Fritzbox 7490 DHCP ins Netz trotz NAT? LLDP als Ursache?
Hallo,
wir besitzen ein Netwzerk mit zwei DHCP Servern über einen Switch:
Einmal ein Lancom für den Verkabelten Bereich und ein Fritzbox für den WLAN bereich, diese ist per LAN1 an den Switch gehangen und hatte bisher immer einen eigenen IP Bereich im WLAN gemacht.
NUn hatte ich letztens auf dem Lancom LLPD aktiviert und Plötzlich drängte sich die Fritzbox als DHCP durch und vergab den falschen Adressbereich. Das konnte egentlich nicht sein weil über Port1 doch die Fritzbox ein NAT macht nach aussen? UpnP ist auch aktiviert.
Kann es also hier vllt. sein, dass durch das LLDP irgendwas gesetzt wurde? Aber wieso ist das so, war etwas verwirrt.
Danke für eure Informationen dazu
wir besitzen ein Netwzerk mit zwei DHCP Servern über einen Switch:
Einmal ein Lancom für den Verkabelten Bereich und ein Fritzbox für den WLAN bereich, diese ist per LAN1 an den Switch gehangen und hatte bisher immer einen eigenen IP Bereich im WLAN gemacht.
NUn hatte ich letztens auf dem Lancom LLPD aktiviert und Plötzlich drängte sich die Fritzbox als DHCP durch und vergab den falschen Adressbereich. Das konnte egentlich nicht sein weil über Port1 doch die Fritzbox ein NAT macht nach aussen? UpnP ist auch aktiviert.
Kann es also hier vllt. sein, dass durch das LLDP irgendwas gesetzt wurde? Aber wieso ist das so, war etwas verwirrt.
Danke für eure Informationen dazu
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 484461
Url: https://administrator.de/contentid/484461
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
9 Kommentare
Neuester Kommentar
Du nutzt die FB nur als dummen WLAN Accesspoint, richtig ?
Dann hast du sie falsch angeschlossen, denn der LAN 1 Port erzeugt ein separates IP Netz was dann über die NAT Firewall abgetrennt ist vom WLAN. Routingtechnisch ist das immer eine Einbahnstrasse und suboptimal.
Es ist quasi genau we im Internet, denn der LAN 1 Port ist quasi der Internet Port mit abgeschaltetem internen xDSL Mode.
Sinnvoller ist es den AP als einfachen AP über die gebridgten LAN Ports laufen zu lassen, was dir dann auch 2 DHCP Server erspart und das einseitige Routing über NAT.
Wie man das richtig macht erklärt dir dieses Foren Tutorial:
Kopplung von 2 Routern am DSL Port
Thema LLDP....
LLDP ist ein Protokoll um Endgeräte Resourcen usw. im Netzwerk zu erkennen. Es wäre in höchstem Maße fatal wenn AVM als Hersteller der FritzBoxen sowas auf dem Internet Port LAN1 aktiviert hätte. Jeder im Internet könnte dann ungeschützt sehen was die FritzBox kann und was nicht. Ein massives Sicherheitsloch das mit an Sicherheit grenzender Wahrscheinlichkeit niemals aktiviert ist auf dem Internet Port. Wenn doch wäre es ein fataler Bug.
Das kannst du auch ganz einfach selber testen wenn du nur mal ein klein wenig nachgedacht hättest und den Wireshark Netzwerk Sniffer im Netz angeschmissen hättest.
Mit dem hättest du dann sehen müssen das vom LAN 1 Ports zyklisch LLDP Broadcasts ins Netz gehen.
Ganz sicher ist das aber aus den o.a. Gründen nicht der Fall. Darf sogar eher bezweifelt werden das die FritzBox als billiges Consumer Gerät generell überhaupt LLDP supportet ?!
Mit dem Wireshark hättest du auch sofort gesehen WER sont noch DHCP macht im Netz. Das die FritzBox die DHCP Server Funktion auf dem WAN/Internet Port bereitstellt kann wohl sicher ausgeschlossen werden. Da dürfte eher eine Fehlkonfiguration oder Fehlpatchung der Grund sein. Oder....jemand hat sich irgendwas von zuhause mitgebracht was DHCP macht und ins ungeschützte Netz gesteckt !!
Fazit:
Nein, LLDP macht die FB sicher nicht auf dem Internet Port und kann damit dann auch nichts auf anderen Geräten dort "setzen".
Mit offener UPnP Schnittstelle ist so ein System anfällig für Trojaner und Viren und andere Malware die sich über UPnP Löcher in der Firewall verschafft. Kein normaler Mensch hat deshalb so eine Zeitbombe aktiv auf diesen Komponenten !
Sagt einem ja auch schon der gesunde Menschenverstand wenn einem Privatsphäre und Sicherheit seiner Daten etwas bedeuten.
Dann hast du sie falsch angeschlossen, denn der LAN 1 Port erzeugt ein separates IP Netz was dann über die NAT Firewall abgetrennt ist vom WLAN. Routingtechnisch ist das immer eine Einbahnstrasse und suboptimal.
Es ist quasi genau we im Internet, denn der LAN 1 Port ist quasi der Internet Port mit abgeschaltetem internen xDSL Mode.
Sinnvoller ist es den AP als einfachen AP über die gebridgten LAN Ports laufen zu lassen, was dir dann auch 2 DHCP Server erspart und das einseitige Routing über NAT.
Wie man das richtig macht erklärt dir dieses Foren Tutorial:
Kopplung von 2 Routern am DSL Port
Thema LLDP....
LLDP ist ein Protokoll um Endgeräte Resourcen usw. im Netzwerk zu erkennen. Es wäre in höchstem Maße fatal wenn AVM als Hersteller der FritzBoxen sowas auf dem Internet Port LAN1 aktiviert hätte. Jeder im Internet könnte dann ungeschützt sehen was die FritzBox kann und was nicht. Ein massives Sicherheitsloch das mit an Sicherheit grenzender Wahrscheinlichkeit niemals aktiviert ist auf dem Internet Port. Wenn doch wäre es ein fataler Bug.
Das kannst du auch ganz einfach selber testen wenn du nur mal ein klein wenig nachgedacht hättest und den Wireshark Netzwerk Sniffer im Netz angeschmissen hättest.
Mit dem hättest du dann sehen müssen das vom LAN 1 Ports zyklisch LLDP Broadcasts ins Netz gehen.
Ganz sicher ist das aber aus den o.a. Gründen nicht der Fall. Darf sogar eher bezweifelt werden das die FritzBox als billiges Consumer Gerät generell überhaupt LLDP supportet ?!
Mit dem Wireshark hättest du auch sofort gesehen WER sont noch DHCP macht im Netz. Das die FritzBox die DHCP Server Funktion auf dem WAN/Internet Port bereitstellt kann wohl sicher ausgeschlossen werden. Da dürfte eher eine Fehlkonfiguration oder Fehlpatchung der Grund sein. Oder....jemand hat sich irgendwas von zuhause mitgebracht was DHCP macht und ins ungeschützte Netz gesteckt !!
Fazit:
Nein, LLDP macht die FB sicher nicht auf dem Internet Port und kann damit dann auch nichts auf anderen Geräten dort "setzen".
UpnP ist auch aktiviert.
Sowas ist natürlich tödlich auf einem Router oder auf Geräten insgesamt. Weiss heutzutage eigentlich jeder Dummie. Generell gehört UPnP immer AUS. Zumindest immer auf Router oder Firewall.Mit offener UPnP Schnittstelle ist so ein System anfällig für Trojaner und Viren und andere Malware die sich über UPnP Löcher in der Firewall verschafft. Kein normaler Mensch hat deshalb so eine Zeitbombe aktiv auf diesen Komponenten !
Sagt einem ja auch schon der gesunde Menschenverstand wenn einem Privatsphäre und Sicherheit seiner Daten etwas bedeuten.
WLAN soll direkt getrennt sein vom ProduktivNetz
OK, dann musst du das natürlich so mit dem LAN 1 Port einrichten, keine Frage. Nur so erzeugst du dann 2 getrennte IP Netze und das WLAN ist vom LAN abgeschottet.Das bedeutet aber auch das dann einzig nur Traffic vom WLAN zum LAN möglich ist aber nicht andersrum. Das verhindert dann die NAT Firewall. Ist aber natürlich kein Thema wenn du nur unidirektionlen Traffic hast ?!
warum oder wie die Fritzbox es geschafft hatte am Port 1, der ja isoliert ist, Broadcasts in das Produktivnetz zu senden
Na ja isoliert ist er ja in dem Sinne nicht. Der Port "LAN 1" steckt ja direkt in deinem LAN und ist somit keineswegs isoliert. Er ist lediglich isoliert von den lokalen LAN Ports bzw. des WLANs der FB.Du kannst aber trotzdem davon ausgehen das die FB am LAN 1 Port (beim Modem Bypass) niemals LLDP Frames aussendet, was aus den o.a. Gründen fatal wäre.
Im Zweifel nimm selber einen Wireshark Sniffer (kostenlos) und sieh dir das an !! Das erklärt das doch sofort und wasserdicht ohne Spekuliererei in einem Forum !!
Daher meine Frage, ob hier doch bugs zu sein scheinen.
Das wäre zweifelsohne möglich. Dazu ist aber ein Administrator Forum der falsche Ansprechpartner. Das solltest du besser und sinnvoller mit einem Email an den AVM/FritzBox Support klären.Wäre sicher spannend denn das wäre schon ein sehr gravierender Sicherheits Bug !
FritzBox Firmware ist auf dem neuesten Stand ??
Hallo,
Und ein DHCP Antwortet ebeb so schnell er kann, dann hat er schon gewonnen. Und ein DHCP juckt es nicht wem er seinen IPS gibts. Und per Port1 kann ich zwar Internet beziehen, aber per Port4 kann ein Fritte ein Gastnetz Intern aufspannen. Sicher das du Port 1 nicht mit Port 4 verwechelst? Oder ist dein Fritte gepimpt / geändert?
Gruß,
Peter
Zitat von @aif-get:
Einmal ein Lancom für den Verkabelten Bereich und ein Fritzbox für den WLAN bereich, diese ist per LAN1 an den Switch gehangen und hatte bisher immer einen eigenen IP Bereich im WLAN gemacht.
2 DHCP Server auf den gleichen Draht? Reservierungen oder wie?Einmal ein Lancom für den Verkabelten Bereich und ein Fritzbox für den WLAN bereich, diese ist per LAN1 an den Switch gehangen und hatte bisher immer einen eigenen IP Bereich im WLAN gemacht.
weil über Port1 doch die Fritzbox ein NAT macht nach aussen? UpnP ist auch aktiviert.
uPNP gehört natürlich ausUnd ein DHCP Antwortet ebeb so schnell er kann, dann hat er schon gewonnen. Und ein DHCP juckt es nicht wem er seinen IPS gibts. Und per Port1 kann ich zwar Internet beziehen, aber per Port4 kann ein Fritte ein Gastnetz Intern aufspannen. Sicher das du Port 1 nicht mit Port 4 verwechelst? Oder ist dein Fritte gepimpt / geändert?
Gruß,
Peter
Moin,
mal unabhängig von deinem eigentlichen Problem:
So, wie sich das raus liest, schottest du nicht das WLAN vom Produktivnetz ab, sondern das Produktivnetz vom WLAN.
Sprich: die Clients aus dem WLAN kommen ins Produktivnetz, nicht aber umgekehrt.
Zumindest, wenn LAN1 der Fritte dem selben IP-Netz beiwohnt, wie das ProdNetz...
Gruß
em-pie
mal unabhängig von deinem eigentlichen Problem:
WLAN soll direkt getrennt sein vom ProduktivNetz
So, wie sich das raus liest, schottest du nicht das WLAN vom Produktivnetz ab, sondern das Produktivnetz vom WLAN.
Sprich: die Clients aus dem WLAN kommen ins Produktivnetz, nicht aber umgekehrt.
Zumindest, wenn LAN1 der Fritte dem selben IP-Netz beiwohnt, wie das ProdNetz...
Gruß
em-pie
Dann hast du die als WLAN AP degradierte FritzBox falsch angeschlossen.
Der LAN-1 Port muss in das Produktivnetz !
Logisch, denn er ist ja quasi der WAN/Internet Port dort und DHCP Client dann. Er bekommt dort dann eine gültige IP Adresse per DHCP aus dem Produktivnetz ebenso Default Gateway und DNS. Kannst du ja dann auch sehen im Status der FB im Setup GUI.
Das LAN und WLAN Netz bzw. die Absender IP der Clients dort wird dann per NAT umgesetzt auf diese LAN 1 IP Adresse. Klassisches Verhalten einen NAT Routers.
Alle WLAN Clients tauchen also im Produktivnetz mit der LAN-1 IP Adresse auf und für Endgeräte dort sieht es so aus als ob sie dort direkt angeschlossen sind.
Simpler Standard....
Du hast statt was WAN/LAN-1 Ports einen der anderen LAN 2-4 Ports ins Produktivnetz gesteckt wo natürlich der FB eigene DHCP Server aktiv ist.
Dann passiert logischerweise Chaos, denn es kommt nun zu einer Race Condition zwischen den beiden DHCP Servern des Lancom und der FritzBox. Der der am schnellsten den Clients antwortet gewinnt.
Deshalb darf es immer nur einen einzigen DHCP Server in einem Layer 2 Netz geben !!!
Typischer Anfängerfehler vermutlich aus Unwissenheit ?!
Oder....die FritzBox hat ihre Konfig "vergessen" oder du hast vergessen sie mit Save zu sichern damit sie die Umkonfiguration mit dem Abschalten des internen Modems und Umlegen des WAN/Internet Ports auf die LAN1 Buchse nicht vergisst nach einem Reboot.
Eins von beiden wird es ganz sicher sein !
Der LAN-1 Port muss in das Produktivnetz !
Logisch, denn er ist ja quasi der WAN/Internet Port dort und DHCP Client dann. Er bekommt dort dann eine gültige IP Adresse per DHCP aus dem Produktivnetz ebenso Default Gateway und DNS. Kannst du ja dann auch sehen im Status der FB im Setup GUI.
Das LAN und WLAN Netz bzw. die Absender IP der Clients dort wird dann per NAT umgesetzt auf diese LAN 1 IP Adresse. Klassisches Verhalten einen NAT Routers.
Alle WLAN Clients tauchen also im Produktivnetz mit der LAN-1 IP Adresse auf und für Endgeräte dort sieht es so aus als ob sie dort direkt angeschlossen sind.
Simpler Standard....
Der lancom war immer erster DHCP Server, nun ist da snicht mehr so. Die fritzbox setzt sich durch.
Daraus kann man nur schliessen das du die FB ganz sicher FALSCH angeschlossen hast !!!Du hast statt was WAN/LAN-1 Ports einen der anderen LAN 2-4 Ports ins Produktivnetz gesteckt wo natürlich der FB eigene DHCP Server aktiv ist.
Dann passiert logischerweise Chaos, denn es kommt nun zu einer Race Condition zwischen den beiden DHCP Servern des Lancom und der FritzBox. Der der am schnellsten den Clients antwortet gewinnt.
Deshalb darf es immer nur einen einzigen DHCP Server in einem Layer 2 Netz geben !!!
Typischer Anfängerfehler vermutlich aus Unwissenheit ?!
Oder....die FritzBox hat ihre Konfig "vergessen" oder du hast vergessen sie mit Save zu sichern damit sie die Umkonfiguration mit dem Abschalten des internen Modems und Umlegen des WAN/Internet Ports auf die LAN1 Buchse nicht vergisst nach einem Reboot.
Eins von beiden wird es ganz sicher sein !