Hallo zusammen,
seit neuestem (vermultich seit dem letzten Gluon-Upate) erhalte ich von Snort Meldungen „UPnP Location overflow attempt“ mit Sourcen 89.163.150.86:4042 und 89.163.150.87:4042 und Ziel 192.168.0.254. Es handelt sich um UDP-Pakete.
89.163.150.86 ist rg-west01.freifunk.ruhr, 89.163.150.87 rg-west02.freifunk.ruhr und 192.168.0.254 gehört zu dem Router an dem unsere Freifunk-Router dran hängen. Die Freifunk-Router hängen aber an einem anderen Interface mit einem völlig anderen Subnetz. In den UDP-Paketen sehe ich HTTP-Antworten im Klartext.
Wenn ich es richtig verstehe, sollte die Verbindung zwischen den VPN-Nodes und den beteiligten Freifunk-Routern bestehen und nicht zwischen VPN-Node und einem der nachgeschalteten Router - und diese besteht ja auch:
# netstat -atulpen|grep :4042
udp 0 0 192.168.100.52:48218 89.163.150.86:4042 ESTABLISHED 1184/tunneldigger
udp 0 0 192.168.100.52:52658 89.163.150.87:4042 ESTABLISHED 1184/tunneldigger
Das ist ja soweit korrekt, aber kann jemand erklären, wieso rg-west0x.freifunk.ruhr auch noch Pakete an das Interface des nachgeschalteten Routers sendet?