Beiträge von relume

Guten Tag

Gibt es in Endian Community 3.0 eine Konfigurations-Möglichkeit, damit die aktuellen Traffic Graphen bei einem Reboot nicht zurückgesetzt werden und somit beibehalten werden?

Vielen Dank und mit besten Grüssen,

Guten Tag

Ich habe eine Endian Community Version 3.0 als Router (Orange-Zone ohne NAT für öffentliches Subnetz) konfiguriert. Aktuell wir der WAN-Anschluss (Red Uplink) massiv mit port scans und syn flood "belagert", was dazuführt, dass der Uplink saturiert wird. Wie kann ich die Angriffe auf dem Red-Uplink am besten abwehren, inbesondere wenn die Source-Destinationen der Angriffe sich ständig auch ändern? Ich bin mir nicht sicher wo ich entsprechende manuelle Firewall Regeln erfassen soll, also in "Port Forwarding" und/oder "Incoming routed traffic"? Mir scheint das beides nicht greift, da ich keine entsprechende drops im Firewall-Log sehen kann.

Welche Möglichkeiten gibt es auf Endian um eine entsprechende Abwehr auch zu automatisieren, also ohne jeweils die entsprechenden Source-Destinationen erfassen zu müssen.

Vielen Dank im Voraus für mögliche Hinweise,

relume

Das hatte bei mir nicht funktioniert - keine Chance. Ich habe aus diesem Grund wieder auf EFW 2.5.2 gewechselt.

Hallo

Ich haben nun von EFW 3.X zurück auf EFW 2.5.2 gewechselt und alles funktioniert wieder wie zuvor. PPTP und IPsec funktionieren nach dem Neustart unter EFW 2.5.2 direkt wieder.

beste Grüsse, relume

Hallo

Ich habe diese Tage von EFW 2.5.2 auf EFW 3.0.0 Community umgestellt und kann nun keine Eingehende PPTP- und IPSec-Verbindungen mehr aufbauen. Die PPTP-Verbindung geht auf eine dezidierte public IP ein und wird von EFW auf einen internen PPTP-Server vollständig (Any) forgewarded. Ich erhalte im Firewall-Log die folgende Meldungen:

hierbei sind

212.41.114.XX   : Aussenstelle PPTP-Client
212.101.27.2XX : public IP des internen PPTP-Servers
10.80.2.10 : interne IP des internen PPTP-Server

14:12:58 	PORTFWACCESS:ACCEPT:1  eth4 TCP 	 212.41.114.XX 22720 00:50:56:01:00:03 10.80.2.10 1723
14:12:56 	BADTCP:DROP 	eth4 	TCP 	212.41.114.XX 22719 	00:50:56:01:00:03 212.101.27.2XX 1723

Was ich nicht verstehe, warum die eine PPTP Initialisierung (14:12:58) auf 10.80.2.10 korrekt forgewarded wird und die andere (14:12:56) aufgrund von "BADTCP:DROP" abgelehnt wird. Hierbei zählt der PPTP-Client seine ausgehenden Port jeweils um ein hoch.

Ebenfalls seit dem Upgrade von EFW 2.5.2 auf EFW 3.0.0 funktionieren auch bisher funktionierenden IPSec-Tunnel (Site-To-Site) nicht mehr. Log für zwei unterschiedliche Tunnel:

2014-04-29 14:35:19 ipsec 06[JOB] deleting half open IKE_SA after timeout
2014-04-29 14:35:19 ipsec 09[IKE] ID_PROT request with message ID 0 processing failed
2014-04-29 14:35:19 ipsec: 09[NET] sending packet from 212.101.27.2XX[500] to 212.41.114.XX[500] (68 bytes)
2014-04-29 14:35:19 ipsec 09[ENC] generating INFORMATIONAL_V1 request 4112662390 [ HASH N(PLD_MAL) ]
2014-04-29 14:35:19 ipsec 09[IKE] message parsing failed
2014-04-29 14:35:19 ipsec 09[ENC] could not decrypt payloads
2014-04-29 14:35:19 ipsec 09[ENC] invalid ID_V1 payload length, decryption failed?
2014-04-29 14:35:19 ipsec: 09[NET] received packet from 212.41.114.XX[500] to 212.101.27.XX[500] (116 bytes)
2014-04-29 14:35:18 ipsec: 05[NET] sending packet from 212.101.27.2XX[500] to 212.41.114.XX[500] (196 bytes)
2014-04-29 14:35:18 ipsec 05[ENC] generating ID_PROT response 0 [ KE No ]
2014-04-29 14:35:18 ipsec 05[ENC] parsed ID_PROT request 0 [ KE No ]
2014-04-29 14:35:18 ipsec: 05[NET] received packet from 212.41.114.XX[500] to 212.101.27.2XX[500] (184 bytes)
2014-04-29 14:35:17 ipsec: 08[NET] sending packet from 212.101.27.2XX[500] to 212.41.114.XX[500] (132 bytes)
2014-04-29 14:35:17 ipsec 08[ENC] generating ID_PROT response 0 [ SA V V V ]
2014-04-29 14:35:17 ipsec 08[IKE] 212.41.114.53 is initiating a Main Mode IKE_SA
2014-04-29 14:35:17 ipsec: 08[ENC] received unknown vendor ID 62:50:27:74:9d:5a:b9:7f:56:16:c1:60:27:65:cf:48:0a:3b:7d:0b
2014-04-29 14:35:17 ipsec 08[ENC] parsed ID_PROT request 0 [ SA V ]
2014-04-29 14:35:17 ipsec: 08[NET] received packet from 212.41.114.XX[500] to 212.101.27.2XX[500] (108 bytes)
2014-04-29 14:35:08 ipsec: 14[NET] sending packet from 212.101.27.2XX[500] to 87.102.253.1XX[500] (40 bytes)
2014-04-29 14:35:08 ipsec 14[ENC] generating INFORMATIONAL_V1 request 1816533396 [ N(NO_PROP) ]
2014-04-29 14:35:08 ipsec 14[IKE] no IKE config found for 212.101.27.2XX...87.102.253.1XX, sending NO_PROPOSAL_CHOSEN

Sowohl EFW 2.5.2 als auch EFW 3.0.0 laufen unter VMware ESXi 5.5.0 (alle aktuellsten Patches installiert). Gibt es einen guten Weg von EFW 3.0.0 auf 2.5.2 zurück zu wechseln?

Vielen Dank im Voraus und mit besten Grüssen,

Relume

Guten Tag Sabine

Nochmals ganz herzlichen Dank für Deine Antwort und Bemühungen. Ja ich hatte zunächst für GRE auch den Port 49 explizit definiert, was aber auch nichts gebracht hatte.

Das Problem konnte ich nun aber eruieren. Die Ursache ist nicht die EFW sondern schlicht weg die VPN-Router auf die ich per PPTP verbinden möchte. Diese TP-Link Dual WAN TL-ERW6120 geben über PPTP je nachdem von welchem Netz man auf diese verbindet (aus dem öffentlichen Netz, aus einen NAT-LAN mit einer anderen Firewall als EFW, oder einem privaten Netz eines Mobile-Providers) unterschiedliche Route für das LAN hinter diesen VPN-Routern an den entsprechenden vebindenden PPTP-Client ab. Teilweise sind diese Routen korrekt und teilweise völlig sinnlos. Erst nachdem ich die unterschiedlichen Routing-Einträge verglichen habe, bin ich dem Problem auch auf die Spur gekommen. Es war nur nicht sehr offentlich, das es nicht an der EFW liegt, sondern "lediglich" an der Route die der PPTP-Client erhält. Wenn die Route manuel für das PPP0-Interface gesetzt wird, dann ist die Verbindung in das remote LAN sofort da. Nachträglich habe ich dann mit dieser Fährte auch genügend Foren-Einträge gefunden, die das selbe Problem mit diesen TL-ERW6120 Routern belegen. Ironie der Sache ist, dass ich erst auf PPTP gewechselt habe, da auch funktionierende IPSec Client-LAN Verbindungen nicht hinzukriegen sind, obwohl diese versprochen sind (wie ich leider auch erst nachträglich in den Foren erfahren musste).

Auf der EFW habe ich nun in der Firewall für den "Ausgehenden Verkehr" die beiden Rules (TCP 1723 und GRE) wieder gelöscht und auch die Firewall-Einstellungsoption "Ausgehender Verkehr" deaktiviert, so dass nur die vom System vorgebenen Rules aktiviert sind. Auch so funktionieren ausgehende PPTP-Client-Verbindungen korrekt (selbstredend nur wenn der PPTP-Client auch wirklich die korrekte Route erhalten hat).

Ich möchte mich an dieser Stelle nochmals recht herzlich für Deine Hinweise und Hilfestellungen bedanken, in der Hoffnung mich auch mal entsprechend erkenntlich zeigen zu können.

Grüsse, André

Hallo

Nochmals ganz herzlichen Dank für die rasche Antwort. Ich wähnte mich schon glücklich die Lösung zum Problem direkt vor mir zu haben, nach dem ich schon viel Zeit damit verbracht habe. Ja es sollte nicht sein. Die beiden gezeigten Rules für Port 1723 und GRE haben keinerlei Auswirkung auf das Problem. Nachdem ich die Firewall-Einstellungen für den "Ausgehenden Verkehr" eingeschaltet habe, waren da bereits zwei Rules vorhanden, die eigentlich nach meinem Verständnis mit "Green/Orange to Red : ANY : allow" jeglichen Verkehr (Ports und Protokolle) freischalten (siehe Dateianhang 1). Ich kann mich nicht erinnern, diese beiden ersten Rules für Green und Orange eingerichtet zu haben. Auf einer parallelen Neuinstallation von EFW 2.5.1 ist die Firewall-Einstellung "Ausgehender Verkehr" per default aktiviert und es befinden sich zahlreiche explizite Rules (z.B. http, smtp etc.) darin.

In den Firewall-Einstellungen "Portweiterleitungen / NAT" (siehe Dateianhang 2) sind aktuell drei Rules bezüglich eingehendem PPTP pass through von Bedeutung. Rule 1 leitet von einer öffentlichen IP auf einen internen Server alles weiter und PPTP-Client-Verbindungen von extern auf diesen Server funktionieren bestens. Rule 4 und Rule 5 machen ein dezidierte Port/Protokoll-Weiterleitung für externe PPTP-Client-Verbindungen die auf die öffentliche IP der EFW treffen und dann an einen internen Server weiter umgeleitet werden. Auch dies funktioniert seit Jahren gut.

Ja und dann gibt es noch die Firewall-Einstellungen für "Source NAT" (siehe Dateianhang 3). Die letzte Rule 4 mit "LAN to LAN loopback" bin ich mir nicht mehr sicher, ob ich diese in Version EFW 2.2 selbst im Zusammenhang mit einer IPSec Site-to-Site-Verbindung eingefügt hatte. In der Default-Einstellung einer EFW 2.5.1 Neuinstallation ist diese Rule zumindest nicht enthalten.

Dann habe ich mir auch noch den shell "Print-Out" der aktuellen EFW iptables (iptables -L) angesehen, konnte da aber nichts besonderes erkennen (z.B. eine besondere Rule für PPTP NAT-T; die es aber für IPSec gibt). Aufgefallen ist mir nur das in iptables zahlreiche identische Rules hintereinander vorhanden sind, auch direkt nach einen Reboot der EFW.

Ja welche Möglichkeiten könnte es noch geben? Herzlichen Dank im Voraus ...

Zitat von "Sabine"

Hallo,
ich habe hier einen PPTP Tunnel von Grün auf Externen Server laufen . .

Port in der Endian unter Firewall freigeschaltet

Gre Port 49

Tcp Port 1723

Herzlichen Dank für die prompte Antwort!

Dumme Frage — In welcher (Unter-)Maske der Firewall-Konfiguration sind die gezeigten Rules eingetragen? Und noch ein Verständnisfrage, weshalb sind für IPSec Client pass through (LAN -> WAN) keine expliziten Rules nötig — das hat direkt auf Anhieb funktioniert?

Vielen Dank im Voraus und beste Grüsse.

Version : Endian 2.5.1 community
Plattform : VMware VM ESXi 4.1.0

Guten Tag

Etwas unerwartet habe ich Probleme mit der Endian (2.5.1 community) aus dem LAN (Green) heraus mit einem PPTP-Client auf PPTP-Server im Internet eine funktionierend Daten-Verbindung herzustellen. Die Kontroll-Verbindung funktioniert korrekt, dass heisst der PPTP-Client meldet sich an den PPTP-Servern korrekt an, aber ich habe keinen funktionierenden Daten-Tunnel. Wenn ich mich von anderswo — z.B. aus dem Red Bereich der selben EFW oder aus einem anderen NAT LAN mit anderer Firewall oder direkt aus dem öffentliche Internet über iPhone-Einwahl — verbinde, dann funktioniert alles bestens. Grundsätzlich kann ich von keinem Computer im Green-Bereich noch von Orange (DMZ) hinter der EFW eine funktionierende PPTP-Daten-Verbindung auf irgendwelche PPTP-Server im Internet herstellen.

[Computer VPN Client] —> [Green] —> [EFW] —> [Red] —> ... —> [public PPTP-Server] : funktioniert nicht
[Computer VPN Client] —> [Orange] —> [EFW] —> [Red] —> ... —> [public PPTP-Server] : funktioniert nicht

—> [EFW] —> [Red] —> [Computer VPN Client] —> ... —> [public PPTP-Server] : funktioniert
[Computer VPN Client] —> [LAN] —> [Firewall X/Y] —> [public PPTP-Server] : funktioniert

Auf der EFW sind Proxy- und Filter-Applikationen vollständig ausgeschaltet. Ebenso sind Outgoing- und VPN-traffic-Firewall ausgeschaltet und damit sind die allgemeinen System-Rules aktiv. Versuche hier etwas zu änderen, also insbesondere das GRE-Protocol freizuschalten haben nichts gebracht (eventuell aus Unkenntnis der korrekten Einstellungen).

Gleichzeitig funktioniert aber PPTP pass through in der umkehrten Richtung. Ich kann also ohne Probleme von irgendwo extern funktionierende PPTP-Verbindungen auf die PPTP-Server hinter meiner EFW herstellen. In einem Fall über explizite entsprechende PPTP-Redirection auf einen internen Server und im anderen Fall für ein IP-Mapping auf einen zweiten Server (VoIP).

[public PPTP-Client] —> [EFW : public IP EFW : Portforward 1723/GRE ] —> [Green] —> [Server 1 PPTP]
[public PPTP-Client] —> [EFW : public IP Server 2 : IP-Mapping ] —> [Green/Orange] —> [Server 1 PPTP]

Ich wäre für jeglichen Hinweis sehr dankbar. Vielen Dank im Voraus!