LCOS 10.40RC1 NAT Problem

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: LCOS 10.40RC1 NAT Problem

Beitrag von ittk »

Ok, danke fuer die Info.

Muesste bei Pauli also das sein INTRANET, RtgTag: 0

Was ist alles hinter dem @ Selektor erlaubt? Nur ein Routing-Tag als Ziffer (z. B. 0) oder auch ein (ARF-) Netzwerkname? wie INTRANET, sprich

Code: Alles auswählen

192.168.168.249@0
oder ist auch folgende Syntax zugelassen? Sodass die FIB dann aus dem angegebenen (ARF)-Netzwerk das dort zugewiesene Routing-Tag uebernimmt?

Code: Alles auswählen

192.168.168.249@INTRANET
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: LCOS 10.40RC1 NAT Problem

Beitrag von Pauli »

Hallo,

also die Info mit dem @ ist mir zumindest neu und hatte ich noch nirgends gelesen, aber durchaus ein Versuch wert. Allerdings ist mir noch nicht so ganz klar wo ich hier was eintragen muss. Meine Eff.-IP-Routing-Tab. sieht unter 10.32 so aus:

Code: Alles auswählen

IP-Adresse	IP-Netzmaske		Rtg-Tag	Gateway			Gegenstelle	Distanz	Maskierung	Typ
172.16.0.0		255.255.255.0		0		172.16.0.250		DMZ			0		nein			DMZ
192.168.168.0		255.255.255.0		0		192.168.168.250	INTRANET		0		nein			Intranet
172.16.40.0		255.255.255.0		0		172.16.40.250		IOT			0		nein			Intranet
172.16.25.0		255.255.255.0		0		172.16.25.250		MM			0		nein			Intranet
172.16.50.0		255.255.255.0		0		172.16.50.250		PUBLIC		0		nein			Intranet
172.16.2.0		255.255.255.0		0		172.16.2.250		VOIP			0		nein			Intranet
192.168.168.141	255.255.255.255	0		255.255.255.255	VPN_SM-IOS	16		nein			Statisch
192.168.168.142	255.255.255.255	0		255.255.255.255	VPN_JM-IOS	16		nein			Statisch
192.168.0.0		255.255.255.252	0		37.24.84.197		UNITYMEDIA	1		Ein			Statisch
172.16.2.0		255.255.255.0		201		192.168.168.249	INTRANET		1		Ein			Statisch
172.16.40.0		255.255.255.0		202		192.168.168.249	INTRANET		1		Ein			Statisch
255.255.255.255	0.0.0.0			150		255.255.255.255	LB			1		Ein			Statisch
255.255.255.255	0.0.0.0			110		62.156.244.34		T-ONLINE		1		Ein			Statisch
255.255.255.255	0.0.0.0			100		37.24.84.197		UNITYMEDIA	1		Ein			Statisch
255.255.255.255	0.0.0.0			0		37.24.84.197		UNITYMEDIA	1		Ein			Statisch
In der 10.32 wurde doch auch schon am Routing geschraubt oder?

Umso mehr ich intensiv analysiere treffe ich auf sehr seltsame Phänomene. Ich habe eine DNS Weiterleitung für ?* auf eine Adresse in der DMZ 172.16.0.x. Seit der 10.32 kommt es trotz des Routing Tables oben vor, dass er diese Zieladresse nicht erreichen kann und damit auch kein DNS macht? Das waren alles Dinge die bisher funktioniert hatten und ich wüsste auch nicht was ich hier korrigieren oder anpassen soll?

Gruß, Pauli
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: LCOS 10.40RC1 NAT Problem

Beitrag von ittk »

Hi Pauli,

unter Konfiguration --> IPv4 --> DNS:

Dort gibt es ja Weiterleitungen und die Tag-Kontext- sowie die Loopback-Adressen Tabellen

Vermutlich musst die Gegenstellen (dort kannst du ja auch eigene IP-Adressen hinterlegen und nicht nur die per ARF-Netz vorauswaehlbaren Eintraege --> Netzwerkname der ARF-Netze)

ebenfalls mit der neuen @Routing-Tag Syntax anpassen:

Aus der Tabelle "Weiterleitungen".

Code: Alles auswählen

Geben Sie hier die Gegenstelle für die DNS-Weiterleitung an.

Es können auch zwei IP-Adressen als primärer und sekundärer DNS-Server für die weiterzuleitende Domäne eingegeben werden. Der DNS-Forwarder wählt bei einer Wiederholung einer DNS-Anfrage den zweiten Server als Ziel aus.

Eine Mischung von IP-Adressen und Gegenstellen ist nicht möglich, d.h. es kann also entweder nur eine Gegenstelle oder zwei IP-Adressen angegeben werden. Wenn zwei IP-Adressen eingegeben werden, dann müssen sie durch mindestens ein Leerzeichen voneinander getrennt sein.

Wenn der oder die DNS Server über ein anderes Routing-Tag erreicht werden sollen, als das in dieser Zeile konfigurierte, muss die IP-Adresse um das Zeichen @ und die Angabe des zu verwendenden Routing-Tag erweitert werden (Beispiel: 8.8.8.8@2).

Aus der Tabelle "Loopback-Adressen":

Code: Alles auswählen

Die Gegenstelle als Teil einer Loopback-Adresse. Dies ist entweder ein Interface-Name oder eine IPv6-Adresse. Nach einem "@" kann ein Routing-Tag hinzugefügt werden. Die Gegenstelle muss genauso auch in der Tabelle DNS-Weiterleitungen vorkommen. 
Mögliche Werte:
max. 39 Zeichen aus [A-Z][0-9]@{|}~!$%&'()+-,/:;<=>?[\]^_.
Default-Wert:leer
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: LCOS 10.40RC1 NAT Problem

Beitrag von ittk »

Hier noch zwei KBs:

Wie kann bei LANCOM Routern eine DNS-Weiterleitung für IPv4 und/oder IPv6 konfiguriert werden?https://support.lancom-systems.com/know ... d=32988108

Absende-Adresse für DNS-Anfrage über eine Loopback-Adresse bestimmen
https://support.lancom-systems.com/know ... d=32981668

Und ein Teil auf dem Ref-Manual:

https://www.lancom-systems.de/docs/LCOS ... ntext.html
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: LCOS 10.40RC1 NAT Problem

Beitrag von ittk »

Hi Pauli,

vermutlich das hier: 192.168.168.249@0 anstelle von nur 192.168.168.249 als Router fuer diese beiden Routen:

172.16.2.0 255.255.255.0 201 192.168.168.249 INTRANET 1 Ein Statisch
172.16.40.0 255.255.255.0 202 192.168.168.249 INTRANET 1 Ein Statisch

Pauli hat geschrieben: 03 Jan 2020, 13:32 Hallo,

also die Info mit dem @ ist mir zumindest neu und hatte ich noch nirgends gelesen, aber durchaus ein Versuch wert. Allerdings ist mir noch nicht so ganz klar wo ich hier was eintragen muss.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: LCOS 10.40RC1 NAT Problem

Beitrag von Pauli »

Hi ittk,

vielen Dank für Deine Unterstützung. Ich werde die Tage mal wieder auf die 10.40RC aktualisieren und dann Deinen Vorschlag probieren. Ganz kapiere ich aber noch nicht warum hinter dem Router eine 0 muss? Du schreibst 'Dies geschieht durch Anhängen von @ gefolgt von dem Tag an den Nexthop in der Peers Spalte der statischen Routingtabelle. Mit dem Tag wird dann intern ein Lookup in der FIB durchgeführt, um dass Zielinterface zu bestimmen.'

Sprich ich habe zwar durch eine FW Regel die richtige Route ("01/202) für bestimmte Zugriffe festgelegt der Lancom weiß aber nicht über welches Interface er die Pakete rausschicken soll? Woher weiß er das bei der 0?

Es wäre schön wenn Du hier noch ein wenig für Dumme erläutern könntest.
unter Konfiguration --> IPv4 --> DNS:
Ja hier hatte ich unter Weiterleitung unter anderem
Domäne: ?*
Tag: 0
Gegenstelle: 172.16.0.248 9.9.9.9

172.16.0.248 ist eine DMZ Adresse, dort steht mein Pi-Hole DNS Server und wenn der mal nicht verfügbar ist soll 9.9.9.9 benutzt werden. Hat auch bisher immer geklappt ohne weitere Konfiguration. Nach einem der letzten Updates habe ich dann Probleme mit dem DNS bemerkt und konnte nun verifizieren, dass er hin und wieder (leider nicht immer) den DNS Pi-Hole nicht erreicht bzw. findet und somit kein DNS macht.

Für die DMZ passt doch aber das Routing Tag 0, sprich ich sollte doch auch gar nichts angeben müssen, da für die internen Netze automatisch 0er Routen angelegt werden oder? Ich werde allerdings jetzt mal für die beiden DNS Adressen eine Loopback Adresse definieren und schauen was passiert. Interessanter weise kann ich hier nicht den LB auswählen?!

Danke, Pauli
geho
Beiträge: 10
Registriert: 11 Okt 2018, 20:55

Re: LCOS 10.40RC1 NAT Problem

Beitrag von geho »

Zu ittk's Frage
Was ist alles hinter dem @ Selektor erlaubt?
Aktuell ist in der statischen Routingtabelle nach dem @ nur ein Routing-Tag als Ziffer zulässig.

Zu Pauli's Frage
Sprich ich habe zwar durch eine FW Regel die richtige Route ("01/202) für bestimmte Zugriffe festgelegt der Lancom weiß aber nicht über welches Interface er die Pakete rausschicken soll? Woher weiß er das bei der 0?
Allgemein gilt für die statische Routingtabelle, dass wenn eine Adresse in der "Peer-or-IP" Spalte der Tabelle eingegeben wird, mit dieser Adresse ein Lookup in der FIB (die neue effektive Routingtabelle) gemacht wird, um das Zielinterface zu finden. D.h. es wird in der FIB mit dem gleichen (oder dem @ angegebenen) Routing-Tag nach dem längsten Präfix gesucht, in dem die Nexthop Adresse enthalten ist. Von dieser Route wird dann das Interface in die neue Route übernommen. Dies kann auch über mehrere Einträge passieren, wenn alle nur eine Adresse als Ziel eingetragen haben.
Wird keine Route gefunden, dann wird als Ziel das Nullinterface #Null eingetragen, die Route ist also erstmal eine Sperroute. Sollte sich etwas an der FIB ändern, so wird überprüft, ob dies Auswirkungen auf diese 'indirekten' Routen hat und diese werden im Falle des Falles angepasst.
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: LCOS 10.40RC1 NAT Problem

Beitrag von Pauli »

Kurzes Feedback:

Mit dem @0 hinter den Routen scheint es aktuell zu funktionieren und auch die Eff.Routing Tabelle sieht zwar jetzt viel länger aber schlüssig aus. Ich beleibe jetzt mal auf der 10.40RC1 und werde mich melden wenn es wieder Probleme und Auffälligkeiten gibt.

Gruß, Pauli
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LCOS 10.40RC1 NAT Problem

Beitrag von backslash »

Hi BeckerOl,

das Portforwarding über zusätzliche Adressen scheitert in der 10.40 RC1 nur auf IPOE-Verbindungen, weil es ein Problem im ARP gibt - Anfragen für diese Adressen werden in der RC1 nicht beantwortet. Das wird mit der nächsten Build (10.40.0116 oder höher) behoben sein

Gruß
Backslash
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LCOS 10.40RC1 NAT Problem

Beitrag von backslash »

Hi Pauli,

da die Routing-Engine in der 10.40 überarbeitet wurde - zu erkennen an der geänderten "effektiven Routimg-Tabelle" ist es u.U. nötig, einer Route beim Next Hop zusätzlich ein Routing-Tag mitzugeben, über das der Next-Hop erreicht werden soll. Das ist in jedem Fall nötig, wenn sich der Next-Hop in einem anderen Kontext befindet als die Route selbst. Das Tag wird dem Next-Hop per '@' hizugefügt, in deinem Fall also vermutlich

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Admin-Distance  Peer-or-IP             
===========================================================----------------------------- 
172.16.40.0      255.255.255.0    202      0               192.168.168.249@0
aber eigentlich hätte der Konfig-Konverter das erkennen und anpassen sollen.

Gruß
Backslash
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: LCOS 10.40RC1 NAT Problem

Beitrag von Pauli »

backslash hat geschrieben: 07 Jan 2020, 16:30 Hi BeckerOl,

das Portforwarding über zusätzliche Adressen scheitert in der 10.40 RC1 nur auf IPOE-Verbindungen, weil es ein Problem im ARP gibt - Anfragen für diese Adressen werden in der RC1 nicht beantwortet. Das wird mit der nächsten Build (10.40.0116 oder höher) behoben sein

Gruß
Backslash
Sehr schön, dann ist auch geklärt, warum ich das Problem nur hin und wieder hatte. Ich habe eine IPOE und eine VDSL Gegenstelle und mache das meiste beim Portforwarding mit der VDSL Strecke. Da hatte ich immer nur Probleme wenn ich mal umgeschaltet habe ...

Gruß, Pauli
Dani99
Beiträge: 168
Registriert: 05 Jun 2014, 18:40

Re: LCOS 10.40RC1 NAT Problem

Beitrag von Dani99 »

Hallo,

ich habe in meiner RT im Router-Eintrag Namen ausgewählt, welche ich in der Kommunikationseinstellungen (DSL-Gegenstelle und L2TP-Endpunkte (VPN)) vergeben habe. Wie stelle ich hier den @Tag dahinter?

Danke und LG
wahltho
Beiträge: 182
Registriert: 13 Feb 2014, 13:39

Re: LCOS 10.40RC1 NAT Problem

Beitrag von wahltho »

Hallo,

bin gestern auch beim Update auf das Problem mit den Port Forwardings gestossen.

Die Diskussion hier habe ich nicht vollumfänglich verstanden.

Gibt es eine einfach zu implementierende Lösung?

Viele Grüße + Vielen Dank

Thomas
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: LCOS 10.40RC1 NAT Problem

Beitrag von ittk »

Hi,

ja, steht doch alles hier im Beitrag wunderbar beschrieben drin.

Und zum Problem: "das Portforwarding über zusätzliche Adressen scheitert in der 10.40 RC1 nur auf IPOE-Verbindungen, weil es ein Problem im ARP gibt - Anfragen für diese Adressen werden in der RC1 nicht beantwortet. Das wird mit der nächsten Build (10.40.0116 oder höher) behoben sein"

Musst Du eben die neuste Beta-Build (/aktuell 10.40 BUIL0137) anstelle der 10.40RC1 installieren.

wahltho hat geschrieben: 16 Feb 2020, 14:09 Hallo,

bin gestern auch beim Update auf das Problem mit den Port Forwardings gestossen.

Die Diskussion hier habe ich nicht vollumfänglich verstanden.

Gibt es eine einfach zu implementierende Lösung?

Viele Grüße + Vielen Dank

Thomas
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
wahltho
Beiträge: 182
Registriert: 13 Feb 2014, 13:39

Re: LCOS 10.40RC1 NAT Problem

Beitrag von wahltho »

Vielen Dank für die Antwort :)

Dann warte ich auf die nächste offizielle Version.

Viele Grüße

Thomas
Antworten