evil2000
Goto Top

Lancom Router macht NAT trotz deaktiviertem NAT

Hallo Leute.

Kennt sich jemand mit o.g. Lancom 1781VAW Router (LCOS 9.10.0629/05.04.2016) aus und kann mir erklären warum der Router NAT macht obwohl es deaktiviert ist?

Folgende Rahmenbedingungen haben wir:
Zwei mal Internet. Einmal Vodafone VDSL direkt am Router und einmal Unitymedia über eine Fritzbox 6490 an DSL-1 (LAN Port 1). Für die Route über Vodafone ist NAT aktiviert. Für die Route über die Fritzbox ist kein NAT eingestellt, da die FB ja selbst NAT macht (und NAT hinter NAT ist schlecht). Dazu ist Loadbalancing über beide Routen im Router eingestellt.
Hinter dem Router ist eine SIP Telefonanlage von Mitel welche sich bei zwei Providern Registrieren soll: bei Vodafone und bei DUSnet. Damit diese SIP-Pakete nicht vom Loadbalancing beeinflusst werden, gibt es eine Firewallregel, welche die Pakete taggt. Beim Routing wird dieses Tag dann berücktichtigt und die SIP-Pakete für DUSnet direkt über DSL-1 zur FB gesendet.

Obwohl NAT für die Route über die FB deaktiviert ist, werden die Pakete maskiert und zwar alle, nicht nur SIP und ich verstehe nicht warum.

Hat jemand von euch eine Idee wie ich der Ursache auf die schliche kommen kann?

Hier noch ein Screenshot der Konfiguration der Firewall und der Routing Tabelle:
2018-09-20_000046
2018-09-20_000045

Hier mal noch ein Trace des Routers. Schön zu erkennen ist, daß das Paket von UDP Port 5040 kommt dann mit Routing Tag 2 versehen wurd und anschließend auf 53772 umgesetzt wird.
[Ethernet] 2018/09/20 10:43:11,635  Devicetime: 2018/09/20 10:43:11,131
Received 795 byte Ethernet packet via LAN-1:
HW Switch Port      : ETH-1
IPv4 Hdr Checksum   : OK
IP Proto Checksum   : OK
-->IEEE 802.3 Header
Dest                : 00:a0:57:2b:98:21 (LANCOM 2b:98:21)
Source              : 00:08:5d:97:80:c4
Type                : IPv4
-->IPv4 Header
Version             : 4
Header Length       : 20
ToS/DSCP            : (0xa0) (Precedence 5) / (DSCP CS5)
Total length        : 781
ID                  : 18816
Fragment            : Offset 0
TTL                 : 64
Protocol            : UDP
Checksum            : 4160 (OK)
Src Address         : 192.168.1.20
Dest Address        : 83.125.8.71
-->UDP Header
Src Port            : 5040
Dest Port           : SIP
Length              : 761
Checksum            : 10206 (OK)
-->SIP Packet
Header              : REGISTER sip:proxy.dus.net SIP/2.0
                      Via: SIP/2.0/UDP 192.168.1.20:5040;branch=xxxxx;rport
                      To: <sip:xxxxx@proxy.dus.net>
                      From: <sip:xxxxx@proxy.dus.net>;tag=AI5D61E223728CC1DA
                      Call-ID: AI34C3712AC2C1DDD4@192.168.1.20
                      CSeq: 256 REGISTER
                      Authorization: Digest username="xxxxx",realm="dus.net",nonce="xxxxx",uri="sip:proxy.dus.net",response="xxxxx",algorithm=MD5  
                      Allow: ACK,BYE,CANCEL,INVITE,NOTIFY,OPTIONS,PUBLISH,UPDATE,REFER
                      Allow-Events: presence,dialog,message-summary,refer
                      Max-Forwards: 70
                      User-Agent: Aastra 400
                      Expires: 60
                      Contact: <sip:xxxxx@192.168.1.20:5040;line=AIDD1E429ECC289C63>;expires=60
                      Content-Length: 0

[IP-Router] 2018/09/20 10:43:11,635  Devicetime: 2018/09/20 10:43:11,132
IP-Router Rx (LAN-1, INTRANET, RtgTag: 2): 
DstIP: 83.125.8.71, SrcIP: 192.168.1.20, Len: 781, DSCP: CS5 (0x28), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 5060, SrcPort: 5040
Route: WAN Tx (UNITYMED)

[Ethernet] 2018/09/20 10:43:11,635  Devicetime: 2018/09/20 10:43:11,134
Sent 795 byte Ethernet packet via DSL-1:
-->IEEE 802.3 Header
Dest                : cc:ce:1e:a4:17:9b
Source              : 02:a0:57:2b:98:21 (LANCOM(local-0) 2b:98:21)
Type                : IPv4
-->IPv4 Header
Version             : 4
Header Length       : 20
ToS/DSCP            : (0xa0) (Precedence 5) / (DSCP CS5)
Total length        : 781
ID                  : 53011
Fragment            : Offset 0
TTL                 : 63
Protocol            : UDP
Checksum            : 35500 (OK)
Src Address         : 192.168.2.20
Dest Address        : 83.125.8.71
-->UDP Header
Src Port            : 53772
Dest Port           : SIP
Length              : 761
Checksum            : 26753 (OK)
-->SIP Packet
Header              : REGISTER sip:proxy.dus.net SIP/2.0
                      Via: SIP/2.0/UDP 192.168.1.20:5040;branch=xxxxx;rport
                      To: <sip:xxxxx@proxy.dus.net>
                      From: <sip:xxxxx@proxy.dus.net>;tag=AI5D61E223728CC1DA
                      Call-ID: AI34C3712AC2C1DDD4@192.168.1.20
                      CSeq: 256 REGISTER
                      Authorization: Digest username="xxxxx",realm="dus.net",nonce="xxxxx",uri="sip:proxy.dus.net",response="xxxxx",algorithm=MD5  
                      Allow: ACK,BYE,CANCEL,INVITE,NOTIFY,OPTIONS,PUBLISH,UPDATE,REFER
                      Allow-Events: presence,dialog,message-summary,refer
                      Max-Forwards: 70
                      User-Agent: Aastra 400
                      Expires: 60
                      Contact: <sip:xxxxx@192.168.1.20:5040;line=AIDD1E429ECC289C63>;expires=60
                      Content-Length: 0

Content-ID: 387054

Url: https://administrator.de/contentid/387054

Ausgedruckt am: 23.11.2024 um 04:11 Uhr

aqui
aqui 20.09.2018 um 15:04:59 Uhr
Goto Top
Woher weisst du das der Lancom alle Pakete NATet die an den WAN Port der FritzBox gehen ??
Hast du in dem Koppelnetz dort mal einen Wireshark gehängt und das gesehen oder wie kommst du drauf ?
Hilfreich wäre hier auch eine Info gewesen zu deine IP Adressierung sprich welches lokale Netz und welches das Koppelnetz zur FB hat.
Evil2000
Evil2000 20.09.2018 aktualisiert um 15:46:06 Uhr
Goto Top
Zitat von @aqui:
Woher weisst du das der Lancom alle Pakete NATet die an den WAN Port der FritzBox gehen ??
Hast du in dem Koppelnetz dort mal einen Wireshark gehängt und das gesehen oder wie kommst du drauf ?
So ähnlich. Der Lancom Router hat die Möglichkeit den Traffic auf jedem Interface mitzuschneiden Menüpunkt "Extras" -> "Paket-Capturing", welcher dann mit Wireshark analysiert werden kann.

Zitat von @aqui:
Hilfreich wäre hier auch eine Info gewesen zu deine IP Adressierung sprich welches lokale Netz und welches das Koppelnetz zur FB hat.
Bitte entschuldige. Ich dachte das lässt sich aus dem Screenshot mit der Routingtabelle deuten.
Momentan sieht es so aus:
                 [.1.1]       [.2.20]                  [.2.1]
192.168.1.0/24 ---> Lancom Router ---> 192.168.2.0/24 ---> Fritzbox ---> Unitymedia (Öffentliches Netz)
                         |
                         +---> Vodafone VDSL (Öffentliches Netz)
aqui
aqui 20.09.2018 aktualisiert um 18:24:10 Uhr
Goto Top
auf jedem Interface mitzuschneiden Menüpunkt "Extras" -> "Paket-Capturing", welcher dann mit Wireshark analysiert werden kann.
Und die Frames die dann an der FritzBüx ankommen zeigen dir dann alle als Absender IP Die WAN Port IP des Lancom ??
Da solltest du besser nochmal unabhängig vom lancom messen. Wenn der falsch captured bekommst du falsche Daten. Geh lieber mal direkt und unabhängig vom Lancom auf den Draht ! Nur um wirklich sicherzugehen.

Wenn es de facto im Setup deaktiviert ist für den Port, dann ist das in jedem Falle ein Bug im Lancom OS !
Hast du das aktuellste Firmware Image auf dem Lancom geflasht ?!
Wenn nein dann solltest du das unbedingt nachholen !
Dein Setup ist auf alle Fälle korrekt !
tikayevent
tikayevent 20.09.2018 um 21:20:09 Uhr
Goto Top
Ist die Verbindung über die Fritzbox Teil des Loadbalancers? Wenn ja, dann liegt hier das Problem. Sobald eine Gegenstelle über irgendeinen Routingeintrag genattet wird, gilt diese Einstellung für die gesamte Gegenstelle.
Mikrofonpartner
Mikrofonpartner 20.09.2018 um 23:37:55 Uhr
Goto Top
Zitat von @aqui:
Hast du das aktuellste Firmware Image auf dem Lancom geflasht ?!
Wenn nein dann solltest du das unbedingt nachholen !

LCOS 9.10.0629/05.04.2016 ist drauf. Aktuell ist 10.12.0382RU9. Hier liegen 2 Jahre dazwischen. ^^

Mich würde allerdings auch die Konfiguration der Gegenstelle Loadbal interessieren. Bitte einmal nen Screenshot der Loadbalancerkonfig posten.
aqui
aqui 21.09.2018 um 11:50:02 Uhr
Goto Top
Oha...2 Jahre alte Firmware...das ist natürlich kontraproduktiv !
Evil2000
Evil2000 21.09.2018 aktualisiert um 13:53:44 Uhr
Goto Top
Zitat von @tikayevent:
Ist die Verbindung über die Fritzbox Teil des Loadbalancers? Wenn ja, dann liegt hier das Problem. Sobald eine Gegenstelle über irgendeinen Routingeintrag genattet wird, gilt diese Einstellung für die gesamte Gegenstelle.
Ja, FB und VF gehören zum LoadBalancing Setup.
Ich dachte ich kann die FB zum Intranet hinzufügen. Dann wird zwar nicht mehr genattet aber auch das Load-Balancing geht dann nicht mehr weil es ja nicht mehr als WAN-Verbindung genutzt wird.
Jetzt habe ich mir überlegt die FB als Bridge zwischen Kabelnetz und dem Lancom zu konfigurieren. Damit wäre theoretisch der WAN-Anschluss von Unitymedia direkt am Lancom und das Koppelnetz zwischen FB und Lancom würde wegfallen.
Nun weiß ich nicht was am ge-bridge-ten Port der FB genau ankommt. Ethernet, klar, aber wie geht dann die Einwahl? Garnicht, also nur DHCP oder statische IP? Oder ist da auch PPPoE drauf?

Zitat von @Mikrofonpartner:
Mich würde allerdings auch die Konfiguration der Gegenstelle Loadbal interessieren. Bitte einmal nen Screenshot der Loadbalancerkonfig posten.
Ich habe mal die Screenshots angehängt.
2018-09-21_000048
2018-09-21_000047
aqui
Lösung aqui 21.09.2018 um 19:41:33 Uhr
Goto Top
Ja, FB und VF gehören zum LoadBalancing Setup.
Das ist vermutlich falsch !
Das eigentliche Load Balancing läuft doch ausschliesslich nur im Lancom ab. Der "sieht" ja nur 2 WAN Ports und geht davon aus das dahinter das "Internet" ist.
Aktiv partizipiert die FB also niemals am Load Balancing.

Möglich aber das global im Lancom das gesamte Szenario als Balancing ins Internet gesehen wird und der Lancom dann fälschlicherweise davon ausgeht das an beiden WAN Ports öffentliche IPs sind und zwangsweise NAT macht und somit das individuelle NAT Setup des einen Ports überrennt.
Das wäre dann ein Firmware Bug oder...ein Fehler im Setup sollte das doch individuell einstellbar sein.
Besser wäre dann aber auch alle Fälle auf eine aktuelle Firmware zu gehen, denn dieses Design ist ja nun wahrlich nicht unüblich und sollte schon so vom Lancom Balancer supportet werden.
Muss man sicher nicht noch extra betonen das Cisco, pfSense, Mikrotik und die anderen üblichen Dual WAN Port Verdächtigen sowas problemlos individuell verwalten können.
etzt habe ich mir überlegt die FB als Bridge zwischen Kabelnetz
Das supporten die FBs schon seit langem nicht mehr auf den Kabel TV Routermodellen. Kannst du vermutlich also vergessen. Reine Modems im Kabelumfeld gibt es in der EU so gut wie gar nicht.
Nun weiß ich nicht was am ge-bridge-ten Port der FB genau ankommt
Warum schliesst du keinen Wireshark an ?? Dann weisst du das doch ganz genau ?
Ethernet, klar, aber wie geht dann die Einwahl?
Solltest du als Netzwerker eigentlich wissen...!:
  • xDSL macht immer PPPoE
  • Kabel TV macht simples DHCP
Sprich also der Port muss in den PPPoE Mode oder DHCP Client Mode gesetzt sein.
Bei dir dann natürlich letzteres wenn die FB an einem Kabel TV Provider hängt.
Mikrofonpartner
Mikrofonpartner 22.09.2018 um 00:00:26 Uhr
Goto Top
Welchen Sinn hat denn das Load-Balancing überhaupt? Surf über den VDSLer und mach über Unitymedia dein SIP-Trunk only. Richte meinetwegen die Unitymedia als Fallback fürs Internet ein.
Evil2000
Evil2000 19.10.2018 um 16:23:18 Uhr
Goto Top
Also, ich habe jetzt einige Dinge umgestellt.

Zitat von @aqui:
Möglich aber das global im Lancom das gesamte Szenario als Balancing ins Internet gesehen wird und der Lancom dann fälschlicherweise davon ausgeht das an beiden WAN Ports öffentliche IPs sind und zwangsweise NAT macht und somit das individuelle NAT Setup des einen Ports überrennt.
Das NAT-Problem ist zwar nicht gelöst, ich glaube aber das du damit komplett recht hat, daß das Loadbalancing das individuelle Setup pro Port überschreibt. Damit kann ich aber nun leben.

Jetzt habe ich mir überlegt die FB als Bridge zwischen Kabelnetz
Das supporten die FBs schon seit langem nicht mehr auf den Kabel TV Routermodellen. Kannst du vermutlich also vergessen. Reine Modems im Kabelumfeld gibt es in der EU so gut wie gar nicht.
Die FB habe ich nun tatsächlich so eingestellt bekommen, daß die nur noch als Bridge zum UM-Kabel dient. Damit wird das Ethernet, welches über das Kabelnetz gefahren wird, direkt zum Lancom durchgereicht.
Damit fällt das Koppelnetz und das NAT hinter NAT weg.
Außerdem habe ich Lancom auf die letzte FW 10.20 aktualisiert. Hinzu kam noch IPv6.

Mit diesem Setup bin ich etrstmal zufrieden.