Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Lancom Router macht NAT trotz deaktiviertem NAT

Mitglied: Evil2000

Evil2000 (Level 1) - Jetzt verbinden

20.09.2018 um 12:02 Uhr, 1634 Aufrufe, 10 Kommentare

Hallo Leute.

Kennt sich jemand mit o.g. Lancom 1781VAW Router (LCOS 9.10.0629/05.04.2016) aus und kann mir erklären warum der Router NAT macht obwohl es deaktiviert ist?

Folgende Rahmenbedingungen haben wir:
Zwei mal Internet. Einmal Vodafone VDSL direkt am Router und einmal Unitymedia über eine Fritzbox 6490 an DSL-1 (LAN Port 1). Für die Route über Vodafone ist NAT aktiviert. Für die Route über die Fritzbox ist kein NAT eingestellt, da die FB ja selbst NAT macht (und NAT hinter NAT ist schlecht). Dazu ist Loadbalancing über beide Routen im Router eingestellt.
Hinter dem Router ist eine SIP Telefonanlage von Mitel welche sich bei zwei Providern Registrieren soll: bei Vodafone und bei DUSnet. Damit diese SIP-Pakete nicht vom Loadbalancing beeinflusst werden, gibt es eine Firewallregel, welche die Pakete taggt. Beim Routing wird dieses Tag dann berücktichtigt und die SIP-Pakete für DUSnet direkt über DSL-1 zur FB gesendet.

Obwohl NAT für die Route über die FB deaktiviert ist, werden die Pakete maskiert und zwar alle, nicht nur SIP und ich verstehe nicht warum.

Hat jemand von euch eine Idee wie ich der Ursache auf die schliche kommen kann?

Hier noch ein Screenshot der Konfiguration der Firewall und der Routing Tabelle:
2018-09-20_000046 - Klicke auf das Bild, um es zu vergrößern
2018-09-20_000045 - Klicke auf das Bild, um es zu vergrößern

Hier mal noch ein Trace des Routers. Schön zu erkennen ist, daß das Paket von UDP Port 5040 kommt dann mit Routing Tag 2 versehen wurd und anschließend auf 53772 umgesetzt wird.
Mitglied: aqui
20.09.2018 um 15:04 Uhr
Woher weisst du das der Lancom alle Pakete NATet die an den WAN Port der FritzBox gehen ??
Hast du in dem Koppelnetz dort mal einen Wireshark gehängt und das gesehen oder wie kommst du drauf ?
Hilfreich wäre hier auch eine Info gewesen zu deine IP Adressierung sprich welches lokale Netz und welches das Koppelnetz zur FB hat.
Bitte warten ..
Mitglied: Evil2000
20.09.2018, aktualisiert um 15:46 Uhr
Zitat von aqui:
Woher weisst du das der Lancom alle Pakete NATet die an den WAN Port der FritzBox gehen ??
Hast du in dem Koppelnetz dort mal einen Wireshark gehängt und das gesehen oder wie kommst du drauf ?
So ähnlich. Der Lancom Router hat die Möglichkeit den Traffic auf jedem Interface mitzuschneiden Menüpunkt "Extras" -> "Paket-Capturing", welcher dann mit Wireshark analysiert werden kann.

Zitat von aqui:
Hilfreich wäre hier auch eine Info gewesen zu deine IP Adressierung sprich welches lokale Netz und welches das Koppelnetz zur FB hat.
Bitte entschuldige. Ich dachte das lässt sich aus dem Screenshot mit der Routingtabelle deuten.
Momentan sieht es so aus:
Bitte warten ..
Mitglied: aqui
20.09.2018, aktualisiert um 18:24 Uhr
auf jedem Interface mitzuschneiden Menüpunkt "Extras" -> "Paket-Capturing", welcher dann mit Wireshark analysiert werden kann.
Und die Frames die dann an der FritzBüx ankommen zeigen dir dann alle als Absender IP Die WAN Port IP des Lancom ??
Da solltest du besser nochmal unabhängig vom lancom messen. Wenn der falsch captured bekommst du falsche Daten. Geh lieber mal direkt und unabhängig vom Lancom auf den Draht ! Nur um wirklich sicherzugehen.

Wenn es de facto im Setup deaktiviert ist für den Port, dann ist das in jedem Falle ein Bug im Lancom OS !
Hast du das aktuellste Firmware Image auf dem Lancom geflasht ?!
Wenn nein dann solltest du das unbedingt nachholen !
Dein Setup ist auf alle Fälle korrekt !
Bitte warten ..
Mitglied: tikayevent
20.09.2018 um 21:20 Uhr
Ist die Verbindung über die Fritzbox Teil des Loadbalancers? Wenn ja, dann liegt hier das Problem. Sobald eine Gegenstelle über irgendeinen Routingeintrag genattet wird, gilt diese Einstellung für die gesamte Gegenstelle.
Bitte warten ..
Mitglied: Mikrofonpartner
20.09.2018 um 23:37 Uhr
Zitat von aqui:
Hast du das aktuellste Firmware Image auf dem Lancom geflasht ?!
Wenn nein dann solltest du das unbedingt nachholen !

LCOS 9.10.0629/05.04.2016 ist drauf. Aktuell ist 10.12.0382RU9. Hier liegen 2 Jahre dazwischen. ^^

Mich würde allerdings auch die Konfiguration der Gegenstelle Loadbal interessieren. Bitte einmal nen Screenshot der Loadbalancerkonfig posten.
Bitte warten ..
Mitglied: aqui
21.09.2018 um 11:50 Uhr
Oha...2 Jahre alte Firmware...das ist natürlich kontraproduktiv !
Bitte warten ..
Mitglied: Evil2000
21.09.2018, aktualisiert um 13:53 Uhr
Zitat von tikayevent:
Ist die Verbindung über die Fritzbox Teil des Loadbalancers? Wenn ja, dann liegt hier das Problem. Sobald eine Gegenstelle über irgendeinen Routingeintrag genattet wird, gilt diese Einstellung für die gesamte Gegenstelle.
Ja, FB und VF gehören zum LoadBalancing Setup.
Ich dachte ich kann die FB zum Intranet hinzufügen. Dann wird zwar nicht mehr genattet aber auch das Load-Balancing geht dann nicht mehr weil es ja nicht mehr als WAN-Verbindung genutzt wird.
Jetzt habe ich mir überlegt die FB als Bridge zwischen Kabelnetz und dem Lancom zu konfigurieren. Damit wäre theoretisch der WAN-Anschluss von Unitymedia direkt am Lancom und das Koppelnetz zwischen FB und Lancom würde wegfallen.
Nun weiß ich nicht was am ge-bridge-ten Port der FB genau ankommt. Ethernet, klar, aber wie geht dann die Einwahl? Garnicht, also nur DHCP oder statische IP? Oder ist da auch PPPoE drauf?

Zitat von Mikrofonpartner:
Mich würde allerdings auch die Konfiguration der Gegenstelle Loadbal interessieren. Bitte einmal nen Screenshot der Loadbalancerkonfig posten.
Ich habe mal die Screenshots angehängt.
2018-09-21_000048 - Klicke auf das Bild, um es zu vergrößern
2018-09-21_000047 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
LÖSUNG 21.09.2018 um 19:41 Uhr
Ja, FB und VF gehören zum LoadBalancing Setup.
Das ist vermutlich falsch !
Das eigentliche Load Balancing läuft doch ausschliesslich nur im Lancom ab. Der "sieht" ja nur 2 WAN Ports und geht davon aus das dahinter das "Internet" ist.
Aktiv partizipiert die FB also niemals am Load Balancing.

Möglich aber das global im Lancom das gesamte Szenario als Balancing ins Internet gesehen wird und der Lancom dann fälschlicherweise davon ausgeht das an beiden WAN Ports öffentliche IPs sind und zwangsweise NAT macht und somit das individuelle NAT Setup des einen Ports überrennt.
Das wäre dann ein Firmware Bug oder...ein Fehler im Setup sollte das doch individuell einstellbar sein.
Besser wäre dann aber auch alle Fälle auf eine aktuelle Firmware zu gehen, denn dieses Design ist ja nun wahrlich nicht unüblich und sollte schon so vom Lancom Balancer supportet werden.
Muss man sicher nicht noch extra betonen das Cisco, pfSense, Mikrotik und die anderen üblichen Dual WAN Port Verdächtigen sowas problemlos individuell verwalten können.
etzt habe ich mir überlegt die FB als Bridge zwischen Kabelnetz
Das supporten die FBs schon seit langem nicht mehr auf den Kabel TV Routermodellen. Kannst du vermutlich also vergessen. Reine Modems im Kabelumfeld gibt es in der EU so gut wie gar nicht.
Nun weiß ich nicht was am ge-bridge-ten Port der FB genau ankommt
Warum schliesst du keinen Wireshark an ?? Dann weisst du das doch ganz genau ?
Ethernet, klar, aber wie geht dann die Einwahl?
Solltest du als Netzwerker eigentlich wissen...!:
  • xDSL macht immer PPPoE
  • Kabel TV macht simples DHCP
Sprich also der Port muss in den PPPoE Mode oder DHCP Client Mode gesetzt sein.
Bei dir dann natürlich letzteres wenn die FB an einem Kabel TV Provider hängt.
Bitte warten ..
Mitglied: Mikrofonpartner
22.09.2018 um 00:00 Uhr
Welchen Sinn hat denn das Load-Balancing überhaupt? Surf über den VDSLer und mach über Unitymedia dein SIP-Trunk only. Richte meinetwegen die Unitymedia als Fallback fürs Internet ein.
Bitte warten ..
Mitglied: Evil2000
19.10.2018 um 16:23 Uhr
Also, ich habe jetzt einige Dinge umgestellt.

Zitat von aqui:
Möglich aber das global im Lancom das gesamte Szenario als Balancing ins Internet gesehen wird und der Lancom dann fälschlicherweise davon ausgeht das an beiden WAN Ports öffentliche IPs sind und zwangsweise NAT macht und somit das individuelle NAT Setup des einen Ports überrennt.
Das NAT-Problem ist zwar nicht gelöst, ich glaube aber das du damit komplett recht hat, daß das Loadbalancing das individuelle Setup pro Port überschreibt. Damit kann ich aber nun leben.

Jetzt habe ich mir überlegt die FB als Bridge zwischen Kabelnetz
Das supporten die FBs schon seit langem nicht mehr auf den Kabel TV Routermodellen. Kannst du vermutlich also vergessen. Reine Modems im Kabelumfeld gibt es in der EU so gut wie gar nicht.
Die FB habe ich nun tatsächlich so eingestellt bekommen, daß die nur noch als Bridge zum UM-Kabel dient. Damit wird das Ethernet, welches über das Kabelnetz gefahren wird, direkt zum Lancom durchgereicht.
Damit fällt das Koppelnetz und das NAT hinter NAT weg.
Außerdem habe ich Lancom auf die letzte FW 10.20 aktualisiert. Hinzu kam noch IPv6.

Mit diesem Setup bin ich etrstmal zufrieden.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Lancom Router NAT
Frage von Brian85Router & Routing7 Kommentare

Hallo zusammen, ich verwende einen Lancom Router 1781VA-4G. Port 2 hat DHCP aktiv und hat die IP 172.16.0.1 Subnet ...

Router & Routing

Lancom N:N-NAT - öffentliche IP und Firewall

Frage von devil77Router & Routing

Hallo, ich habe im Netz einen VOIP-Server mit der IP 192.168.10.250, welcher eine eigene öffentliche IP xxx.xxx.xxx.141 bekommen soll. ...

Sonstige Systeme

Content Filter für den Internetzugriff - LANCOM Content Filter macht Probleme

gelöst Frage von scout71Sonstige Systeme3 Kommentare

Hallo Forum Mitglieder, wir setzen für unseren Standorte von LANCOM den Content Filter ein, der bisher gut funktionierte. Jetzt ...

Netzwerkmanagement

Virtualbox NAT

Frage von TechTobiNetzwerkmanagement8 Kommentare

Hallo Leute, ich habe mal eine Netzwerkfrage mit der Verbindung im Bereich virtualbox. Laut diesem Blog wird der Host ...

Neue Wissensbeiträge
Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 3 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Router & Routing

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Tipp von the-buccaneer vor 3 TagenRouter & Routing9 Kommentare

Moinsen! Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben ...

Humor (lol)
Wählscheiben Telefon
Information von brammer vor 4 TagenHumor (lol)4 Kommentare

Hallo, Mal wirkliche eine nette Spielerei brammer

Sicherheit

Zeitenwende: Mehr pot. Mac- (Heise Wortlaut) als Windowsbedrohungen

Information von certifiedit.net vor 5 TagenSicherheit4 Kommentare

Wir hatten es ja hier erst letztens, dass OS bzw Mac auch nicht der Weisheit letzter Schluss ist, nun ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Softwareverteilung für kleines Unternehmen mit sehr gemixter Hardware
gelöst Frage von BavarianSysadNetzwerkmanagement19 Kommentare

Hallo zusammen^^, ich stehe vor dem Problem das wir im Unternehmen eine Softwareverteilung einführen soll, leider ist dies wie ...

Netzwerke
Instagram Fake Account
Frage von NurangnNetzwerke18 Kommentare

Hey Leute, Ich bin neu hier und hätte eine Frage. Und zwar werden mein Freund und ich von Mehreren ...

Backup
VMware ESXi Cluster Backup
Frage von ADRNEXBackup16 Kommentare

Hallo zusammen, Ich habe eine vmware esxi cluster Umgebung mit ca. 20TB Daten, die auf einem SAN liegen. Es ...

Erkennung und -Abwehr
Außenstehenden (Fremden) Remote Zugriff via VM erlauben
gelöst Frage von Cyphy98Erkennung und -Abwehr11 Kommentare

Moin Liebe Community Schlagt mich nicht falls ich was falsch mache, ist mein erster Beitrag hier 🤪. Aber zum ...