Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 2696 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Internal Interface reagiert nicht richtig

Boldmen
Hallo,
eth0 ist das internal LAN 192.168.40.0 ohne VLAN Tag in der UTM 9.1, eth2 ist das VoIP LAN 192.168.44.0 mit VLAN Tag am gleichen Switch. Das VoIP VLAN ist neu erstellt und wird immer nur getagt ausgegeben an den Switchports und kommt auch getagt aus der UTM.

Wenn jetzt länger kein Traffic läuft (2-3h) dann reagiert das Internal Interface komisch: WebAdmin und surfen gehen noch über den Proxy und Port 8080, aber aller Traffic zu den Servern ( eth3) wird geblockt. Wenn ich mich jetzt über WLAN in den Webadmin einlogge und das Internal Interface ab und wieder anschalte läuft sofort alles wieder einwandfrei bis zur nächsten "Pause". Das Problem tritt nie Tags auf, wenn Traffic läuft. Im Firewall log habe ich folgendes gefunden:

2013:11:26-07:58:42 utm ulogd[4743]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" initf="eth2" srcmac="0:18:f3:78:f9:ec[=Mein PC]" dstmac="0:15:17:4a[:D]b:c3" srcip="192.168.40.20[=Mein PC]" dstip="95.100.97.89" proto="6" length="48" tos="0x00" prec="0x00" ttl="128" srcport="50136" dstport="80" tcpflags="SYN"

Wie kann Traffic auf dem VoIP VLAN aus dem LAN 192.168.40.0 als IP Proof erkannt werden?


This thread was automatically locked due to age.
Parents
  • 0
    es ist ein 3650 Cisco, interface vom trunk ist so konfiguriert:

    interface GigabitEthernet0/4
     description TRUNK-Firewall
     switchport trunk encapsulation dot1q
     switchport trunk native vlan 20
     switchport trunk allowed vlan 20,30
     switchport mode trunk
     switchport nonegotiate

    der 2901 Voice Router hängt im VLAN 20. Ich habe das interface mit Ethernet Static (welches vorher problemlos ging) der Einfachheit halber umgestellt auf Ethernet Vlan mit VLAN Tag "20" umgestellt. Als das nicht ging, Hab ich das interface komplett gelöscht, und habs neu angelegt mit Ethernet Vlan.. bei beiden versuchen kam dann "spoofing" im FW log..

    im FW log steht:

    21:51:47 Spoofed packet ICMP
    172.16.110.253    

    172.16.110.254    
    len=100 ttl=255 tos=0x00 srcmac=c8:9c:1d:9f:bf:91 dstmac=0:10:18:18:1:91
    21:51:53 Spoofed packet UDP
    172.16.110.253 : 55804

    217.10.68.150 : 5060
    len=531 ttl=255 tos=0x08 srcmac=c8:9c:1d:9f:bf:91 dstmac=0:10:18:18:1:91

    und der volle Eintrag sieht so aus:

    2013:12:03-21:51:47 mail ulogd[4550]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" initf="eth0" srcmac="c8:9c:1d:9f:bf:91" dstmac="0:10:18:18:1:91" srcip="172.16.110.253" dstip="172.16.110.254" proto="1" length="100" tos="0x00" prec="0x00" ttl="255" type="8" code="0"

    glaub aber ich sehe schon das problem, bzw. habe eine Vermutung.. "initf="eth0" sollte das nicht initf="eth0.20" oder sowas heißen?
Reply
  • 0
    es ist ein 3650 Cisco, interface vom trunk ist so konfiguriert:

    interface GigabitEthernet0/4
     description TRUNK-Firewall
     switchport trunk encapsulation dot1q
     switchport trunk native vlan 20
     switchport trunk allowed vlan 20,30
     switchport mode trunk
     switchport nonegotiate

    der 2901 Voice Router hängt im VLAN 20. Ich habe das interface mit Ethernet Static (welches vorher problemlos ging) der Einfachheit halber umgestellt auf Ethernet Vlan mit VLAN Tag "20" umgestellt. Als das nicht ging, Hab ich das interface komplett gelöscht, und habs neu angelegt mit Ethernet Vlan.. bei beiden versuchen kam dann "spoofing" im FW log..

    im FW log steht:

    21:51:47 Spoofed packet ICMP
    172.16.110.253    

    172.16.110.254    
    len=100 ttl=255 tos=0x00 srcmac=c8:9c:1d:9f:bf:91 dstmac=0:10:18:18:1:91
    21:51:53 Spoofed packet UDP
    172.16.110.253 : 55804

    217.10.68.150 : 5060
    len=531 ttl=255 tos=0x08 srcmac=c8:9c:1d:9f:bf:91 dstmac=0:10:18:18:1:91

    und der volle Eintrag sieht so aus:

    2013:12:03-21:51:47 mail ulogd[4550]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" initf="eth0" srcmac="c8:9c:1d:9f:bf:91" dstmac="0:10:18:18:1:91" srcip="172.16.110.253" dstip="172.16.110.254" proto="1" length="100" tos="0x00" prec="0x00" ttl="255" type="8" code="0"

    glaub aber ich sehe schon das problem, bzw. habe eine Vermutung.. "initf="eth0" sollte das nicht initf="eth0.20" oder sowas heißen?
Children
No Data
Cookie Information Banner