Beantwoord

Poort forwarding werkt niet op de de Experiabox V10A

  • 17 augustus 2018
  • 12 reacties
  • 1586 keer bekeken

Ik begrijp dat DMZ geen voorkeur heeft om toegang te verlenen vanuit het internet. Echter, het blijkt dat de Experiabox V10A de L2PT/IPSec VPN poorten 500, 1701 en 4500 niet forward. Alleen als ik de VPN server in de DMZ plaats worden de poorten doorgelaten. Dit heb ik gechecked met de wireshark netwerk sniffer.

Ik heb VPN nodig om collega’s remote toegang te geven tot services die in dat land niet toegankelijk zijn, maar kan het niet veroorloven om weer in quarantaine geplaatst te worden.

Wat adviseren jullie?
icon

Beste antwoord door RobinFlikkema 17 augustus 2018, 17:15

Dit is een hele mooie. Ik vermoed dat dit komt omdat de V10a eigenlijk een eigen L2TP/IPSec kan draaien (of de L2TP config is niet helemaal 100%)



Heb je eventueel nog screenshots/pcaps van de wireshark trace? Dit was niet een probleem met ESP wat "niet te forwarden" is? Maar met DMZ wel doorgelaten wordt?



Verder, quarantaine zal niet direct bij DMZ gebeuren, mits het apparaat er achter geen onveilige services draait. L2TP/IPSec met goede beveiliging is dus geen probleem, mits andere services op dat apparaat maar niet te bereiken zijn. Natuurlijk zou een forwarding beter zijn, maar als blijkt dat dat simpelweg niet kan...

@Dennis ABD, zeg ik dit zo goed?



Robin
Bekijk origineel

12 reacties

Reputatie 7
Badge +30
Dit is een hele mooie. Ik vermoed dat dit komt omdat de V10a eigenlijk een eigen L2TP/IPSec kan draaien (of de L2TP config is niet helemaal 100%)

Heb je eventueel nog screenshots/pcaps van de wireshark trace? Dit was niet een probleem met ESP wat "niet te forwarden" is? Maar met DMZ wel doorgelaten wordt?

Verder, quarantaine zal niet direct bij DMZ gebeuren, mits het apparaat er achter geen onveilige services draait. L2TP/IPSec met goede beveiliging is dus geen probleem, mits andere services op dat apparaat maar niet te bereiken zijn. Natuurlijk zou een forwarding beter zijn, maar als blijkt dat dat simpelweg niet kan...
@Dennis ABD, zeg ik dit zo goed?

Robin
Reputatie 7
Badge +7
Klopt helemaal! DMZ kan gebruikt worden, maar zorg voor goeie firewalling op het device er achter. Er zijn een hoop UDP diensten welke graag voor DDoS aanvallen gebruikt worden (DNS, SNMP, Netbios, NTP, enz). Als wij die open vinden gaan we over tot afsluiten. Is dat niet het geval is DMZ geen probleem.

Als ik het zo lees klinkt de aanname van @RobinFlikkema correct. Dat de poort niet doorgezet word omdat de dienst al aan boord van de EB zit. Ditzelfde gebeurt met SIP, als ik mij niet vergis (5060 TCP/UDP).
Reputatie 7
Badge +30
Klopt helemaal! (...)
Ditzelfde gebeurt met SIP, als ik mij niet vergis (5060 TCP/UDP).
Top! En nee, als het goed is niet. KPN SIP gaat namelijk over een ander VLAN dan internet, maar ik heb op dit moment hier geen uitgebreide ervaring mee om iets nuttigs hierover te kunnen zeggen
Grrr &^%$#

Vandaag weer door KPN in quarantaine gezet zonder enige aankondiging/overleg. Hoe enorm klantonvriendelijk kan een bedrijf zijn! Doordat processen bij KPN strak ingeregeld worden voelt niemand zich meer verantwoordelijk voor het resultaat van die processen. Echt belachelijk!

Doordat de EXPERIABOX V10A vol bugs zit heb ik problemen met de dienstverlening van mijn bedrijf www.avunet.com. Nog veel vervelender is dat ik ook geen contact meer heb met mijn dochter van 19 via VPN vanuit China. De V10 zou deze problemen niet hebben maar KPN weigert deze te leveren. Voor de overname van OnsBrabantNet door KPN hadden wij nooit problemen. Wij hebben het contract met KPN opgezegd en wachten nu op aansluiting van xs4all (ook kpn helaas)
Reputatie 7
Badge +7
@Dax1900 MDNS (UDP 5353) stond wederom open, dit was de reden voor het wederom afsluiten van de verbinding, daar MDNS actief voor DDoS word gebruikt. Daarnaast is er geen reden dit open te hebben naar het internet. Het lijkt hier om DMZ of UPNP naar een Synology te gaan.

Gedeelte van de scan die ik zojuist gedaan heb:

PORT STATE SERVICE VERSION
5353/udp open mdns DNS-based service discovery
| dns-service-discovery:
| 445/tcp smb
| Address=192.168.2.10
| 5020/tcp http
| vendor=Synology

DMZ kan je gebruiken maar dan moeten er wel gebruik gemaakt worden van een goed geconfigureerde firewall op het device.
Zie bijgevoegde configuratie van de firewall op mijn synology:



Alleen UDP poorten 500, 1701 en 4500 zouden open moeten staan voor alle inkomende ip adressen.

Verder heb ik de bescherming tegen Ddos aanvallen aangezet:



Zou je het nu nog eens kunnen testen?

Mvg,
Dax1900
Reputatie 7
Badge +7
Tuurlijk:

Scanned at 2018-08-23 14:00:32 CEST for 5s
PORT STATE SERVICE VERSION
5353/udp open mdns DNS-based service discovery

Een NAS denkt dat ie op een intern netwerk staat en daar word de firewall filtering ook op gebasseerd, met dit als gevolg. Wij zien vaak hetzelfde gebeuren met Windows servers welke in DMZ geplaatst worden. Ik ben ook even een volledige portscan aan het draaien en je zal zien dat er veel meer open staat dan enkel wat je in je firewall ziet. Ik heb hierbij een standaard NMAP TCP scan gebruikt, dus enkel de 1000 meest gebruikte poorten worden dan gescanned.

Scanned at 2018-08-23 14:02:19 CEST for 343s
Not shown: 985 closed ports
PORT STATE SERVICE VERSION
25/tcp open smtp Postfix smtpd
80/tcp open http Werkzeug httpd 0.9.6 (Python 2.7.9)
111/tcp open rpcbind 2-4 (RPC #100000)
139/tcp open netbios-ssn Samba smbd 3.X (workgroup: FILMSTATION)
443/tcp open http nginx
445/tcp open netbios-ssn Samba smbd 3.X (workgroup: FILMSTATION)
465/tcp open ssl/smtp Postfix smtpd
993/tcp open ssl/imap Dovecot imapd
2049/tcp open nfs 2-3 (RPC #100003)
5900/tcp open http nginx
9000/tcp open cslistener?
9001/tcp open tor-orport?
49160/tcp open upnp Portable SDK for UPnP devices 1.6.21 (Linux 3.2.40; UPnP 1.0)
50001/tcp open upnp Portable SDK for UPnP devices 1.6.21 (Linux 3.2.40; UPnP 1.0)
50002/tcp open http lighttpd 1.4.43
Reputatie 7
Badge +7
Aanvullend, Netbios (UDP 137) staat ook open. Dit is ook een reden voor plaatsing in quarantaine. Ook hier betreft het de NAS. Een goeie site om dit te testen: https://w3dt.net/tools/netbios

SNMP, UPNP en NTP heb ik ook even getest maar daar krijg ik geen reactie.
Dank je Dennis! Ik heb nu de regels specifiek op de LAN interface aangemaakt. Volgens mij moet het nu goed staan.
Reputatie 7
Badge +7
Dat ziet er al een stuk beter uit! Dit is nu het enige wat ik tegenkom. MDNS en Netbios staan nu ook dicht.

Not shown: 998 filtered ports
PORT STATE SERVICE VERSION
80/tcp open http Werkzeug httpd 0.9.6 (Python 2.7.9)
993/tcp open ssl/imap Dovecot imapd

Wel zou ik je httpd en Python versie nog even verbergen. Het is niet een heel groot probleem maar waarom meer informatie vrij geven dan nodig is 🙂
Yess! Mooi dat het nu eindelijk beter gaat.

Hoe kun je de httpd en python versies verbergen?
Reputatie 7
Badge +7
Das lang geleden, dat zou ik ook moeten Googlen. Heb al heel erg lang niet meer aan mijn server gezeten 🙂

Reageer