Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Fritzbox 7490 DHCP ins Netz trotz NAT? LLDP als Ursache?

Mitglied: aif-get

aif-get (Level 1) - Jetzt verbinden

12.08.2019 um 11:09 Uhr, 260 Aufrufe, 9 Kommentare

Hallo,

wir besitzen ein Netwzerk mit zwei DHCP Servern über einen Switch:

Einmal ein Lancom für den Verkabelten Bereich und ein Fritzbox für den WLAN bereich, diese ist per LAN1 an den Switch gehangen und hatte bisher immer einen eigenen IP Bereich im WLAN gemacht.

NUn hatte ich letztens auf dem Lancom LLPD aktiviert und Plötzlich drängte sich die Fritzbox als DHCP durch und vergab den falschen Adressbereich. Das konnte egentlich nicht sein weil über Port1 doch die Fritzbox ein NAT macht nach aussen? UpnP ist auch aktiviert.

Kann es also hier vllt. sein, dass durch das LLDP irgendwas gesetzt wurde? Aber wieso ist das so, war etwas verwirrt.

Danke für eure Informationen dazu
Mitglied: aqui
12.08.2019, aktualisiert um 11:27 Uhr
Du nutzt die FB nur als dummen WLAN Accesspoint, richtig ?
Dann hast du sie falsch angeschlossen, denn der LAN 1 Port erzeugt ein separates IP Netz was dann über die NAT Firewall abgetrennt ist vom WLAN. Routingtechnisch ist das immer eine Einbahnstrasse und suboptimal.
Es ist quasi genau we im Internet, denn der LAN 1 Port ist quasi der Internet Port mit abgeschaltetem internen xDSL Mode.
Sinnvoller ist es den AP als einfachen AP über die gebridgten LAN Ports laufen zu lassen, was dir dann auch 2 DHCP Server erspart und das einseitige Routing über NAT.
Wie man das richtig macht erklärt dir dieses Foren Tutorial:
https://administrator.de/wissen/kopplung-2-routern-dsl-port-48713.html#t ...

Thema LLDP....
LLDP ist ein Protokoll um Endgeräte Resourcen usw. im Netzwerk zu erkennen. Es wäre in höchstem Maße fatal wenn AVM als Hersteller der FritzBoxen sowas auf dem Internet Port LAN1 aktiviert hätte. Jeder im Internet könnte dann ungeschützt sehen was die FritzBox kann und was nicht. Ein massives Sicherheitsloch das mit an Sicherheit grenzender Wahrscheinlichkeit niemals aktiviert ist auf dem Internet Port. Wenn doch wäre es ein fataler Bug.
Das kannst du auch ganz einfach selber testen wenn du nur mal ein klein wenig nachgedacht hättest und den Wireshark Netzwerk Sniffer im Netz angeschmissen hättest.
Mit dem hättest du dann sehen müssen das vom LAN 1 Ports zyklisch LLDP Broadcasts ins Netz gehen.
Ganz sicher ist das aber aus den o.a. Gründen nicht der Fall. Darf sogar eher bezweifelt werden das die FritzBox als billiges Consumer Gerät generell überhaupt LLDP supportet ?!
Mit dem Wireshark hättest du auch sofort gesehen WER sont noch DHCP macht im Netz. Das die FritzBox die DHCP Server Funktion auf dem WAN/Internet Port bereitstellt kann wohl sicher ausgeschlossen werden. Da dürfte eher eine Fehlkonfiguration oder Fehlpatchung der Grund sein. Oder....jemand hat sich irgendwas von zuhause mitgebracht was DHCP macht und ins ungeschützte Netz gesteckt !!
Fazit:
Nein, LLDP macht die FB sicher nicht auf dem Internet Port und kann damit dann auch nichts auf anderen Geräten dort "setzen".
UpnP ist auch aktiviert.
Sowas ist natürlich tödlich auf einem Router oder auf Geräten insgesamt. Weiss heutzutage eigentlich jeder Dummie. Generell gehört UPnP immer AUS. Zumindest immer auf Router oder Firewall.
Mit offener UPnP Schnittstelle ist so ein System anfällig für Trojaner und Viren und andere Malware die sich über UPnP Löcher in der Firewall verschafft. Kein normaler Mensch hat deshalb so eine Zeitbombe aktiv auf diesen Komponenten !
Sagt einem ja auch schon der gesunde Menschenverstand wenn einem Privatsphäre und Sicherheit seiner Daten etwas bedeuten.
Bitte warten ..
Mitglied: aif-get
12.08.2019 um 12:12 Uhr
Hallo, das ist schon richtig so, die fritze soll ein eigenes Netz machen nur die das wlan. (WLAN soll direkt getrennt sein vom ProduktivNetz) das hatte bisher auch wunderbar geklappt so. Für das WLAN soll sie demenstprechend IPs an die WLAN Clients verteilen.

Die Frage wäre hier also eher gewesen, warum oder wie die Fritzbox es geschafft hatte am Port 1, der ja isoliert ist, Broadcasts in das Produktivnetz zu senden und somit dem LANCOM Dhcp vorzudrängen.

Dieses Phänomen ist nach aktivieren des LLDP auf dem switch und lancom aufgetreten. Daher meine Frage, ob hier doch bugs zu sein scheinen.
Bitte warten ..
Mitglied: aqui
LÖSUNG 12.08.2019, aktualisiert um 12:40 Uhr
WLAN soll direkt getrennt sein vom ProduktivNetz
OK, dann musst du das natürlich so mit dem LAN 1 Port einrichten, keine Frage. Nur so erzeugst du dann 2 getrennte IP Netze und das WLAN ist vom LAN abgeschottet.
Das bedeutet aber auch das dann einzig nur Traffic vom WLAN zum LAN möglich ist aber nicht andersrum. Das verhindert dann die NAT Firewall. Ist aber natürlich kein Thema wenn du nur unidirektionlen Traffic hast ?!
warum oder wie die Fritzbox es geschafft hatte am Port 1, der ja isoliert ist, Broadcasts in das Produktivnetz zu senden
Na ja isoliert ist er ja in dem Sinne nicht. Der Port "LAN 1" steckt ja direkt in deinem LAN und ist somit keineswegs isoliert. Er ist lediglich isoliert von den lokalen LAN Ports bzw. des WLANs der FB.
Du kannst aber trotzdem davon ausgehen das die FB am LAN 1 Port (beim Modem Bypass) niemals LLDP Frames aussendet, was aus den o.a. Gründen fatal wäre.
Im Zweifel nimm selber einen Wireshark Sniffer (kostenlos) und sieh dir das an !! Das erklärt das doch sofort und wasserdicht ohne Spekuliererei in einem Forum !!
Daher meine Frage, ob hier doch bugs zu sein scheinen.
Das wäre zweifelsohne möglich. Dazu ist aber ein Administrator Forum der falsche Ansprechpartner. Das solltest du besser und sinnvoller mit einem Email an den AVM/FritzBox Support klären.
Wäre sicher spannend denn das wäre schon ein sehr gravierender Sicherheits Bug !
FritzBox Firmware ist auf dem neuesten Stand ??
Bitte warten ..
Mitglied: aif-get
12.08.2019, aktualisiert um 12:59 Uhr
Es handel sich hier um eine Fratzbox 07.11

Werde das nächste mal vor Ort direkt mit dem Sniffer das genauer untersuchen, bzw an AVM direkt rantreten. Aber wie gesagt, dass da überhaupt dhcpoffer gesendet werden auf Port 1 Modem Bypass Mode ist nicht im Sinne des Erfinders.

Im Idealfall solle bei ausgeschlatetem LAncom DHCP einfach keine IP vergeben werdne können.
Bitte warten ..
Mitglied: Pjordorf
12.08.2019 um 13:02 Uhr
Hallo,

Zitat von aif-get:
Einmal ein Lancom für den Verkabelten Bereich und ein Fritzbox für den WLAN bereich, diese ist per LAN1 an den Switch gehangen und hatte bisher immer einen eigenen IP Bereich im WLAN gemacht.
2 DHCP Server auf den gleichen Draht? Reservierungen oder wie?

weil über Port1 doch die Fritzbox ein NAT macht nach aussen? UpnP ist auch aktiviert.
uPNP gehört natürlich aus
Und ein DHCP Antwortet ebeb so schnell er kann, dann hat er schon gewonnen. Und ein DHCP juckt es nicht wem er seinen IPS gibts. Und per Port1 kann ich zwar Internet beziehen, aber per Port4 kann ein Fritte ein Gastnetz Intern aufspannen. Sicher das du Port 1 nicht mit Port 4 verwechelst? Oder ist dein Fritte gepimpt / geändert?

Gruß,
Peter
Bitte warten ..
Mitglied: em-pie
12.08.2019 um 13:17 Uhr
Moin,

mal unabhängig von deinem eigentlichen Problem:
WLAN soll direkt getrennt sein vom ProduktivNetz

So, wie sich das raus liest, schottest du nicht das WLAN vom Produktivnetz ab, sondern das Produktivnetz vom WLAN.
Sprich: die Clients aus dem WLAN kommen ins Produktivnetz, nicht aber umgekehrt.
Zumindest, wenn LAN1 der Fritte dem selben IP-Netz beiwohnt, wie das ProdNetz...

Gruß
em-pie
Bitte warten ..
Mitglied: aif-get
14.08.2019 um 08:41 Uhr
Die clients aus dem WLAN Netz kommen nicht auf das Produktivnetz. ping geht allerdings durch.

Umgekehrt gehts von dem Produktivnetz auf die WLAN Cients zuzugreifen.

Aber am merkwürdigsten fande ich diesen plötzlichen wandel. Der lancom war immer erster DHCP Server, nun ist da snicht mehr so. Die fritzbox setzt sich durch.
Gehe ich vllt also der annahme dass die Fritz oder de rLANCOM einen defekt haben könnten?

Wenn ja, wie kann ich dem lancom evtl. sagen dass dieser Prio hat? Evtl. über QoS am switch?
Bitte warten ..
Mitglied: aqui
14.08.2019, aktualisiert um 09:32 Uhr
Dann hast du die als WLAN AP degradierte FritzBox falsch angeschlossen.
Der LAN-1 Port muss in das Produktivnetz !
Logisch, denn er ist ja quasi der WAN/Internet Port dort und DHCP Client dann. Er bekommt dort dann eine gültige IP Adresse per DHCP aus dem Produktivnetz ebenso Default Gateway und DNS. Kannst du ja dann auch sehen im Status der FB im Setup GUI.
Das LAN und WLAN Netz bzw. die Absender IP der Clients dort wird dann per NAT umgesetzt auf diese LAN 1 IP Adresse. Klassisches Verhalten einen NAT Routers.
Alle WLAN Clients tauchen also im Produktivnetz mit der LAN-1 IP Adresse auf und für Endgeräte dort sieht es so aus als ob sie dort direkt angeschlossen sind.
Simpler Standard....
Der lancom war immer erster DHCP Server, nun ist da snicht mehr so. Die fritzbox setzt sich durch.
Daraus kann man nur schliessen das du die FB ganz sicher FALSCH angeschlossen hast !!!
Du hast statt was WAN/LAN-1 Ports einen der anderen LAN 2-4 Ports ins Produktivnetz gesteckt wo natürlich der FB eigene DHCP Server aktiv ist.
Dann passiert logischerweise Chaos, denn es kommt nun zu einer Race Condition zwischen den beiden DHCP Servern des Lancom und der FritzBox. Der der am schnellsten den Clients antwortet gewinnt.
Deshalb darf es immer nur einen einzigen DHCP Server in einem Layer 2 Netz geben !!!
Typischer Anfängerfehler vermutlich aus Unwissenheit ?!
Oder....die FritzBox hat ihre Konfig "vergessen" oder du hast vergessen sie mit Save zu sichern damit sie die Umkonfiguration mit dem Abschalten des internen Modems und Umlegen des WAN/Internet Ports auf die LAN1 Buchse nicht vergisst nach einem Reboot.
Eins von beiden wird es ganz sicher sein !
Bitte warten ..
Mitglied: aif-get
19.08.2019 um 14:25 Uhr
Ja, ich denke auch, muss mir das die Tage mal direkt vor Ort anschauen...
Bitte warten ..
Ähnliche Inhalte
Voice over IP

FritzBox 7490 hinter Mikrotik Routerboard NAT, kein VoiIP

gelöst Frage von toby97897Voice over IP18 Kommentare

Hallo zusammen, ich bekomme in meinem Heimnetzwerk mein VoIP nicht zum laufen. Folgendes Setup liegt vor: Vigor 120 ADSL ...

Router & Routing

Fritzbox 7490 Benutzersteuerung

gelöst Frage von jensgebkenRouter & Routing5 Kommentare

Hallo Gemeinschaft, habe die 7490 und folgendes Thema. Meine beiden Jungs sollen abends nur bis 21.oo Uhr ins Internet ...

Router & Routing

Fritzbox-7430 nach Fritzbox-7490

Frage von ArvedirmerRouter & Routing3 Kommentare

Ich habe folgendes Problem: FB-7490 ist mit dem Internet (VDSL-50MBit/sec) verbunden, es existieren 3 Telefonnummern (Nr1, Nr2, Nr3). In ...

Router & Routing

FritzBox 7490: Zweiten internen DNS-Server per DHCP verteilen - unmöglich?

Frage von jule32Router & Routing44 Kommentare

Hallo zusammen, ich habe hier eine FritzBox 7490 im Einsatz und habe einen zusätzlichen DNS-Server im Netz laufen (feste ...

Neue Wissensbeiträge
Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Tipp von Snowbird vor 1 TagHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Humor (lol)

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 2 TagenHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 2 TagenHumor (lol)17 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 2 TagenWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Heiß diskutierte Inhalte
Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
gelöst Frage von imebroRouter & Routing18 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Windows 10
Windows 10 druckt nicht mehrere Kopien?
Frage von StefanKittelWindows 1015 Kommentare

Hallo, ich hatte gerade einen Anruf eines Kunden. Sein neuer PC (Win 10 1903) druckt nicht mehr mehrere Seiten ...

Verschlüsselung & Zertifikate
Mit BitLocker verschlüsselte Festplatte löschen?
gelöst Frage von SnowbirdVerschlüsselung & Zertifikate14 Kommentare

Hallo, ich habe eine mit Bitlocker verschlüsselte externe Festplatte. Diese möchte ich gerne löschen sodass nichts mehr auffindbar ist. ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...