Firewall: OpenVPN Hits blijft oplopen zonder een verbinding te hebben.

[Birdy]

Het valt mij nu pas op, dat ik in de Firewall zie:



(PS: Alle waarden staan nu laag, na een reboot.)

De OpenVPN Hit, wordt steeds opgehoogd met 2 Hits echter, ik begrijp niet waarom.
Die waarde zou, naar mijn mening, pas kunnen ophogen als er een OpenVPN Client een verbinding heeft gemaakt, toch ?
Is er geen verbinding, dan is er immers ook geen verkeer over een Virtuele IP addres.

Ben overigens de enige die gebruik maakt van OpenVPN.

[Babylonia]

Hier hetzelfde.  Dacht eerst iets van een mogelijke "keep alive" controle??  Maar er zit geen vast ritme in.
Andere VPN-server protocollen waar ik tevens ook gebruik van maak, geven geen hits (als er geen verbinding is met het netwerk).
Zou eigenlijk meer consequent moeten zijn, maar is misschien afhankelijk van het OpenVPN protocol zelf??

Overigens zijn er geen hits bij de Firewall regels van de VPN als service als er geen VPN actief is.
Die verschijnen pas als er daadwerkelijk een VPN-verbinding wordt opgezet. Één actieve VPN connectie = 1 hit.
Gaat de verbinding even weg (getest met smartphone, en die even in standby laten vallen), en wordt die weer actief komt er een hit bij.

Zou er misschien een Support ticket aan kunnen wagen.

Overigens kun je de telling van hits verversen door de firewall even een vinkje weg te halen, saven, en weer terug en saven.
Is minder omslachtig dan een reboot.

[Birdy]

Ah, dus ben niet de enige.

Overigens zijn er geen hits bij de Firewall regels van de VPN als service als er geen VPN actief is.
Die verschijnen pas als er daadwerkelijk een VPN-verbinding wordt opgezet. Één actieve VPN connectie = 1 hit.

Klopt als een bus.

Zou er misschien een Support ticket aan kunnen wagen.

Zal dat eens doen.

Overigens kun je de telling van hits verversen door de firewall even een vinkje weg te halen, saven, en weer terug en saven.
Is minder omslachtig dan een reboot.

Moest toch even rebooten maar, bedankt voor de tip.

[Pippin]

Mogelijk kan tcpdump er meer licht op werpen.
Zonder verbonden client(s):

Code: [Selecteer]

tcpdump -n -i tun0Waarbij tun0 de VPN interface is, te vinden met

Code: [Selecteer]

ip addr show

[Birdy]

Code: [Selecteer]

SynologyRouter>  tcpdump -n -i tun0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 262144 bytes
15:51:13.881640 IP 10.8.0.1.1900 > 239.255.255.250.1900: UDP, length 1024
15:51:13.881702 IP 10.8.0.1.1900 > 239.255.255.250.1900: UDP, length 1024
15:51:43.944851 IP 10.8.0.1.1900 > 239.255.255.250.1900: UDP, length 1024
15:51:43.944914 IP 10.8.0.1.1900 > 239.255.255.250.1900: UDP, length 1024
15:52:14.001627 IP 10.8.0.1.1900 > 239.255.255.250.1900: UDP, length 1024
15:52:14.001721 IP 10.8.0.1.1900 > 239.255.255.250.1900: UDP, length 1024
15:52:44.088268 IP 10.8.0.1.1900 > 239.255.255.250.1900: UDP, length 1024
15:52:44.088393 IP 10.8.0.1.1900 > 239.255.255.250.1900: UDP, length 1024
15:53:14.174815 IP 10.8.0.1.1900 > 239.255.255.250.1900: UDP, length 1024
15:53:14.174909 IP 10.8.0.1.1900 > 239.255.255.250.1900: UDP, length 1024
15:53:44.239057 IP 10.8.0.1.1900 > 239.255.255.250.1900: UDP, length 1024
15:53:44.239151 IP 10.8.0.1.1900 > 239.255.255.250.1900: UDP, length 1024
15:54:14.311984 IP 10.8.0.1.1900 > 239.255.255.250.1900: UDP, length 1024
15:54:14.312109 IP 10.8.0.1.1900 > 239.255.255.250.1900: UDP, length 1024
15:54:44.372634 IP 10.8.0.1.1900 > 239.255.255.250.1900: UDP, length 1024
15:54:44.372759 IP 10.8.0.1.1900 > 239.255.255.250.1900: UDP, length 1024
Elke 30 sec. gebeurt er dus 2x "iets".

[Pippin]

Code: [Selecteer]

netstat -atun?

[Birdy]

Code: [Selecteer]

SynologyRouter> netstat -atun
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:5440            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:161             0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:1195          0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:7787            0.0.0.0:*               LISTEN
tcp        0      0 192.168.2.1:5010        0.0.0.0:*               LISTEN
tcp        0      0 192.168.1.1:5010        0.0.0.0:*               LISTEN
tcp        0      0 192.168.2.1:5011        0.0.0.0:*               LISTEN
tcp        0      0 192.168.1.1:5011        0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN
tcp        0    720 192.168.1.1:22          192.168.1.130:65303     ESTABLISHED
tcp        0      0 <EXT.IP>:52556     50.112.201.23:443       ESTABLISHED
tcp        0      0 <EXT.IP>:52562     50.112.201.23:443       ESTABLISHED
tcp        0      0 <EXT.IP>:52490     50.112.201.23:443       ESTABLISHED
tcp       32      0 <EXT.IP>:42853     34.213.59.192:443       CLOSE_WAIT
tcp        0      0 ::%1:5440               :::*                    LISTEN
tcp        0      0 ::%2:8000               :::*                    LISTEN
tcp        0      0 ::%3:8001               :::*                    LISTEN
tcp        0      0 ::%4:161                :::*                    LISTEN
tcp        0      0 ::%5:515                :::*                    LISTEN
tcp        0      0 ::%6:139                :::*                    LISTEN
tcp        0      0 ::%7:80                 :::*                    LISTEN
tcp        0      0 ::%8:53                 :::*                    LISTEN
tcp        0      0 ::%9:22                 :::*                    LISTEN
tcp        0      0 ::%10:443               :::*                    LISTEN
tcp        0      0 ::%11:445               :::*                    LISTEN
tcp        0      0 ::ffff:192.168.1.1%12:8000 ::ffff:192.168.1.130:65299 TIME_WAIT
tcp        0      0 ::ffff:192.168.1.1%13:8000 ::ffff:192.168.1.130:65300 TIME_WAIT
tcp        0      0 ::ffff:192.168.1.1%14:8000 ::ffff:192.168.1.130:65286 TIME_WAIT
tcp        0      0 ::ffff:192.168.1.1%15:8000 ::ffff:192.168.1.130:65302 TIME_WAIT
tcp        0      0 ::ffff:192.168.1.1%16:8000 ::ffff:192.168.1.130:65323 ESTABLISHED
tcp        0      0 ::ffff:192.168.1.1%17:8000 ::ffff:192.168.1.130:65245 ESTABLISHED
tcp        0      0 ::ffff:192.168.1.1%18:8000 ::ffff:192.168.1.130:65311 TIME_WAIT
tcp        0      0 ::ffff:192.168.1.1%19:8000 ::ffff:192.168.1.130:65297 TIME_WAIT
tcp        0      0 ::ffff:192.168.1.1%20:8000 ::ffff:192.168.1.130:65322 TIME_WAIT
tcp        0      0 ::ffff:192.168.1.1%21:8000 ::ffff:192.168.1.130:65310 TIME_WAIT
tcp        0      0 ::ffff:192.168.1.1%22:8000 ::ffff:192.168.1.130:65289 TIME_WAIT
tcp        0      0 ::ffff:192.168.1.1%23:8000 ::ffff:192.168.1.130:65314 TIME_WAIT
udp        0      0 0.0.0.0:9997            0.0.0.0:*
udp        0      0 0.0.0.0:11022           0.0.0.0:*
udp        0      0 0.0.0.0:9998            0.0.0.0:*
udp        0      0 0.0.0.0:9999            0.0.0.0:*
udp        0      0 0.0.0.0:53              0.0.0.0:*
udp        0      0 0.0.0.0:5440            0.0.0.0:*
udp        0      0 0.0.0.0:67              0.0.0.0:*
udp   113088      0 0.0.0.0:68              0.0.0.0:*
udp        0      0 0.0.0.0:53320           0.0.0.0:*
udp        0      0 0.0.0.0:1900            0.0.0.0:*
udp        0      0 10.0.0.1:1900           0.0.0.0:*
udp        0      0 10.8.0.1:1900           0.0.0.0:*
udp        0      0 192.168.1.1:1900        0.0.0.0:*
udp        0      0 192.168.2.1:1900        0.0.0.0:*
udp        0      0 <EXT.IP>:1900      0.0.0.0:*
udp        0      0 10.8.0.1:123            0.0.0.0:*
udp        0      0 192.168.1.1:123         0.0.0.0:*
udp        0      0 <EXT.IP>:123       0.0.0.0:*
udp        0      0 127.0.0.1:123           0.0.0.0:*
udp        0      0 0.0.0.0:123             0.0.0.0:*
udp        0      0 <EXT.IP>255:137      0.0.0.0:*
udp        0      0 <EXT.IP>:137       0.0.0.0:*
udp        0      0 192.168.1.255:137       0.0.0.0:*
udp        0      0 192.168.1.1:137         0.0.0.0:*
udp        0      0 0.0.0.0:137             0.0.0.0:*
udp        0      0 <EXT.IP>.255:138      0.0.0.0:*
udp        0      0 <EXT.IP>:138       0.0.0.0:*
udp        0      0 192.168.1.255:138       0.0.0.0:*
udp        0      0 192.168.1.1:138         0.0.0.0:*
udp        0      0 0.0.0.0:138             0.0.0.0:*
udp        0      0 0.0.0.0:161             0.0.0.0:*
udp        0      0 0.0.0.0:47790           0.0.0.0:*
udp        0      0 127.0.0.1:31689         0.0.0.0:*
udp        0      0 127.0.0.1:31690         0.0.0.0:*
udp        0      0 0.0.0.0:5353            0.0.0.0:*
udp        0      0 ::%1:53                 :::*
udp        0      0 ::%2:5440               :::*
udp        0      0 fe80::211:32ff:fe76:4c4c%eth0:123 :::*                     
udp        0      0 fe80::211:32ff:fe76:4c4f%eth1:123 :::*                     
udp        0      0 fe80::211:32ff:fe76:4c4e%eth2:123 :::*                     
udp        0      0 fe80::211:32ff:fe76:4c4d%qca-nss-dev0:123 :::*             
udp        0      0 fe80::211:32ff:fe76:4c4c%qca-nss-dev1:123 :::*             
udp        0      0 fe80::211:32ff:fe76:4c4b%qca-nss-dev2:123 :::*             
udp        0      0 ::1%9:123               :::*
udp        0      0 ::%10:123               :::*
udp        0      0 ::%11:161               :::*
udp        0      0 ::%12:1194              :::*
udp        0      0 ::1%13:31689            :::*
udp        0      0 ::1%14:31690            :::*
SynologyRouter>

[Pippin]

Code: [Selecteer]

udp        0      0 0.0.0.0:1900            0.0.0.0:*
udp        0      0 10.0.0.1:1900           0.0.0.0:*
udp        0      0 10.8.0.1:1900           0.0.0.0:*
udp        0      0 192.168.1.1:1900        0.0.0.0:*
udp        0      0 192.168.2.1:1900        0.0.0.0:*
udp        0      0 <EXT.IP>:1900           0.0.0.0:*
UPnP aan staan?

[Birdy]

Nope en nooit aangehad (natuurlijk)

Wat je laat zien, is dat UPnP gericht dan ?

[Pippin]

Yup,
https://wiki.wireshark.org/SSDP
https://en.wikipedia.org/wiki/Simple_Service_Discovery_Protocol

Doelpoort 1900 blokkeren op alle interfaces en geen hits meer?

Deze info bij het ticket doen en wachten wat ze er van zeggen.

[Babylonia]

Poort 1900 is  "media-server" gerelateerd.
Die staat bij mij in ieder geval wel als package op de Synology router geïnstalleerd (en op de NAS).  Zie Synology poort-lijstje < HIER >.

[Pippin]

Je zou ook nog

Code: [Selecteer]

tcpdump -n -i any port 1900kunnen doen.
Dat laat dan poort 1900 van alle interfaces zien.

[Birdy]

Wordt interessant

Code: [Selecteer]

SynologyRouter> tcpdump port 1900
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:45:34.028696 IP xxxxx.ftth.telfortglasvezel.nl.ssdp > 239.255.255.250.ssdp: UDP, length 1024
16:45:34.028759 IP xxxxx.ftth.telfortglasvezel.nl.ssdp > 239.255.255.250.ssdp: UDP, length 1024
16:46:04.099717 IP xxxxx.ftth.telfortglasvezel.nl.ssdp > 239.255.255.250.ssdp: UDP, length 1024
16:46:04.099811 IP xxxxx.ftth.telfortglasvezel.nl.ssdp > 239.255.255.250.ssdp: UDP, length 1024
16:46:34.151089 IP xxxxx.ftth.telfortglasvezel.nl.ssdp > 239.255.255.250.ssdp: UDP, length 1024
16:46:34.151151 IP xxxxx.ftth.telfortglasvezel.nl.ssdp > 239.255.255.250.ssdp: UDP, length 1024
^C
6 packets captured
9 packets received by filter
0 packets dropped by kernel

SynologyRouter>


[Birdy]

-v :

Code: [Selecteer]

SynologyRouter>
SynologyRouter> tcpdump -v port 1900
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:48:04.373117 IP (tos 0x0, ttl 1, id 14910, offset 0, flags [DF], proto UDP (17), length 1052)
    xxxxx.ftth.telfortglasvezel.nl.ssdp > 239.255.255.250.ssdp: UDP, length 1024
16:48:04.373211 IP (tos 0x0, ttl 1, id 15205, offset 0, flags [DF], proto UDP (17), length 1052)
    xxxxx.ftth.telfortglasvezel.nl.ssdp > 239.255.255.250.ssdp: UDP, length 1024
16:48:34.424739 IP (tos 0x0, ttl 1, id 16994, offset 0, flags [DF], proto UDP (17), length 1052)
    xxxxx.ftth.telfortglasvezel.nl.ssdp > 239.255.255.250.ssdp: UDP, length 1024
16:48:34.424801 IP (tos 0x0, ttl 1, id 16995, offset 0, flags [DF], proto UDP (17), length 1052)
    xxxxx.ftth.telfortglasvezel.nl.ssdp > 239.255.255.250.ssdp: UDP, length 1024
^C
4 packets captured
4 packets received by filter
0 packets dropped by kernel

SynologyRouter>

-vv :

Code: [Selecteer]

SynologyRouter> tcpdump -vv port 1900
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:50:04.619148 IP (tos 0x0, ttl 1, id 20722, offset 0, flags [DF], proto UDP (17), length 1052)
    xxxxx.ftth.telfortglasvezel.nl.ssdp > 239.255.255.250.ssdp: [bad udp cksum 0xf1e8 -> 0xab1c!] UDP, length 1024
16:50:04.619211 IP (tos 0x0, ttl 1, id 13292, offset 0, flags [DF], proto UDP (17), length 1052)
    xxxxx.ftth.telfortglasvezel.nl.ssdp > 239.255.255.250.ssdp: [bad udp cksum 0xf1e8 -> 0x33c8!] UDP, length 1024
16:50:34.673049 IP (tos 0x0, ttl 1, id 3359, offset 0, flags [DF], proto UDP (17), length 1052)
    xxxxx.ftth.telfortglasvezel.nl.ssdp > 239.255.255.250.ssdp: [bad udp cksum 0xf1e8 -> 0xab1c!] UDP, length 1024
16:50:34.673112 IP (tos 0x0, ttl 1, id 62998, offset 0, flags [DF], proto UDP (17), length 1052)
    xxxxx.ftth.telfortglasvezel.nl.ssdp > 239.255.255.250.ssdp: [bad udp cksum 0xf1e8 -> 0x33c8!] UDP, length 1024
^C
4 packets captured
4 packets received by filter
0 packets dropped by kernel

SynologyRouter>


[Birdy]

Poort 1900 is  "media-server" gerelateerd.
Die staat bij mij in ieder geval wel als package op de Synology router geïnstalleerd (en op de NAS).  Zie Synology poort-lijstje < HIER >.

Media Server is bij mij niet geïnstalleerd.