[dantro]

Hi fella,

ich finde die gesamte Konstellation nicht gerade glücklich gewählt. Das 10er Netz für das LAN hätte man sicher mit einer 16er oder noch besser 24er Maske definieren können (Stichpunkt VPN zu anderen Netzen, wo sich ebenfalls oftmals 10er Netze befinden, bzw. 'Group with Exclusions' wenn sich in Außenstellen auch 10er Netze befinden) oder die 172er mit 24er Maske. Ferner kann "Networkobject_172.18.18.24-24" nicht ganz stimmen. Wäre es eine 24er Maske hieße das Netz: 172.18.18.0. Es wurde auch nicht angegeben, ob die Netze einschließlich der Broadcastadresse definiert wurden. Die UDP Anfrage geht nämlich genau auf die letzte Adresse vor dem Broadcast.

Eine Firewall ist dazu da Sicherheit zu schaffen. Anti-Spoofing abzuschalten ist die letzte Alternative, welche man ergreifen sollte. Ich empfehle einfach mal ein CPINFO zu erstellen und an den CSP zu senden. Erfahrungsgemäß wird dieser bei solchen Sachen innerhalb kurzer Zeit den Grund für das auftretende Address Spoofing mitteilen.

Sicherheit muß gelebt werden. Das fängt schon bei der Definition von Netzwerken an. Das sieht mir alles noch nicht ganz durchdacht aus. Um dennoch schnell das Problem ausfindig zu machen würde ich im Clusterobjekt ein Update der Topologie machen und die Gruppen nach vorheriger Überprüfung den Interfaces neu zuweisen.

Best regards,
Danny Trommer
CCSA/CCSE/CCSE+