Unitymedia - LANCOM 7100+ WAN - 5 Static IPs

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Unitymedia - LANCOM 7100+ WAN - 5 Static IPs

Beitrag von Henri »

Hallo,

ich beschäftige mich mal wieder mit diesem Thema.

IP - Adressblock

x.x.x.80 Reserviert als Unitymedia Business Netzwerkadresse
x.x.x.81 Reserviert als Unitymedia Business Gatewayadresse (Modem)
Frei zu Ihrer Verfügung
x.x.x.82
x.x.x.83
x.x.x.84
x.x.x.85
x.x.x.86
x.x.x.87 Reserviert als Unitymedia Business Broadcastadresse

Subnetz Maske: 255.255.255.248

Vorgeschaltet ist eine FB 6490 Cable, vorab mit einem Hitron Moden funktioniert die Konfiguration ohne Probleme.
Leider hat sich das Teil wiederkehrend rebooted, da nach mehren Monaten keine Ursache zu finden war ist es eine FB geworden.

Mit einer IP (.82) funktioniert die Sache auch (exposed Host an FB).

Am LANCOM wird IP Masquarading verwendet, es gibt hier 2 Reverse Proxies (Port 443 mit Client Zertifikat, ohne Client Zertifikat) und VPN via HTTPs.
Die Services sind in der Masq. Tabelle durch die WAN Adressen separiert.

Die .82 Adresse tut wie gewünscht, die .83-.86 funktioniert intern, aber nicht extern. Hier sendet die FB einen ARP für die Adresse, dieser wird aber nicht beantwortet. Das Modem hat sich hier anders verhalten. Die korrekte Lösung wäre hier sicher einen Route von .83-.86 auf .82 zu definieren, aber das mag die FB nicht.

Gibt es z.B. static ARP im LANCOM? Ich habe dazu nichts gefunden. Oder eine andere Variante, bei der die ARPs der FB beantwortet werden? Ich möchte nur den Port 443, ja nach WAN IP, an die passende Adresse senden. Die Reverse Proxies sind in einer eigenen DMZ, die aber nicht auf die static IPs per N:N gemappt ist, das möchte ich nach Möglichkeit auch nicht ändern.

Leider scheint die FB auch kein RIP/OSPF o.ä. zu unterstützen.

Danke

henri
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Unitymedia - LANCOM 7100+ WAN - 5 Static IPs

Beitrag von backslash »

Hi Henri,

das LANCOM macht auf der WAN-Seite automatisch ein Proxy-ARP d.h. es beantwortet ARP-Anfragen für Adressen im direkt angebundenen WAN-Netz, wenn
  • ENTWEDER eine DMZ mit dem selben Adreßkreis eingerichtet ist UND die Maskierungsoption der Defaultroute auf "aus" oder "nur Intranet maskieren" steht UND es keine Route gibt, die die Adressen wieder auf die WAN-Seite schiebt (Ausnahme: die Adresse des Gateways ist IMMER auf der WAN-Seite)
  • ODER wenn Protforwardings für die Adressen eingerichtet sind (Spalte "WAN-Adresse" in der Port-Forwarding-Tabelle)
d.h. wenn du die Fritzbox richtig konfiguriert hast - also ohne Maskierung/NAT und exposed Host o.ä., sondern Bridge-Mode - dann sollte es einfach funktionieren.

Gruß
Backslash
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Re: Unitymedia - LANCOM 7100+ WAN - 5 Static IPs

Beitrag von Henri »

Hallo Alfred,

vielen DANK für deine Nachricht.

Das kommt am 7100+ an, mir scheint der ARP nicht beantwortet zu werden.

Nachmal Danke

Henri

telnet x.x.x.83 443
telnet: Unable to connect to remote host: Connection refused

DEVICE: LANCOM 7100+ VPN
HW-RELEASE: D
VERSION: 10.32.0157RU5 / 08.01.2020


tr + ip-r firewall arp @ x.x.x.83

[ARP] 2020/01/29 20:02:16,652
ARP RX (WAN, INTERNET): ARP-REQ
SrcIp=x.x.x.81 @ AVM_f1:c9:ed (44:4e:6d:f1:c9:ed)
DstIp=x.x.x.83 @ 00:00:00_00:00:00 (00:00:00:00:00:00)

[ARP] 2020/01/29 20:03:48,411
ARP RX (WAN, INTERNET): ARP-REQ
SrcIp=x.x.x.81 @ AVM_f1:c9:ed (44:4e:6d:f1:c9:ed)
DstIp=x.x.x.83 @ 00:00:00_00:00:00 (00:00:00:00:00:00)


Proxy-ARP VALUE: Yes

l Service-Table/

D-port-from D-port-to Protocol Peer WAN-Address Intranet-Address Map-Port Active Comment
========================================================================--------------------------------------------------------------------------------------------------------
21 21 TCP 0.0.0.0 10.0.201.88 0 Yes Route via UTM
80 80 TCP x.x.x.84 10.0.201.100 0 Yes UTM - Primary
80 80 TCP x.x.x.82 10.0.201.100 0 Yes UTM - Primary
80 80 TCP 0.0.0.0 10.0.201.88 0 Yes UTM
443 443 TCP x.x.x.86 10.0.201.88 0 Yes UTM
443 443 TCP x.x.x.85 10.0.201.88 0 Yes UTM
443 443 TCP x.x.x.84 10.0.201.88 0 Yes UTM
443 443 TCP x.x.x.83 10.0.201.100 0 Yes FWWAN
443 443 TCP x.x.x.82 10.0.201.88 0 Yes UTM - Primary
465 465 TCP 0.0.0.0 10.0.201.88 0 Yes Mail - Route via UTM
888 888 TCP 0.0.0.0 10.0.201.88 0 Yes Route via UTM
989 990 TCP 0.0.0.0 10.0.201.88 0 Yes Route via UTM
993 993 TCP 0.0.0.0 10.0.201.88 0 Yes Mail - Route via UTM
995 995 TCP 0.0.0.0 10.0.201.88 0 Yes Mail - Route via UTM
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Re: Unitymedia - LANCOM 7100+ WAN - 5 Static IPs

Beitrag von Henri »

Noch eine INFO:

leider bietet Unitymedia den BRIDGE Mode bei FBs nicht mehr an.

Die Geräte sind per RIP auf ein Subnetz konfiguriert und routen.
Hier besteht nur noch die Change eine IP als exposed Host einzurichten.
Lt. AVM kann ich auch kein RIP/OSPF o.ä. auf dem LAN Interface konfigurieren.
Statische Routing Einträge funktionieren blöderweise nur auf Privat IPs.

Aus meiner Sicht solle die Konfiguration aber trotzdem funktionieren, wenn der 7100+ auf die ARPs antwortet.

Danke nochmals

Henri
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Re: Unitymedia - LANCOM 7100+ WAN - 5 Static IPs

Beitrag von Henri »

Hallo Alfred,

noch eine Info, lt. Trace wird der ARP beantwortet, ich habe aber bisher immer eine andere "ARP reply" Meldung im Trace gefunden, diese kommt hier nicht. Verhält sich das wie erwartet?

Danke

Henri

[ARP] 2020/01/29 20:23:28,222
ARP RX (WAN, INTERNET): ARP-REQ
SrcIp=x.x.x.81 @ AVM_f1:c9:ed (44:4e:6d:f1:c9:ed)
DstIp=x.x.x.83 @ 00:00:00_00:00:00 (00:00:00:00:00:00)

[Ethernet] 2020/01/29 20:23:28,240
Sent 42 byte Ethernet packet via DSL-1:
-->IEEE 802.3 Header
Dest : 44:4e:6d:f1:c9:ed (AVM f1:c9:ed)
Source : 02:a0:57:2e:84:e8 (LANCOM (local-0) 2e:84:e8)
Type : ARP
-->ARP packet:
Hardware Type : Ethernet
Type : ARP reply
Sender HA : 02:a0:57:2e:84:e8 (LANCOM (local-0) 2e:84:e8)
Sender IA : x.x.x.83
Receiver HA : 44:4e:6d:f1:c9:ed (AVM f1:c9:ed)
Receiver IA : x.x.x.81

x.x.x.81 444e6df1c9ed 9060 tics WAN 0 INTERNET

MAC-ADDRESS: 00a0572e84e8

Ifc DSL-1
Link-Active Yes
MAC-Address 02a0572e84e8
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Re: Unitymedia - LANCOM 7100+ WAN - 5 Static IPs

Beitrag von Henri »

Hallo Alfred,

nach ein paar Stunde aggressivem Zuwarten funktioniert es jetzt, vermutlich aber nicht auf Dauer.

Vielen Dank nochmals

Henri
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Re: Unitymedia - LANCOM 7100+ WAN - 5 Static IPs

Beitrag von Henri »

Hallo Alfred,

darf ich noch fragen, ob es möglich ist, mit einem Eintrag in der IP-Masq. Tabelle den VPN-SSL (443) Port zu adressieren?

Mir ist bewußt, das ich hier nichts eintragen sollte, der Reverse Proxy ist allerdings wg. Backup ISP mit dyn. IP DYNDNS auf die Default Public IP konfiguriert.

Falls ich nichts eintrage, wird der ARP nicht beantwortet. Bei Loopback erscheint das Web Interface.

Danke

Henri
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: Unitymedia - LANCOM 7100+ WAN - 5 Static IPs

Beitrag von ittk »

Du kannst dem webconfig doch auch einen anderen Port konfigurieren...
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Re: Unitymedia - LANCOM 7100+ WAN - 5 Static IPs

Beitrag von Henri »

Schon, dann habe ich bei 10% der Geräte einen anderen Port.


Sent from my iPad using Tapatalk Pro
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Unitymedia - LANCOM 7100+ WAN - 5 Static IPs

Beitrag von backslash »

Hi Henri

als erstes: ich bin nicht Alfred...

ansonsten verstehe ich dein Problem nicht wirklich...

also nochmal:
  • ENTWEDER der 7100 maskiert die Internet-Verbindung komplett (Maskierungs-Option "Intranet UND DMZ maskieren (Standard)") - dann brauchst du für jede "WAN" Adresse, die du nutzen willst, mindestens einen Eintrag in der Port-Forwarding-Tabelle
  • ODER du hast eine DMZ mit den öffentlichen Adressen eingerichtet - dann MUSST du als Maskierungs-Option "nur Intranet maskieren" setzen und brauchst auch KEINE Einträge in der Port-Forwading-Tabelle
Mehr ist nicht zu machen - du brauchst kein RIP, kein OSPF, kein BGB oder sonst irgend ein Routing-Protokoll. Das 7100 macht das ganz automatisch korrekt.

Gruß
Backslash
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Re: Unitymedia - LANCOM 7100+ WAN - 5 Static IPs

Beitrag von Henri »

Hallo Backslash,

ich bitte vielmals um Entschuldigung, das war eine Verwechslung von meiner Seite.

Grundsätzlich verstehe ich die Einstellungen im LANCOM ganz gut und hatte dieses Setup bereits mit einem Hitron Modem und einer Fritzbox (im Bridge Mode) am Laufen.
Leider gibt es nun diesen Bridge Mode nicht mehr und von Unitymedia keinen Support (was für einen Business Anschluß ein Witz ist).

Also, folgendes funktioniert, ob es noch anderes geht kann ich nicht sagen, es gibt keine sinnvolle Beschreibung (oder ich finde sie nicht).

1.) In der Fritzbox LAN2-LAN4 unter Portkonfiguration LAN2(-4) auf Port Sharing stellen und booten (wg. Problemen mit 2.)).
2.) In der Fritzbox IP#2 auf "Exposed Host stellen" (manuell Public IP eintragen).
3.) Bei allen anderen IPs (bei mir funktionieren noch 3 weitere), Port Forwarding mit "indep. Port" konfigurieren, wenn ich das nicht tue, kommt mal ein ARP am LANCOM an, mal nicht. Wieso verstehe ich nicht, allerdings ist es very time wasting, wenn beim Testen einmal ARPs ankommen (von anderen Paketen ganz abgesehen) und dann wieder nicht (lt. UM ist das nicht notwendig, angeblich wird die die MAC genutzt). Ich nutze hier Port 443.
4.) Im LANCOM die IP#1 mit Subnetz als "INTERNET" (o.ä.) definieren.
5.) Im LANCOM unter IP-R Masq. in der Port Forward Tabelle die Ports eintragen, wenn die FB einen ARP schickt, wird der dann auch beantwortet.
6.) Im LANCOM in der FW, einen Policy based Routing NAT Eintrag für die Absendeadressen IP#2-IP#5 definieren (https://support.lancom-systems.com/know ... -Based+NAT), damit bekommt der Outbound Traffic die korrekte IP, ich habe auf den Reverse Proxys DYNDNS aktiviert, das tut dann auch korrekt.
7.) Mit IP#1 (FB Forward 443&UDP 500) sollte dann auch VPN (HTTPS/SSL) funktionieren, der Exposed Host (IP#2) kann dann z.B. der "normale" Reverse Proxy sein, hier spart man dann die Port Forward Definitionen in der FB

Bei IPV6 ist der Status bei UM übrigens, dass es dyn. IPV6 Adressen gibt (die kommen hier auch nicht an, nur ein Tunnel mit /64). Das soll sich irgendwann ändern. Wieso ich nur 4 von 5 Public IPs nutzen kann, verstehe ich auch nicht, die 5. ist in Benutzung (von wem auch immer).

Hoffe das hilft ein wenig (und spart einige Stunden Zeit).

Mit vielen Grüßen


Henri
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Unitymedia - LANCOM 7100+ WAN - 5 Static IPs

Beitrag von backslash »

Hi Henri,
Mit IP#1 (FB Forward 443&UDP 500) sollte dann auch VPN (HTTPS/SSL) funktionieren, der Exposed Host (IP#2) kann dann z.B. der "normale" Reverse Proxy sein, hier spart man dann die Port Forward Definitionen in der FB
Was auch immer IP#1 ist... Wenn das die IP ist, die das Lancom auf der WAN-Seite hat (öffentliche IP), dann nimmt das LANCOM auf der IP auch VPN ohne jede weitere Konfiguration an. Wenn du allerding ein Portforwarding für TCP 443 bzw. UDP 500 ohne Angabe von einer "WAN-Adrese" eingerichtet hast, dann gilt dieses Portforwarding auf genau dieser IP#1 (das ist wie beim Highlander: es kann nur einen geben).
Wieso ich nur 4 von 5 Public IPs nutzen kann, verstehe ich auch nicht, die 5. ist in Benutzung (von wem auch immer).
Die insgeamt 8 Adressen eines /29er Netzes sind wie folgt belegt:
.0: Netzadresse (nicht nutzbar)
.1: Gateway (also der Unitimedia-Router)
.7: Broadcastadresse
Bleiben noch 5 Adressen (.2-.6) übrig. Eine davon braucht das LANCOM selbst und somit bleiben dir noch 4 zur freien Vergabe übrig.

Gruß
Backlash
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Re: Unitymedia - LANCOM 7100+ WAN - 5 Static IPs

Beitrag von Henri »

Hallo Backslash,

vielen Dank für deine Antwort und Geduld.

Im Laufe des Abends/Tages haben sich die Portfreigaben an der Fritzbox verschoben und es gab wieder Probleme damit.

Ich habe ein Ticket bei AVM eröffnet, folgende Aussagen vom Support:
...
Leider bietet die FRITZ!Box mit originalem FRITZ!OS keine Möglichkeit, ein öffentliches IPv4-Subnetz einzurichten, daher kann ich zu ebendieser durch eine Veränderung des FRITZ!OS durch den Anbieter ermöglichte Einrichtung nur bedingt weiterhelfen. Den Support-Daten zufolge wurden hier jedoch für einzelne Mac-Adressen mehrere IP-Adressen zugewiesen, was so im FRITZ!OS nicht vorgesehen ist. Ich bitte Sie daher dafür zu sorgen, dass jedes Netzwerkgerät nur eine IP-Adresse erhält.
...
Da das FRITZ!OS hier kein öffentliches IPv4-Subnetz verwalten kann, lässt sich hierzu leider auch keine konkrete Aussage treffen. Ich gehe aktuell jedoch davon aus, dass die Mehrfachzuweisung von IP-Adressen zu einzelnen Mac-Adressen eine Ursache des Problems darstellt. Wie bereits im Vorfeld erwähnt bitte ich Sie sicherzustellen, dass die Mac-Adressen der Endgeräte hier mit übertragen werden, vielen Dank.

Mit ist bewusst, das dies kein LANCOM Problem ist, mein Problem ist nur, ich muss damit umgehen und bekommen hier am Standort in den nächsten 12 Monaten nichts anderes/besseres, mangels Anbieter.

Was ist der präferierte Weg, hier die Fritzbox zufriende zu stellen und jede einzelne IP auf eine andere MAC zu mappen?

Vielen Dank nochmals im Voraus

Henri
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Unitymedia - LANCOM 7100+ WAN - 5 Static IPs

Beitrag von backslash »

Hi Henri,
Was ist der präferierte Weg, hier die Fritzbox zufriende zu stellen und jede einzelne IP auf eine andere MAC zu mappen?
keine Ahnung, das klingt aber danach, daß du deinem Provider - sprich Unitimedia - auf's Dach steigen solltest, das Problem zu lösen.... Da gibt es eigentlich nur zwei Lösungen:

1. Der Provider ersetzt die Fitzbox durch etwas, das einen (echten) Bridge-Modus hat (das wäre für dich *UND* den Provider die einfachste Lösung).

2. Der Provider richtet auf dem LAN der Fritzbox ein Transfernetz ein - und du richtest auf dem WAN des LANCOM das gleiche Transfernetz ein. Dann muß der Provider auf der Fitzbox noch eine Route für dein Öffentliches Netz auf die Adresse des LANCOMs in dem Transfernetz einrichten. Desweitern darf die Fritzbox dann zum Provider hin auch kein NAT mehr machen.

Die Frage ist natzürlich nur: wie kannst du den Provider dazu bringen das auch umzusetzen, wenn er der einzig verfügbare ist.


BTW: Das eine Fritzbox nicht damit umgehen können soll, daß unter einer MAC-Adresse mehrere IP-Adressen verwendet werden, halte ich für ein Armutszeugnis von AVM - und ich frage mich allen ernstes, wie man ein Linux (Open-WRT) so verhuntzen kann, daß es das nicht mehr hinbekommt - schießlich ordnet die ARP-Tabelle ja erstmal jeder IP-Adresse eine MAC-Adresse zu (siehe "arp -a" unter Windows bzw. "arp -n" unter Linux). Und das ist auch die einzige Abbildung die ein Router braucht - die umgekehrte Abbildung braucht ein Router nunmal nicht.


Gruß
Backslash
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Re: Unitymedia - LANCOM 7100+ WAN - 5 Static IPs

Beitrag von Henri »

Hallo Backslash,

vielen Dank für deine Ausführungen. Persönlich kann ich nichts gegen AVM sagen, die haben einen Support der (korrekt) antwortet und das Produkt funktioniert innerhalb der Spezifikationen stabil, was ich nicht von Hitron Modem (das ist die Alternative) sagen kann. Das Teil hatte sich über Monate rebooted, ohne das UM den Grund finden konnte. Etwas anderes wird nicht angeboten. Das Problem ist Consumer Hardware für Business Zwecke zu missbrauchen und dann dem Kunden zu erklären, er verfügt nicht über das notwendige Fachwissen, ohne technischen Support liefern zu können.
Da der Support nicht erklären kann (oder auch will), wie die die Konfiguration aussehen soll, sind Diskussionen technischer Natur aussichtslos und man verschwendet nur wertvolle Lebenszeit.

Die Fritzbox ist an einem CISCO SG550X-48P Switch angeschlossen, der hat noch genug Ports und kann VLAN. Also muss es so gehen.

Vielen Dank nochmals

Henri
Antworten