Avis sur un message OPENVPN



  • Bonjour, :-[

    J'ai quelques lignes dans les logs de mon serveur openvpn qui me paraissent suspectes.

    Les adresses IP ont été volontairement remplacées par des X.

    A priori il n'y a pas de connexion établie mais …

    version pfsense 2.1.2 à jour.

    Que penser du Bad encapsulated packet lenght ? Merci.

    Apr 15 02:57:09 openvpn[16338]: xxx.xxx.xx.xxx:21086 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1560 – please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart…]

    Apr 15 02:57:09 openvpn[16338]: TCP connection established with [AF_INET]xxx.xxx.xx.xxx:21086

    Je précise que mes utilisateurs distants se connectent via un client ssl + certificat et que tout fonctionne bien. Cette capture ci dessus correspond à une tentative de connexion depuis une adresse IP et un client non sollicité, d'ou mon interrogation. Merci pour vos réponses.



  • Il y a plusieurs fils sur ce sujet dans le forum US. Cela peut vous aider éventuellement. Il n'est pas exclu que vous ayez de la visite … Vous pouvez géolocaliser les adresses sources par curiosité.



  • Bonjour, oui la Chine.



  • Habituel et fréquent. Vous pouvez éventuellement filtrer tout le numéro de réseau pour être tranquille. Si c'est possible pour vous.



  • Bonjour, merci pour votre aide.

    Par exemple j'ai cette adresse : 101.226.14.72
    Il faut filtrer sur le wan quelle plage ?
    merci.

    101.226.0.0 /16 ?



  • Pour le savoir il est utile de regarder domainstools.com par exemple.
    http://whois.domaintools.com/101.226.14.72
    Ils ont plus qu'un /16 : 101.224.0.0 - 101.231.255.255



  • Merci. Bonne soirée.


Log in to reply