Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 6305 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strange IP 10.118.192.1 in firewall network usage logs

effendi
Hi folks,

recently I observed some strange log entries in the firewall usage logs:

there seems to be traffic from a client 10.118.192.1 proto udp service bootpc

I also can ping this ip 10.118.192.1 from INSIDE our network but not from outside. (the outside behaviour ist what I had expected...)

So, I guess it's some Sophos VPN stuff, but I would rather know it exactly...

Can someone explain/clarify this?


This thread was automatically locked due to age.
  • 0
    This should display if the IP is on the UTM itself, false positives are possible: # ifconfig | grep -C 3 10.118.192.1

    Otherwise determine what is doing the routing and ping from there or from the same layer-2 network as the target. Use the MAC address from the ARP table to find track down the edge switch port (managed switches) or in your MAC address containing IT asset inventory.
  • 0
    What does traceroute show?

    Barry
  • 0
    Traceroute is not showing anything but it's still pinagble as you can see below (done from the firewall itself)

    traceroute to 10.118.192.1 (10.118.192.1), 30 hops max, 40 byte packets using UDP
     1  * * *
     2  * * *
     3  * * *
     4  * * *
     5  * * *
     6  * * *
     7  * * *
     8  * * *
     9  * * *
    10  * * *
    11  * * *
    12  * * *
    13  * * *
    14  * * *
    15  * * *
    16  * * *
    17  * * *
    18  * * *
    19  * * *
    20  * * *
    21  * * *
    22  * * *
    23  * * *
    24  * * *
    25  * * *
    26  * * *
    27  * * *
    28  * * *
    29  * * *
    30  * * *
    root # ping 10.118.192.1
    PING 10.118.192.1 (10.118.192.1) 56(84) bytes of data.
    64 bytes from 10.118.192.1: icmp_seq=1 ttl=64 time=10.9 ms
    64 bytes from 10.118.192.1: icmp_seq=2 ttl=64 time=11.7 ms
    64 bytes from 10.118.192.1: icmp_seq=3 ttl=64 time=18.3 ms

    ifconfig | grep -C 3 10.118.192.1 doesn't show anything...

    There is no other router in the network than UTM itself (AFAIK)

    Traceroute from client shows firewall as first hop, second hop ist 10.118.192.1 then...
  • 0
    Funny thing is: you can ping this ip 10.118.192.1 probably from behind every UTM firewall... Tried 3 different installations...
  • 0
    not in my environment... 


    H:\>ping 10.118.192.1

    Ping wird ausgeführt für 10.118.192.1 mit 32 Bytes Daten:
    Zeitüberschreitung der Anforderung.
    Zeitüberschreitung der Anforderung.
    Zeitüberschreitung der Anforderung.
    Zeitüberschreitung der Anforderung.

    Ping-Statistik für 10.118.192.1:
        Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
        (100% Verlust),

    H:\>





     loginuser@vpn:/home/login > su - root
    Password:
     vpn:/root # ping 10.118.192.1
    PING 10.118.192.1 (10.118.192.1) 56(84) bytes of data.
    ^C
    --- 10.118.192.1 ping statistics ---
    20 packets transmitted, 0 received, 100% packet loss, time 19144ms

  • 0
    UPDATE: The systems I could confirm the behaviour do have the following in common:

    - external Interface is KabelBW

    I have 2 virtual systems and one appliance that show this behaviour.
  • 0
    My ISP also have a 192.168.100.1, which they route internally, I have a IP 2.109.234.*** on WAN, but I can still get the internal interface of the Netgear modem that the ISP installed at that address. Could it be that, can you access something on port 80, maybe try port scan, what MAC address does your ARP table show, so you can look up the vendor?
  • 0
    The weird thing is I can't get any arp information on that ip...
  • 0
    Is it a home?

    Could you try to seperate your internet (disconnect some or all devices, switches), and see if it comes from either the Internet or LAN.

    have you enabled traceroute through the UTM?
  • 0
    Ok, now it's getting clearer. Directly connected to my KabelBW Modem/Router I get the same behaviour. So it seems not really related to Sophos UTM. However I'd like to know what this is used for...