DI-804HV sendet IGMP-Pakete

LinMate · Anmeldungsdatum: 20.07.2005 Beiträge: 7

Betreffende D-Link Geräte: DI-804HV/A1 FW 1.40
Betreffender WLAN-Client Adapter:
Welche WLAN-Verschlüsselung ist aktiviert?: Es ist kein WLAN vorhanden!
--------------------------------------------------------------------------------------------------------------------
Betriebssystem & ServicePack:
I-Net Browser:
--------------------------------------------------------------------------------------------------------------------
Provider & Zugangsart:
MTU-Wert im Router:
MRU-Wert im Modem/Modem-Router:
VPI-Wert im Modem/Modem-Router:
VCI-Wert im Modem/Modem-Router:
--------------------------------------------------------------------------------------------------------------------
Ist eine Software-Firewall vorhanden (auch wenn deaktiviert)?: Nein, weder installiert noch deaktiviert
Software-Firewall:
--------------------------------------------------------------------------------------------------------------------
Ist Filesharing im Einsatz?: Nein
Filesharing-Programm u. Vers.:
--------------------------------------------------------------------------------------------------------------------
Wie bezeichnest Du Deinen LAN/WLAN Wissensstand?: Fortgeschritten (= ich richte permanent Netzwerke ein oder bin gelernter Fachinformatiker)
--------------------------------------------------------------------------------------------------------------------
Was hast Du gemacht und/oder installiert, bevor das Problem aufgetreten ist?:

Was hast Du bereits versucht, um das Problem zu lösen?:

--------------------------------------------------------------------------------------------------------------------

Und hier nun meine detailierte Fehlerbeschreibung und Nachricht:
Hi,
mein Router sendet beim beenden eines VPN-Tunnels IGMP-Pakete.
Wie kann ich verhindern, das diese über dem WAN-Port geschickt werden?

Grüsse

LinMate

Empfehlungen · Verfasst am: 18.05.2012 12:47 Titel:

Gairigo · Anmeldungsdatum: 21.11.2003 Beiträge: 47256 Wohnort: Hamburg

LinMate hat folgendes geschrieben:
mein Router sendet beim beenden eines VPN-Tunnels IGMP-Pakete.
Wie kann ich verhindern, das diese über dem WAN-Port geschickt werden?

@LinMate

Nur zur Klarstellung:

Du meinst def. "IGMP-Pakete" und NICHT" ICMP-Pakete", denn beides sind bekanntlich zwei paar Schuhe. :wink:

LinMate · Anmeldungsdatum: 20.07.2005 Beiträge: 7

Hi,

ja ich meine IGMP
0x22 IGMPv3 Membership Report

Grüsse

LinMate

Gairigo · Anmeldungsdatum: 21.11.2003 Beiträge: 47256 Wohnort: Hamburg

LinMate hat folgendes geschrieben:
Hi,

ja ich meine IGMP
0x22 IGMPv3 Membership Report

Moin LinMate

OK, dann wäre diese Frage von Dir:
Zitat: mein Router sendet beim beenden eines VPN-Tunnels IGMP-Pakete.

zu klären, denn mir ist nicht klar:

wie ein Router IGMP-Pakete generieren könnte, und wieso auch?

Stelle mal einen ScreenShot des Router-Logs rein, an welchem man diese IGMP-Einträge vorhanden sind.

Nach meinem Kenntnisstand folgendes:

1) IGMP kommen von einem Client u. werden dann das WAN abgeschickt, wenn ein Router vorhanden ist, in welchem bestimmte Features aktiviert wurden. Welche das alle sein könnten ist mir z.Zt. nicht bekannt. Das "Multicast Streams-" sowie das "UPnP- Feature" auf der Misc-Seite dürften evtl. dazugehören.

Somit: Beides mal deaktivieren - Die Gaming-Modes solltest gleich mit deaktivieren!

Da wie vg. schon erwähnt die IGMP-Pakete in den Clients erzeugt werden, vermute ich da evtl. auch den "SSDP Suchdienst für die UPnP fähigen Geräte.

Zitat: SSDP Suchdienst -> Aktiviert die Ermittlung von UPnP-Geräten auf Heimnetzwerken.

Da der "UPnP-Dienst" vom "SSDP-Dienst" abhängig ist, solltest Du mal beide beenden und auch deaktivieren!

2) Da IGMP-Paket nicht aus dem WAN hereinkommen sehe ich auch keine großen Bedenken wenn sichergestellt ist, dass kein Trojaner dafür veranwortlich ist.

Bitte Rückmeldung. :wink:

LinMate · Anmeldungsdatum: 20.07.2005 Beiträge: 7

Hi
Sorry, hat etwas länger gedauert.
Hier ein Auszug aus meinen Logs.

IP und MAC hab ich ausgeXt.

Grüsse

Linmate

No. Time Source Destination Protocol Info
7384 4119.578588 xx.xx.x.xx 224.0.0.22 IGMP V3 Membership Report

Frame 7384 (60 bytes on wire, 60 bytes captured)
Arrival Time: Aug 1, 2005 13:01:00.577443000
Time delta from previous packet: 0.469385000 seconds
Time since reference or first frame: 4119.578588000 seconds
Frame Number: 7384
Packet Length: 60 bytes
Capture Length: 60 bytes
Protocols in frame: eth:ip:igmp
Ethernet II, Src: xx.xx.x.xxx (xx:xx:xx:xx:xx:xx), Dst: xx:xx:xx:xx:xx:xx (xx:xx:xx:xx:xx:xx)
Destination: xx:xx:xx:xx:xx:xx (xx:xx:xx:xx:xx:xx)
Source: xx.xx.x.xx (xx:xx:xx:xx:xx:xx)
Type: IP (0x0800)
Trailer: 000000000000
Internet Protocol, Src: xx.xx.x.xxx (xx.xx.x.xxx), Dst: 224.0.0.22 (224.0.0.22)
Version: 4
Header length: 24 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 40
Identification: 0x00cb (203)
Flags: 0x00
0... = Reserved bit: Not set
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 1
Protocol: IGMP (0x02)
Header checksum: 0xe9e6 [correct]
Source: xx.xx.x.xxx (xx.xx.x.xxx)
Destination: 224.0.0.22 (224.0.0.22)
Options: (4 bytes)
Router Alert: Every router examines packet
Internet Group Management Protocol
IGMP Version: 3
Type: Membership Report (0x22)
Header checksum: 0xea03 [correct]
Num Group Records: 1
Group Record : 239.255.255.250 Change To Exclude Mode
Record Type: Change To Exclude Mode (4)
Aux Data Len: 0
Num Src: 0
Multicast Address: 239.255.255.250 (239.255.255.250)

Gairigo · Verfasst am: 01.08.2005 14:26 Titel: Re: IGMP-Pakete

LinMate hat folgendes geschrieben:
Hier ein Auszug aus meinen Logs.

IP und MAC hab ich ausgeXt.
Ethernet II, Src: xx.xx.x.xxx (xx:xx:xx:xx:xx:xx), Dst: xx:xx:xx:xx:xx:xx (xx:xx:xx:xx:xx:xx)
Destination: xx:xx:xx:xx:xx:xx (xx:xx:xx:xx:xx:xx)
Source: xx.xx.x.xx (xx:xx:xx:xx:xx:xx)

@LinMate

Aus Deinem Log werde ich schon deswg. nicht schlau, weil Du, was ja auch OK ist, eben alle IP-Adrs. ge-x-st hast.

Empfehlungen · Verfasst am: 18.05.2012 12:47 Titel:

Amazon.de Widgets

LinMate · Anmeldungsdatum: 20.07.2005 Beiträge: 7

Ok

100.100.100.100 ist die WAN-IP des Routers. (geändert)
MAC auch geändert.

Ich hoffe, nun ist mehr zu sehen.

Ich habe mal die Meldungen mit !!! !!! markiert.

No. Time Source Destination Protocol Info
7384 4119.578588 100.100.100.100 224.0.0.22 IGMP V3 Membership Report

Frame 7384 (60 bytes on wire, 60 bytes captured)
Arrival Time: Aug 1, 2005 13:01:00.577443000
Time delta from previous packet: 0.469385000 seconds
Time since reference or first frame: 4119.578588000 seconds
Frame Number: 7384
Packet Length: 60 bytes
Capture Length: 60 bytes
Protocols in frame: eth:ip:igmp
Ethernet II, Src: 100.100.100.100 (00:70:c7:36:a0:ab), Dst: 01:00:2a:00:00:10 (01:00:2a:00:00:10)
Destination: 01:00:2a:00:00:10 (01:00:2a:00:00:10)
Source: 100.100.100.100 (00:70:c7:36:a0:ab)
Type: IP (0x0800)
Trailer: 000000000000
Internet Protocol, Src: 100.100.100.100 (100.100.100.100), Dst: 224.0.0.22 (224.0.0.22)
Version: 4
Header length: 24 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 40
Identification: 0x00cb (203)
Flags: 0x00
0... = Reserved bit: Not set
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 1
Protocol: IGMP (0x02)
Header checksum: 0xe9e6 [correct]
Source: 100.100.100.100 (100.100.100.100)
Destination: 224.0.0.22 (224.0.0.22)
Options: (4 bytes)
!!!Router Alert: Every router examines packet!!!
Internet Group Management Protocol
IGMP Version: 3
Type: Membership Report (0x22)
Header checksum: 0xea03 [correct]
Num Group Records: 1
Group Record : 239.255.255.250 !!!Change To Exclude Mode!!!
Record Type:!!! Change To Exclude Mode (4)!!!
Aux Data Len: 0
Num Src: 0
Multicast Address: 239.255.255.250 (239.255.255.250)

Gairigo · Verfasst am: 01.08.2005 15:10 Titel: Re: IGMP-Pakete

LinMate hat folgendes geschrieben:
Ok

100.100.100.100 ist die WAN-IP des Routers. (geändert)
MAC auch geändert.

Protocol: IGMP (0x02)
Header checksum: 0xe9e6 [correct]
Source: 100.100.100.100 (100.100.100.100)
Destination: 224.0.0.22 (224.0.0.22)
Options: (4 bytes)
!!!Router Alert: Every router examines packet!!!

Internet Group Management Protocol

Num Group Records: 1

Group Record : 239.255.255.250 !!!Change To Exclude Mode!!!
Record Type:!!! Change To Exclude Mode (4)!!!

Multicast Address: 239.255.255.250 (239.255.255.250)

@LinMate

1) Zu der Dest. IP-Adrs. und der Group-Record:

Zitat: Die Multicast Adressen sind D-Class Adressen und haben die ersten drei Bits auf 1 gestellt.
1110 = 128 + 64 + 32 = 224 4 High-Order Bit, restlichen 28 Bit sind die Gruppenadressen
(Gruppen-ID). Der Multicast D-Class-Range geht von: 224.0.0.0 - 239.255.255.255

zu IGMP:

Zitat: IGMP-Infos werden an Router weitergegeben zur Information der multicastfähigen Router über Host-Gruppen in Netzwerken

Die Ursache welche wird sich irn einem der beiden Netze befinden.

Gairigo · Verfasst am: 01.08.2005 15:22 Titel:

Nachtrag zu IGMP u. Multicast und den in Deinem Log aufgeführten Class-D Multicast-IP-Adrs.:

Zitat: Klasse D:
Klasse D Adressen, sogenannte Multicast-Adressen, werden dazu verwendet ein Datengramm an mehrere Hostadressen gleichzeitig zu versenden. Das erste Byte einer Multicast-Adresse hat den Wertebereich von 224 bis 239, d.h. die ersten drei Bit sind gesetzt und Bit 4 ist gleich 0. Sendet ein Prozeß eine Nachricht an eine Adresse der Klasse D, wird die Nachricht an alle Mitglieder der adressierten Gruppe versendet. Die Übermittlung der Nachricht erfolgt, wie bei IP üblich, nach bestem Bemühen, d.h. ohne Garantie, daß die Daten auch tatsächlich alle Mitglieder einer Gruppe erreichen.

Für das Multicasting wird ein spezielles Protokoll namens Internet Group Management Protocol (IGMP) verwendet. IGMP entspricht grob ICMP, mit dem Unterschied, daß es nur zwei Arten von Paketen kennt: Anfragen und Antworten. Anfragen werden dazu verwendet, zu ermitteln welche Hosts Mitglieder einer Gruppe sind. Antworten informieren darüber, zu welchen Gruppen ein Host gehört. Jedes IGMP-Paket hat ein festes Format und wird zur Übertragung in IP-Pakete eingekapselt.

LinMate · Anmeldungsdatum: 20.07.2005 Beiträge: 7

Hi,
danke für umfangreiche Erklärung.

Nur wie kann ich verhindern, das diese Pakete ins Internet gehen?
Welches Programm auch immer dafür verantwortlich ist, darf diese Pakete nicht ins Internet senden.

Über den Tunnel geht einzig und allein RDP.
Aber meines Wissens sendet der RDP-Client keine IGMP-Pakete.

Ich werde noch einen Portblocker vor den Router setzen, der nur RDP durchlässt. Damit ich auch sicher ausschliessen kann, das nicht doch der Router diese Pakete selbst erstellt.

Grüsse
LinMate

Gairigo · Anmeldungsdatum: 21.11.2003 Beiträge: 47256 Wohnort: Hamburg

LinMate hat folgendes geschrieben:
Hi,
danke für umfangreiche Erklärung.

@LinMate

gerne wenn möglich, aber dann bitte auch richtig lesesn, denn:

1) IGMP entspricht grob ICMP, mit dem Unterschied, daß es nur zwei Arten von Paketen kennt:

Anfragen und Antworten.

a) Anfragen werden dazu verwendet, zu ermitteln welche Hosts Mitglieder einer Gruppe sind.

b) Antworten informieren darüber, zu welchen Gruppen ein Host gehört.

2) Jedes IGMP-Paket hat ein festes Format und wird zur Übertragung in IP-Pakete eingekapselt.

Ich wüßte im Mom. nicht, warum der Router "selbständig" dann "irgendwelche Anfragen" verschicken kann/sollte oder erhält und dann ebenso selbständig "irgendwelche Antworten" dazu verschickt oder eben auch erhät.