Verständnisfrage: Modem hinter Router
Hallo Netzwerkspezialisten und Programmierer
Wird ein separates Modem hinter einem Router betrieben mittels PPPoE-Einwahl, kommt man gewöhnlich nicht mehr auf das Modem selbst da das Modem (Link) getunnelt wird.
Das Schaubild im Forum von DD-WRT von trifft es ja ganz gut.
Dennoch ist es ja manchmal von Vorteil trotzdem noch auf das Modem drauf zu kommen. Sei es für Firmwareupdates oder den Status der DSL-Verbindung zu prüfen.
Für einen DrayTek-Router und -Modem Kombination stellt DrayTek eine Anleitung bereit. Laut Support funktioniert dies aber nur, wenn die Standardverbindung einen Tag verwendet (damit wohl die Datenpakete unterschieden werden können). Für meine Internetleitung trifft das eh zu, da ich Magenta TV habe. Aber was wäre wenn ich keines hätte und bei einem anderem Provider wäre??
DD-WRT bietet eine ähnliche Anleitung an. Mit meinem DD-WRT-Router habe ich es hinbekommen. ALLERDINGS nur mit der Methode "Tertiary Method". Hat es schon mal jemand mit der "Primary Method" hinbekommen?? Habe ich da was falsch gemacht? Gibt es einen Leistungsunterschied zwischen beiden Methoden? Oder Allgemein: Ist eine Methode besser oder schlechter?
Jetzt vielleicht noch eine Frage an die Programmierer. Meine Netzwerkprogrammierung im Studium ist doch wieder etwas her. Wieso ist dieser Anwendungsfall so eine "Herausforderung"? Normalerweise steckt das Default-Gateway alle Pakete mit denen es nichts anfangen kann in den PPPoE-Tunnel. Somit sollte man doch meinen, dass eine statische Route genügen sollte nach dem Motto, alle Pakete an 10.0.0.x sollen an das Interface WAN (eth0) und nicht an das (virtuelle) Interface PPPoE geleitet werden. Die Firmware auf der Modem-Seite muss doch ein Socket auf eth0 öffnen und die ankommenden Daten entgegennehmen, evtl. verpacken und dann an das WAN-Interface weitergeben. Dann sollte das Datenpaket entweder an den Provider mit seiner IP-Adresse gehen oder eben an 10.0.0.x durch die statische Route.
Also bildhaft gesprochen: Der Wärter vor dem Tunnel hält das Auto an und schickt es entweder durch den Tunnel oder die Passstraße hoch zum Haus mit der Hausnummer 10.0.0.x.
Diese Annahme würde sich in der Routingtabelle meines DD-WRT-Routers auch wiederspiegeln (Achtung mein WAN-Port ist 192.168.3.x)
Aber dann verstehe ich die Aussage des DrayTek-Mitarbeiters nicht, dass man einen VLAN-Tag benötigt, um die Datenpakete unterscheiden zu können.
Funktioniert das bei DD-WRT auch nur, weil dort auch ein VLAN-Tag verwendet wird?
Kann hier mal jemand die (programmiertechnischen) Hürden oder meine Denkfehler genauer erläutern?
Vielen Dank schon mal dafür!
Wird ein separates Modem hinter einem Router betrieben mittels PPPoE-Einwahl, kommt man gewöhnlich nicht mehr auf das Modem selbst da das Modem (Link) getunnelt wird.
Das Schaubild im Forum von DD-WRT von trifft es ja ganz gut.
Dennoch ist es ja manchmal von Vorteil trotzdem noch auf das Modem drauf zu kommen. Sei es für Firmwareupdates oder den Status der DSL-Verbindung zu prüfen.
Für einen DrayTek-Router und -Modem Kombination stellt DrayTek eine Anleitung bereit. Laut Support funktioniert dies aber nur, wenn die Standardverbindung einen Tag verwendet (damit wohl die Datenpakete unterschieden werden können). Für meine Internetleitung trifft das eh zu, da ich Magenta TV habe. Aber was wäre wenn ich keines hätte und bei einem anderem Provider wäre??
DD-WRT bietet eine ähnliche Anleitung an. Mit meinem DD-WRT-Router habe ich es hinbekommen. ALLERDINGS nur mit der Methode "Tertiary Method". Hat es schon mal jemand mit der "Primary Method" hinbekommen?? Habe ich da was falsch gemacht? Gibt es einen Leistungsunterschied zwischen beiden Methoden? Oder Allgemein: Ist eine Methode besser oder schlechter?
Jetzt vielleicht noch eine Frage an die Programmierer. Meine Netzwerkprogrammierung im Studium ist doch wieder etwas her. Wieso ist dieser Anwendungsfall so eine "Herausforderung"? Normalerweise steckt das Default-Gateway alle Pakete mit denen es nichts anfangen kann in den PPPoE-Tunnel. Somit sollte man doch meinen, dass eine statische Route genügen sollte nach dem Motto, alle Pakete an 10.0.0.x sollen an das Interface WAN (eth0) und nicht an das (virtuelle) Interface PPPoE geleitet werden. Die Firmware auf der Modem-Seite muss doch ein Socket auf eth0 öffnen und die ankommenden Daten entgegennehmen, evtl. verpacken und dann an das WAN-Interface weitergeben. Dann sollte das Datenpaket entweder an den Provider mit seiner IP-Adresse gehen oder eben an 10.0.0.x durch die statische Route.
Also bildhaft gesprochen: Der Wärter vor dem Tunnel hält das Auto an und schickt es entweder durch den Tunnel oder die Passstraße hoch zum Haus mit der Hausnummer 10.0.0.x.
Diese Annahme würde sich in der Routingtabelle meines DD-WRT-Routers auch wiederspiegeln (Achtung mein WAN-Port ist 192.168.3.x)
Aber dann verstehe ich die Aussage des DrayTek-Mitarbeiters nicht, dass man einen VLAN-Tag benötigt, um die Datenpakete unterscheiden zu können.
Funktioniert das bei DD-WRT auch nur, weil dort auch ein VLAN-Tag verwendet wird?
Kann hier mal jemand die (programmiertechnischen) Hürden oder meine Denkfehler genauer erläutern?
Vielen Dank schon mal dafür!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 606533
Url: https://administrator.de/contentid/606533
Ausgedruckt am: 24.11.2024 um 10:11 Uhr
2 Kommentare
Neuester Kommentar
Es ist keine Herausforderung. Leider gibt es aber zu der Problematik bei SoHo Hardware keine generelle Lösung, denn das ist immer von der verwendeten Hardware abhängig.
Überwiegend verhält es sich Protokoll technisch so wie du es richtig beschreibst. Die Problematik besteht aber bei xDSL Anschlüssen im Tagging und hängt von der Option ab auf dem WAN Port mit virtuellen Interfaces arbeiten zu können.
Bei xDSL WAN Ports im PPPoE Mode wird generell ja alles getagged und in PPPoE encapsuliert. Folglich kann ein solcher Router oder Firewall ein Modem Port, der natürlich nur ungetaggte (Ethernet) Pakete ohne PPPoE Header zum Management annimmt, nicht erreichen.
Viele bessere Router oder Firewalls lassen es aber zu weitere virtuelle Interfaces auf dem physischen WAN Port anzulegen die dann das Problem im Handumdrehen lösen.
Supportet also die Router/Firewall Hardware so ein Feature ist die Lösung immer einfach. Sie beschreibt ja auch ganz genau deinen Ansatz: Internet Traffic in den PPPoE Tunnel und alles lokale fürs Modem über ein einfaches WAN Ethernet Interface. Bzw. auch das was der Draytek Support sagte das der Tag bestimmt ob PPPoE Tunnel Traffic oder WAN Port direkt (kein Tag).
Dieser Thread erklärt genau so eine Lösung am Beispiel einer pfSense Firewall:
Hardware für PfSense (DualWan, DDNS, VPN)
Der andere Ansatz sind sog. OOB (Out of Band) Management Interfaces die gute NUR Modems in der Regel haben. Man erkennt diese oft daran das sie 2 RJ-45 Ethernet Ports außer der RJ-11 Modem Buchse haben. Zu diesen gehören z.B. Zyxel VMG3006, Allnet und andere. Diese besitzen einen physisch abgetrennten OOB Port für das Modem Management den man individuell z.B. in ein lokales Management VLAN legen kann. Dadurch das er physisch vom Modem Port getrennt ist kann es nicht zu Sicherheitsproblemen kommen.
Du hast aber auch Recht das man normalerweise sehr selten an das Management eines Modem heran muss. Das reduziert sich in der Tat fast ausschliesslich auf Firmware Updates die aber meist eher selten sind bei reinen Modems, da diese ja keinerlei IP Forwarding oder andere Funktionaltäten haben. Ein NUR Modem ist in erster Line ein passiver Medienwandler von Ethernet/PPPoE auf xDSL Framing.
Es stellt sich also in der Tat die Frage ob man den Zugang überhaupt zwingend einrichten müsste. Normalerweise nein. Sollte aber dennoch einmal ein Update oder ein irgendwie anders gearteter Management Zugang nötig sein, zieht man das Modem kurz ab und greift mit einem Laptop oder PC mit statischer IP kurz darauf zu und stöpselt das Modem wieder an.
So ist es z.B. bei Draytek weil es so einen OOB Port nicht hat.
Da das max. 1-2 Mal im Jahr (eher weniger) passiert ist das sicher tolerabel aber Benutzer Ansichten sind da eben unterschiedlich.
Überwiegend verhält es sich Protokoll technisch so wie du es richtig beschreibst. Die Problematik besteht aber bei xDSL Anschlüssen im Tagging und hängt von der Option ab auf dem WAN Port mit virtuellen Interfaces arbeiten zu können.
Bei xDSL WAN Ports im PPPoE Mode wird generell ja alles getagged und in PPPoE encapsuliert. Folglich kann ein solcher Router oder Firewall ein Modem Port, der natürlich nur ungetaggte (Ethernet) Pakete ohne PPPoE Header zum Management annimmt, nicht erreichen.
Viele bessere Router oder Firewalls lassen es aber zu weitere virtuelle Interfaces auf dem physischen WAN Port anzulegen die dann das Problem im Handumdrehen lösen.
Supportet also die Router/Firewall Hardware so ein Feature ist die Lösung immer einfach. Sie beschreibt ja auch ganz genau deinen Ansatz: Internet Traffic in den PPPoE Tunnel und alles lokale fürs Modem über ein einfaches WAN Ethernet Interface. Bzw. auch das was der Draytek Support sagte das der Tag bestimmt ob PPPoE Tunnel Traffic oder WAN Port direkt (kein Tag).
Dieser Thread erklärt genau so eine Lösung am Beispiel einer pfSense Firewall:
Hardware für PfSense (DualWan, DDNS, VPN)
Der andere Ansatz sind sog. OOB (Out of Band) Management Interfaces die gute NUR Modems in der Regel haben. Man erkennt diese oft daran das sie 2 RJ-45 Ethernet Ports außer der RJ-11 Modem Buchse haben. Zu diesen gehören z.B. Zyxel VMG3006, Allnet und andere. Diese besitzen einen physisch abgetrennten OOB Port für das Modem Management den man individuell z.B. in ein lokales Management VLAN legen kann. Dadurch das er physisch vom Modem Port getrennt ist kann es nicht zu Sicherheitsproblemen kommen.
Du hast aber auch Recht das man normalerweise sehr selten an das Management eines Modem heran muss. Das reduziert sich in der Tat fast ausschliesslich auf Firmware Updates die aber meist eher selten sind bei reinen Modems, da diese ja keinerlei IP Forwarding oder andere Funktionaltäten haben. Ein NUR Modem ist in erster Line ein passiver Medienwandler von Ethernet/PPPoE auf xDSL Framing.
Es stellt sich also in der Tat die Frage ob man den Zugang überhaupt zwingend einrichten müsste. Normalerweise nein. Sollte aber dennoch einmal ein Update oder ein irgendwie anders gearteter Management Zugang nötig sein, zieht man das Modem kurz ab und greift mit einem Laptop oder PC mit statischer IP kurz darauf zu und stöpselt das Modem wieder an.
So ist es z.B. bei Draytek weil es so einen OOB Port nicht hat.
Da das max. 1-2 Mal im Jahr (eher weniger) passiert ist das sicher tolerabel aber Benutzer Ansichten sind da eben unterschiedlich.
Zitat von @Michl16:
Hallo Netzwerkspezialisten und Programmierer
Wird ein separates Modem hinter einem Router betrieben mittels PPPoE-Einwahl, kommt man gewöhnlich nicht mehr auf das Modem selbst da das Modem (Link) getunnelt wird.
Hallo Netzwerkspezialisten und Programmierer
Wird ein separates Modem hinter einem Router betrieben mittels PPPoE-Einwahl, kommt man gewöhnlich nicht mehr auf das Modem selbst da das Modem (Link) getunnelt wird.
Moin,
Üblicherweise ist die Sichtweise andersherum: Man betrachtet vom Internetzugang aus die Reihenfolge der Reräte.
Also ist das Modem vor dem Router!
Die Terminologie ist wichtig, weil man ansonsten aneinander vorbeiredet.
Ansonsten ist das gar kein so großes Problem, sofern man das richtige Modem hat. Man weist dem WAN-Port des Routers/der Firewall eine IP-Adresse zu und macht dasselbe mit dem Modem und schon kann man mit entsprechenden Regeln im Router/der Firewall auf das Modem zugreifen.
lks