OPNsense Forum

International Forums => German - Deutsch => Topic started by: Andreas on October 13, 2015, 04:53:05 pm

Title: [ERL] IPSEC Kuriosität
Post by: Andreas on October 13, 2015, 04:53:05 pm

Hi
mir fällt auf das meine OPNsense ständig richtung 77.246.118.162 arbeitet... es ist keine Phase programmiert wo das drin steht....

wo kann ich da ncoh nachsehen

Title: Re: IPSEC Kuriosität
Post by: Zeitkind on October 13, 2015, 08:13:23 pm

Der Netzbereich gehört einer Firma, die z.B. VoiceoverIP-Dienste, Kabel-TV u.ä. anbietet. Mal die Clients abgeklappert?

Title: Re: IPSEC Kuriosität
Post by: franco on October 13, 2015, 08:16:54 pm

Andreas, eine IP in Köln... Zufall? ;)

Welches Protokoll bzw. Port?

Title: Re: IPSEC Kuriosität
Post by: Andreas on October 14, 2015, 06:52:06 am

@Zeitkind
aktuell gibt es nur einen openvpn client....
also schliesse ich das aus

@franco
der zufall war mir bewusst, aber ich kann mir nciht erklären warum die ip auftaucht wenn ich zu einer ip im telekom netz eine site-2-site verbindung versuche.
quasi ich initialisiere zu ip1 den vpn tunnel und dann kommt diese ip2 und antwortet auf port 500 bzw. versucht es selber auf port 500 bei mir dann sich anzumelden.

Title: Re: IPSEC Kuriosität
Post by: franco on October 14, 2015, 07:30:49 am

Das klingt nach einer Art Hosted NAT Traversal beim IKE-Protokoll. Der IPsec Tunnel baut sich korrekt auf zu der IP? Ad und Jos sind eher die IPsec Experten hier, ich werde einmal nachfragen.

Title: Re: IPSEC Kuriosität
Post by: Andreas on October 14, 2015, 06:20:59 pm

Hi,
nein bleibt in Phase 1 stecken. Es kommt nicht mal immer zu einer Verbindung zum anderen Gateway (Watchguard Firewall)

Title: Re: IPSEC Kuriosität
Post by: Andreas on October 14, 2015, 06:52:28 pm

defacto ist das immer noch da ... obwohl der andere tunnel von mir deaktiviert wurde

Code: [Select]

Oct 14 18:49:11 charon: 11[ENC] generating INFORMATIONAL_V1 request 2508118446 [ HASH N(DPD) ]
Oct 14 18:49:11 charon: 11[IKE] sending DPD request
Oct 14 18:49:11 charon: 11[IKE] <con1|10319> sending DPD request
Oct 14 18:49:11 charon: 11[NET] sending packet: from xx.xx.xx.xx[500] to 77.246.118.162[500] (40 bytes)
Oct 14 18:49:11 charon: 11[ENC] generating INFORMATIONAL_V1 request 648048033 [ N(NO_PROP) ]
Oct 14 18:49:11 charon: 11[IKE] no IKE config found for xx.xx.xx.xx...77.246.118.162, sending NO_PROPOSAL_CHOSEN
Oct 14 18:49:11 charon: 11[IKE] <10323> no IKE config found for xx.xx.xx.xx...77.246.118.162, sending NO_PROPOSAL_CHOSEN
Oct 14 18:49:11 charon: 11[ENC] parsed ID_PROT request 0 [ SA V V ]
Oct 14 18:49:11 charon: 11[NET] received packet: from 77.246.118.162[500] to xx.xx.xx.xx[500] (132 bytes)


Title: Re: IPSEC Kuriosität
Post by: franco on October 14, 2015, 07:23:02 pm

Hat die Watchguard ein Dual-WAN?

Title: Re: IPSEC Kuriosität
Post by: Andreas on October 14, 2015, 08:26:14 pm

Nein,
die IP hat weder was mit mir noch mit der andere Firewall zu tun

Title: Re: IPSEC Kuriosität
Post by: franco on October 14, 2015, 10:18:59 pm

Dann nehmen wir das doch mal auseinander...

Code: [Select]

Starting Nmap 6.00 ( http://nmap.org ) at 2015-10-14 23:16 EEST
NSE: Loaded 17 scripts for scanning.
Initiating Ping Scan at 23:16
Scanning 77.246.118.162 [4 ports]
Completed Ping Scan at 23:16, 0.05s elapsed (1 total hosts)
Initiating SYN Stealth Scan at 23:16
Scanning 77.246.118.162 [100 ports]
Discovered open port 443/tcp on 77.246.118.162
Discovered open port 22/tcp on 77.246.118.162
Completed SYN Stealth Scan at 23:16, 2.05s elapsed (100 total ports)
Initiating Service scan at 23:16
Scanning 2 services on 77.246.118.162
Completed Service scan at 23:16, 12.14s elapsed (2 services on 1 host)
Initiating OS detection (try #1) against 77.246.118.162
Initiating Traceroute at 23:16
Completed Traceroute at 23:16, 0.06s elapsed
NSE: Script scanning 77.246.118.162.

[+] Nmap scan report for 77.246.118.162
Host is up (0.013s latency).
Not shown: 98 filtered ports

PORT    STATE SERVICE  VERSION
22/tcp  open  ssh      OpenSSH 3.6.1p1 (protocol 1.99)
443/tcp open  ssl/http lighttpd 1.4.23

Device type: general purpose
Running: Microsoft Windows XP
OS CPE: cpe:/o:microsoft:windows_xp::sp3
OS details: Microsoft Windows XP SP3
Network Distance: 9 hops
TCP Sequence Prediction: Difficulty=265 (Good luck!)
IP ID Sequence Generation: Randomized


TRACEROUTE (using port 443/tcp)
HOP RTT      ADDRESS
1   0.45 ms  router2-lon.linode.com (212.111.33.230)
2   1.29 ms  212.111.33.237
3   0.83 ms  xe-9-0-2.edge3.London1.Level3.net (212.113.15.169)
4   53.49 ms ae-230-3606.edge4.Amsterdam1.Level3.net (4.69.162.197)
5   8.52 ms  gblx-level3-ae.amsterdam1.Level3.net (4.68.110.198)
6   12.89 ms po7-10G.ar2.FRA4.gblx.net (67.16.147.82)
7   14.28 ms 208.51.86.130
8   15.43 ms ffm1sw11.net.tripleplugandplay.com (77.246.117.130)
9   12.98 ms 77.246.118.162

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 17.36 seconds
           Raw packets sent: 263 (14.164KB) | Rcvd: 47 (2.791KB)
https://77.246.118.162/

https://77.246.118.162/favicon.ico <-- aha ;)

Code: [Select]

   Domain Name: TRIPLEPLUGANDPLAY.COM
   Registrar: MESH DIGITAL LIMITED
   Sponsoring Registrar IANA ID: 1390
   Whois Server: whois.meshdigital.com
   Referral URL: http://www.meshdigital.com
   Name Server: LVPS46-163-117-26.DEDICATED.HOSTEUROPE.DE
   Name Server: NS2.HANS.HOSTEUROPE.DE
   Status: ok http://www.icann.org/epp#OK
   Updated Date: 10-may-2015
   Creation Date: 09-jun-2006
   Expiration Date: 09-jun-2016
http://www.bloomberg.com/research/stocks/private/snapshot.asp?privcapid=23248102

Title: Re: IPSEC Kuriosität
Post by: franco on October 14, 2015, 10:28:10 pm

Sieht aus wie eine Uralt-pfSense, Erstausstellung des Zertifikats im März 2006, interessanterweise *bevor* die pfSense Version 1.0 herauskam.

Title: Re: IPSEC Kuriosität
Post by: Andreas on October 15, 2015, 09:32:24 am

wow :-) danke fürs rausfinden
block sie jetzt einfach direkt in der firewall....

Title: Re: IPSEC Kuriosität
Post by: Andreas on October 15, 2015, 01:16:26 pm

die kommt trotz rule (block) immer noch durch...
die block rule ist die oberste regel für dieses interface und dennoch hagelt es immer wieder die einträge

Oct 15 13:12:06    charon: 16[ENC] generating INFORMATIONAL_V1 request 2036165484 [ HASH N(DPD) ]
Oct 15 13:12:06    charon: 16[IKE] sending DPD request
Oct 15 13:12:06    charon: 16[IKE] <con1|16204> sending DPD request
Oct 15 13:12:05    charon: 10[NET] sending packet: from XX.XX.XX.XX[500] to 77.246.118.162[500] (40 bytes)
Oct 15 13:12:05    charon: 10[ENC] generating INFORMATIONAL_V1 request 595662859 [ N(NO_PROP) ]
Oct 15 13:12:05    charon: 10[IKE] no IKE config found for XX.XX.XX.XX...77.246.118.162, sending NO_PROPOSAL_CHOSEN
Oct 15 13:12:05    charon: 10[IKE] <16267> no IKE config found for XX.XX.XX.XX...77.246.118.162, sending NO_PROPOSAL_CHOSEN
Oct 15 13:12:05    charon: 10[ENC] parsed ID_PROT request 0 [ SA V V ]
Oct 15 13:12:05    charon: 10[NET] received packet: from XX.XX.XX.XX[500] to xx.xx.xx.xx[500] (132 bytes)

Title: Re: IPSEC Kuriosität
Post by: franco on October 15, 2015, 10:12:12 pm

Wenn IPsec an ist, wird natürlich automatisch dafür gesorgt, dass man sich nicht aussperren kann (speziell IKE auf 500). Hmmm, ich bin mir nicht sicher wie man das eine mit dem anderen verbinden könnte. Ideen?