Securepoint Support Forum

Securepoint Security Solutions Support Forum
https://support.securepoint.de/

Firewall Drop ICMP 902?

https://support.securepoint.de/viewtopic.php?t=1823

Seite 1 von 1

Firewall Drop ICMP 902?

Verfasst: Di 07.08.2012, 11:06
von A. Rietz
Hallo Support,

wir haben eine Site2Site IPSec VPN Verbindung aufgebaut, soweit auch erst einmal alles toll.
Nun soll sich unser VMWare vCenter Server über den VPN mit einem ESXi Host verbinden.

Dies scheitert leider mit einem Firewall DROP. Das merkwürdige ist das die Quell Adresse laut der Firewall der Cisco Router der Telekom seien soll als unser Default Gateway der 2. Firewall. Angeblich soll es sich dabei um ICMP Port 902 handeln? Das läuft dann wohl korrekterweise in deinen DROP(default)

Laut VMWare Knowledge Base soll die aber über TCP/UDP 902 laufen?


Ich habe ein wenig das Hide-NAT im verdacht konnte dort aber keinen Fehler feststellen.

Ist in dieser Richtung etwas bekannt?

Grüße
A.Rietz

Firewall Drop ICMP 902?

Verfasst: Di 07.08.2012, 15:43
von Erik
Ein ICMP Port also... soso. Muss irgendeine mir unbekannte RFC-Erweiterung sein. Die komplette Zeile des Logs könnte helfen.

Firewall Drop ICMP 902?

Verfasst: Di 07.08.2012, 16:02
von A. Rietz
Aug 7 16:00:36 195.243.223.50 Firewall DROP kernel: DROP(default) IN=eth2 OUT=eth1 MAC=00:40:48:b2:cc:0d:a4:93:4c:65:88:14:08:00 SRC=195.243.223.49 DST=192.168.150.20 LEN=56 TOS=0x00 PREC=0x00 TTL=254 ID=14473 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.150.20 DST=172.16.6.16 LEN=94 TOS=0x00 PREC=0x00 TTL=62 ID=6074 PROTO=UDP SPT=52811 DPT=902 LEN=74 ] MARK=0x4

Firewall Drop ICMP 902?

Verfasst: Di 07.08.2012, 17:12
von Erik
Da fehlt wohl eine HideNAT Ausnahme:

Typ: Exclude
Quelle: 192.168.150.0/24 (?)
Interface: eth1
Ziel: 172.16.6.0/24 (?)

Was da verworfen wird, ist ein ICMP Typ 3 / Code 1 (Destination unreachable) in Antwort auf das Port 902-Paket, was am Router ankommt.

Firewall Drop ICMP 902?

Verfasst: Mi 08.08.2012, 08:50
von A. Rietz
Hallo,

bisher habe ich alle Subnetze von Standort A in eine Netzwerkgruppe gepackt und alle Subnetze von Standort B in eine eigene Netzwerkgruppe. Diese dann mittels Hide-NAT excluded.
Wenn das Hide-NAT komplett fehlerhaft gewesen wäre hätte doch auch nichts anderes funktionieren dürfen? Ping, SMB etc. funktionierten alle, nur halt das vCenter nicht.

Nachdem ich nun die besagten Subnetze getrennt aufgeführt habe funktioniert alles.

Ist es eher angeraten für alle Subnetze ein eigenes Hide-NAT exclude zu generieren anstatt mit Netzwerkgruppen zu arbeiten?

Grüße
A.Rietz

Firewall Drop ICMP 902?

Verfasst: Do 09.08.2012, 13:00
von carsten
Hallo,

bei dem Anlegen der HideNATS wird nicht mit Gruppen gearbeitet. Das sind direkt die Netzwerkobjekte.

Firewall Drop ICMP 902?

Verfasst: Fr 10.08.2012, 08:30
von A. Rietz
Danke für die Info
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de