Hi zusammen,

Folgendes: in einem Netz mit 4 Lancom AccessPoints, portbasiertem Vlan auf HP Switch und einem 1781A-4G wirft mir die Firewall nur bei WLAN-Clients intern Pakete weg.

Bei der Einrichtung lief alles einwandfrei. Nun berichtet der Kumpel das er mit seinen iPads Probleme hat irgendwas im Netz zu tun, sei es intern oder auch extern.

Die Firewall meldet intern IDS und DoS Attacken und wirft Pakete weg.
Laut FW-Log sind alle Pakete die weggeworfen werden von Clients im WLAN mit gleichem Ziel- und Quellport sowie identischer Ziel- und Quellip.

Sieht dann so aus:
IDS intrusion detection - Quelle 10.1.1.123 Port 16402 - Ziel 10.1.1.123 Port 16402 - Paket verworfen
IDS intrusion detection - Quelle 10.1.1.120 Port 16402 - Ziel 10.1.1.120 Port 16402 - Paket verworfen
IDS intrusion detection - Quelle 10.1.1.101 Port 16402 - Ziel 10.1.1.101 Port 16402 - Paket verworfen
...

Es ist immer Port 16402, welcher zu iMessage vom iPhone/iPad gehört.

Welcher Umstand führt denn dazu das Clients im WLAN mit an sich selber vom ausgehenden Port an den gleichen Port eingehend adressieren wollen??

Eigentlich müssten die Pakete ja von extern kommen, dann würden sie auch durch Routingmodul laufen und ich wüsste zumindest dass da was krumm ist.
Aber intern läuft ja eigentlich nichts durch die Fw?! (Clients sind im gleichen Vlan, also auch kein Intervlanrouting Problem)

Wollte Donnerstag mal nen Wireshark anwerfen, aber vielleicht hat ja jemand ne gute Glaskugel in die er mal nen Blick werfen kann.

Lg

Vielleicht misst er damit die Paketumlaufzeit, um festzustellen ob du deine Netzwerkverbindung gerade auslastest oder ob gerade nichts los ist. Der Port wird laut Google für FaceTime benötigt. Ich könnte mir Vorstellen, dass es die Qualität der Übertragung anhand des ermittelten Wertes ständig neu reguliert. Doch deine Firewall hat wohl keinen Bock auf diese ständigen Pings.

Hab von iPhone/iPad kA, aber das erste, was ich dann mal testen würde, wären andere WLAN-Geräte zu testen, z.B. nen Windows-Laptop.

Dass allerdings iMessage für IPS-Einträge (wenn aufgrund von IDS-Regeln die Kommunikationspartner blockiert werden, ist das eigt. ein Intrusion Prevention System) sorgt, find ich ja irgendwie erheiternd :F. Die Einträge sehen jedenfalls merkwürdig manipuliert aus.

Aber wie gesagt, mit nem Test eines anderen WLAN-Gerätes (vorzugsweise erstmal Nicht-Apple) sollte sich das ja aufklären lassen.

mfg Oli

PS: Wenn Zaji recht hat, müsstest du im IDS entsprechende Regeln anpassen, z.B. deaktivieren des Triggers oder Anpassen der Intervall-Schwelle oder Whitelisten des Ports. Oder alternativ IDS/IPS deaktivieren. Wenn ein IDS/IPS nicht vernünftig konfigurierbar ist, kann ich davon eh nur abraten.
PPS: http://www.lancom-systems.de/fileadmin/download/documentation/Reference_Manual/LCOS-REFMANUAL-900-DE.pdf - Seite 509. Vielleicht einfach mal den Wert hochschrauben (wobei ich mich dann tatsächlich frage, was dieses iMessage oder Facetime da treibt). Nen richtiges Regel basiertes IDS scheint mir die Firewall nicht zu haben. Im Handbuch hab ich so auf die schnelle jedenfalls nichts gefunden.

Besten Dank euch beiden.

Leider war mein erster Gedanke auch die Schuld den IPads zu geben. Das Grundproblem das intern wie extern nichts erreichbar ist ist leider auch von einem Surface Pro 2 wie von einem Android Tab gegeben. Nur das davon nichts im IDS log auftaucht.

IDS und DoS Protection kann man leider im Lancom nicht ausschalten, man kann nur den Filter so einstellen das die Pakete zugestellt werden statt standardmäßig verworfen zu werden :/
Das habe ich schon gemacht. Die Aussage war dann: "dann lief es für 2-3 Stunden als du weg warst, und dann wieder das gleiche Spiel". Blöd ist dass das Problem nicht permanent Auftritt.
Und bei meiner Anwesenheit ist natürlich immer alles in bester Ordnung. Wobei ich ihm schon glaube das da irgendwas nicht stimmt...

Dann ist es möglicherweise ein ganz normales WLAN-Problem (Verbindungsaufbau, Reichweite, Sende-Qualität, etc.).

Das IDS jammert möglicherweise nur, weil dieses WLAN-Problem auch während der Pings auftritt und somit das letzte Paket nicht zugestellt werden kann. Da das Surface kein FaceTime hat, gibt es da entsprechend keine IDS-Meldung.

Beschreib mal das WLAN-Netz. Welche Lancom-APs? Wie sehen die Räumlichkeiten aus? Gab es schon früher Probleme. Und gibt es an jedem AP Probleme oder nur an einem? Ich würde prüfen, ob tatsächlich alle APs laufen. Vielleicht ist einer kaputt oder aus. Sind die Antennen optimal ausgerichtet? Viele Anwender knicken die einfach irgendwohin weg, weil sie im Weg stehen. Und wie sieht die Verkabelung zu den APs aus? Kaputte LAN-Kabel (am AP oder am Switch) bei denen der Halte-Stift abgebrochen ist, rutschen gerne raus. Ich habe die Erfahrung gemacht, dass wenn sie halb drinnen sind, es sporadische Ausfälle geben kann.

Problem scheinbar gefunden.
Im Netz waren zwei B&O BeoPlay A9, konfiguriert mit dynamischer IP.
Wireshark hat gezeigt das es doppelte IP Adressen gab. Die Boxen hatten wie üblich jeweils eine IP vom DHCP bekommen, die auch eindeutig im Netz war. Wireshark meldete aber unter der IP des Domaincontrollers mehrere Mac Adressen, die jeweils den Boxen zuzuordnen waren.
Verstehe wer will, da ich wenn ich die NIC des DCs abgeschaltet habe unter der IP kein Gerät mehr erreichen konnte. Denke da ist in der Firmware der Boxen gewaltig was krum. Stecker raus, seit dem ist Ruhe.

Verstehen tu ich es nicht.

Dennoch danke euch beiden!