Firewall Drop ICMP 902?

Moderator: Securepoint

Gesperrt
A. Rietz
Beiträge: 116
Registriert: Sa 11.08.2007, 16:27
Wohnort: Velbert / Germany
Kontaktdaten:

Firewall Drop ICMP 902?

Beitrag von A. Rietz »

Hallo Support,

wir haben eine Site2Site IPSec VPN Verbindung aufgebaut, soweit auch erst einmal alles toll.
Nun soll sich unser VMWare vCenter Server über den VPN mit einem ESXi Host verbinden.

Dies scheitert leider mit einem Firewall DROP. Das merkwürdige ist das die Quell Adresse laut der Firewall der Cisco Router der Telekom seien soll als unser Default Gateway der 2. Firewall. Angeblich soll es sich dabei um ICMP Port 902 handeln? Das läuft dann wohl korrekterweise in deinen DROP(default)

Laut VMWare Knowledge Base soll die aber über TCP/UDP 902 laufen?


Ich habe ein wenig das Hide-NAT im verdacht konnte dort aber keinen Fehler feststellen.

Ist in dieser Richtung etwas bekannt?

Grüße
A.Rietz
Some people want it to happen, some wish it would happen, others make it happen.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Ein ICMP Port also... soso. Muss irgendeine mir unbekannte RFC-Erweiterung sein. Die komplette Zeile des Logs könnte helfen.

A. Rietz
Beiträge: 116
Registriert: Sa 11.08.2007, 16:27
Wohnort: Velbert / Germany
Kontaktdaten:

Beitrag von A. Rietz »

Aug 7 16:00:36 195.243.223.50 Firewall DROP kernel: DROP(default) IN=eth2 OUT=eth1 MAC=00:40:48:b2:cc:0d:a4:93:4c:65:88:14:08:00 SRC=195.243.223.49 DST=192.168.150.20 LEN=56 TOS=0x00 PREC=0x00 TTL=254 ID=14473 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.150.20 DST=172.16.6.16 LEN=94 TOS=0x00 PREC=0x00 TTL=62 ID=6074 PROTO=UDP SPT=52811 DPT=902 LEN=74 ] MARK=0x4
Some people want it to happen, some wish it would happen, others make it happen.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Da fehlt wohl eine HideNAT Ausnahme:

Typ: Exclude
Quelle: 192.168.150.0/24 (?)
Interface: eth1
Ziel: 172.16.6.0/24 (?)

Was da verworfen wird, ist ein ICMP Typ 3 / Code 1 (Destination unreachable) in Antwort auf das Port 902-Paket, was am Router ankommt.

A. Rietz
Beiträge: 116
Registriert: Sa 11.08.2007, 16:27
Wohnort: Velbert / Germany
Kontaktdaten:

Beitrag von A. Rietz »

Hallo,

bisher habe ich alle Subnetze von Standort A in eine Netzwerkgruppe gepackt und alle Subnetze von Standort B in eine eigene Netzwerkgruppe. Diese dann mittels Hide-NAT excluded.
Wenn das Hide-NAT komplett fehlerhaft gewesen wäre hätte doch auch nichts anderes funktionieren dürfen? Ping, SMB etc. funktionierten alle, nur halt das vCenter nicht.

Nachdem ich nun die besagten Subnetze getrennt aufgeführt habe funktioniert alles.

Ist es eher angeraten für alle Subnetze ein eigenes Hide-NAT exclude zu generieren anstatt mit Netzwerkgruppen zu arbeiten?

Grüße
A.Rietz
Some people want it to happen, some wish it would happen, others make it happen.

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Hallo,

bei dem Anlegen der HideNATS wird nicht mit Gruppen gearbeitet. Das sind direkt die Netzwerkobjekte.
There are 10 types of people in the world... those who understand binary and those who don\'t.

A. Rietz
Beiträge: 116
Registriert: Sa 11.08.2007, 16:27
Wohnort: Velbert / Germany
Kontaktdaten:

Beitrag von A. Rietz »

Danke für die Info
Some people want it to happen, some wish it would happen, others make it happen.

Gesperrt