aif-get
Goto Top

Fritzbox 7490 DHCP ins Netz trotz NAT? LLDP als Ursache?

Hallo,

wir besitzen ein Netwzerk mit zwei DHCP Servern über einen Switch:

Einmal ein Lancom für den Verkabelten Bereich und ein Fritzbox für den WLAN bereich, diese ist per LAN1 an den Switch gehangen und hatte bisher immer einen eigenen IP Bereich im WLAN gemacht.

NUn hatte ich letztens auf dem Lancom LLPD aktiviert und Plötzlich drängte sich die Fritzbox als DHCP durch und vergab den falschen Adressbereich. Das konnte egentlich nicht sein weil über Port1 doch die Fritzbox ein NAT macht nach aussen? UpnP ist auch aktiviert.

Kann es also hier vllt. sein, dass durch das LLDP irgendwas gesetzt wurde? Aber wieso ist das so, war etwas verwirrt.

Danke für eure Informationen dazu face-smile

Content-ID: 484461

Url: https://administrator.de/contentid/484461

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

aqui
aqui 12.08.2019 aktualisiert um 11:27:58 Uhr
Goto Top
Du nutzt die FB nur als dummen WLAN Accesspoint, richtig ?
Dann hast du sie falsch angeschlossen, denn der LAN 1 Port erzeugt ein separates IP Netz was dann über die NAT Firewall abgetrennt ist vom WLAN. Routingtechnisch ist das immer eine Einbahnstrasse und suboptimal.
Es ist quasi genau we im Internet, denn der LAN 1 Port ist quasi der Internet Port mit abgeschaltetem internen xDSL Mode.
Sinnvoller ist es den AP als einfachen AP über die gebridgten LAN Ports laufen zu lassen, was dir dann auch 2 DHCP Server erspart und das einseitige Routing über NAT.
Wie man das richtig macht erklärt dir dieses Foren Tutorial:
Kopplung von 2 Routern am DSL Port

Thema LLDP....
LLDP ist ein Protokoll um Endgeräte Resourcen usw. im Netzwerk zu erkennen. Es wäre in höchstem Maße fatal wenn AVM als Hersteller der FritzBoxen sowas auf dem Internet Port LAN1 aktiviert hätte. Jeder im Internet könnte dann ungeschützt sehen was die FritzBox kann und was nicht. Ein massives Sicherheitsloch das mit an Sicherheit grenzender Wahrscheinlichkeit niemals aktiviert ist auf dem Internet Port. Wenn doch wäre es ein fataler Bug.
Das kannst du auch ganz einfach selber testen wenn du nur mal ein klein wenig nachgedacht hättest und den Wireshark Netzwerk Sniffer im Netz angeschmissen hättest.
Mit dem hättest du dann sehen müssen das vom LAN 1 Ports zyklisch LLDP Broadcasts ins Netz gehen.
Ganz sicher ist das aber aus den o.a. Gründen nicht der Fall. Darf sogar eher bezweifelt werden das die FritzBox als billiges Consumer Gerät generell überhaupt LLDP supportet ?!
Mit dem Wireshark hättest du auch sofort gesehen WER sont noch DHCP macht im Netz. Das die FritzBox die DHCP Server Funktion auf dem WAN/Internet Port bereitstellt kann wohl sicher ausgeschlossen werden. Da dürfte eher eine Fehlkonfiguration oder Fehlpatchung der Grund sein. Oder....jemand hat sich irgendwas von zuhause mitgebracht was DHCP macht und ins ungeschützte Netz gesteckt !!
Fazit:
Nein, LLDP macht die FB sicher nicht auf dem Internet Port und kann damit dann auch nichts auf anderen Geräten dort "setzen".
UpnP ist auch aktiviert.
Sowas ist natürlich tödlich auf einem Router oder auf Geräten insgesamt. Weiss heutzutage eigentlich jeder Dummie. Generell gehört UPnP immer AUS. Zumindest immer auf Router oder Firewall.
Mit offener UPnP Schnittstelle ist so ein System anfällig für Trojaner und Viren und andere Malware die sich über UPnP Löcher in der Firewall verschafft. Kein normaler Mensch hat deshalb so eine Zeitbombe aktiv auf diesen Komponenten !
Sagt einem ja auch schon der gesunde Menschenverstand wenn einem Privatsphäre und Sicherheit seiner Daten etwas bedeuten.
aif-get
aif-get 12.08.2019 um 12:12:43 Uhr
Goto Top
Hallo, das ist schon richtig so, die fritze soll ein eigenes Netz machen nur die das wlan. (WLAN soll direkt getrennt sein vom ProduktivNetz) das hatte bisher auch wunderbar geklappt so. Für das WLAN soll sie demenstprechend IPs an die WLAN Clients verteilen.

Die Frage wäre hier also eher gewesen, warum oder wie die Fritzbox es geschafft hatte am Port 1, der ja isoliert ist, Broadcasts in das Produktivnetz zu senden und somit dem LANCOM Dhcp vorzudrängen.

Dieses Phänomen ist nach aktivieren des LLDP auf dem switch und lancom aufgetreten. Daher meine Frage, ob hier doch bugs zu sein scheinen.
aqui
Lösung aqui 12.08.2019 aktualisiert um 12:40:54 Uhr
Goto Top
WLAN soll direkt getrennt sein vom ProduktivNetz
OK, dann musst du das natürlich so mit dem LAN 1 Port einrichten, keine Frage. Nur so erzeugst du dann 2 getrennte IP Netze und das WLAN ist vom LAN abgeschottet.
Das bedeutet aber auch das dann einzig nur Traffic vom WLAN zum LAN möglich ist aber nicht andersrum. Das verhindert dann die NAT Firewall. Ist aber natürlich kein Thema wenn du nur unidirektionlen Traffic hast ?!
warum oder wie die Fritzbox es geschafft hatte am Port 1, der ja isoliert ist, Broadcasts in das Produktivnetz zu senden
Na ja isoliert ist er ja in dem Sinne nicht. Der Port "LAN 1" steckt ja direkt in deinem LAN und ist somit keineswegs isoliert. Er ist lediglich isoliert von den lokalen LAN Ports bzw. des WLANs der FB.
Du kannst aber trotzdem davon ausgehen das die FB am LAN 1 Port (beim Modem Bypass) niemals LLDP Frames aussendet, was aus den o.a. Gründen fatal wäre.
Im Zweifel nimm selber einen Wireshark Sniffer (kostenlos) und sieh dir das an !! Das erklärt das doch sofort und wasserdicht ohne Spekuliererei in einem Forum !!
Daher meine Frage, ob hier doch bugs zu sein scheinen.
Das wäre zweifelsohne möglich. Dazu ist aber ein Administrator Forum der falsche Ansprechpartner. Das solltest du besser und sinnvoller mit einem Email an den AVM/FritzBox Support klären.
Wäre sicher spannend denn das wäre schon ein sehr gravierender Sicherheits Bug !
FritzBox Firmware ist auf dem neuesten Stand ??
aif-get
aif-get 12.08.2019 aktualisiert um 12:59:30 Uhr
Goto Top
Es handel sich hier um eine Fratzbox 07.11

Werde das nächste mal vor Ort direkt mit dem Sniffer das genauer untersuchen, bzw an AVM direkt rantreten. Aber wie gesagt, dass da überhaupt dhcpoffer gesendet werden auf Port 1 Modem Bypass Mode ist nicht im Sinne des Erfinders.

Im Idealfall solle bei ausgeschlatetem LAncom DHCP einfach keine IP vergeben werdne können.
Pjordorf
Pjordorf 12.08.2019 um 13:02:23 Uhr
Goto Top
Hallo,

Zitat von @aif-get:
Einmal ein Lancom für den Verkabelten Bereich und ein Fritzbox für den WLAN bereich, diese ist per LAN1 an den Switch gehangen und hatte bisher immer einen eigenen IP Bereich im WLAN gemacht.
2 DHCP Server auf den gleichen Draht? Reservierungen oder wie?

weil über Port1 doch die Fritzbox ein NAT macht nach aussen? UpnP ist auch aktiviert.
uPNP gehört natürlich aus
Und ein DHCP Antwortet ebeb so schnell er kann, dann hat er schon gewonnen. Und ein DHCP juckt es nicht wem er seinen IPS gibts. Und per Port1 kann ich zwar Internet beziehen, aber per Port4 kann ein Fritte ein Gastnetz Intern aufspannen. Sicher das du Port 1 nicht mit Port 4 verwechelst? Oder ist dein Fritte gepimpt / geändert?

Gruß,
Peter
em-pie
em-pie 12.08.2019 um 13:17:13 Uhr
Goto Top
Moin,

mal unabhängig von deinem eigentlichen Problem:
WLAN soll direkt getrennt sein vom ProduktivNetz

So, wie sich das raus liest, schottest du nicht das WLAN vom Produktivnetz ab, sondern das Produktivnetz vom WLAN.
Sprich: die Clients aus dem WLAN kommen ins Produktivnetz, nicht aber umgekehrt.
Zumindest, wenn LAN1 der Fritte dem selben IP-Netz beiwohnt, wie das ProdNetz...

Gruß
em-pie
aif-get
aif-get 14.08.2019 um 08:41:05 Uhr
Goto Top
Die clients aus dem WLAN Netz kommen nicht auf das Produktivnetz. ping geht allerdings durch.

Umgekehrt gehts von dem Produktivnetz auf die WLAN Cients zuzugreifen.

Aber am merkwürdigsten fande ich diesen plötzlichen wandel. Der lancom war immer erster DHCP Server, nun ist da snicht mehr so. Die fritzbox setzt sich durch.
Gehe ich vllt also der annahme dass die Fritz oder de rLANCOM einen defekt haben könnten?

Wenn ja, wie kann ich dem lancom evtl. sagen dass dieser Prio hat? Evtl. über QoS am switch?
aqui
aqui 14.08.2019 aktualisiert um 09:32:31 Uhr
Goto Top
Dann hast du die als WLAN AP degradierte FritzBox falsch angeschlossen.
Der LAN-1 Port muss in das Produktivnetz !
Logisch, denn er ist ja quasi der WAN/Internet Port dort und DHCP Client dann. Er bekommt dort dann eine gültige IP Adresse per DHCP aus dem Produktivnetz ebenso Default Gateway und DNS. Kannst du ja dann auch sehen im Status der FB im Setup GUI.
Das LAN und WLAN Netz bzw. die Absender IP der Clients dort wird dann per NAT umgesetzt auf diese LAN 1 IP Adresse. Klassisches Verhalten einen NAT Routers.
Alle WLAN Clients tauchen also im Produktivnetz mit der LAN-1 IP Adresse auf und für Endgeräte dort sieht es so aus als ob sie dort direkt angeschlossen sind.
Simpler Standard....
Der lancom war immer erster DHCP Server, nun ist da snicht mehr so. Die fritzbox setzt sich durch.
Daraus kann man nur schliessen das du die FB ganz sicher FALSCH angeschlossen hast !!!
Du hast statt was WAN/LAN-1 Ports einen der anderen LAN 2-4 Ports ins Produktivnetz gesteckt wo natürlich der FB eigene DHCP Server aktiv ist.
Dann passiert logischerweise Chaos, denn es kommt nun zu einer Race Condition zwischen den beiden DHCP Servern des Lancom und der FritzBox. Der der am schnellsten den Clients antwortet gewinnt.
Deshalb darf es immer nur einen einzigen DHCP Server in einem Layer 2 Netz geben !!!
Typischer Anfängerfehler vermutlich aus Unwissenheit ?!
Oder....die FritzBox hat ihre Konfig "vergessen" oder du hast vergessen sie mit Save zu sichern damit sie die Umkonfiguration mit dem Abschalten des internen Modems und Umlegen des WAN/Internet Ports auf die LAN1 Buchse nicht vergisst nach einem Reboot.
Eins von beiden wird es ganz sicher sein !
aif-get
aif-get 19.08.2019 um 14:25:11 Uhr
Goto Top
Ja, ich denke auch, muss mir das die Tage mal direkt vor Ort anschauen...