OPNsense Forum
International Forums => German - Deutsch => Topic started by: Andreas on October 13, 2015, 04:53:05 pm
-
Hi
mir fällt auf das meine OPNsense ständig richtung 77.246.118.162 arbeitet... es ist keine Phase programmiert wo das drin steht....
wo kann ich da ncoh nachsehen
-
Der Netzbereich gehört einer Firma, die z.B. VoiceoverIP-Dienste, Kabel-TV u.ä. anbietet. Mal die Clients abgeklappert?
-
Andreas, eine IP in Köln... Zufall? ;)
Welches Protokoll bzw. Port?
-
@Zeitkind
aktuell gibt es nur einen openvpn client....
also schliesse ich das aus
@franco
der zufall war mir bewusst, aber ich kann mir nciht erklären warum die ip auftaucht wenn ich zu einer ip im telekom netz eine site-2-site verbindung versuche.
quasi ich initialisiere zu ip1 den vpn tunnel und dann kommt diese ip2 und antwortet auf port 500 bzw. versucht es selber auf port 500 bei mir dann sich anzumelden.
-
Das klingt nach einer Art Hosted NAT Traversal beim IKE-Protokoll. Der IPsec Tunnel baut sich korrekt auf zu der IP? Ad und Jos sind eher die IPsec Experten hier, ich werde einmal nachfragen.
-
Hi,
nein bleibt in Phase 1 stecken. Es kommt nicht mal immer zu einer Verbindung zum anderen Gateway (Watchguard Firewall)
-
defacto ist das immer noch da ... obwohl der andere tunnel von mir deaktiviert wurde
Oct 14 18:49:11 charon: 11[ENC] generating INFORMATIONAL_V1 request 2508118446 [ HASH N(DPD) ]
Oct 14 18:49:11 charon: 11[IKE] sending DPD request
Oct 14 18:49:11 charon: 11[IKE] <con1|10319> sending DPD request
Oct 14 18:49:11 charon: 11[NET] sending packet: from xx.xx.xx.xx[500] to 77.246.118.162[500] (40 bytes)
Oct 14 18:49:11 charon: 11[ENC] generating INFORMATIONAL_V1 request 648048033 [ N(NO_PROP) ]
Oct 14 18:49:11 charon: 11[IKE] no IKE config found for xx.xx.xx.xx...77.246.118.162, sending NO_PROPOSAL_CHOSEN
Oct 14 18:49:11 charon: 11[IKE] <10323> no IKE config found for xx.xx.xx.xx...77.246.118.162, sending NO_PROPOSAL_CHOSEN
Oct 14 18:49:11 charon: 11[ENC] parsed ID_PROT request 0 [ SA V V ]
Oct 14 18:49:11 charon: 11[NET] received packet: from 77.246.118.162[500] to xx.xx.xx.xx[500] (132 bytes)
-
Hat die Watchguard ein Dual-WAN?
-
Nein,
die IP hat weder was mit mir noch mit der andere Firewall zu tun
-
Dann nehmen wir das doch mal auseinander...
Starting Nmap 6.00 ( http://nmap.org ) at 2015-10-14 23:16 EEST
NSE: Loaded 17 scripts for scanning.
Initiating Ping Scan at 23:16
Scanning 77.246.118.162 [4 ports]
Completed Ping Scan at 23:16, 0.05s elapsed (1 total hosts)
Initiating SYN Stealth Scan at 23:16
Scanning 77.246.118.162 [100 ports]
Discovered open port 443/tcp on 77.246.118.162
Discovered open port 22/tcp on 77.246.118.162
Completed SYN Stealth Scan at 23:16, 2.05s elapsed (100 total ports)
Initiating Service scan at 23:16
Scanning 2 services on 77.246.118.162
Completed Service scan at 23:16, 12.14s elapsed (2 services on 1 host)
Initiating OS detection (try #1) against 77.246.118.162
Initiating Traceroute at 23:16
Completed Traceroute at 23:16, 0.06s elapsed
NSE: Script scanning 77.246.118.162.
[+] Nmap scan report for 77.246.118.162
Host is up (0.013s latency).
Not shown: 98 filtered ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 3.6.1p1 (protocol 1.99)
443/tcp open ssl/http lighttpd 1.4.23
Device type: general purpose
Running: Microsoft Windows XP
OS CPE: cpe:/o:microsoft:windows_xp::sp3
OS details: Microsoft Windows XP SP3
Network Distance: 9 hops
TCP Sequence Prediction: Difficulty=265 (Good luck!)
IP ID Sequence Generation: Randomized
TRACEROUTE (using port 443/tcp)
HOP RTT ADDRESS
1 0.45 ms router2-lon.linode.com (212.111.33.230)
2 1.29 ms 212.111.33.237
3 0.83 ms xe-9-0-2.edge3.London1.Level3.net (212.113.15.169)
4 53.49 ms ae-230-3606.edge4.Amsterdam1.Level3.net (4.69.162.197)
5 8.52 ms gblx-level3-ae.amsterdam1.Level3.net (4.68.110.198)
6 12.89 ms po7-10G.ar2.FRA4.gblx.net (67.16.147.82)
7 14.28 ms 208.51.86.130
8 15.43 ms ffm1sw11.net.tripleplugandplay.com (77.246.117.130)
9 12.98 ms 77.246.118.162
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 17.36 seconds
Raw packets sent: 263 (14.164KB) | Rcvd: 47 (2.791KB)
https://77.246.118.162/
https://77.246.118.162/favicon.ico <-- aha ;)
Domain Name: TRIPLEPLUGANDPLAY.COM
Registrar: MESH DIGITAL LIMITED
Sponsoring Registrar IANA ID: 1390
Whois Server: whois.meshdigital.com
Referral URL: http://www.meshdigital.com
Name Server: LVPS46-163-117-26.DEDICATED.HOSTEUROPE.DE
Name Server: NS2.HANS.HOSTEUROPE.DE
Status: ok http://www.icann.org/epp#OK
Updated Date: 10-may-2015
Creation Date: 09-jun-2006
Expiration Date: 09-jun-2016
http://www.bloomberg.com/research/stocks/private/snapshot.asp?privcapid=23248102
-
Sieht aus wie eine Uralt-pfSense, Erstausstellung des Zertifikats im März 2006, interessanterweise *bevor* die pfSense Version 1.0 herauskam.
-
wow :-) danke fürs rausfinden
block sie jetzt einfach direkt in der firewall....
-
die kommt trotz rule (block) immer noch durch...
die block rule ist die oberste regel für dieses interface und dennoch hagelt es immer wieder die einträge
Oct 15 13:12:06 charon: 16[ENC] generating INFORMATIONAL_V1 request 2036165484 [ HASH N(DPD) ]
Oct 15 13:12:06 charon: 16[IKE] sending DPD request
Oct 15 13:12:06 charon: 16[IKE] <con1|16204> sending DPD request
Oct 15 13:12:05 charon: 10[NET] sending packet: from XX.XX.XX.XX[500] to 77.246.118.162[500] (40 bytes)
Oct 15 13:12:05 charon: 10[ENC] generating INFORMATIONAL_V1 request 595662859 [ N(NO_PROP) ]
Oct 15 13:12:05 charon: 10[IKE] no IKE config found for XX.XX.XX.XX...77.246.118.162, sending NO_PROPOSAL_CHOSEN
Oct 15 13:12:05 charon: 10[IKE] <16267> no IKE config found for XX.XX.XX.XX...77.246.118.162, sending NO_PROPOSAL_CHOSEN
Oct 15 13:12:05 charon: 10[ENC] parsed ID_PROT request 0 [ SA V V ]
Oct 15 13:12:05 charon: 10[NET] received packet: from XX.XX.XX.XX[500] to xx.xx.xx.xx[500] (132 bytes)
-
Wenn IPsec an ist, wird natürlich automatisch dafür gesorgt, dass man sich nicht aussperren kann (speziell IKE auf 500). Hmmm, ich bin mir nicht sicher wie man das eine mit dem anderen verbinden könnte. Ideen?