruder Detection Meldungen im Gast-LAN
Hallo Zusammen,
ich habe folgende Konfig:
Im Lancom Lanmonitor sehe ich unter IPv4 Firewall viele Einträge mit "Intruder Detection", die alle auf Adressen in meinem Gast-Netz "zeigen" (siehe Datei im Anhang). Sie haben ganz unterschiedliche Ports
Diese Einträge wundern mich, da ich nur 2 Ports als Port-Weiterleitungen von den Fritzboxen zum Lancom eingerichtet habe. Und keiner dieser Port-Weiterleitungen geht ins Gast-WLAN. Zudem sind eben auch Einträge im Lancom Intruder Protection Protokoll, die auf ganz andere Ports gehen.
Ich habe 2 Ideen, woher diese Einträge kommen könnten:
Was meint ihr?
Hier die Warnungen im Lanmonitor:
PS: mir ist klar, dass der Lancom schon genau dafür ausgelegt ist, diese Pakete zu verwerfen und daher nichts passiert. Hätte ich ein normales Modem statt Fritzbox, dann würde auch der gesamte Internet-Traffic beim Lancom aufschlagen. Aber nachdem die Fritzboxen nun schon mal da sind (war bei Unitymedia die einzige angebotene Option), dachte ich, es wäre schön, den nicht erwünschten Traffic von außen an der ersten möglichen Stelle raus zu filtern.
Vielen Dank,
Tom
ich habe folgende Konfig:
- Internet über 2 Fritzboxen (1 x Kabel, 1 x VDSL)
- Lancom MulitWAN Router 1900 - dieser verteilt den Traffic im Loadbalancing auf beide Fritzboxen
- Cisco SG350X L3 Switch mit diversen VLANs
- Zyxel WLAN Controller und Accesspoints
Im Lancom Lanmonitor sehe ich unter IPv4 Firewall viele Einträge mit "Intruder Detection", die alle auf Adressen in meinem Gast-Netz "zeigen" (siehe Datei im Anhang). Sie haben ganz unterschiedliche Ports
Diese Einträge wundern mich, da ich nur 2 Ports als Port-Weiterleitungen von den Fritzboxen zum Lancom eingerichtet habe. Und keiner dieser Port-Weiterleitungen geht ins Gast-WLAN. Zudem sind eben auch Einträge im Lancom Intruder Protection Protokoll, die auf ganz andere Ports gehen.
Ich habe 2 Ideen, woher diese Einträge kommen könnten:
- Im Gast-Netz buchen viele Mitarbeiter ihre Privat-Handys ein. Das Gastnetz ist im VLAN99. Über ACLs auf Cisco Switch dürfen Gäste nur ins Internet und nicht auf alle anderen VLANs zugreifen. Könnte es sein, dass die Intruder Detection Warnungen gar nicht "von außen" sondern von den Gästen kommen? Sondern durch die ACLs auf dem Cisco zum Lancom (Default-Route) kommt. Wie ihr allerdings im Protokoll unten seht, kommen die Angriffe von IP Adressen von außen (Gast Netz hat 192.168.99.0).
- Ist evtl meine Konfig im Kabelmodem (FB 6490 von Unitymedia) von Unitymedia noch nicht übernommen. Verstehe zwar nicht, wie sowas sein könnte, denn ich dachte, dass das die Fritzbox lokal regelt, aber Unitymedia behauptet, dass diese Weiterleitungen von ihrem Gateway erledigt würden. Verglichen mit VDSL/Telekom ist Unitymedia der letzte Mist und wenn ich eine andere Alternative für Redundanz hätte, würde ich die zuerst raus werfen. Ich hatte zuerst - auf dringendes "Anraten" der Business Hotline - einen Exposed Host statt einzelne Port-Weiterleitungen angelegt. Nachdem dann aber auch der Zugang von außen funktioniert hat, habe ich den Exposed Host gelöscht und die 2 Portweiterleitungen eingerichtet. Nun sagt Unitymedia, dass dies bei ihnen sehr oft nicht funktioniert und empfehlen bei jeder Konfigänderung der Fritzbox, einen Reset in den Werkszustand durchzuführen und dann wieder bei Null zu starten (was soll ich dazu sagen..... Entweder hat die Hotline keine Ahnung oder das Produkt ist unterirdisch). Bevor ich das nun (zum dritten Mal) mache, würde mich Eure Meinung interessieren. Nicht, dass der erste Punkt meine Einträge verursachen.
Was meint ihr?
Hier die Warnungen im Lanmonitor:
PS: mir ist klar, dass der Lancom schon genau dafür ausgelegt ist, diese Pakete zu verwerfen und daher nichts passiert. Hätte ich ein normales Modem statt Fritzbox, dann würde auch der gesamte Internet-Traffic beim Lancom aufschlagen. Aber nachdem die Fritzboxen nun schon mal da sind (war bei Unitymedia die einzige angebotene Option), dachte ich, es wäre schön, den nicht erwünschten Traffic von außen an der ersten möglichen Stelle raus zu filtern.
Vielen Dank,
Tom
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 500132
Url: https://administrator.de/contentid/500132
Ausgedruckt am: 15.11.2024 um 23:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
wenn du dir die Public IP's in deinem Logauszug mal angesehen hättest..
von oben nach unten gehören diese IP'S:
Google
Facebook
Amazon
Google
Google.
Du wirst vermutlich cockies blocken...
brammer
wenn du dir die Public IP's in deinem Logauszug mal angesehen hättest..
von oben nach unten gehören diese IP'S:
Amazon
Google.
Du wirst vermutlich cockies blocken...
brammer
mit einfacheren Worten die Intrusions kommen von den Gästen im Gastnetz.
Das Gastnetz ist hoffentlich mit WPA2 geschützt...
Das Gastnetz ist hoffentlich mit WPA2 geschützt...
Wie ist der Switch angebunden ? Als dummer, flacher Layer 2 Switch oder hast du deine Netze segmentiert und er macht Layer 3 wie es hier beschrieben ist:
Verständnissproblem Routing mit SG300-28
Sprich routet dann der Lancom oder der Cisco Switch ?
Zum Rest ist ja oben schon alles gesagt. Sind wie immer Cookies, Zählpixel oder Tracker der angegebenen Provider.
Verständnissproblem Routing mit SG300-28
Sprich routet dann der Lancom oder der Cisco Switch ?
Zum Rest ist ja oben schon alles gesagt. Sind wie immer Cookies, Zählpixel oder Tracker der angegebenen Provider.
Der Switch routet als L3 Switch zwischen den VLANs. Gast VLAN kommt natürlich in kein anderes VLAN.
Zudem gibts ein VLAN1000 als Verbindungsnetz ins Internet - @aqui, Du und die Kollegen aus dem Forum haben mir hierbei vor ca. 3-4 Wochen suuuuuper geholfen. Und ich habe es genau nach Euren Empfehlungen umgesetzt. Ist seit einer Woche produktiv und funktioniert (bis aufs Produktionsnetz) super. Der Lancom ist damit nur noch fürs Routing ins Internet zuständig. Und fürs Loadbalancing.
Auch wenn es Cookies sind, frage ich mich, wie diese auf den Ports, die ich auf der Fritzbox überhaupt nicht weiterleite, REIN kommen? Oder ist das so, dass die Verbindung von den Gästen von innen aufgebaut wird und dann die Cookies über diese Verbindung zurück kommen und dies vom Lancom dann geblockt wird (falls ja, dann ist mein Verständnisproblem, dass der Lancom auch dann eingreift, wenn die Verbindung von innen aufgebaut wurde)
Zudem gibts ein VLAN1000 als Verbindungsnetz ins Internet - @aqui, Du und die Kollegen aus dem Forum haben mir hierbei vor ca. 3-4 Wochen suuuuuper geholfen. Und ich habe es genau nach Euren Empfehlungen umgesetzt. Ist seit einer Woche produktiv und funktioniert (bis aufs Produktionsnetz) super. Der Lancom ist damit nur noch fürs Routing ins Internet zuständig. Und fürs Loadbalancing.
Auch wenn es Cookies sind, frage ich mich, wie diese auf den Ports, die ich auf der Fritzbox überhaupt nicht weiterleite, REIN kommen? Oder ist das so, dass die Verbindung von den Gästen von innen aufgebaut wird und dann die Cookies über diese Verbindung zurück kommen und dies vom Lancom dann geblockt wird (falls ja, dann ist mein Verständnisproblem, dass der Lancom auch dann eingreift, wenn die Verbindung von innen aufgebaut wurde)
Gast VLAN kommt natürlich in kein anderes VLAN.
Die Frage ist jetzt WIE dieses Gastnetz VLAN auf den Lancom terminiert ist. Es sind ja 2 Lösungen denkbar:- Isoliert. Sprich Gastnetz hat keine L3 IP Adresse im Switch und wird isoliert mit einer extra Strippe auf einen Lancom Port gesteckt
- Mit einem Tagged Uplink. Sprich das Transfer Netz und das Gastnetz landen mit einem Tagged Uplink auf dem Lancom und werden dann via 2 virtuellen VLAN Schnittstellen und entsprechenden Access Regeln dort am Lancom gesteuert.
Zitat von @aqui:
Da ich Probleme hatte (ich hatte mich nach Aktivieren von VLAns auf dem Lancom immer wieder selbst ausgesperrt - und war/bin damit wohl nicht alleine), VLANs auf dem Lancom zu aktivieren, hattet ihr mir den Rat gegeben, den Lancom per untagged Port ans Transfer-VLAN1000 anzuschliessen. D.h. Lancom wird nicht im VLAN Modus betrieben. Der gesamte Internet Traffic aller VLANs kommt über eine Verbindung vom L3 Switch zum Lancom (LAN1).Gast VLAN kommt natürlich in kein anderes VLAN.
Die Frage ist jetzt WIE dieses Gastnetz VLAN auf den Lancom terminiert ist. Es sind ja 2 Lösungen denkbar:- Isoliert. Sprich Gastnetz hat keine L3 IP Adresse im Switch und wird isoliert mit einer extra Strippe auf einen Lancom Port gesteckt
- Mit einem Tagged Uplink. Sprich das Transfer Netz und das Gastnetz landen mit einem Tagged Uplink auf dem Lancom und werden dann via 2 virtuellen VLAN Schnittstellen und entsprechenden Access Regeln dort am Lancom gesteuert.
Das sieht dann so aus:
