Avis sur un message OPENVPN
-
Bonjour, :-[
J'ai quelques lignes dans les logs de mon serveur openvpn qui me paraissent suspectes.
Les adresses IP ont été volontairement remplacées par des X.
A priori il n'y a pas de connexion établie mais …
version pfsense 2.1.2 à jour.
Que penser du Bad encapsulated packet lenght ? Merci.
Apr 15 02:57:09 openvpn[16338]: xxx.xxx.xx.xxx:21086 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1560 – please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart…]
Apr 15 02:57:09 openvpn[16338]: TCP connection established with [AF_INET]xxx.xxx.xx.xxx:21086
Je précise que mes utilisateurs distants se connectent via un client ssl + certificat et que tout fonctionne bien. Cette capture ci dessus correspond à une tentative de connexion depuis une adresse IP et un client non sollicité, d'ou mon interrogation. Merci pour vos réponses.
-
Il y a plusieurs fils sur ce sujet dans le forum US. Cela peut vous aider éventuellement. Il n'est pas exclu que vous ayez de la visite … Vous pouvez géolocaliser les adresses sources par curiosité.
-
Bonjour, oui la Chine.
-
Habituel et fréquent. Vous pouvez éventuellement filtrer tout le numéro de réseau pour être tranquille. Si c'est possible pour vous.
-
Bonjour, merci pour votre aide.
Par exemple j'ai cette adresse : 101.226.14.72
Il faut filtrer sur le wan quelle plage ?
merci.101.226.0.0 /16 ?
-
Pour le savoir il est utile de regarder domainstools.com par exemple.
http://whois.domaintools.com/101.226.14.72
Ils ont plus qu'un /16 : 101.224.0.0 - 101.231.255.255 -
Merci. Bonne soirée.