Routing Problem

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Routing Problem

Beitrag von Pauli »

Hallo,

ich betreibe am Lancom in einem separaten VLAN noch eine alte FritzBox für die Telefonie.

Da die FritzBox nur aus dem gleichen Subnetz diverse Funktionen zulässt nutze ich für den Zugriff auf die FritzBox eine Linux Appliance, die das interne Natting macht - hat auch in Vergangenheit einwandfrei funktioniert. Nun, scheinbar mit dem Wechsel auf die 10.4x komme ich nicht mehr über den Lancom an die FritzBox. Wenn ich den Trace richtig interpretiere schickt er der Lancom die Pakete zwar weiter aber an das falsche VLAN:

Code: Alles auswählen

[IP-Router] 2020/03/29 11:26:25,632  Devicetime: 2020/03/29 11:26:25,473
IP-Router Rx (LAN-1, INTRANET, RtgTag: 201): 
DstIP: 172.16.2.241, SrcIP: 192.168.168.100, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x044a
Redirect to 192.168.168.249, LAN-1 Tx (INTRANET)): 
Route: 192.168.168.249, LAN-1 Tx (VOIP): 
Das Problem ist das LAN1 Tx (VOIP), da die Linux Büchse mit der 192.168.168.249 zwar am LAN-1 hängt, aber nicht im VOIP, sondern im INTRANET (siehe Zeile darüber). Wie kann ich der Route sagen, das Paket nicht in das VOIP VLAN zu schicken, da das ja später die Linux Büchse macht?

Ich weiß spezielles Konstrukt, hatte aber bisher immer funktioniert ...

PS: Nutze ich die Linux Büchse als GHateway funktioniert der Zugiff noch, sprich dort passt alles, aber die Pakete kommen dort nicht mehr an und ich will ja nur den Lancom als Standard-Gateway nutzen.

Danke, Pauli
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Routing Problem

Beitrag von backslash »

Hi Pauli,

du nutzt offenbar mehrere "gleichnamige" (192.168,.168.x) ARF-Netze mit unterschiedlichen Routing-Tags (INTRANET und VOIP). In dem fall mußt du dem Next-Hop der Route zum Netz 172.16.2.x mitgeben, in welchem Kontext er zu erreichen ist. Das geschieht über ein @ mit nachfolgendem Touting-Tag - in deinem Fall also vermutlich 192.168.168.249@201

Gruß
Backslash
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: Routing Problem

Beitrag von Pauli »

Hallo,

und Danke schon mal für den Hinweis.

Ich habe keine gleichen Netze, möchte aber in das gleiche Netz über verschiedene Wege - das scheint hier das Problem zu sein. Ich vermute es liegt daran, dass ich das VOIP unter IP-Netze mit VLAN 2 definiert habe, erkennt er in diesem Fall das ich in dieses Netz will und schickt das Paket in dieses VLAN. Ich will aber jetzt in diesem Fall über den NAT Router gehen, der nicht im VOIP Netz Vlan 2, sondern im Intranet Vlan 1 steht.

Redirect to 192.168.168.249, LAN-1 Tx (INTRANET)):
Route: 192.168.168.249, LAN-1 Tx (VOIP):

Also Du meinst dann muss mein Routing Eintrag statt:

172.16.2.0 255.255.255.0 201 192.168.168.249@0

so aussehen:

172.16.2.0 255.255.255.0 201 192.168.168.249@201

Danke, Pauli
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: Routing Problem

Beitrag von ittk »

Die Thematik hast Du doch schon mal hier angesprochen:

feedback-lcos-release-update-betatest-f ... ml#p101448
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: Routing Problem

Beitrag von Pauli »

Hatte dort auch funktioniert, aber jetzt mit einem ganz anderen Trace eben nicht mehr.

Jetzt wird ins falsche VLAN weitergeleitet, damals hat er keine Route gefunden.

Pauli
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: Routing Problem

Beitrag von ittk »

D. h. zwei verschiedene ARF-Netze und innerhalb des ARF Netzes, wie sind da die VLAN-Zuordnungen / Konfigurationen?

Da werdenvermutlich nur wahlto bzw. backslash eher was zu sagen koennen ;)
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: Routing Problem

Beitrag von Pauli »

Ich habe folgende Netze konfiguriert:

Code: Alles auswählen

Netzwerkname	IP-Adresse	IP-Netzmaske	VLAN-ID	Interface	Quellpruefung	Typ	Rtg-Tag	Kommentar
Löschen	INTRANET	192.168.168.250	255.255.255.0	1	LAN-1	locker	Intranet	0	Local Intranet
Löschen	VOIP	172.16.2.250	255.255.255.0	2	LAN-1	locker	Intranet	0	VOIP-Netz (Fritz)
Löschen	MM	172.16.25.250	255.255.255.0	25	LAN-1	locker	Intranet	0	Entertainment-Netz
Löschen	IOT	172.16.40.250	255.255.255.0	40	LAN-1	locker	Intranet	0	IoT-Netz
Löschen	PUBLIC	172.16.50.250	255.255.255.0	50	LAN-1	streng	Intranet	0	Gast-und Service-Netz
Löschen	DMZ	172.16.0.250	255.255.255.0	99	LAN-2	streng	DMZ	0	Demilitarized Zone
Damit kennt der Lancom ja das VOIP Netz und weis auch wie er da hinkommt bzw. er legt eine Route an. Die Routing Tabelle sieht nun so aus:

Code: Alles auswählen

IP-Adresse	IP-Netzmaske	Rtg-Tag	Admin-Distanz	Peer-oder-IP	Distanz	Maskierung	Aktiv	Kommentar
Löschen	192.168.168.141	255.255.255.255	0	0	VPN_SM-IOS	0	nein	ja	
Löschen	192.168.168.142	255.255.255.255	0	0	VPN_JM-IOS	0	nein	ja	
Löschen	192.168.0.0	255.255.255.252	0	0	UNITYMEDIA	0	ein	ja	Kabelmodem
Löschen	172.16.40.0	255.255.255.0	202	0	192.168.168.249@0	0	nein	ja	
Löschen	172.16.2.0	255.255.255.0	201	0	192.168.168.249@0	0	nein	ja	
Löschen	255.255.255.255	0.0.0.0	150	0	LB	0	ein	ja	
Löschen	255.255.255.255	0.0.0.0	110	0	T-ONLINE	0	ein	ja	
Löschen	255.255.255.255	0.0.0.0	100	0	UNITYMEDIA	0	ein	ja	
Löschen	255.255.255.255	0.0.0.0	0	0	UNITYMEDIA	0	ein	ja	
Natürlich gibt es für die 201 und 202 eine Firewallregel die auf den Tag geht. Damit sollen Pakete nicht vom Lancom slebst geroutet werden (kein internes NAT), sondern an den Router 192.168.168.249 geschickt werden - passt auch:

Redirect to 192.168.168.249, LAN-1 Tx (INTRANET)):

Allerdings passiert es, dass der Lancom zwar an die IP redirected aber nicht über das VLAN 1 (Intranet), sondern der Meinung ist er nimmt mal das Netz VOIP:

Route: 192.168.168.249, LAN-1 Tx (VOIP):

Damit kommt das Paket dann nicht zu diesem Router. Sprich alles was ich erreichen müsste, dass wen nimmer er die Route 201 (und 202) zieht, diese an die INTRANET Adresse 192.168.168.249 redirectet wird und das immer via LAN-1 INTRANET, sprich VLAN 1 und nicht VLAN 2 VOIP.

Danke, Pauli
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: Routing Problem

Beitrag von Pauli »

Also ich habe noch ein wenig getract und die Frage ist, wie bekomme ich den Eintrag
Router 192.168.168.249 nicht das VLAN 2, sondern das VLAN 1 zu nehmen?

Danke, Pauli
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: Routing Problem

Beitrag von Pauli »

Mittlerweile bin ich der Meinung es ist ein Bug:

Es ist ja meiner Meinung nach so, für die statische Routingtabelle, dass wenn eine Adresse in der "Peer-or-IP" Spalte der Tabelle eingegeben wird, mit dieser Adresse ein Lookup in der FIB (die neue effektive Routingtabelle) gemacht wird, um das Zielinterface zu finden. D.h. es wird in der FIB mit dem gleichen (oder dem @ angegebenen) Routing-Tag nach dem längsten Präfix gesucht, in dem die Nexthop Adresse enthalten ist.

Offensichtlich schaut er aber nicht nach dem Redirect in der FIB, sondern mit dem ursprünglichen Ziel. Somit kommt er dann auf das VOIP Netz, obwohl er im Intranet zum Router gehen soll. Würde er dafür eine Route suchen müsste er auch eine im INTRANET finden.

Oder wie seht Ihr das bzw. habe ich einen Denkfehler?

Gruß, Pauli
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: Routing Problem

Beitrag von ittk »

Pauli hat geschrieben: 31 Mär 2020, 10:18 Mittlerweile bin ich der Meinung es ist ein Bug:

Es ist ja meiner Meinung nach so, für die statische Routingtabelle, dass wenn eine Adresse in der "Peer-or-IP" Spalte der Tabelle eingegeben wird, mit dieser Adresse ein Lookup in der FIB (die neue effektive Routingtabelle) gemacht wird, um das Zielinterface zu finden. D.h. es wird in der FIB mit dem gleichen (oder dem @ angegebenen) Routing-Tag nach dem längsten Präfix gesucht, in dem die Nexthop Adresse enthalten ist.

Offensichtlich schaut er aber nicht nach dem Redirect in der FIB, sondern mit dem ursprünglichen Ziel. Somit kommt er dann auf das VOIP Netz, obwohl er im Intranet zum Router gehen soll. Würde er dafür eine Route suchen müsste er auch eine im INTRANET finden.

Oder wie seht Ihr das bzw. habe ich einen Denkfehler?

Gruß, Pauli

Dann poste hier erstmal wirklich alle benoetigen Infos, wie traces vom Fehlerfall, die effektive Routing-Tabelle ...

Und dann kannst du nur darauf hoffen, dass backslash oder wahlto sich zu Wort melden... :D
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Routing Problem

Beitrag von backslash »

Hi pauli

ohne die von ittk angeforderten Daten werde ich auch nichts sagen können...

Gruß
Backslash
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: Routing Problem

Beitrag von Pauli »

Hi und Sorry,

ich war der Meinung ich hatte schon alles gepostet:

Hier noch mal der Trace:

Code: Alles auswählen

[IP-Router] 2020/03/31 12:00:16,543  Devicetime: 2020/03/31 12:00:16,310
IP-Router Rx (LAN-1, INTRANET, RtgTag: 201): 
DstIP: 172.16.2.241, SrcIP: 192.168.168.100, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x001d
Redirect to 192.168.168.249, LAN-1 Tx (INTRANET)): 
Route: 192.168.168.249, LAN-1 Tx (VOIP): 
Eff. Routing Tabelle:

Code: Alles auswählen

IP-Adresse	IP-Netzmaske	Rtg-Tag	Next-Hop	Zielinterface	Typ(Distanz)	Maskierung
0.0.0.0	0.0.0.0	202	37.24.84.197	UNITYMEDIA	Static (5)	ein
127.0.0.0	255.0.0.0	202	0.0.0.0	#Loopback	Loopback (0)	nein
172.16.0.0	255.255.255.0	202	0.0.0.0	DMZ	Connected LAN (2)	nein
172.16.0.250	255.255.255.255	202	0.0.0.0	#Loopback	Local LAN (0)	nein
172.16.40.0	255.255.255.0	202	192.168.168.249	INTRANET	Static (5)	nein
192.168.0.0	255.255.255.252	202	37.24.84.197	UNITYMEDIA	Static (5)	ein
192.168.168.141	255.255.255.255	202	0.0.0.0	VPN_SM-IOS	Static Ifc Down (255)	nein
192.168.168.142	255.255.255.255	202	0.0.0.0	VPN_JM-IOS	Static Ifc Down (255)	nein
0.0.0.0	0.0.0.0	201	37.24.84.197	UNITYMEDIA	Static (5)	ein
127.0.0.0	255.0.0.0	201	0.0.0.0	#Loopback	Loopback (0)	nein
172.16.0.0	255.255.255.0	201	0.0.0.0	DMZ	Connected LAN (2)	nein
172.16.0.250	255.255.255.255	201	0.0.0.0	#Loopback	Local LAN (0)	nein
172.16.2.0	255.255.255.0	201	192.168.168.249	INTRANET	Static (5)	nein
192.168.0.0	255.255.255.252	201	37.24.84.197	UNITYMEDIA	Static (5)	ein
192.168.168.141	255.255.255.255	201	0.0.0.0	VPN_SM-IOS	Static Ifc Down (255)	nein
192.168.168.142	255.255.255.255	201	0.0.0.0	VPN_JM-IOS	Static Ifc Down (255)	nein
0.0.0.0	0.0.0.0	150	0.0.0.0	T-ONLINE	Static (5)	ein
127.0.0.0	255.0.0.0	150	0.0.0.0	#Loopback	Loopback (0)	nein
172.16.0.0	255.255.255.0	150	0.0.0.0	DMZ	Connected LAN (2)	nein
172.16.0.250	255.255.255.255	150	0.0.0.0	#Loopback	Local LAN (0)	nein
192.168.0.0	255.255.255.252	150	37.24.84.197	UNITYMEDIA	Static (5)	ein
192.168.168.141	255.255.255.255	150	0.0.0.0	VPN_SM-IOS	Static Ifc Down (255)	nein
192.168.168.142	255.255.255.255	150	0.0.0.0	VPN_JM-IOS	Static Ifc Down (255)	nein
0.0.0.0	0.0.0.0	110	0.0.0.0	T-ONLINE	Static (5)	ein
127.0.0.0	255.0.0.0	110	0.0.0.0	#Loopback	Loopback (0)	nein
172.16.0.0	255.255.255.0	110	0.0.0.0	DMZ	Connected LAN (2)	nein
172.16.0.250	255.255.255.255	110	0.0.0.0	#Loopback	Local LAN (0)	nein
192.168.0.0	255.255.255.252	110	37.24.84.197	UNITYMEDIA	Static (5)	ein
192.168.168.141	255.255.255.255	110	0.0.0.0	VPN_SM-IOS	Static Ifc Down (255)	nein
192.168.168.142	255.255.255.255	110	0.0.0.0	VPN_JM-IOS	Static Ifc Down (255)	nein
217.92.81.221	255.255.255.255	110	0.0.0.0	#Loopback	Local WAN (0)	nein
0.0.0.0	0.0.0.0	100	37.24.84.197	UNITYMEDIA	Static (5)	ein
37.24.84.196	255.255.255.252	100	0.0.0.0	UNITYMEDIA	Connected WAN (2)	ein
37.24.84.197	255.255.255.255	100	0.0.0.0	UNITYMEDIA	Connected WAN (2)	ein
37.24.84.198	255.255.255.255	100	0.0.0.0	#Loopback	Local WAN (0)	nein
127.0.0.0	255.0.0.0	100	0.0.0.0	#Loopback	Loopback (0)	nein
172.16.0.0	255.255.255.0	100	0.0.0.0	DMZ	Connected LAN (2)	nein
172.16.0.250	255.255.255.255	100	0.0.0.0	#Loopback	Local LAN (0)	nein
192.168.0.0	255.255.255.252	100	37.24.84.197	UNITYMEDIA	Static (5)	ein
192.168.168.141	255.255.255.255	100	0.0.0.0	VPN_SM-IOS	Static Ifc Down (255)	nein
192.168.168.142	255.255.255.255	100	0.0.0.0	VPN_JM-IOS	Static Ifc Down (255)	nein
0.0.0.0	0.0.0.0	0	37.24.84.197	UNITYMEDIA	Static (5)	ein
127.0.0.0	255.0.0.0	0	0.0.0.0	#Loopback	Loopback (0)	nein
172.16.0.0	255.255.255.0	0	0.0.0.0	DMZ	Connected LAN (2)	nein
172.16.0.250	255.255.255.255	0	0.0.0.0	#Loopback	Local LAN (0)	nein
172.16.2.0	255.255.255.0	0	0.0.0.0	VOIP	Connected LAN (2)	nein
172.16.2.250	255.255.255.255	0	0.0.0.0	#Loopback	Local LAN (0)	nein
172.16.25.0	255.255.255.0	0	0.0.0.0	MM	Connected LAN (2)	nein
172.16.25.250	255.255.255.255	0	0.0.0.0	#Loopback	Local LAN (0)	nein
172.16.40.0	255.255.255.0	0	0.0.0.0	IOT	Connected LAN (2)	nein
172.16.40.250	255.255.255.255	0	0.0.0.0	#Loopback	Local LAN (0)	nein
172.16.50.0	255.255.255.0	0	0.0.0.0	PUBLIC	Connected LAN (2)	nein
172.16.50.250	255.255.255.255	0	0.0.0.0	#Loopback	Local LAN (0)	nein
192.168.0.0	255.255.255.252	0	37.24.84.197	UNITYMEDIA	Static (5)	ein
192.168.168.0	255.255.255.0	0	0.0.0.0	INTRANET	Connected LAN (2)	nein
192.168.168.141	255.255.255.255	0	0.0.0.0	VPN_SM-IOS	Static Ifc Down (255)	nein
192.168.168.142	255.255.255.255	0	0.0.0.0	VPN_JM-IOS	Static Ifc Down (255)	nein
192.168.168.250	255.255.255.255	0	0.0.0.0	#Loopback	Local LAN (0)	nein
Routing Tabelle und definierte Netze hatte ich ja bereits gepostet. Braucht Ihr sonst noch etwas?

Pauli
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: Routing Problem

Beitrag von Pauli »

Kurze Rückmeldung - ich habe ein Ticket aufgemacht:

Das es nicht mehr funktioniert ist richtig so (leider). Nach Überarbeitung des Routings in der 10.40 ist das verhalten korrekt, dass für ein im Lancom bekanntes Netz im Intranet an ein anderen Router redirectet wird nicht mehr funktioniert. Laut Support ist ein solches Routing, auch wenn es früher funktionierte, technisch falsch.

Also schade, aber so ist es scheinbar. Da der Lancom keine Maskierung von internen Netzen unterstützt und wahrscheinlich auch zeitnah nicht unterstützen wird, bleiben leider nur andere Workarounds wie z.B. lokale Routing Einträge.

Gruß, Pauli
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Routing Problem

Beitrag von backslash »

Hi Pauli,

sorry, aber ich bin jetzt erst dazugekommen, mir das anzusehen. Als erstes: Der Support hat unrecht. Es liegt tatsächlich ein Fehler vor - genaugenommen sogar 2:
  • Du hast in der umtaggenden Regel offenbar als Ziel "%LVOICE" stehen, was dazu führt, daß das Ziel-Interface erzwungen wird - was aber eigentlich schon immer falsch war (selbst in der 10.32). Daher solltest du als erstes die Regel korrigieren und das Netz VOICE dort explizit abrollen (%A172.16.2.250 %M255.255.255.0)
  • Das ICMP-Redirect wird nicht rausgesendet, weshalb der obige Fehler jetzt tatsächlich sichtbar wird.
Ändere deine Regel ab und es wird wieder funktionieren - weil das Paket dann nicht ins Netz VOICE gezwungen wird, sondern über die Route weitergeleitet wird. Das gleicht das Fehlen des Redirects wenigstens halbwegs aus

Ab der nächsten Build (10.40.0186) wird es dann auch Fixes für die beiden Fehler geben, d.h. das Redirect geht wieder raus und bei deiner Regel (so wie sie jetzt ist) wird die Firewall sagen "no matching route, test next filter" - denn die Angaben eines Interfaces (egal ob wan oder lan) in der Zielspalte ist eine Bedingung für das Matchen der Regel.

Gruß
Backslash
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: Routing Problem

Beitrag von Pauli »

Hi Backslash,

vielen Dank für die Unterstützung.

Was meinst Du mit 'Netz VOICE dort explizit abrollen (%A172.16.2.250 %M255.255.255.0)'?

Du redest von der Firewall-Regel, dort habe ich als Ziel 'Alle Stationen im lokalen Netzwerk' und Netzwerk-Name 'IOT' angegeben. Soll ich jetzt ein Ziel Objekt 'Ein ganzes IP-Netzwerk mit 172.16.2.0. und 255.255.255.0 nehmen?

In der Routing Tabelle lasse ich meinen Eintrag wie er war:

Löschen 172.16.2.0 255.255.255.0 201 0 192.168.168.249@0 0 nein ja

Danke, Pauli
Antworten