Auerswald COMpact 5000R hinter Lancom 1781VAW - Anmeldung am Registrar nicht möglich

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
mstamm
Beiträge: 11
Registriert: 25 Mai 2021, 12:49

Auerswald COMpact 5000R hinter Lancom 1781VAW - Anmeldung am Registrar nicht möglich

Beitrag von mstamm »

Liebes Forum,

meine Konfiguration sieht folgendermaßen aus:

Lancom 1781VAW an Internetanschluß per VDSL2 (100/40) mit Dual Stack (nicht DS-lite), LCOS 10.50RC1
dahinter Auerswald COMpact 5000R
Provider M-Net mit SIP-Registrar mga.mnet-voip.de, Verbindung muß zwingend über IPv6 hergestellt werden, 10 Registrierungen (1 pro Rufnummer)

Ich verzweifle damit derzeit an der Firewallkonfiguration meines Lancom 1781VAW, vielleicht hat jemand eine Idee.

Internetverbindung über Lancom, Präfix-Delegation usw. sind problemlos. Alle Clients, auch die COMpact, nutzen SLAAC.

Die COMpact 5000R kann am Lancom keine IPv6-Verbindung zu mga.mnet-voip.de aufbauen. DIe Anmeldungen enden mit Fehler 408 Zeitüberschreitung, und der LANmonitor teilt mit, daß Pakete des Registrars durch die Intrusion Detection verworfen wurden.

Sowohl IPv6-Inbound- als auch Weiterleitungs-Regeln habe ich mit den Objekten SIP und SIPS (wobei letzteres momentan noch unnötig wäre, da der Provider SIPS nicht unterstützt) konfiguriert, schaffe es aber nicht, daß die COMpact eine Verbindung über IPv6 zum Registrar aufbauen kann. Daß die COMpact auf Port 5064 arbeitet (Konfliktvermeidung für den Registrar der COMpact für die Nebenstellen), habe ich durch Anpassung der Firewallobjekte berücksichtigt. Einstellungen SIP-ALG ein/aus und Firewallregeln für weitergeleitete SIP-Pakete ein/aus habe ich getestet, ohne Änderung.

Ich würde gern eingehende Weiterleitungen nur von 2001:a60:1::/48 aus freigeben, wäre aber schon zufrieden, wenn ich es überhaupt schaffen würde, daß sich die Anlage beim Provider registriert.

Ich habe dann testweise den Lancom durch eine Fritz!Box 7590 ersetzt. Bei dieser funktioniert die Registrierung durch die COMpact direkt, auch eingehende und abgehende Gespräche sind ohne Probleme möglich. Unterbunden wird die Registrierung durch die COMpact nur dann (erwartungsgemäß), wenn in der Fritz!Box der SIP-Filter aktiv ist.

Die einzige Erklärung, die ich habe, ist eine Fehlkonfiguration des Firewalls des Lancom. Gibt es dazu Hinweise, wie die Inbound- und Weiterleitungsregeln richtig zu konfigurieren sind, oder was sonst noch zu beachten ist? Nach dem Handbuch sollte es funktionieren, was aber nicht der Fall ist.

Schon jetzt vielen Dank!

Nachtrag: Mir fällt eben auf, daß ich möglicherweise im falschen Unterforum veröffentlicht habe - falls es hier "nur" um die reinen Firewalls und nicht um die Firewallfunktionen der Router geht, bitte ich, den Beitrag zu verschieben, und um Entschuldigung.

Grüße,
Markus
Benutzeravatar
VX500
Beiträge: 52
Registriert: 23 Feb 2019, 20:41
Wohnort: Celle

Re: Auerswald COMpact 5000R hinter Lancom 1781VAW - Anmeldung am Registrar nicht möglich

Beitrag von VX500 »

Hallo Markus,

mit der Firewall hatte ich mich auch schon geärgert.

Hab aber ein paar Tipps bekommen:

fragen-zum-thema-firewall-f15/pd-subnet ... 18050.html


Vieles davon trifft auch bei dir zu. Speziell das Szenario der IPv6 Freigabe für delegierte Präfixe.


Grüße
Sascha
mstamm
Beiträge: 11
Registriert: 25 Mai 2021, 12:49

Re: Auerswald COMpact 5000R hinter Lancom 1781VAW - Anmeldung am Registrar nicht möglich

Beitrag von mstamm »

Hallo Sascha,

vielen Dank für den Hinweis, ich bin dabei, dies durchzuarbeiten. Ich bin momentan noch im Zweifel, ob es wirklich ein Problem der delegierten Präfixe ist, denn das Problem, daß die Intrusion Detection anspricht, tritt auch dann auf, wenn unmittelbar nach dem Aufbau der Internetverbindung die COMpact zum erstenmal den Registrar kontaktiert, nicht aber etwa nur dann, wenn sich der Präfix ändert. Ich habe testweise mal die Inbound- und Forwarding-Regeln für SIP auf Quelle/Ziel ANYHOST gesetzt, was aber nur zur Folge hatte, daß eingehende Anrufe nicht mehr signalisiert wurden, während abgehende Anrufe möglich waren. Die Traces haben mir auch noch nicht geholfen, da sie nur feststellen, daß eben die IDS Pakete verworfen hat, aber nicht wirklich sinnvolle Auskunft über die Gründe geben. Wenn gar nichts anderes helfen sollte, würde ich die All-IP-Option aktivieren und den Lancom als SIP-Registrar zwischen Provider und COMpact setzen, aber so recht sehe ich eigentlich nicht ein, warum ich das tun sollte, vor allem, weil es ja mit einer Fritz!Box ohne weitere Konfiguration "ab Schachtel" richtig funktioniert. Vielleicht müßte ich auch mal zum Vergleich die Firewalleinstellungen der Fritz!Box nachvollziehen, aber es sieht mir nicht so aus, als ob man sich diese im Detail ansehen könnte. Ich berichte über den Fortschritt.

Grüße,
Markus
Benutzeravatar
VX500
Beiträge: 52
Registriert: 23 Feb 2019, 20:41
Wohnort: Celle

Re: Auerswald COMpact 5000R hinter Lancom 1781VAW - Anmeldung am Registrar nicht möglich

Beitrag von VX500 »

Hallo Markus,

ich hab mir da auch einen abgebrochen. IPv6 ist leider nicht so gut dokumentiert.

Die Inbound Regeln sind für den Lancom Router und seine eigenen Dienste. Alles was dahinter hängt wird über die Forwarding Regeln ausgehandelt.

Man könnte daher testweise/kurzzeitig:

- Firewall abschalten
- oder eine Inbound Regeln erstellen, die alles durchlässt ACCEPT ANY ANYHOST LOCALNET

Aber nur für ein paar Minuten um zu schauen, ob die Telefonanlage jetzt läuft.

So bin ich dahinter gekommen, das meine Probleme mit einem Snom D345 IP-Telefon und der IPv6-Verbindung zur Telefongesellschaft dus.net nicht am Telefon, sondern am Lancom-Router lagen. Es gibt da standardmäßig die ALLOW_OUTBOUND Regel, die dem Grunde nach allen ausgehenden Verkehr unbeschränkt erlaubt. Zumindest war bei meinem Lancom 883 eine solche Regel bereits vorhanden. Den eingehenden Verkehr blockt die DENY_ALL Regel. Die nämlich, wie der Name vermuten lässt, alles eingehende abblockt. Zu finden unter Firewall/QoS --> IPv6-Regeln --> IPv6-Forwarding-Regeln

Grüße
Sascha
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Auerswald COMpact 5000R hinter Lancom 1781VAW - Anmeldung am Registrar nicht möglich

Beitrag von backslash »

Hi mstamm,

wenn das IDS anschlägt, dann zeigt die Route zur Quellladresse des auslösenden Pakets nicht auf das Interface, auf dem das Paket empfangen wurde.
Das kann eigentlich nur bedeuten, daß deine TK-Anlage eben kein SLAAC macht, sondern eine faste IP-Adresse konfiguriert hat, die nicht zu dem Interface paßt, an dem sie angeschlossen ist.
Du kannst dir von der Firewall eine Mail schicken lasssen - da steht dann genau drin, warum das iDS das Paket abgelehnt hat

In der Default-Konfiguration ist die IPv6-Firewall so konfiguriert, daß sie alles "von innen nach aussen" durchläßt und alles "von aussen nach innen" blockt - d.h. wenn die TK-Ankge richtig konfiguriert ist und SLAAC macht, dann kann sie sich auch sofort mit dem Registrar verbinden. Du mußt aber dafür sorgen, daß das Rerergistrierungsintervall der TK-Anlage kleiner ist als der UDP-Timeout der Firewall, da du sonst nach Ablauf des Timeouts keine Telefonate mehr annehmen kannst. Der Timeout wird aus historischen Gründen unter IP-Router -> Maskierung -> UDP-Aging konfiguriert. Der Default ist 120 Sekunden

Gruß
Backslash
mstamm
Beiträge: 11
Registriert: 25 Mai 2021, 12:49

Re: Auerswald COMpact 5000R hinter Lancom 1781VAW - Anmeldung am Registrar nicht möglich

Beitrag von mstamm »

Hallo Backslash,

zu diesem Ergbenis bin ich aufgrund weiterer Tests ebenfalls gekommen. Folgendes konnte ich bislang ermitteln:

Es kann weder an den Inbound- noch an den Weiterleitungsregeln im Firewall liegen. Wie schon zuvor richtig angemerkt, sind die Inbound-Regeln nur für direkte Verbindungen zum Lancom relevant. Hier hatte ich das Handbuch mißverstanden. Aber auch eine Weiterleitungsregel dürfte nicht erforderlich sein. Ich habe daher gestern beide SIP/SIPS-Regelsätze deaktiviert, sowohl für Inbound- wie auch für die Weiterleitungsregeln. Die COMpact konnte sich dann normal am Registrar registrieren, und es waren ein- und ausgehende Anrufe problemlos möglich.

Das UDP Aging stand bei mir auf 120 Sekunden, dazu gibt es auch einen KB-Artikel von Lancom, der darauf hinweist, daß das Aging manchmal zu kurz ist und dies bei hinter dem Lancom liegenden TK-Anlagen zu Problemen führt. Solche konnte ich aber nicht feststellen.

Gestern Abend und heute Nacht funktionierte alles mehrere Stunden lang problemlos. Heute morgen waren dann die Registrierungen weg und IDS wieder da.

Aufgrund der Tatsache, daß mein Provider M-Net nur dynamische IPv6-Präfixe vergibt, und aufgrund anderer Forumsbeiträge hier habe ich den Eindruck, daß ich an der falschen Stelle gesucht habe. Es sieht vorläufig für mich so aus, daß möglicherweise über Nacht der Präfix ungültig geworden ist und der Lancom das nicht mitbekommen hat. In diesem Zusammenhang ist mir aufgefallen, daß es für den Zugang über M-Net kein eigenes DHCPv6-Clientprofil gibt, obwohl der Assistent ein solches anlegen sollte.

Ich glaube, daß ich in die Richtung Präfix und Verhalten des Lancom bei ungültig werdendem oder sich ändernden Präfix ermitteln muß. Beim ersten Verbindungsaufbau der Internetverbidung wird das Präfix definitiv richtig bezogen und delegiert, und die COMpact und alle anderen Geräte verwenden es richtig. Wenn es aber ungültig wird und kein neues Präfix durchgereicht wird, dann würde das auch IDS erklären. Die Meldung lautet nämlich, daß Pakete von einem ungültigen Interface kommen, was offenbar u.a. auch auf einen ungültig gewordenen Präfix hindeuten kann. Im Lanmonitor war der Präfix auch heute morgen noch gleich, aber ich habe den Eindruck, daß das nur bestätigen würde, daß der Lancom die Präfixänderung nicht mitbekommen hat. Mal sehen, ob ich dazu etwas noch finden kann.

Ich freue mich natürlich auch, wenn Du dazu vielleicht ebenfalls einen Tip oder Link hast.

Danke und Grüße,
Markus
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Auerswald COMpact 5000R hinter Lancom 1781VAW - Anmeldung am Registrar nicht möglich

Beitrag von backslash »

Hi mstamm,

wenn das LANCOM den Präfixwechsel nicht mitbekäme, käme es auch nicht zur IDS-Meldung (denn dann würde es ja den alten Prefix noch im LAN verwenden)...

Es dürfte eher so sein, daß deine TK-Anlage den Prefixwechsel nicht mitbekommt und weiter den alten Prefix nutzt, der aber mitlerweile ungülttig ist. Ggf. bekommt die TK-Anlage nicht mit, wenn der Prefix abgekündigt wird. In dem Fall mußt du vermutlich unter IPv6 -> Router-Advertisment -> Prefix-Liste an dem Prefix deines LANs (vermutlich "INTRANET") die Bevorzuge Gültigkeit und die Gültigkeit herabsetzen, z.B. auf eine bzw. zwei Stunden, so daß sich die TK-Anlge den Prefix nur entsprechend kurz merkt... Der Prefix ::/64 ist da i.Ü. korrekt, denn er soll ja automatisch bezogen werden - unter "Prefix beziehen von:" steht dann der Name deiner Internetverbindung (vermutlich "MNET"),

In der einen oder den zwei Stunden nach einem Prefix-Wechsel kann es dann vermutlich immer noch zur IDS-Meldung kommen...

Gruß
Backslash
mstamm
Beiträge: 11
Registriert: 25 Mai 2021, 12:49

Re: Auerswald COMpact 5000R hinter Lancom 1781VAW - Anmeldung am Registrar nicht möglich

Beitrag von mstamm »

Hallo Backslash,

vielen Dank für den Hinweis. Da wäre es auch interessant zu wissen, mit welchen Werten die Fritz!Box typischerweise arbeitet - denn mit einer Fritz!Box funktioniert es ja ohne Einschränkungen, und in beiden Fällen wird im Netz kein DHCPv6-Server sondern SLAAC genutzt.

Als ich eben von der Fritz!Box zum Testen wieder auf den Lancom gewechselt bin, ist mir aufgefallen, daß die COMpact tatsächlich mehrere MInuten lang nicht den neuen Präfix erkannt hat, und ich frage mich, ob es eine Option im Lancom gibt, die erforderlich ist, oder wie sich sonst die Fritz!Box in diesem Punkt (ohne aktiven DHCPv6-Server und nur mit SLAAC) vom Lancom unterscheidet.

Der Provider M-Net scheint auch eher kurze Gültigkeiten für die Präfixe anzugeben, so liegt Preferred-Until bei ca. 2 und Valid-Until bei ca. 3 Stunden. Die Werte im Lancom sind in der Voreinstellung weitaus höher (für Preferred-Until 168 Stunden, für Valid-Until 720 Stunden). Eine Fehlfunktion an der COMpact würde aber ja doch nicht erklären, warum dieses Problem nur beim Wechsel Fritz!Box-Lancom auftritt? Denn wenn ich zurückwechsle, sind die Registrierungen wenige Sekunden nach dem Aufbau der Internetverbindung durch die Fritz!Box wieder da, und zwar ohne irgendeinen Eingriff durch mich.

Außerdem - wenn der durch M-Net delegierte Präfix eine niedrigere Gültigkeitsdauer hat als sie im Lancom konfiguriert ist, sollte dann nicht der Lancom automatisch die niedrigere Gültigkeitsdauer übernehmen?

Ich habe aufgrund dieser Überlegungen noch immer den Verdacht, daß es doch noch eine weitere Fehlkonfiguration im Lancom geben könnte. Ich bin auch weiterhin für jeden Hinweis sehr dankbar und werde auch morgen (hier Feiertag) Zeit zum Testen haben.

Danke und Grüße,
Markus
mstamm
Beiträge: 11
Registriert: 25 Mai 2021, 12:49

Re: Auerswald COMpact 5000R hinter Lancom 1781VAW - Anmeldung am Registrar nicht möglich

Beitrag von mstamm »

Hallo Backslash,

ich bin doch auf einen Konfigurationsfehler gestoßen: Ich habe auf dem Lancom insgesamt drei Netze konfiguriert. Nach der Umstellung des Anschlusses auf Dual Stack habe ich diese drei Netze dann auch in die IPv6-Konfiguration übertragen. Unter IPv6/Router-Advertisement/Präfix-Liste ist mir dabei ein Fehler unterlaufen. Für alle Interfaces stand die Subnetz-ID auf 1, was nach der Dokumentation nicht zulässig ist. Ich habe diesen Fehler berichtigt.

Um das Testen etwas zu beschleunigen, habe ich dann auch noch zwei Optionen geändert, obwohl man ja eigentlich nur einen Konfigurationsschritt jeweils ausführen sollte. Aufgrund der Dokumentation habe ich die Option Adv. OnLink für alle drei Netze auf Aus gestellt. Und schließlich habe ich noch für die Internet-Verbindung ein DHCPv6-Clientprofil erstellt, in dem Rapid Commit deaktiviert, Reconfigure-Accept aktiviert und auch Adresse anfragen und Präfix anfragen aktiviert sind. Die Dokumentation erschien mir an dieser Stelle nicht ganz eindeutig; eigentlich sollten diese Einstellungen wohl für die Internetverbindung nicht nötig sein, weil sie durch die Autokonfiguration übermittelt werden sollten.

Mit diesen Einstellungen hat die Konfiguration einschließlich der COMpact seit gestern 22.40 Uhr mehrfache Präfix-Wechsel sowie einige Neustarts des Routers und eine Änderung der Kabelführung, in deren Verlauf ich auch das Anschlußkabel aus- und wieder einstecken mußte, problemlos überstanden. Beim Neustart des Routers hat auch beispielsweise die COMpact die bisherige IPv6-Adresse praktisch sofort als Veraltet angezeigt, was vorher nicht der Fall war. Ich beobachte nun in der Webschnittstelle die PD-Bindings (der nächste Präfixwechsel steht um 08.51 Uhr an).

Sollte sich herausstellen, daß alles weiterhin funktioniert, dann bin ich mir allerdings noch nicht ganz sicher, ob ich die Änderungen (bis auf die Berichtigung der Subnetz-IDs) schrittweise rückgängig machen soll, um zu sehen, welche Einstellung wirklich maßgeblich war, oder ob ich die Konfiguration dann nicht so belassen sollte.

Vielen Dank für Deine vielen wertvollen Hinweise.

Grüße,
Markus
mstamm
Beiträge: 11
Registriert: 25 Mai 2021, 12:49

Re: Auerswald COMpact 5000R hinter Lancom 1781VAW - Anmeldung am Registrar nicht möglich

Beitrag von mstamm »

Hallo Backslash,
mstamm hat geschrieben: 03 Jun 2021, 07:40 Sollte sich herausstellen, daß alles weiterhin funktioniert, dann bin ich mir allerdings noch nicht ganz sicher, ob ich die Änderungen (bis auf die Berichtigung der Subnetz-IDs) schrittweise rückgängig machen soll, um zu sehen, welche Einstellung wirklich maßgeblich war, oder ob ich die Konfiguration dann nicht so belassen sollte.
die Neugier hat doch gesiegt. Ich habe das DHCPv6-Clientprofil für M-Net wieder gelöscht und auch die Parameter Adv. OnLink für alle drei Netze wieder aktiviert (Voreinstellung). Nur die fehlerhafte Konfiguration der Subnetz-IDs habe ich nicht mehr rückgängig gemacht. Ich berichte dann, was weiter passiert.

Grüße,
Markus
mstamm
Beiträge: 11
Registriert: 25 Mai 2021, 12:49

Re: Auerswald COMpact 5000R hinter Lancom 1781VAW - Anmeldung am Registrar nicht möglich

Beitrag von mstamm »

Bislang verläuft der Betrieb völlig unauffällig. Ich meine daher, ohne es zu verrufen, daß das Problem wirklich an der fehlerhaften Konfiguration der drei internen Netze lag und nun gelöst sein dürfte. Die Präfixdelegation war unauffällig, die Registrierung blieb durchgehend erhalten, mehrere Anrufe (darunter ein Gespräch von über einer Stunde Dauer) waren unauffällig, auch einige Neustarts des Routers und eine Trennung der Interneverbindung wegen Änderung der Kabelführung waren alle problemlos. Nachdem die Internetverbindung jeweils wiederhergestellt war, waren die Registrierungen der COMpact in weniger als 2 Sekunden wieder aktiv.

Ich danke allen für die hilfreichen Hinweise und Tips!

Grüße,
Markus
Antworten