10
Lancom Router macht NAT trotz deaktiviertem NAT
Hallo Leute.
Kennt sich jemand mit o.g. Lancom 1781VAW Router (LCOS 9.10.0629/05.04.2016) aus und kann mir erklären warum der Router NAT macht obwohl es deaktiviert ist?
Folgende Rahmenbedingungen haben wir:
Zwei mal Internet. Einmal Vodafone VDSL direkt am Router und einmal Unitymedia über eine Fritzbox 6490 an DSL-1 (LAN Port 1). Für die Route über Vodafone ist NAT aktiviert. Für die Route über die Fritzbox ist kein NAT eingestellt, da die FB ja selbst NAT macht (und NAT hinter NAT ist schlecht). Dazu ist Loadbalancing über beide Routen im Router eingestellt.
Hinter dem Router ist eine SIP Telefonanlage von Mitel welche sich bei zwei Providern Registrieren soll: bei Vodafone und bei DUSnet. Damit diese SIP-Pakete nicht vom Loadbalancing beeinflusst werden, gibt es eine Firewallregel, welche die Pakete taggt. Beim Routing wird dieses Tag dann berücktichtigt und die SIP-Pakete für DUSnet direkt über DSL-1 zur FB gesendet.
Obwohl NAT für die Route über die FB deaktiviert ist, werden die Pakete maskiert und zwar alle, nicht nur SIP und ich verstehe nicht warum.
Hat jemand von euch eine Idee wie ich der Ursache auf die schliche kommen kann?
Hier noch ein Screenshot der Konfiguration der Firewall und der Routing Tabelle:
Hier mal noch ein Trace des Routers. Schön zu erkennen ist, daß das Paket von UDP Port 5040 kommt dann mit Routing Tag 2 versehen wurd und anschließend auf 53772 umgesetzt wird.
Kennt sich jemand mit o.g. Lancom 1781VAW Router (LCOS 9.10.0629/05.04.2016) aus und kann mir erklären warum der Router NAT macht obwohl es deaktiviert ist?
Folgende Rahmenbedingungen haben wir:
Zwei mal Internet. Einmal Vodafone VDSL direkt am Router und einmal Unitymedia über eine Fritzbox 6490 an DSL-1 (LAN Port 1). Für die Route über Vodafone ist NAT aktiviert. Für die Route über die Fritzbox ist kein NAT eingestellt, da die FB ja selbst NAT macht (und NAT hinter NAT ist schlecht). Dazu ist Loadbalancing über beide Routen im Router eingestellt.
Hinter dem Router ist eine SIP Telefonanlage von Mitel welche sich bei zwei Providern Registrieren soll: bei Vodafone und bei DUSnet. Damit diese SIP-Pakete nicht vom Loadbalancing beeinflusst werden, gibt es eine Firewallregel, welche die Pakete taggt. Beim Routing wird dieses Tag dann berücktichtigt und die SIP-Pakete für DUSnet direkt über DSL-1 zur FB gesendet.
Obwohl NAT für die Route über die FB deaktiviert ist, werden die Pakete maskiert und zwar alle, nicht nur SIP und ich verstehe nicht warum.
Hat jemand von euch eine Idee wie ich der Ursache auf die schliche kommen kann?
Hier noch ein Screenshot der Konfiguration der Firewall und der Routing Tabelle:
Hier mal noch ein Trace des Routers. Schön zu erkennen ist, daß das Paket von UDP Port 5040 kommt dann mit Routing Tag 2 versehen wurd und anschließend auf 53772 umgesetzt wird.
[Ethernet] 2018/09/20 10:43:11,635 Devicetime: 2018/09/20 10:43:11,131
Received 795 byte Ethernet packet via LAN-1:
HW Switch Port : ETH-1
IPv4 Hdr Checksum : OK
IP Proto Checksum : OK
-->IEEE 802.3 Header
Dest : 00:a0:57:2b:98:21 (LANCOM 2b:98:21)
Source : 00:08:5d:97:80:c4
Type : IPv4
-->IPv4 Header
Version : 4
Header Length : 20
ToS/DSCP : (0xa0) (Precedence 5) / (DSCP CS5)
Total length : 781
ID : 18816
Fragment : Offset 0
TTL : 64
Protocol : UDP
Checksum : 4160 (OK)
Src Address : 192.168.1.20
Dest Address : 83.125.8.71
-->UDP Header
Src Port : 5040
Dest Port : SIP
Length : 761
Checksum : 10206 (OK)
-->SIP Packet
Header : REGISTER sip:proxy.dus.net SIP/2.0
Via: SIP/2.0/UDP 192.168.1.20:5040;branch=xxxxx;rport
To: <sip:xxxxx@proxy.dus.net>
From: <sip:xxxxx@proxy.dus.net>;tag=AI5D61E223728CC1DA
Call-ID: AI34C3712AC2C1DDD4@192.168.1.20
CSeq: 256 REGISTER
Authorization: Digest username="xxxxx",realm="dus.net",nonce="xxxxx",uri="sip:proxy.dus.net",response="xxxxx",algorithm=MD5
Allow: ACK,BYE,CANCEL,INVITE,NOTIFY,OPTIONS,PUBLISH,UPDATE,REFER
Allow-Events: presence,dialog,message-summary,refer
Max-Forwards: 70
User-Agent: Aastra 400
Expires: 60
Contact: <sip:xxxxx@192.168.1.20:5040;line=AIDD1E429ECC289C63>;expires=60
Content-Length: 0
[IP-Router] 2018/09/20 10:43:11,635 Devicetime: 2018/09/20 10:43:11,132
IP-Router Rx (LAN-1, INTRANET, RtgTag: 2):
DstIP: 83.125.8.71, SrcIP: 192.168.1.20, Len: 781, DSCP: CS5 (0x28), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 5060, SrcPort: 5040
Route: WAN Tx (UNITYMED)
[Ethernet] 2018/09/20 10:43:11,635 Devicetime: 2018/09/20 10:43:11,134
Sent 795 byte Ethernet packet via DSL-1:
-->IEEE 802.3 Header
Dest : cc:ce:1e:a4:17:9b
Source : 02:a0:57:2b:98:21 (LANCOM(local-0) 2b:98:21)
Type : IPv4
-->IPv4 Header
Version : 4
Header Length : 20
ToS/DSCP : (0xa0) (Precedence 5) / (DSCP CS5)
Total length : 781
ID : 53011
Fragment : Offset 0
TTL : 63
Protocol : UDP
Checksum : 35500 (OK)
Src Address : 192.168.2.20
Dest Address : 83.125.8.71
-->UDP Header
Src Port : 53772
Dest Port : SIP
Length : 761
Checksum : 26753 (OK)
-->SIP Packet
Header : REGISTER sip:proxy.dus.net SIP/2.0
Via: SIP/2.0/UDP 192.168.1.20:5040;branch=xxxxx;rport
To: <sip:xxxxx@proxy.dus.net>
From: <sip:xxxxx@proxy.dus.net>;tag=AI5D61E223728CC1DA
Call-ID: AI34C3712AC2C1DDD4@192.168.1.20
CSeq: 256 REGISTER
Authorization: Digest username="xxxxx",realm="dus.net",nonce="xxxxx",uri="sip:proxy.dus.net",response="xxxxx",algorithm=MD5
Allow: ACK,BYE,CANCEL,INVITE,NOTIFY,OPTIONS,PUBLISH,UPDATE,REFER
Allow-Events: presence,dialog,message-summary,refer
Max-Forwards: 70
User-Agent: Aastra 400
Expires: 60
Contact: <sip:xxxxx@192.168.1.20:5040;line=AIDD1E429ECC289C63>;expires=60
Content-Length: 0
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 387054
Url: https://administrator.de/contentid/387054
Ausgedruckt am: 14.11.2024 um 13:11 Uhr
10 Kommentare
Neuester Kommentar
Woher weisst du das der Lancom alle Pakete NATet die an den WAN Port der FritzBox gehen ??
Hast du in dem Koppelnetz dort mal einen Wireshark gehängt und das gesehen oder wie kommst du drauf ?
Hilfreich wäre hier auch eine Info gewesen zu deine IP Adressierung sprich welches lokale Netz und welches das Koppelnetz zur FB hat.
Hast du in dem Koppelnetz dort mal einen Wireshark gehängt und das gesehen oder wie kommst du drauf ?
Hilfreich wäre hier auch eine Info gewesen zu deine IP Adressierung sprich welches lokale Netz und welches das Koppelnetz zur FB hat.
Zitat von @aqui:
Woher weisst du das der Lancom alle Pakete NATet die an den WAN Port der FritzBox gehen ??
Hast du in dem Koppelnetz dort mal einen Wireshark gehängt und das gesehen oder wie kommst du drauf ?
So ähnlich. Der Lancom Router hat die Möglichkeit den Traffic auf jedem Interface mitzuschneiden Menüpunkt "Extras" -> "Paket-Capturing", welcher dann mit Wireshark analysiert werden kann.Woher weisst du das der Lancom alle Pakete NATet die an den WAN Port der FritzBox gehen ??
Hast du in dem Koppelnetz dort mal einen Wireshark gehängt und das gesehen oder wie kommst du drauf ?
Zitat von @aqui:
Hilfreich wäre hier auch eine Info gewesen zu deine IP Adressierung sprich welches lokale Netz und welches das Koppelnetz zur FB hat.
Bitte entschuldige. Ich dachte das lässt sich aus dem Screenshot mit der Routingtabelle deuten.Hilfreich wäre hier auch eine Info gewesen zu deine IP Adressierung sprich welches lokale Netz und welches das Koppelnetz zur FB hat.
Momentan sieht es so aus:
[.1.1] [.2.20] [.2.1]
192.168.1.0/24 ---> Lancom Router ---> 192.168.2.0/24 ---> Fritzbox ---> Unitymedia (Öffentliches Netz)
|
+---> Vodafone VDSL (Öffentliches Netz)auf jedem Interface mitzuschneiden Menüpunkt "Extras" -> "Paket-Capturing", welcher dann mit Wireshark analysiert werden kann.
Und die Frames die dann an der FritzBüx ankommen zeigen dir dann alle als Absender IP Die WAN Port IP des Lancom ??Da solltest du besser nochmal unabhängig vom lancom messen. Wenn der falsch captured bekommst du falsche Daten. Geh lieber mal direkt und unabhängig vom Lancom auf den Draht ! Nur um wirklich sicherzugehen.
Wenn es de facto im Setup deaktiviert ist für den Port, dann ist das in jedem Falle ein Bug im Lancom OS !
Hast du das aktuellste Firmware Image auf dem Lancom geflasht ?!
Wenn nein dann solltest du das unbedingt nachholen !
Dein Setup ist auf alle Fälle korrekt !
Ist die Verbindung über die Fritzbox Teil des Loadbalancers? Wenn ja, dann liegt hier das Problem. Sobald eine Gegenstelle über irgendeinen Routingeintrag genattet wird, gilt diese Einstellung für die gesamte Gegenstelle.
Zitat von @aqui:
Hast du das aktuellste Firmware Image auf dem Lancom geflasht ?!
Wenn nein dann solltest du das unbedingt nachholen !
Hast du das aktuellste Firmware Image auf dem Lancom geflasht ?!
Wenn nein dann solltest du das unbedingt nachholen !
LCOS 9.10.0629/05.04.2016 ist drauf. Aktuell ist 10.12.0382RU9. Hier liegen 2 Jahre dazwischen. ^^
Mich würde allerdings auch die Konfiguration der Gegenstelle Loadbal interessieren. Bitte einmal nen Screenshot der Loadbalancerkonfig posten.
Oha...2 Jahre alte Firmware...das ist natürlich kontraproduktiv !
Zitat von @tikayevent:
Ist die Verbindung über die Fritzbox Teil des Loadbalancers? Wenn ja, dann liegt hier das Problem. Sobald eine Gegenstelle über irgendeinen Routingeintrag genattet wird, gilt diese Einstellung für die gesamte Gegenstelle.
Ja, FB und VF gehören zum LoadBalancing Setup.Ist die Verbindung über die Fritzbox Teil des Loadbalancers? Wenn ja, dann liegt hier das Problem. Sobald eine Gegenstelle über irgendeinen Routingeintrag genattet wird, gilt diese Einstellung für die gesamte Gegenstelle.
Ich dachte ich kann die FB zum Intranet hinzufügen. Dann wird zwar nicht mehr genattet aber auch das Load-Balancing geht dann nicht mehr weil es ja nicht mehr als WAN-Verbindung genutzt wird.
Jetzt habe ich mir überlegt die FB als Bridge zwischen Kabelnetz und dem Lancom zu konfigurieren. Damit wäre theoretisch der WAN-Anschluss von Unitymedia direkt am Lancom und das Koppelnetz zwischen FB und Lancom würde wegfallen.
Nun weiß ich nicht was am ge-bridge-ten Port der FB genau ankommt. Ethernet, klar, aber wie geht dann die Einwahl? Garnicht, also nur DHCP oder statische IP? Oder ist da auch PPPoE drauf?
Zitat von @Mikrofonpartner:
Mich würde allerdings auch die Konfiguration der Gegenstelle Loadbal interessieren. Bitte einmal nen Screenshot der Loadbalancerkonfig posten.
Ich habe mal die Screenshots angehängt.Mich würde allerdings auch die Konfiguration der Gegenstelle Loadbal interessieren. Bitte einmal nen Screenshot der Loadbalancerkonfig posten.
Ja, FB und VF gehören zum LoadBalancing Setup.
Das ist vermutlich falsch !Das eigentliche Load Balancing läuft doch ausschliesslich nur im Lancom ab. Der "sieht" ja nur 2 WAN Ports und geht davon aus das dahinter das "Internet" ist.
Aktiv partizipiert die FB also niemals am Load Balancing.
Möglich aber das global im Lancom das gesamte Szenario als Balancing ins Internet gesehen wird und der Lancom dann fälschlicherweise davon ausgeht das an beiden WAN Ports öffentliche IPs sind und zwangsweise NAT macht und somit das individuelle NAT Setup des einen Ports überrennt.
Das wäre dann ein Firmware Bug oder...ein Fehler im Setup sollte das doch individuell einstellbar sein.
Besser wäre dann aber auch alle Fälle auf eine aktuelle Firmware zu gehen, denn dieses Design ist ja nun wahrlich nicht unüblich und sollte schon so vom Lancom Balancer supportet werden.
Muss man sicher nicht noch extra betonen das Cisco, pfSense, Mikrotik und die anderen üblichen Dual WAN Port Verdächtigen sowas problemlos individuell verwalten können.
etzt habe ich mir überlegt die FB als Bridge zwischen Kabelnetz
Das supporten die FBs schon seit langem nicht mehr auf den Kabel TV Routermodellen. Kannst du vermutlich also vergessen. Reine Modems im Kabelumfeld gibt es in der EU so gut wie gar nicht.Nun weiß ich nicht was am ge-bridge-ten Port der FB genau ankommt
Warum schliesst du keinen Wireshark an ?? Dann weisst du das doch ganz genau ?Ethernet, klar, aber wie geht dann die Einwahl?
Solltest du als Netzwerker eigentlich wissen...!:- xDSL macht immer PPPoE
- Kabel TV macht simples DHCP
Bei dir dann natürlich letzteres wenn die FB an einem Kabel TV Provider hängt.
Welchen Sinn hat denn das Load-Balancing überhaupt? Surf über den VDSLer und mach über Unitymedia dein SIP-Trunk only. Richte meinetwegen die Unitymedia als Fallback fürs Internet ein.
Also, ich habe jetzt einige Dinge umgestellt.
Die FB habe ich nun tatsächlich so eingestellt bekommen, daß die nur noch als Bridge zum UM-Kabel dient. Damit wird das Ethernet, welches über das Kabelnetz gefahren wird, direkt zum Lancom durchgereicht.
Damit fällt das Koppelnetz und das NAT hinter NAT weg.
Außerdem habe ich Lancom auf die letzte FW 10.20 aktualisiert. Hinzu kam noch IPv6.
Mit diesem Setup bin ich etrstmal zufrieden.
Zitat von @aqui:
Möglich aber das global im Lancom das gesamte Szenario als Balancing ins Internet gesehen wird und der Lancom dann fälschlicherweise davon ausgeht das an beiden WAN Ports öffentliche IPs sind und zwangsweise NAT macht und somit das individuelle NAT Setup des einen Ports überrennt.
Das NAT-Problem ist zwar nicht gelöst, ich glaube aber das du damit komplett recht hat, daß das Loadbalancing das individuelle Setup pro Port überschreibt. Damit kann ich aber nun leben.Möglich aber das global im Lancom das gesamte Szenario als Balancing ins Internet gesehen wird und der Lancom dann fälschlicherweise davon ausgeht das an beiden WAN Ports öffentliche IPs sind und zwangsweise NAT macht und somit das individuelle NAT Setup des einen Ports überrennt.
Jetzt habe ich mir überlegt die FB als Bridge zwischen Kabelnetz
Das supporten die FBs schon seit langem nicht mehr auf den Kabel TV Routermodellen. Kannst du vermutlich also vergessen. Reine Modems im Kabelumfeld gibt es in der EU so gut wie gar nicht.Damit fällt das Koppelnetz und das NAT hinter NAT weg.
Außerdem habe ich Lancom auf die letzte FW 10.20 aktualisiert. Hinzu kam noch IPv6.
Mit diesem Setup bin ich etrstmal zufrieden.
