Lancom Router macht NAT trotz deaktiviertem NAT
Hallo Leute.
Kennt sich jemand mit o.g. Lancom 1781VAW Router (LCOS 9.10.0629/05.04.2016) aus und kann mir erklären warum der Router NAT macht obwohl es deaktiviert ist?
Folgende Rahmenbedingungen haben wir:
Zwei mal Internet. Einmal Vodafone VDSL direkt am Router und einmal Unitymedia über eine Fritzbox 6490 an DSL-1 (LAN Port 1). Für die Route über Vodafone ist NAT aktiviert. Für die Route über die Fritzbox ist kein NAT eingestellt, da die FB ja selbst NAT macht (und NAT hinter NAT ist schlecht). Dazu ist Loadbalancing über beide Routen im Router eingestellt.
Hinter dem Router ist eine SIP Telefonanlage von Mitel welche sich bei zwei Providern Registrieren soll: bei Vodafone und bei DUSnet. Damit diese SIP-Pakete nicht vom Loadbalancing beeinflusst werden, gibt es eine Firewallregel, welche die Pakete taggt. Beim Routing wird dieses Tag dann berücktichtigt und die SIP-Pakete für DUSnet direkt über DSL-1 zur FB gesendet.
Obwohl NAT für die Route über die FB deaktiviert ist, werden die Pakete maskiert und zwar alle, nicht nur SIP und ich verstehe nicht warum.
Hat jemand von euch eine Idee wie ich der Ursache auf die schliche kommen kann?
Hier noch ein Screenshot der Konfiguration der Firewall und der Routing Tabelle:
Hier mal noch ein Trace des Routers. Schön zu erkennen ist, daß das Paket von UDP Port 5040 kommt dann mit Routing Tag 2 versehen wurd und anschließend auf 53772 umgesetzt wird.
Kennt sich jemand mit o.g. Lancom 1781VAW Router (LCOS 9.10.0629/05.04.2016) aus und kann mir erklären warum der Router NAT macht obwohl es deaktiviert ist?
Folgende Rahmenbedingungen haben wir:
Zwei mal Internet. Einmal Vodafone VDSL direkt am Router und einmal Unitymedia über eine Fritzbox 6490 an DSL-1 (LAN Port 1). Für die Route über Vodafone ist NAT aktiviert. Für die Route über die Fritzbox ist kein NAT eingestellt, da die FB ja selbst NAT macht (und NAT hinter NAT ist schlecht). Dazu ist Loadbalancing über beide Routen im Router eingestellt.
Hinter dem Router ist eine SIP Telefonanlage von Mitel welche sich bei zwei Providern Registrieren soll: bei Vodafone und bei DUSnet. Damit diese SIP-Pakete nicht vom Loadbalancing beeinflusst werden, gibt es eine Firewallregel, welche die Pakete taggt. Beim Routing wird dieses Tag dann berücktichtigt und die SIP-Pakete für DUSnet direkt über DSL-1 zur FB gesendet.
Obwohl NAT für die Route über die FB deaktiviert ist, werden die Pakete maskiert und zwar alle, nicht nur SIP und ich verstehe nicht warum.
Hat jemand von euch eine Idee wie ich der Ursache auf die schliche kommen kann?
Hier noch ein Screenshot der Konfiguration der Firewall und der Routing Tabelle:
Hier mal noch ein Trace des Routers. Schön zu erkennen ist, daß das Paket von UDP Port 5040 kommt dann mit Routing Tag 2 versehen wurd und anschließend auf 53772 umgesetzt wird.
[Ethernet] 2018/09/20 10:43:11,635 Devicetime: 2018/09/20 10:43:11,131
Received 795 byte Ethernet packet via LAN-1:
HW Switch Port : ETH-1
IPv4 Hdr Checksum : OK
IP Proto Checksum : OK
-->IEEE 802.3 Header
Dest : 00:a0:57:2b:98:21 (LANCOM 2b:98:21)
Source : 00:08:5d:97:80:c4
Type : IPv4
-->IPv4 Header
Version : 4
Header Length : 20
ToS/DSCP : (0xa0) (Precedence 5) / (DSCP CS5)
Total length : 781
ID : 18816
Fragment : Offset 0
TTL : 64
Protocol : UDP
Checksum : 4160 (OK)
Src Address : 192.168.1.20
Dest Address : 83.125.8.71
-->UDP Header
Src Port : 5040
Dest Port : SIP
Length : 761
Checksum : 10206 (OK)
-->SIP Packet
Header : REGISTER sip:proxy.dus.net SIP/2.0
Via: SIP/2.0/UDP 192.168.1.20:5040;branch=xxxxx;rport
To: <sip:xxxxx@proxy.dus.net>
From: <sip:xxxxx@proxy.dus.net>;tag=AI5D61E223728CC1DA
Call-ID: AI34C3712AC2C1DDD4@192.168.1.20
CSeq: 256 REGISTER
Authorization: Digest username="xxxxx",realm="dus.net",nonce="xxxxx",uri="sip:proxy.dus.net",response="xxxxx",algorithm=MD5
Allow: ACK,BYE,CANCEL,INVITE,NOTIFY,OPTIONS,PUBLISH,UPDATE,REFER
Allow-Events: presence,dialog,message-summary,refer
Max-Forwards: 70
User-Agent: Aastra 400
Expires: 60
Contact: <sip:xxxxx@192.168.1.20:5040;line=AIDD1E429ECC289C63>;expires=60
Content-Length: 0
[IP-Router] 2018/09/20 10:43:11,635 Devicetime: 2018/09/20 10:43:11,132
IP-Router Rx (LAN-1, INTRANET, RtgTag: 2):
DstIP: 83.125.8.71, SrcIP: 192.168.1.20, Len: 781, DSCP: CS5 (0x28), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 5060, SrcPort: 5040
Route: WAN Tx (UNITYMED)
[Ethernet] 2018/09/20 10:43:11,635 Devicetime: 2018/09/20 10:43:11,134
Sent 795 byte Ethernet packet via DSL-1:
-->IEEE 802.3 Header
Dest : cc:ce:1e:a4:17:9b
Source : 02:a0:57:2b:98:21 (LANCOM(local-0) 2b:98:21)
Type : IPv4
-->IPv4 Header
Version : 4
Header Length : 20
ToS/DSCP : (0xa0) (Precedence 5) / (DSCP CS5)
Total length : 781
ID : 53011
Fragment : Offset 0
TTL : 63
Protocol : UDP
Checksum : 35500 (OK)
Src Address : 192.168.2.20
Dest Address : 83.125.8.71
-->UDP Header
Src Port : 53772
Dest Port : SIP
Length : 761
Checksum : 26753 (OK)
-->SIP Packet
Header : REGISTER sip:proxy.dus.net SIP/2.0
Via: SIP/2.0/UDP 192.168.1.20:5040;branch=xxxxx;rport
To: <sip:xxxxx@proxy.dus.net>
From: <sip:xxxxx@proxy.dus.net>;tag=AI5D61E223728CC1DA
Call-ID: AI34C3712AC2C1DDD4@192.168.1.20
CSeq: 256 REGISTER
Authorization: Digest username="xxxxx",realm="dus.net",nonce="xxxxx",uri="sip:proxy.dus.net",response="xxxxx",algorithm=MD5
Allow: ACK,BYE,CANCEL,INVITE,NOTIFY,OPTIONS,PUBLISH,UPDATE,REFER
Allow-Events: presence,dialog,message-summary,refer
Max-Forwards: 70
User-Agent: Aastra 400
Expires: 60
Contact: <sip:xxxxx@192.168.1.20:5040;line=AIDD1E429ECC289C63>;expires=60
Content-Length: 0
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 387054
Url: https://administrator.de/contentid/387054
Ausgedruckt am: 14.11.2024 um 13:11 Uhr
10 Kommentare
Neuester Kommentar
Woher weisst du das der Lancom alle Pakete NATet die an den WAN Port der FritzBox gehen ??
Hast du in dem Koppelnetz dort mal einen Wireshark gehängt und das gesehen oder wie kommst du drauf ?
Hilfreich wäre hier auch eine Info gewesen zu deine IP Adressierung sprich welches lokale Netz und welches das Koppelnetz zur FB hat.
Hast du in dem Koppelnetz dort mal einen Wireshark gehängt und das gesehen oder wie kommst du drauf ?
Hilfreich wäre hier auch eine Info gewesen zu deine IP Adressierung sprich welches lokale Netz und welches das Koppelnetz zur FB hat.
auf jedem Interface mitzuschneiden Menüpunkt "Extras" -> "Paket-Capturing", welcher dann mit Wireshark analysiert werden kann.
Und die Frames die dann an der FritzBüx ankommen zeigen dir dann alle als Absender IP Die WAN Port IP des Lancom ??Da solltest du besser nochmal unabhängig vom lancom messen. Wenn der falsch captured bekommst du falsche Daten. Geh lieber mal direkt und unabhängig vom Lancom auf den Draht ! Nur um wirklich sicherzugehen.
Wenn es de facto im Setup deaktiviert ist für den Port, dann ist das in jedem Falle ein Bug im Lancom OS !
Hast du das aktuellste Firmware Image auf dem Lancom geflasht ?!
Wenn nein dann solltest du das unbedingt nachholen !
Dein Setup ist auf alle Fälle korrekt !
Zitat von @aqui:
Hast du das aktuellste Firmware Image auf dem Lancom geflasht ?!
Wenn nein dann solltest du das unbedingt nachholen !
Hast du das aktuellste Firmware Image auf dem Lancom geflasht ?!
Wenn nein dann solltest du das unbedingt nachholen !
LCOS 9.10.0629/05.04.2016 ist drauf. Aktuell ist 10.12.0382RU9. Hier liegen 2 Jahre dazwischen. ^^
Mich würde allerdings auch die Konfiguration der Gegenstelle Loadbal interessieren. Bitte einmal nen Screenshot der Loadbalancerkonfig posten.
Ja, FB und VF gehören zum LoadBalancing Setup.
Das ist vermutlich falsch !Das eigentliche Load Balancing läuft doch ausschliesslich nur im Lancom ab. Der "sieht" ja nur 2 WAN Ports und geht davon aus das dahinter das "Internet" ist.
Aktiv partizipiert die FB also niemals am Load Balancing.
Möglich aber das global im Lancom das gesamte Szenario als Balancing ins Internet gesehen wird und der Lancom dann fälschlicherweise davon ausgeht das an beiden WAN Ports öffentliche IPs sind und zwangsweise NAT macht und somit das individuelle NAT Setup des einen Ports überrennt.
Das wäre dann ein Firmware Bug oder...ein Fehler im Setup sollte das doch individuell einstellbar sein.
Besser wäre dann aber auch alle Fälle auf eine aktuelle Firmware zu gehen, denn dieses Design ist ja nun wahrlich nicht unüblich und sollte schon so vom Lancom Balancer supportet werden.
Muss man sicher nicht noch extra betonen das Cisco, pfSense, Mikrotik und die anderen üblichen Dual WAN Port Verdächtigen sowas problemlos individuell verwalten können.
etzt habe ich mir überlegt die FB als Bridge zwischen Kabelnetz
Das supporten die FBs schon seit langem nicht mehr auf den Kabel TV Routermodellen. Kannst du vermutlich also vergessen. Reine Modems im Kabelumfeld gibt es in der EU so gut wie gar nicht.Nun weiß ich nicht was am ge-bridge-ten Port der FB genau ankommt
Warum schliesst du keinen Wireshark an ?? Dann weisst du das doch ganz genau ?Ethernet, klar, aber wie geht dann die Einwahl?
Solltest du als Netzwerker eigentlich wissen...!:- xDSL macht immer PPPoE
- Kabel TV macht simples DHCP
Bei dir dann natürlich letzteres wenn die FB an einem Kabel TV Provider hängt.