Quizauflösung: Fehlersuche mittels ICMP-Rückmeldungen

2025-09-25ICMP/ICMPv6c't Artikel, Challenge, Dynamic Routing, Firewall, ICMP, ICMPv6, Server, tshark, WiresharkJohannes Weber

Die Fehlersuche in IP-Netzwerken fällt nicht leicht, denn einem Netzwerkschluckauf können viele Ursachen zugrunde liegen. Profi-Admins kennen aber Wege, um das klassische und meist aufwendige Troubleshooting abzukürzen. Beispielsweise kann man Fehlerquellen anhand von ICMP-Rückmeldungen der Netzwerkgeräte eingrenzen, die an einem fehlgeschlagenen IP-Dialog beteiligt sind. Welche Meldungen das sind und wie man sie interpretiert, haben wir hier ausführlich beschrieben.

Am Ende dieses Beitrags haben wir vier Netzwerkanalyse-Aufgaben gestellt. Die Grundlage dafür bildet ein Verkehrsmitschnitt, den man mit dem Analysetool Wireshark öffnet und mit einem Display-Filter siebt. Hier folgen die Antworten zu den Aufgaben.

Continue reading Quizauflösung: Fehlersuche mittels ICMP-Rückmeldungen →

ICMP-Meldungen zur Fehlersuche im Netz einspannen

2025-09-13ICMP/ICMPv6, Internet Access, RoutingARP, c't Artikel, Challenge, Dynamic Routing, Firewall, ICMP, ICMPv6, IPv6 Neighbor Cache, tcpdump, Troubleshooting, tshark, VLAN, WiresharkJohannes Weber

Sie sind Admin und Ihr Netz kränkelt. Wo fangen Sie an mit der Fehlersuche? Unser Tipp: Tasten Sie Ihre Netzwerkpatienten mal nach ICMP-Symptomen ab. Viele führen direkt zur Ursache.

Wenn man Netzwerkschluckauf behandeln muss, gilt Wireshark als eines der Lieblingswerkzeuge von Netzwerkadmins. Denn falsch angestöpselten oder fehlkonfigurierten Servern kommt man oft schon anhand eines Netzwerkmitschnitts auf die Spur und erspart sich so den Adminzugriff auf Abteilungsrouter oder -switches. Als behandelnder Admin müssen Sie das aufgefangene Paketkonfetti nur noch mit einem geeigneten Display-Filter sieben, um jene Paketsorte im Kescher zu behalten, die Fehlerhinweise gratis unter Ihre wissenden Augen bringt: die ICMP-Päckchen.

Continue reading ICMP-Meldungen zur Fehlersuche im Netz einspannen →

ICMP ‘Destination Unreachable’ Messages @ SharkFest’24 EU

2025-08-11Conference Talks, ICMP/ICMPv6, Internet AccessBest Practice, Destination Unreachable, error, ICMP, ICMPv6, SharkFest, Troubleshooting, WiresharkJohannes Weber

I did a presentation at SharkFest’24 EU in Vienna, the “Wireshark Developer and User Conference“, about the topic: “Unveiling Network Errors – A Deep Dive into ICMP ‘Destination Unreachable’ Messages“. It covers the following:

“Effective troubleshooting of network issues is a critical concern for network technicians. While many are familiar with basic ICMP tools like ping and traceroute, the breadth of ICMP capabilities often goes underutilised. This session delves into ICMP messages, specifically the ‘Destination Unreachable’ type, and the insights they provide into network errors.

We will explore methods for capturing and analysing network traffic, highlighting practical tips and tricks for using Wireshark to diagnose and resolve issues efficiently. Attendees will gain a deeper understanding of ICMP message functions and how to leverage them for improved network troubleshooting.”

You can watch the whole session and download the slides. And you can do the six challenges at the end of the session as well. (The answers are not in the PDF, but shown in the video.)

Continue reading ICMP ‘Destination Unreachable’ Messages @ SharkFest’24 EU →

Security-as-a-Podcast

2025-07-07Conference TalksBuzzwords, PodcastJohannes Weber

Es ist so weit – mein Kollege Florian und ich haben einen Podcast gestartet! 🎉

Der Security-as-a-Podcast beschäftigt sich mit Netzwerksicherheit – aber nicht im klassischen „Wir erklären euch die RFCs“-Stil, sondern eher aus der Perspektive von zwei Menschen, die selbst regelmäßig mit Security-Buzzwords bombardiert werden und manchmal nur halb wissen, worum es wirklich geht.

Begriffe wie SASE, ZTA oder OT begegnen uns im Alltag ständig – in Projekten, in Meetings, auf Konferenzen. Doch wie oft bleibt davon wirklich was hängen? Und was davon ist mehr Marketing als Substanz?

In unserem Podcast sprechen wir genau darüber – miteinander und mit Experten. Ziel ist es, Wissen zu entwirren, einzuordnen und so aufzubereiten, dass es greifbar und verständlich wird – und im besten Fall auch im Kopf bleibt. Vom Business-Case hin zum Tool.

Continue reading Security-as-a-Podcast →

Editing Palo Configs by Scripts: pan-os-php

2025-06-25Palo Alto Networks, Tutorial/HowtoAPI, Docker, Palo Alto Networks, PAN-OS, pan-os-php, Panorama, Script, WSLJohannes Weber

There are recurring cases where tasks cannot be edited quickly and easily using the classic Palo Alto Networks GUI or Panorama. For example, editing multiple policies at once, such as during a zone migration. Or checking which policies haven’t log forwarding enabled, hence enabling it directly. Or finding unused objects, including deleting them.

For these situations (and many more!), there’s a tool with a wealth of predefined scripts: pan-os-php. This first blog post covers installation and some initial use cases.

Continue reading Editing Palo Configs by Scripts: pan-os-php →

Azure PTP Accuracy

2025-05-22Microsoft Azure, NTPAzure, fail, PTP, timeSteven Sommars

The Network Time Protocol (NTP) is widely used to synchronize computer clocks. The Precision Time Protocol (PTP) can be used as a time source as well, which is expected to be accurate within microseconds. However, at Microsoft Azure VMs, PTP-derived time-of-day errors could exceed 50,000 microseconds, which may be inadequate. Let’s go into some details:

Continue reading Azure PTP Accuracy →

Bad IPv6 Approaches

2025-04-25IPv6Dual-Stack, FortiGate, GUA, IPv4 Thinking, IPv6, IPv6 Global Unicast Address, ISP, NAT, Network Design, NPTv6, SOHO, ULAJohannes Weber

I just got a few emails from an administrator of a medium-sized company, asking some IPv6 questions. They want to use IPv6 to reach the Internet, using two ISPs, while remaining IPv4-only on their internal networks. For whatever reason, they came across three different ideas that were almost completely wrong, speaking of a sound IPv6 design. But why? Maybe because IPv4 thinking is a bigger problem than we ever thought? Or because admins rely on firewall vendors (like Fortinet) that suggest completely wrong network approaches?

Let’s dig into some misconceptions concerning IPv6:

Continue reading Bad IPv6 Approaches →

Palo Alto Networks Announces Strategic Shift to Apparel Manufacturing

2025-04-01Palo Alto NetworksApril 1st, merchandising, Palo Alto Networks, shirt, socksJohannes Weber

Palo Alto Networks, a global leader in cybersecurity solutions, has announced a significant strategic shift. The company will transition from its core cybersecurity business to exclusively focus on apparel manufacturing.

Continue reading Palo Alto Networks Announces Strategic Shift to Apparel Manufacturing →

Path MTU Discovery

2025-03-24ICMP/ICMPv6, Internet Access, RoutingFragmentation, ICMP, ICMPv6, IPv4, IPv6, MTU, Ultimate PCAP, WiresharkJohannes Weber

One of the mysteries for me in IP networks was the Path MTU Discovery (PMTUD) process. I’ve seldom seen any problems with the MTU at all. Fortunately, while troubleshooting some router issues, I captured several ICMP “packet too big” errors along with the original packets. 👍🏻

Let’s have a look at those PMTUD processes for IPv6 and legacy IP with Wireshark. Of course, these captured connections are part of the Ultimate PCAP as well, hence, you can download the most current version of it and analyze it by yourself.

Continue reading Path MTU Discovery →

Which KPIs to monitor on a Palo Alto Firewall?

2025-03-14Monitoring, Palo Alto NetworksAPI, global counters, KPI, metrics, Monitoring, Palo Alto Networks, XMLJohannes Weber

We wanted to monitor some of our Palo firewalls from our monitoring system via the API. But: Which enhanced metrics/KPIs shall we monitor? While there are some obvious ones such as interface counters, uptime, software versions, license expiry dates, or HA-states, we dug a little deeper to get more out of it, such as mgmt-/data-plane stats, packet rates, drop counters (all global counters?), and routing entries.

Here are some ideas on which values a monitoring system could observe. I’m listing the required API calls along with some demo values that can be used to develop monitoring tools/scripts.

Continue reading Which KPIs to monitor on a Palo Alto Firewall? →

Dual-Stack PPPoE on a FortiGate Firewall

2025-03-03Fortinet, Internet Access, IPv6DHCPv6-PD, DSL, Dual-Stack, FortiGate, PPPoE, ProfiShark, Telekom, WiresharkJohannes Weber

You can use a FortiGate to connect to the Internet (that is: Dual-Stack!) directly in various ways. In my current setup, I’m using a PPPoE residential xDLS connection. It’s not that easy to configure everything correctly since it requires the use of many different protocols such as PPPoE and PPPoEv6 (PPP IPV6CP) along with DHCPv6-PD. But here it is:

Continue reading Dual-Stack PPPoE on a FortiGate Firewall →

DHCPv6 Prefix Delegation on a FortiGate Firewall

2025-02-13DHCP/DHCPv6, Fortinet, IPv6Bug, DHCPv6-PD, FortiGate, Fortinet, IPv6, IPv6 Dynamic Prefix, Router Advertisement, WiresharkJohannes Weber

I got DHCPv6-PD aka prefix delegation up and running on a FortiGate. Yes! ✅ Configuring it is tricky since it’s not always clear which options to use. You cannot see everything in the GUI (it even changes depending on other options made later on or selects hidden and wrong default values), hence, you must set specific options via the CLI. I navigated around some bugs and finally got it running. Here we go:

Continue reading DHCPv6 Prefix Delegation on a FortiGate Firewall →

Dual-Stack PPPoE on a Palo Alto Firewall

2024-12-19Internet Access, IPv6, Palo Alto NetworksDHCPv6-PD, DSL, Dual-Stack, Palo Alto Networks, PPPoE, ProfiShark, Telekom, WiresharkJohannes Weber

If you want to establish an Internet connection (that is: IPv6 and IPv4) right away from your firewall through xDSL connections, you need quite some technologies: PPPoE and PPPoEv6 (PPP IPV6CP) along with DHCPv6-PD. Fortunately, with PAN-OS 11.0 and 11.1, those missing IPv6 links were finally added by PANW to their Strata firewalls. (I have been awaiting them since 2015!)

So, here it is: Connecting a Palo through an xDSL modem to a residential ISP:

Continue reading Dual-Stack PPPoE on a Palo Alto Firewall →

xDSL-Modems

2024-12-16FRITZ!Box, Internet AccessDrayTek, DSL, Firewall, FRITZ!Box, Modem, VDSL, VigorJohannes Weber

Wenn man eine Enterprise-Firewall an einem klassischen DSL-Anschluss verwenden möchte, benötigt man ein extra DSL-Modem. Dies unterscheidet sich von Heimkundenroutern wie der Fritzbox, die immer schon ein DSL-Modem mit eingebaut hat. Back to the roots – so wie damals, als man ein Dreiergespann aus Splitter, Modem und Router hatte – kennt ihr es noch? ;)

In meinem Fall wollte ich eine Palo bzw. Forti an einem Telekom VDSL-Anschluss betreiben. Zwei Varianten habe ich getestet: Eine zum Modem degradierte Fritzbox (Bastellösung) und ein reines DSL-Modem aus dem Hause DrayTek. Hier ein paar Notizen und Screenshots:

Continue reading xDSL-Modems →

Das Domain Name System

2024-12-06DNS/DNSSECc't Artikel, conditional forwarding, DDNS, DNS, DNSSEC, EDNS, Reverse DNSJohannes Weber

Kaum ein anderes Element ist so essenziell für das Internet wie das Domain Name System. Ruckelts mal im DNS, reagieren Webseiten und überhaupt alle Internetanwendungen gleich langsamer oder gar nicht. Doch um Fehlerursachen zu ermitteln und zu beseitigen, brauchen Firmen- und Heim-Admins ein weitreichendes Verständnis der Zusammenhänge.

Continue reading Das Domain Name System →

Weberblog.net

IT-Security, Networks, IPv6, VPN, DNSSEC, NTP