pk-911
Goto Top

ASUS RT-AC68 Router Firewall Fehlfunktion?

Hallo zusammen,

bin langsam am zweifeln über .....
Also:
Habe einen KD Internetanschluss mit Fritzbox (FB) und einigen Clients. Funktioniert gut.
Einer der Clients ist aber ein ASUS TR-AC68U Router (AS). Dieser hängt mit seinem WAN Anschluss mit Fritzbox Netz und mit seinem LAN Anschluss an meinem "inneren"+"sicheren" Switch.
Gewünscht wäre FB Netz für halb öffentliche Geräte, z.B. Webcams, die ich mit anderen teile, Musik, usw. dieses Netz ist aus dem Internet via MyFritz und div. Tunnels erreichbar. Funktioniert alles.
Nun möchte ich aber ein komplett privates Netz für mich, also hinter dem AS.
Habe nun festgestellt, dass ich aus dem AS Netz die Geräte im FB Netz erreiche, was auch gewollt war.
ABER: Aus irgend einem Grund erreichen die FB Geräte die AS Plattenstabel ebenfalls!!!
Firewall auf AS ist angeschaltet. KEINE Portauslösung, KEINE Port Forwarding, KEINE DMZ, lediglich NAT Passthrough für IPSec
IPv6 ist als Verbindungstyp deaktiviert.

Was ist da los???

Viele Grüße

Content-Key: 316445

Url: https://administrator.de/contentid/316445

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: StefanKittel
StefanKittel 28.09.2016 um 18:41:09 Uhr
Goto Top
Hallo,

was ist denn die "AS Plattenstabel"?
AS steht für den ASUS Router, Aber Plattenstabel?
USB Geräte am ASUS?

Stefan
Mitglied: aqui
Lösung aqui 28.09.2016 aktualisiert um 19:19:07 Uhr
Goto Top
Dieser hängt mit seinem WAN Anschluss mit Fritzbox Netz und mit seinem LAN Anschluss an meinem "inneren"+"sicheren" Switch.
Also eine simple Router Kaskade mit doppeltem NAT wie sie hier beschrieben ist, richtig ?
Kopplung von 2 Routern am DSL Port
ABER: Aus irgend einem Grund erreichen die FB Geräte die AS Plattenstabel ebenfalls!!!
Das kann nur sein wenn auf der Asus Kiste das NAT (Adress Translation) ausgeschaltet ist im Setup. Anders ist es technishc unmöglich, denn Geräte aus dem FritzBox LAN könnten so niemals die NAT Firewall des ASUS Routers überwinden.
Ausnahme natürlich du hast Mist gebaut bei der Konfiguration oder der Verkabelung !
Das o.a. Tutorial erklärt dir ja genau was zu machen ist damit es richtig funktioniert.

Ganz ausschliessen kann man die Asus Router selber als Ursache aber nicht. Deren Firmware oist löchrig wie Schweizer Käse. Die sind ja berühmt berüchtigt für ihr mehr als gruselige bis keine Sicherheit face-sad
http://www.heise.de/newsticker/meldung/Asus-muss-20-Jahre-lang-seine-Ro ...
http://www.heise.de/security/meldung/Asus-Router-schutzlos-bei-Angriffe ...
http://www.heise.de/security/meldung/Kritische-Schwachstellen-in-zahlre ...
Die Liste zu den Schwachstellen bei ASUS ist ellenlang. Schlimm auch deren Policy das zu (nicht) fixen ode rnur langsam bis gar nicht. Ein Grund von solchen Teilen die Finger zu lassen.
Mit einem kleinen Mikrotik wärst du zum halben Preis besser bedient gewesen...und bedeutend sicherer.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 28.09.2016 aktualisiert um 20:02:14 Uhr
Goto Top
Moin,

Entweder

  • machst Du kein NAT,
  • hast die Switche falsch verkabelt,
  • Dein AS stellt die Dienste auch an seinem WAN-Anschluß zur Verfügung oder
  • Du hast einen Tunnel "hinter" die AS.

Wirf am besten mal wireshark oder einen anderen Sniffer an und schau, was da schiefläuft.

lks
Mitglied: pk-911
pk-911 28.09.2016 um 21:06:15 Uhr
Goto Top
Hi Stefan,
der Plattenstapel ist ein Synology Cluster, DS715
keine USB Geräte

Peter
Mitglied: pk-911
pk-911 28.09.2016 um 21:11:30 Uhr
Goto Top
Hallo,
ja ist eine simple Kaskade und NAT ist an beiden Routern aktiv.
Die Verkabelung hab ich schon mehrfach gecheck, da ich es auch nicht verstehen konnte. Alle Kabel abgezogen, erst beim WAN Port des AS gab es den Unterschied.

Peter
Mitglied: pk-911
pk-911 28.09.2016 um 21:14:44 Uhr
Goto Top
Danke, wireshark ist ne gute Idee.
Ein tracert brachte route auf default von dort aus auf den WAN Port des AS und dann wars ja schon passiert.
Übrigens habe ich auf dem FB eine route in das Netz des AS über seinen WAN Port definiert.

Peter
Mitglied: StefanKittel
Lösung StefanKittel 28.09.2016 um 21:18:27 Uhr
Goto Top
Hallo,

das kann ja nicht sein, also schauen wir mal.

Die IPs sind geraten. Bitte transformieren.

Netz FB LAN z.B. 192.168.178.0/24
Netz Asus LAN z.B. 192.168.0.0/24
Netz Asus WAN z.B. 192.168.178.250

PC an FB 192.168.178.10
NAS an AS 192.168.0.10

Ich kannst also von dem PC mit der 192.168.178.10 das NAS per Ping/Browser/SMB unter 192.168.0.10 erreichen?
Das kann gar nicht sein, denn dein PC weiß, dass das Netzwerk 192.168.0.0/24 nicht sein Netzwerk ist. Also schickt er diese Datenpakete an sein Gateway. Das ist die FB unter 192.168.178.1.

Warum sollte die FB diese Daten an den AS schicken?
Und warum/wie sollte die FB die Daten sogar durch das NAT an das NAS senden?

Vieleicht PnP? Portweiterleitung?

Stefan
Mitglied: Lochkartenstanzer
Lochkartenstanzer 28.09.2016 um 21:27:53 Uhr
Goto Top
Zitat von @StefanKittel:

Vieleicht PnP? Portweiterleitung?

Statische Router in der fritzbox oder ein Tunnel hinter den Asus?

lks
Mitglied: pk-911
pk-911 28.09.2016 um 22:09:36 Uhr
Goto Top
Hallo,
erst mal Danke für Deinen Einsatz und das Szenario.
Ja, PC pingt durch die AS auf das NAS!
Aber er bekommt seinen Weg gezeigt, denn die FB hat eine Route zum AS LAN, also wird sein ping an die FB geleitet, diese kennt den Weg ins 192.168.0.0 Netz und schickt das Paket zum externen Port des AS, also zum 192.168.178.250. und der AS lässt durch!
Peter
Mitglied: pk-911
pk-911 28.09.2016 um 22:13:55 Uhr
Goto Top
statische Route auf der FB ins AS Netz
kein Port Forwarding
kein Tunnel (ja, doch schon, aber ein OVPN, der nur von externen Geräten genutzt wird)
Mitglied: Lochkartenstanzer
Lochkartenstanzer 28.09.2016 um 22:25:09 Uhr
Goto Top
Zitat von @pk-911:

statische Route auf der FB ins AS Netz

Dann ist irgendetwas an dem Router falsch konfiguriert, daß das Ding Pakete hinter seiner NAT-Firewall durchläßt oder Du hast gar kein NAT auf dem Asus aktiv.

lks
Mitglied: pk-911
pk-911 28.09.2016 um 22:29:47 Uhr
Goto Top
NAT ist aktiv
Mitglied: Lochkartenstanzer
Lochkartenstanzer 28.09.2016 um 22:31:35 Uhr
Goto Top
Zitat von @pk-911:

NAT ist aktiv

Auch in die richtige Richtung?

Häng mal eine sniffer dran und schau, wie die pakete aussehen. ob die Adressen korrekt übersetzt werden und welche MAC-Adressen drinstehen.

lks
Mitglied: pk-911
pk-911 28.09.2016 um 22:41:56 Uhr
Goto Top
NAT kann ich nur für das WAN Interface aktivieren
ich sniffere mal
Mitglied: StefanKittel
StefanKittel 28.09.2016 um 23:14:44 Uhr
Goto Top
ist die Frage ob es ein Bug oder ein Feature ist....
Mitglied: aqui
aqui 29.09.2016 um 09:09:34 Uhr
Goto Top
Bei Asus im Zweifelsfall immer Ersteres !!
Mitglied: pk-911
pk-911 29.09.2016 um 20:58:48 Uhr
Goto Top
Hallo,

in der Zwischenzeit sind einige merkwürdige Erkenntnisse hinzugekommen. Ich hoffe eigentlich immer noch, dass ich mich irgendwo irre!
Also es handelt sich um eine Router Kaskade, wie gestern beschrieben:
Das erste Netz ist mit einer FB mit dem Internet verbunden, nennen wir es 192.168.178.0
Das zweite Netz beginnt mit dem AS im ersten Netz und hat dort die IP 192.168.178.10 und hat intern dann das Netz 192.168.100.0

Nun passiert folgendes:
Wenn auf der FB eine Route eingetragen ist (s. Anlage) ins Netzwerk des AS also ins 192.168.100.0 über die 192.168.178.10 dann tritt der oben beschriebene Effekt auf und die AS lässt alle Pakete durch.
Wenn ich nun die Route lösche sperrt die AS wie gewünscht alle Pakete (bzw. die Pakete wissen einfach nicht wohin sie sollen...)!
Das ganze geht auch selektiv, d.h. wenn die Route sich nur auf einen Host im inneren AS Netz bezieht, wird der Traffic nur zu diesem geroutet, der Rest bleibt außen vor.
Wenn ich die Route (auf der FB!!!) wieder lösche, sperrt der AS wieder!
Port-Weiterleitung auf dem AS wäre für diese Funktionalität zu nutzen, habe ich aber abgeschaltet (s. Anlage).

Ist das ein ASUS Sicherheitsloch oder habe ich was falsch gemacht?
Bin gespannt auf euer Feedback!

Peter
wan_natpass
fw_allg
fb_stat_rout
wan_portforw
wan_int
Mitglied: Lochkartenstanzer
Lochkartenstanzer 29.09.2016 um 23:11:27 Uhr
Goto Top
Moin

sofern NAT aktivuert ist, ist das ein Bug.

lks
Mitglied: pk-911
pk-911 29.09.2016 um 23:23:33 Uhr
Goto Top
Ja NAT ist aktiviert.

Dann ist das aber ein MEGA Bug!
Da muss ASUS direkt nachbessern. Alle die den AS als Hauptzugang und Firewall einsetzen sind wohl zur Zeit schutzlos. Habe aktuelle Firmware.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 29.09.2016 um 23:45:36 Uhr
Goto Top
Setz mal auc deinem client lokal eine statische route auf den asus und schau, ob man dann immer noch dahnterkommt.

Lks
Mitglied: nighthawk1981
nighthawk1981 30.09.2016 um 05:32:51 Uhr
Goto Top
Hi,

wieso hat dein WAN Anschluss die selbe IP wie das interne Netz (laut deiner Beschreibung) des ASUS?
Da sollte doch die .178.10 und als Gate die .178.1 sein.
Mitglied: pk-911
pk-911 30.09.2016 um 06:57:27 Uhr
Goto Top
Hallo,

ne das ist schon richtig.
Das globale Gate der FB ist .178.1 aber der Zugang ins AS Netz geht über das WAN Interface des AS mit 178.10 und von dort ins lokale 100.0
Mitglied: nighthawk1981
nighthawk1981 30.09.2016 um 07:25:09 Uhr
Goto Top
Moin,

das ist schon klar, aber dann sollte doch am WAN Interface des ASUS auch die IP 192.168.178.10 sein und nicht die intere IP des ASUS Netzes. Die wird doch nur im LAN festgelegt.

aktuell (lt. den screens) hast du am WAN Interface die IP 192.168.100.10 und die ist m.E. falsch dort ist ja die FritzBox dran also 178.10


VG Daniel
Mitglied: Lochkartenstanzer
Lochkartenstanzer 30.09.2016 aktualisiert um 09:21:30 Uhr
Goto Top
Deine WAN-Config vom ASUS ist falsch. [ 192.168.100.10/24 und gateway 192.168.100.1] kann so nicht funktionieren, wenn der Asus hinter dr fritzbix sitzt, es sei denn Du hast uns etwas wesentliches verschwiegen.

lks
Mitglied: Lochkartenstanzer
Lochkartenstanzer 30.09.2016 aktualisiert um 09:32:11 Uhr
Goto Top
Zitat von @pk-911:

ne das ist schon richtig.

Glaub ich nicht.

meine Kristallkugel hat sich gemeldet:

Du hast das so konfiguriert, daß Dein Asus-Router "verkehrt herum" angeschlosen ist. Du hast LAN udn WAN vertauscht und da wundert es mich nicht, daß Du auf Dein NAS komst. Denn das NAT geht in die andere richtung. Das ist kein Bug, sondern "works" as designed! Wenn du in den Clients im 192.168.178-er Netz eine lokale statische Router anlegst, dürftest Du ohne weiteres auf die Kisten ins 192.168.100-0-er Netz kommen.

Wie immer wäre es einfacher gewesen Dir den fehler in Deinem netzwerkdesign aufzuzeigen, wenn Du ein ordentliches Schaubild gemalt hättest und uns alle Informationen lieferst. So ist das nur lustiges herumraten, was der Fragesteller wieder verkehrt gemacht hat.


Das globale Gate der FB ist .178.1 aber der Zugang ins AS Netz geht über das WAN Interface des AS mit 178.10 und von dort ins lokale 100.0

Mal mal ein Bild mit den Routern, den verbindungn und den IP-Adressen an dern Interfaces. Es reicht auch eine Bleistiftzeichnung, die man mit der Mobiltelefonkamera abfotografiert.

lks
Mitglied: pk-911
pk-911 30.09.2016 um 21:34:13 Uhr
Goto Top
Hallo zusammen,

leider hat sich gestern Abend in der Datei WAN_INT der Fehlerteufel eingeschlichen. Die Beschreibung war richtig, aber der Screenshot falsch. Jetzt ist er korrigiert.
Anbei die gewünschte Skizze
skizze
Mitglied: pk-911
pk-911 30.09.2016 um 21:43:28 Uhr
Goto Top
s.u. Fehler im Screenshot
Mitglied: pk-911
pk-911 30.09.2016 um 21:46:36 Uhr
Goto Top
Guter Tip!
Jetzt wird die Sache noch etwas klarer!
Habe Rote zum x.x.100.x Netz in der FB entfernt, danach wie erwartet keine Pakete mehr über den AS.
Habe dann Route auf dem Client ins AS Netz definiert, und siehe da der Client kommt durch den AS!

Also wenn die Clients wissen was sich hinter der AS Firewall befindet werden sie durchgeschickt!
Mitglied: Lochkartenstanzer
Lochkartenstanzer 30.09.2016 aktualisiert um 23:15:40 Uhr
Goto Top
Zitat von @pk-911:

Also wenn die Clients wissen was sich hinter der AS Firewall befindet werden sie durchgeschickt!


Wie ich vermutete: der asus hängt verkehrt hrum im netz, wenn er den zugriff von links nach rechts verbieten soll.


Da wäre es sinnvoller stattdessen eine pfsense oder einen mikrotik hinzustellen und auf dem acls zu definieren.


lks
Mitglied: pk-911
pk-911 01.10.2016 um 08:14:56 Uhr
Goto Top
ja ich denke ein microtik wäre besser gewesen.
Aber der AS hängt nicht verkehrt rum! das 192.168.178.0 könnte doch (abgesehen von der priv. IP) Internet sein. Viele AS hängen dann genauso hinter dem DSL Modem. Nochmal: 192.168.178.10 ist der WLAN Anschluss des AS. Von dort sollten gar keine Pakete ins 192.168.100.0 gehen.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 01.10.2016 um 11:22:00 Uhr
Goto Top
Zitat von @pk-911:

ja ich denke ein microtik wäre besser gewesen.
Aber der AS hängt nicht verkehrt rum! das 192.168.178.0 könnte doch (abgesehen von der priv. IP) Internet sein. Viele AS hängen dann genauso hinter dem DSL Modem. Nochmal: 192.168.178.10 ist der WLAN Anschluss des AS. Von dort sollten gar keine Pakete ins 192.168.100.0 gehen.

Gehen sie aber, wie Du gemerkt hast. Du mußt einen Router nehmen, der "WAN" über WLAN kann. Due hast eindeutig den falschen Router für diese Aufgabe. oder den ganz falsch konfiguriert. Selbst popelige Fritzboxen können das.

lks
Mitglied: pk-911
pk-911 01.10.2016 um 12:32:19 Uhr
Goto Top
Ja popelige FritzBoxen machen das genau so, das hab ich schon getestet.
Was meinst Du mit WLAN? VLAN vielleicht?
Konfiguriert ist da gar nix falsch!
Möglicherweise hat ASUS dort aber einen Bug, der zu einer krassen Sicherheitslücke führt.
Wenn dem so ist sollten es möglichst viele Leute erfahren.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 01.10.2016 um 12:44:19 Uhr
Goto Top
Zitat von @pk-911:

Ja popelige FritzBoxen machen das genau so, das hab ich schon getestet.
Was meinst Du mit WLAN? VLAN vielleicht?


Nein, ich meine das WLAN Interface Das muß als "WAN" konfiguriert werden.

Wie ist denn die Firewall-Konfiguration auf dem Asus?

lks
Mitglied: pk-911
pk-911 01.10.2016 um 13:14:45 Uhr
Goto Top
WLAN Interface ist abgeschaltet und spielt dort gar keine Rolle. In keinem Fall möchte ich es als WAN Interface sehen.
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 01.10.2016 aktualisiert um 13:32:50 Uhr
Goto Top
Zitat von @pk-911:

WLAN Interface ist abgeschaltet und spielt dort gar keine Rolle. In keinem Fall möchte ich es als WAN Interface sehen.


Wieso hast Du oben dann geschrieben, daß 192.168.178.10 per Wlan angebunden ist?

Nochmal: 192.168.178.10 ist der WLAN Anschluss des AS. Von dort sollten gar keine Pakete ins 192.168.100.0 gehen.


Nochmal: Wenn das alles per Kabel ist, muß 192.168.168.010 als WAN Interface definiert werden, NAT eingeschaltet und die Firewall passend konfiguriert werden.

NAT alleine nutzt nichts, weil das nur die ausgegehnden Pakete betrifft und nicht die eingehenden!

Man darf sich nicht davon täuschen lassen, daß die meisten Consumer-Router mit einschalten des NAT auch die "Firewall" aktivieren. NAt alleine verhindern nicht das routern der Pakete ins interne Netz!

lks
Mitglied: pk-911
pk-911 01.10.2016 um 14:30:10 Uhr
Goto Top
Ja , das ist richtig.
Schau mal die Screenshots: NAT ist eingeschaltet (Du hast recht outbound wirkend) aber auch der Firewall.
Mehr gibt's allerdings zur Firewall zunächst nicht einzustellen, außer Port Forwarding und -Trigger.

Also BUG oder Feature??
fw_allg
Mitglied: aqui
aqui 02.10.2016 um 12:48:17 Uhr
Goto Top
Wenn du trotz dieser Einstellung die Endgeräte hinter dieser NAT Firewall mit ihrer IP pingen kannst ist das ein gravierender Bug !!
Technisch dürfte das niemals funktionieren !
Mitglied: pk-911
pk-911 02.10.2016 um 13:49:56 Uhr
Goto Top
Hallo,

ja das sehe ich auch so! Wollte mich aber in diesem Forum nochmals absichern. Die Sache schicke ich ketzt an ASUS und halte alle hier auf dem Laufenden.

Grüße
Mitglied: aqui
aqui 02.10.2016 um 20:47:25 Uhr
Goto Top
Das Feedback wäre in der Tat sehr spannend !!
Mitglied: pk-911
pk-911 16.10.2016 um 22:47:17 Uhr
Goto Top
Hallo allerseits,
jetzt sind zwei Wochen vergangen:
ASUS hat direkt von mir Szenario und Routerconfig bekommen. Ein Tag später schon Reaktion mit einigen Fragen, die ich auch sofort beantwortete. Zwei Tage später konnte man das Problem in D nachvollziehen und hat es dann nach Asien eskaliert.
Seit dem Funkstille!
Werde morgen mal nachfragen.
Zwischenzeitlich habe ich den AS durch eine weitere FB ersetzt. da geht alles wie es soll bzw. nicht soll!

Werde weiter berichten!
Mitglied: aqui
Lösung aqui 17.10.2016 um 17:14:17 Uhr
Goto Top
Na ja nach den Hiobsbotschaften die ASUS Router Systeme so auf sich vereinen sollte man wohl besser generell von denen die Finger lassen....
Das Feedback Verhalten vom Support spricht ja Bände...
Man muss sich nur mal vergewissern das es hier ja keinesfalls ein Banalbug ist. Eine NAT Firewall einfach so überwinden zu können ist schon mehr als fatal.
Dann auf Tauschstation zu gehen umso fataler...
Es bleibt spannend also. Mal sehen ob jemals was aus Asien zu dem Thema zurückkommt.
Mitglied: pk-911
pk-911 21.11.2016 aktualisiert um 08:21:37 Uhr
Goto Top
Hallo zusammen,
leider habe ich auch nach mehr als 4 Wochen von ASUS keine Rückmeldung erhalten. ASUS hat alle Details erhalten. Alle Rückfragen meinerseits liefen ins Leere.
Bin mir sicher, dass es sich hier um einen Bug handelt!
Mitglied: aqui
aqui 21.11.2016 um 09:59:22 Uhr
Goto Top
Das ist eben ASUS !
Ganz sicher ist das ein Bug und zudem noch ein ziemlich tödlicher, denn der hebelt ja die komplette NAT Firewall aus.

4 Wochen...? Warum lässt du dir das gefallen ? Ruf da alle 2 Tage an und tritt denen auf die Füsse !