Gelöst Firewall blockiert in zufälligen(?) Abständen

Dieses Thema im Forum "Bintec" wurde erstellt von laird_dave, 15. Januar 2021.

  1. laird_dave

    laird_dave Starter

    Registriert seit:
    15. Januar 2021
    Beiträge:
    7
    Punkte für Erfolge:
    1
    Hallo zusammen,

    ich bin unfreiwillig in die Rolle des Netzwerkadmins in meinem THW-Ortsverband gerutscht. Netzwerkgrundlagen und Know-How mit anderen Geräten ist so weit vorhanden aber die Bintec-Elmeg be.IP Plus, die der OV einsetzt, stellt mich vor einige Rätsel.

    Ich habe es mit Hilfe des Internets geschafft, 3 VLANs aufzubauen mit DHCP und DNS über die be.IP. Die 3 VLANs sollen keinen Kontakt miteinander haben, also habe ich den jeweiligen Zugriff ins andere VLAN per Firewall in der be.IP unterbunden.

    Jetzt kommt es allerdings zu folgendem Fehlerbild:

    - ich verbinde mich per WLAN (Ubiquiti-AP über Managed Switch) ODER LAN am Switch ODER LAN direkt an der be.IP
    - ich erhalte per DHCP eine IP und die nötigen GW- und sonstigen Informationen
    - ich kann 1-5 Minuten surfen, ping ins Internet tut, ping zur be.IP tut
    - plötzlich hakt es beim Surfen, ping ins Internet hat Timeouts, ping zur be.IP wirft "packet filtered"
    - wenn ich jetzt meine IP zurückgebe und wieder neu beim DHCP anfordere (Linux: dhclient -r $interface; dhclient $interface / Windows: ipconfig /renew) erhalte ich *die selbe IP nochmal*, danach funktioniert es wieder für 1-5 Minuten, bis das Problem wieder auftritt.

    Der Fehler ist konsequent reproduzierbar und ich verstehe nicht, was da los ist.

    Die Firewall-Config ist minimal:
    - Erlaube Zugriff aus VLAN 1 auf LAN_LOCAL (any)
    - Erlaube Zugriff aus VLAN1 auf WAN (Internetdienste)
    - Erlaube Zugriff aus VLAN 2 auf LAN-LOCAL (any)
    - Erlaube Zugriff aus VLAN2 auf WAN (any)
    - Erlaube Zugriff aus VLAN3 auf LAN_LOCAL (dns,dhcp)
    - Erlaube Zugriff aus VLAN3 auf WAN (Internetdienste)
    - Blockiere alles andere

    Testweise habe ich noch eine weitere Regel "Erlaube LAN_LOCAL zu LAN_LOCAL (any)" eingefügt, weil ich mit meinem Latein am Ende war. Dafür habe ich noch nicht ausreichend Testdaten, es sah aber nicht so arg überzeugend aus als ich heimgegangen bin.

    Weiß jemand von euch, was da los sein könnte? Firmwareversion ist die aktuellste, habe ich heute nochmal hochgezogen, ist jetzt die Version aus 12/2020.

    Ich bin für jegliche Hilfe dankbar.
     
  2. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    629
    Punkte für Erfolge:
    18
    Ist der WLAN - Controller in der be.IP plus aktiviert? Dann lege mal für jedes VLAN eine SSID an und ordne diese dem Slave-AP der be.IP plus zu. Die SSID kann offline gesetzt werden, muss aber vorhanden sein.
     
  3. laird_dave

    laird_dave Starter

    Registriert seit:
    15. Januar 2021
    Beiträge:
    7
    Punkte für Erfolge:
    1
    Der WLAN-Controller ist deaktiviert, da wir die SSIDs mit einem Ubiquiti CloudKey verwalten. Dementsprechend sind alle WLAN-Funktionen der be.IP plus ausgeschaltet.
     
  4. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    629
    Punkte für Erfolge:
    18
    Dann habe ich keine Idee, denn in meinem System habe ich keine Probleme mit der Nutzung von VLAN.
     
  5. laird_dave

    laird_dave Starter

    Registriert seit:
    15. Januar 2021
    Beiträge:
    7
    Punkte für Erfolge:
    1
    Schade aber verständlich.

    Ich tippe im Moment auf einen Bug oder ein HW-Problem, die Tatsache, dass ich kein Experte für diese Geräte bin, macht mir aber das Debugging sehr schwer. Hast Du einen Tipp für mich, wo ich relevante Logs finde? Ich kann mit Linux-Syslogs gut umgehen würde ich behaupten, irgendwas in einem ähnlichen Format und per grep durchsuchbar wäre also enorm hilfreich.

    Ich habe gesehen, dass ich von der "normalen" Weboberfläche zu einer SNMP(?)-Oberfläche wechseln kann, würde ich das da finden?
     
  6. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    629
    Punkte für Erfolge:
    18
    Über die Externe Berichterstattung -> Systemprotokoll kann man auf Debuglevel ein vollständiges Syslog an einen Syslog - Server schicken.
     
  7. laird_dave

    laird_dave Starter

    Registriert seit:
    15. Januar 2021
    Beiträge:
    7
    Punkte für Erfolge:
    1
    Danke für den Hinweis. Ich sehe mal, ob ich sowas in akzeptabler Zeit aufgesetzt kriege.
     
  8. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.536
    Punkte für Erfolge:
    160
    Hi,

    du könntest auch die Konfiguration der be.ip posten: Wie sind die VLANs aufgesetzt, wie sehen die konkreten Ausprägungen der Firewallregeln aus, passiert das in einem bestimmten VLAN oder in allen, verliert das Geräte auch den Zugriff auf die lokalen Ports, welchen Internet-Zugang hat die be.ip (Modem / Kabelrouter...), passiert der Berechtigungsverlust auch direkt an der be.ip, wenn sonst keine Geräte angeschlossen sind (VLAN-fähiger Switch und AP).

    VG
     
  9. laird_dave

    laird_dave Starter

    Registriert seit:
    15. Januar 2021
    Beiträge:
    7
    Punkte für Erfolge:
    1
    Danke.

    Beobachten konnte ich das bislang in VLAN1, VLAN2 und VLAN3 scheinen nicht betroffen zu sein.

    Die be.IP hängt als VDSL-Endpunkt am Telefonkabel.

    Wenn die FW sagt "stop" dann kann ich mit anderen Geräten im selben Subnet weiterhin kommunizieren, mit der be.IP aber natürlich nicht mehr.

    Komplette Trennung aller anderen Geräte habe ich - glaube ich - nicht ausprobiert, das Thema geht schon eine ganze Weile so und dank Pandemie komme ich nicht zwingend vor Ort, um da rumzubasteln.

    Ich habe so ein Config-File exportiert. Kann ich das gefahrlos posten oder muss ich das vorher bereinigen, weil z.B. Passwörter oder so im Klartext drinstehen?
     
  10. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.536
    Punkte für Erfolge:
    160
    Hi,

    also das hört sich für mich nach einem Konfigurationsproblem an - bei den Firewall-Regeln, aber, viel wahrscheinlicher, bei den VLANs. Irgendwo, also in der be.ip oder dem Switch oder dem AP.
    Das ist kein menschenlesbares Textfile. Wenn doch, dann durchsuche es sicherheitshalber nach den Passwörtern, die du benutzt hast, und poste es hier.

    Ansonsten bleibt dir nur, die Konfigurationsdialoge der be.ip, des Switches und des APs zu posten. Fange mal mit der VLAN-, DHCP- und Bridge-Konfiguration der be.ip an...Ein Bild mit der Netzwerk- und VLAN-Konfiguration über alle Geräte hilft auch.

    VG
     
  11. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.536
    Punkte für Erfolge:
    160
    Hi,

    hast du Geräte mit fester IP-Adresse im Netzwerk? Diese IP-Adressen müssen außerhalb des DHCP-Bereiches des Netzwerkes liegen.

    VG
     
  12. laird_dave

    laird_dave Starter

    Registriert seit:
    15. Januar 2021
    Beiträge:
    7
    Punkte für Erfolge:
    1
    Moin,

    danke für die Hilfsbereitschaft!

    An der Hardware konnte ich noch nichts machen (Schließberechtigungen für den Serverraum fehlen noch...) aber ich hab ne bereinigte Version des .cf-Files erstellt. Vielleicht hat ja der eine oder die andere noch eine Idee.
     

    Anhänge:

  13. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.536
    Punkte für Erfolge:
    160
    Hi,

    sorry, das zu "lesen" tue selbst ich mir nicht an:eek:.

    Bis du meine Anregungen aufnimmst und dazu die Konfiguration näher / besser beschreibst, kann ich nichts mehr für dich tun.
    Hoffentlich.

    VG
     
  14. laird_dave

    laird_dave Starter

    Registriert seit:
    15. Januar 2021
    Beiträge:
    7
    Punkte für Erfolge:
    1
    Moin,

    danke nochmal für all euren Input. Nachdem ich meine pcaps nochmal Schritt für Schritt durchgegangen bin kam heute der Durchbruch. Entgegen der Doku war ein weiteres Gerät mit einer static IP identisch zu der der be.IP plus im Subnetz unterwegs. Nachdem ich auf dieses Gerät keinen Zugriff habe, habe ich die be.IP zu einer anderen IP migriert und seitdem das Problem nicht mehr beobachtet.

    Wenn ich nicht heute Stück für Stück ARP und DHCP-Traffic angeschaut hätte, dann wäre ich da wohl nie drauf gekommen.

    Ich markiere das Thema mal als gelöst, auch wenns kein be.IP Problem war.