UPnP Location overflow attempt

Hallo zusammen,

seit neuestem (vermultich seit dem letzten Gluon-Upate) erhalte ich von Snort Meldungen „UPnP Location overflow attempt“ mit Sourcen 89.163.150.86:4042 und 89.163.150.87:4042 und Ziel 192.168.0.254. Es handelt sich um UDP-Pakete.

89.163.150.86 ist rg-west01.freifunk.ruhr, 89.163.150.87 rg-west02.freifunk.ruhr und 192.168.0.254 gehört zu dem Router an dem unsere Freifunk-Router dran hängen. Die Freifunk-Router hängen aber an einem anderen Interface mit einem völlig anderen Subnetz. In den UDP-Paketen sehe ich HTTP-Antworten im Klartext.

Wenn ich es richtig verstehe, sollte die Verbindung zwischen den VPN-Nodes und den beteiligten Freifunk-Routern bestehen und nicht zwischen VPN-Node und einem der nachgeschalteten Router - und diese besteht ja auch:

# netstat -atulpen|grep :4042
udp        0      0 192.168.100.52:48218    89.163.150.86:4042      ESTABLISHED 1184/tunneldigger
udp        0      0 192.168.100.52:52658    89.163.150.87:4042      ESTABLISHED 1184/tunneldigger

Das ist ja soweit korrekt, aber kann jemand erklären, wieso rg-west0x.freifunk.ruhr auch noch Pakete an das Interface des nachgeschalteten Routers sendet?

OK, nun hab ich mich so weit eingelesen, dass ich verstanden habe, dass der verschlüsselte fastd VPN-Tunnel kürzlich durch einen unverschlüsselten L2TP-Tunnel (tunneldigger) ersetzt wurde.

Das erklärt, wieso ich plötzlich HTTP-Inhalt im Klartext mitlesen kann.

Nicht erklärt ist aber, wieso die Pakete teilweise an einem Router-Interface als Ziel aufschlagen und Snort dann meint, es mit einem „UPnP Location overflow attempt“ zu tun zu haben.