Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 28 replies
  • Subscribers 1 subscriber
  • Views 21079 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

US Dept of Defense integrated into L2TP VPN?

SalishSwede
My carrier, Sprint is using legacy DoD addresses for cell phone connections but there appears to be something wrong with the VPN functionality... see posts later in this thread.

I'm connecting my smartphone to my local home net using L2TP via the Sophos UTM.

I'm reviewing the firewall logs and notice traffic on port 443 being blocked between two addresses:  
Source:

21.194.27.36  Dept of Defense

Dest:

50.115.125.93   [URL="http://mxtoolbox.com/SuperTool.aspx?action=ptr%3a50.115.125.93&run=toolpage#"]50.115.125.93.static.westdc.net  ??
[/URL]

              69.171.245.49   Facebook

Here's what I can find on the source:
[SIZE=2]Location[/SIZE]                     [SIZE=2]  UNITED STATES, OHIO, COLUMBUS[/SIZE]                                                       [SIZE=2]Latitude, Longitude[/SIZE]                     [SIZE=2]39.96638, -83.01277 (39°57'59"S   -83°0'46"E)[/SIZE]                                                       [SIZE=2]Connection through[/SIZE]                     [SIZE=2]DOD NETWORK INFORMATION CENTER[/SIZE]                                                       [SIZE=2]Local Time[/SIZE]                     [SIZE=2]04 Dec, 2013 05:17 PM (UTC -05:00)[/SIZE]                                                       [SIZE=2]Domain[/SIZE]                     [SIZE=2]NIC.MIL[/SIZE]
Here are a couple of lines from the logs:

[FONT=monospace]14:08:16 Packet filter rule #6 L2TP 21.194.27.36 : 39669 → 50.115.125.93 : 443 [RST] len=40 ttl=63 tos=0x00 srcmac=0:0:2f[:D]2:32:f7
[/FONT]
[FONT=monospace]14:08:19 Packet filter rule #6 L2TP 21.194.27.36 : 39669 → 50.115.125.93 : 443 [RST] len=40 ttl=63 tos=0x00 srcmac=0:0:2f[:D]2:32:f7
[/FONT]
[FONT=monospace]14:08:19 Packet filter rule #6 L2TP 21.194.27.36 : 38247 → 69.171.245.49 : 443 [ACK PSH] len=130 ttl=63 tos=0x00 srcmac=0:0:2f[:D]2:32:f7
[/FONT]
[FONT=monospace]14:08:26 Packet filter rule #6 L2TP 21.194.27.36 : 39669 → 50.115.125.93 : 443 [RST] len=40 ttl=63 tos=0x00 srcmac=0:0:2f[:D]2:32:f7
[/FONT]
 
Note the L2TP is the traffic being parsed. 

Could I get some fresh eyes on this?

Thanks,

Doug


This thread was automatically locked due to age.
Parents
  • 0
    The questions I'd ask are.

    1) What is the public IP address of your phone? I could care less what the exact IP is, more does it match to the suspected DoD IP block? In the case of the CG NAT'd systems, the phone's public IP was a DoD address.

    2) Do you facebook from your phone?

    On the surface of it, my immediate thought is that if your Cell Provider's network uses a DoD address, it's not outside the realm of posibility that your phone L2TP client is trying reach facebook and the like over the L2TP connection but the UTM doesn't like that so is rejecting the traffic.
Reply
  • 0
    The questions I'd ask are.

    1) What is the public IP address of your phone? I could care less what the exact IP is, more does it match to the suspected DoD IP block? In the case of the CG NAT'd systems, the phone's public IP was a DoD address.

    2) Do you facebook from your phone?

    On the surface of it, my immediate thought is that if your Cell Provider's network uses a DoD address, it's not outside the realm of posibility that your phone L2TP client is trying reach facebook and the like over the L2TP connection but the UTM doesn't like that so is rejecting the traffic.
Children
  • 0 in reply to TheDrew
    I thought I had checked this as a first step.  I think I noticed the encapsulated ip address but overlooked the underlying network addr.

    Looking at ip setup... wow.  Ok, here are the listed interfaces before vpn connection.

    State 1 of 3 WiFi ON:
    1. lo
    2. dummy0   state down
    3. rmnet0 <> state down
    4. rmnet1 <> state down
    5. rmnet2 <> state down
    6. rmnet3 <> state down
    7. rmnet4 <> state down
    8. rmnet5 <> state down
    9. rmnet6 <> state down
    10. rmnet7 <> state down
    11. rev_rmnet0 ... state down...10. rmnet7 <> state down
    12. rev_rmnet1 ... state down...10. rmnet7 <> state down
    13. rev_rmnet2 ... state down...10. rmnet7 <> state down
    14. rev_rmnet3 ... state down...10. rmnet7 <> state down
    15. rev_rmnet4 ... state down...10. rmnet7 <> state down
    16. rev_rmnet5 ... state down...10. rmnet7 <> state down
    17. rev_rmnet6 ... state down...10. rmnet7 <> state down
    18. rev_rmnet7 ... state down...10. rmnet7 <> state down
    19. rev_rmnet8 ... state down...10. rmnet7 <> state down
    20 sit0  state down
    23 p2p0  mtu 1500 state DORMANT link 5e:0a:5b:4e:49[:D]9 inet6 [a valid ip6 address]...
    24. wlan0 ... state up... [my local 10.x.y.z address]


    State 2 of 3:  WiFi off no VPN

    1. lo ... state UNKNOWN...
    2. dummy0   state down
    3. rmnet0  ...state UNKNOWN... inet 21.197.35.144/30
    This is a legacy DoD address and the same class A my logs were throwing earlier that caused me indigestion.
    5. rmnet2 <> state down
    6. rmnet3 <> state down
    7. rmnet4 <> state down
    8. rmnet5 <> state down
    9. rmnet6 <> state down
    10. rmnet7 <> state down
    11. rev_rmnet0 ... state down...10. rmnet7 <> state down
    12. rev_rmnet1 ... state down...10. rmnet7 <> state down
    13. rev_rmnet2 ... state down...10. rmnet7 <> state down
    14. rev_rmnet3 ... state down...10. rmnet7 <> state down
    15. rev_rmnet4 ... state down...10. rmnet7 <> state down
    16. rev_rmnet5 ... state down...10. rmnet7 <> state down
    17. rev_rmnet6 ... state down...10. rmnet7 <> state down
    18. rev_rmnet7 ... state down...10. rmnet7 <> state down
    19. rev_rmnet8 ... state down...10. rmnet7 <> state down
    20 sit0  state down



    State 3 of 3:  above but with L2TP VPN enabled
    1. lo ... state UNKNOWN...
    2. dummy0   state down
    3. rmnet0  ...state UNKNOWN... inet 21.197.35.144/30
    4. rmnet2 <> state down
    5. rmnet2 <> state down
    6. rmnet3 <> state down
    7. rmnet4 <> state down
    8. rmnet5 <> state down
    9. rmnet6 <> state down
    10. rmnet7 <> state down
    11. rev_rmnet0 ... state down...10. rmnet7 <> state down
    12. rev_rmnet1 ... state down...10. rmnet7 <> state down
    13. rev_rmnet2 ... state down...10. rmnet7 <> state down
    14. rev_rmnet3 ... state down...10. rmnet7 <> state down
    15. rev_rmnet4 ... state down...10. rmnet7 <> state down
    16. rev_rmnet5 ... state down...10. rmnet7 <> state down
    17. rev_rmnet6 ... state down...10. rmnet7 <> state down
    18. rev_rmnet7 ... state down...10. rmnet7 <> state down
    19. rev_rmnet8 ... state down...10. rmnet7 <> state down
    20. sit0  state down
    25. ppp0  inet 10.242.3.2 This is my vpn pooled address.

    This is embarassing.
    It was just my Sprint cell ip address all along.

    If I can, I'll delete this thread.  ughhh.
  • 0 in reply to SalishSwede
    Thanks for all the input.
    The one detail I'll track down is the curious MAC address.
    I'll update this when I have an answer.
  • 0 in reply to TheDrew
    Bingo!  Thanks.
    Edit: This clarifies the ip address but as my later post points out, this address should not be sending traffic to external addresses like Google or Facebook.  This traffic should have been encapsulated and thus have the vpn ip address.
  • 0 in reply to TheDrew
    1) What is the public IP address of your phone? I could care less what the exact IP is, more does it match to the suspected DoD IP block? 


    Dougga, you can look through your l2tp logs on the UTM to find the phone's previous addresses.
    Edit: Nevermind. I see you found the IP.

    BTW, when posting multiple replies in a row, it's hard to tell which post you're replying to if there's no quote. e.g. "Bingo! Thanks."

    Glad you got it figured out.

    Barry
  • 0 in reply to BarryG
    My head's not adequately wrapping around how a vpn ip address created on my phone and it's associated MAC addresss made it to the UTM.  The UTM shows the DoD/Sprint cell address sending traffic to Facebook and the like.  This shouldn't happen in my understanding of tunnelling. Any traffic going through the tunnel should be using the internal VPN pool address of 10.242.x.y.  

    21.x.y.z (my phone's internet addr)----> UTM External Addr 75.x.y.z 
    10.242.x.y (L2TP Tunnel Addr)     -----> Separate routing rules for L2TP Pool 10.242/16

    How did 21.x.y.z source address get sent to facebook or google public addresses.  This is bypassing the VPN functionality, otherwise the packet filter would show 10.242.x.y as the source address.

    What am I missing?