EoGRE, DHCP und Routing ich peils nicht

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
roads
Beiträge: 70
Registriert: 23 Mär 2019, 21:17

EoGRE, DHCP und Routing ich peils nicht

Beitrag von roads »

Ich bin Lancom Amateur und Fan habe wenig Ahnung und folgendes Problem und hoffe mir kann jemand helfen. Ich habe ein eoGRE Tunnel zwischen zwei 1781ew+ Routern an zwei Locations. DHCP an beiden Orten hat nicht geklappt. Hatte gehofft die Anfragen können man aus dem Tunnel halten aber ne klappt nicht.
Jetzt habe ich DHCP am Hauptort genommen, DHCP Cluster an beiden angeschaltet und am Nebenort Anfragen weiterleiten eingestellt. "Antworten zwischenspeichern" ist an und "Antworten an das lokale Netz anpassen" damit Gateway und DNS vom Nebenort genommen werden.

Das Problem ist, alle Internetanfragen des Nebenort gehen über den Tunnel zum Hauptort, "Antworten an das lokale Netz anpassen" scheint nicht zu greifen, genau so greifen keine Firewallregel und eine Idee beim Routing habe ich auch nicht. Der Tunnel scheint am Router vorbeizugehen,
Durch dieses Gatewaproblem haben Accesspoints und PCs am Nebenort teilweise Prpbleme untereinander zu kommunizieren. Teilweise geht nicht mal ein Ping zwischen den Geräten weil alles über den Hauptort geroutet wird.

Wie ist das gedacht mit dem DHCP und dem eoGRE Tunnel? Da muss es doch ein Prinzip geben, damit es am lokalen Router ins Web geht und nicht über den Router der DHCP verteilt?

so sieht es am Nebenort aus:

Bild
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: EoGRE, DHCP und Routing ich peils nicht

Beitrag von 5624 »

Dir ist aber bewusst, dass ein EoGRE-Tunnel eine Layer2-Verbindung zwischen beiden Standorten schafft und deswegen an beiden Standorten das selbe IP-Subnetz vorliegen muss. Damit funktioniert die Sache mit der DHCP-Weiterleitung nicht, da die Anfrage direkt auf beiden Seiten ankommt.

Die DHCP-Weiterleitung ist dafür da, wenn du irgendwo einen externen DHCP-Server hast (z.B. einen Windows- oder Linux-Server an zentraler Stelle), dass die Pakete über eine Layer3-Verbindung weitergeleitet werden.

EoGRE ist eine Lösung für absolute Spezialfälle (selbst die meisten Spezialfälle, die ein Overlay im Overlay benötigen, Routingprotokolle z.B., werden ohne EoGRE realisiert) und ist für normale Standortvernetzungen absolut ungeeignet. Dafür nimmt man normales IPSec und routet es.
Da muss es doch ein Prinzip geben, damit es am lokalen Router ins Web geht und nicht über den Router der DHCP verteilt?
Nicht mit dem LANCOM-DHCP. Der ist dafür nicht ausgelegt. Bei einem Windows-DHCP müsste man hier mit Richtlinien spielen und du müsstest verwaltbare Switches haben, die DHCP-Snooping beherrschen, damit du ein Unterscheidungsmerkmal bekommst. Ich glaube, das DHCP-Snooping der LANCOM-Router würde hier auch schon Probleme bekommen.
LCS NC/WLAN
roads
Beiträge: 70
Registriert: 23 Mär 2019, 21:17

Re: EoGRE, DHCP und Routing ich peils nicht

Beitrag von roads »

Danke für deine Antwort und die Erklärung. Das gleiche Subnetz empfand ich als bisher als sehr angenehm es verhält sich einfach tatsächlich wie ein einziges Netzwerk. Meine Switches sind alle von Lancom also verwaltbar. Ich schau mal ob sie DHCP Snooping haben aber wenn ich dich richtig verstehe soll ich es lieber lassen. Schade eigentlich mit laufendem DHCP und routing wäre ja alles OK.
roads
Beiträge: 70
Registriert: 23 Mär 2019, 21:17

Re: EoGRE, DHCP und Routing ich peils nicht

Beitrag von roads »

Ja die Switches können DHCP Snoopen. Versuch wert? Ich meine ich bräuchte Hilfe dabei.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: EoGRE, DHCP und Routing ich peils nicht

Beitrag von 5624 »

Das gleiche Subnetz empfand ich als bisher als sehr angenehm es verhält sich einfach tatsächlich wie ein einziges Netzwerk.
Ich bau jetzt schon seit 15 Jahren Netzwerken und es macht für mich keinerlei Unterschied, ob es das gleiche Subnetz ist oder nicht. Irgendwann ist aber der Punkt erreicht, wo das in Frust umschlägt, weil man nicht zuordnen kann, wo ein Problem herkommt.

PS: Das Problem sind nicht die Switches, sondern du benötigst einen gesonderten DHCP-Server, der es auswerten kann. Der LANCOM-DHCP kann es nicht. Und für eine Hand voll Adressen, aus Bequemlichkeit, Stunden in die Installation und Konfiguration eines DHCP-Servers zu setzen, der den ganzen Tag Strom verbraucht.
LCS NC/WLAN
roads
Beiträge: 70
Registriert: 23 Mär 2019, 21:17

Re: EoGRE, DHCP und Routing ich peils nicht

Beitrag von roads »

Verstehe, dann muss ich auf einen IP-Sec Tunnel umsteigen. Kann ich den parallel zum EoGRE hochziehen? Können beide Tunnel kurzzeitig gleichzeitig bestehen?
roads
Beiträge: 70
Registriert: 23 Mär 2019, 21:17

Re: EoGRE, DHCP und Routing ich peils nicht

Beitrag von roads »

Wenn ein IPSEC neben einem EoGRE tunnel bestehen kann, kann man dann nicht nur das DHCP über IPSEC realisieren?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: EoGRE, DHCP und Routing ich peils nicht

Beitrag von GrandDixence »

roads hat geschrieben: 23 Mai 2021, 18:14Ich habe ein eoGRE Tunnel zwischen zwei 1781ew+ Routern an zwei Locations.
Dann wäre doch ein VPN-Tunnel mit IKEv2/IPSec die ideale Lösung? -> An jeder Location wird auf dem LANCOM-Router ein DHCP-Server betrieben.
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

IKEv2/IPSec ist eine Layer 3-VPN-Tunnellösung (IP), was wirksame Netzwerktrennung, Firewallregeln und QoS ermöglicht.
fragen-zur-lancom-systems-routern-und-g ... ml#p106568

fragen-zum-thema-firewall-f15/bandbreit ... 17321.html
roads
Beiträge: 70
Registriert: 23 Mär 2019, 21:17

Re: EoGRE, DHCP und Routing ich peils nicht

Beitrag von roads »

Soweit ich verstehe ist VPN nicht der selbe IP Bereich. Aktuell habe ich im Heimnetz an Location 1 192.168.20.x und auch so an Location 2. VPN wäre das 192.168.21.x oder? Der Vorteil ist hier zum Beispiel meine Kamerasoftware. Die braucht für jedes IP Netz eine getrennte Lizenz. Mit dem GRE kann ich an beiden Orten mit der selben Lizenz arbeiten und nur einen kameraserver betreiben un dnur die Kameraanzahl dazubuchen.
roads
Beiträge: 70
Registriert: 23 Mär 2019, 21:17

Re: EoGRE, DHCP und Routing ich peils nicht

Beitrag von roads »

Kann ich nicht mit der DHCP-Agenten-Info Option82 arbeiten? Die wird ja angehängt bevor der DHCP Server antwortet. Könnte ein Switch auf der Gegenseite dann nicht blockieren damit man so die Netzetrennen kann? Sexy ist das nicht, das verstehe ich schon aber beim GRE Tunnel ist DHCP wirklich mein einzigstes Problem. Funktionierte das auf beiden Seiten wäre es perfekt weil dann auch die Gateways korrekt gesetzt werden würden.

Der switch schickt die DHCP Anfrage an den DHCP Server, der Server liest die option 82 Information im Header und benutzt die Information um die Antwort zu verändern. Ist ja eigentlich als Schutz für ausserhalb gedacht aber die Geräte auf der anderen Seite des GRE könnnten sich dadurch identifizieren. Auf beiden Seiten könnten dann DHCP laufen die aber vom Switch über die option82 geblockt werden. Option82 der Gegenseite ->reject

Ist das möglich oder grober Quatsch?
roads
Beiträge: 70
Registriert: 23 Mär 2019, 21:17

Re: EoGRE, DHCP und Routing ich peils nicht

Beitrag von roads »

Ich habe jetzt mal das snooping konfiguriert. Die Ports des 1781ew+ setzen jeweils eine Circuit ID M bzw W für die Locations und blockieren die Tunnel Circuit-ID W und M umgekehrt. Die IPs sind aufgeteilt also auf der einen Seite 192.168.20.150 bis 192.168.20.200 auf der anderen Seite. 192.168.20.201 bis 192.168.20.254. Auf beiden Seiten läuft ein DHCP Server mit seinen eigenen Gateways. Mal sehen ob es klappt.

Der PC an dem ich sitze hat schon mal vom lokalen Router die IP bezogen und routet schon mal durch den richtigen Gateway.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: EoGRE, DHCP und Routing ich peils nicht

Beitrag von 5624 »

Schau dir bitte erstmal die Edit-Funktion an. Bei dem rumgespamme im Forum und meinem Postfach hab ich keine Lust mehr.
LCS NC/WLAN
roads
Beiträge: 70
Registriert: 23 Mär 2019, 21:17

Re: EoGRE, DHCP und Routing ich peils nicht

Beitrag von roads »

Sorry war keine Absicht.

DHCP Tabellen sind in der Webconfig entrümpelt und die verteilten IPs enthalten soweit kein GRE-Tunnel in der Tabelle, weder auf der einen, noch auf der anderen Seite und liegen in der korrekten IP-Range. Das heisst keine Arbeit der DHCP Server auf der Gegenseite. Ich lasse das mal 24 Stunden laufen aber sieht gut aus soweit. Der Snooping Korken für Tunnel DHCP hält.
roads
Beiträge: 70
Registriert: 23 Mär 2019, 21:17

Re: EoGRE, DHCP und Routing ich peils nicht

Beitrag von roads »

Also insgesamt ist es OK, ein par Sachen mogeln sich durch das Snooping wie Sonos, ich lese aber, dass sich das nicht taggen lässt. Einige Axis Kameras wollen unbedingt über de Tunnel, ich schätze das ist übergangsweise, eine feste IP haben sie nicht und andere Axis Kameras haben die Ip schon geändert.

Macht es Sinn noch andere Interfaces zu snoopen? Aktuell mache ich das mit LAN-1, LAN-2, LAN-3, WLAN-1, WLAN-1-2, WLAN-1-3 /replace und eben GRE-TUNNEL-1 Reject.
Ein AP will unbedingt durch den Tunnel zum dortigen WLC statt zum lokalen, ich weiss aber nicht über welches Interface er kommuniziert. Ich lese CAPWAP aber wie bekomme ich heraus welches Interface ich taggen muss um es zu blocken. Hat jemand einen Link oder ein Tutorial zu einer solchen Netzwerkdiagnose? Ich muss praktisch finden welche Interfaces ich blocken muss. Alle geht ja schlecht?

Danke schon mal für die Tips bisher, hat mir schon sehr geholfen.
roads
Beiträge: 70
Registriert: 23 Mär 2019, 21:17

Re: EoGRE, DHCP und Routing ich peils nicht

Beitrag von roads »

Wollte kurz berichten. Da ich nicht weiss wie man mit Lancom ein Diagnose fährt und die Kommunikation von Interfaces und Geräten überwacht habe ich alle DHCP Interfaces geflaggt und auch der Gegenseite beim Tunnel auf Reject gesetzt. War eine lange Liste zum durchklicken auf zwei Routern aber es hat sich gelohnt. Die DHCP Tabellen auf beiden Seiten sind frei von Vergaben der Anderen Seite. Die Listen sind sauber. Wie es mir scheint funktioniert EoGRE mit wie DHCP Servern die durch Snooping voneinander getrennt sind.
Antworten