Unterschiedliche IPv4-Maskierung beim Load-Balancing

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

geppi
Beiträge: 149
Registriert: 05 Mär 2009, 18:05

Unterschiedliche IPv4-Maskierung beim Load-Balancing

Beitrag von geppi »

Es scheint so als sei es zur Zeit nicht möglich zwei Gegenstellen im Load-Balancing zu betreiben, wobei die eine IPv4-Maskiert ist und die andere nicht.
Liege ich da richtig oder hab' ich was übersehen?

Konkret geht es um eine Telekom VDSL Gegenstelle mit echtem Dual-Stack und aktivierter IPv4-Maskierung sowie eine O2 Kabel Internet Gegenstelle mit DS-Lite und deaktivierter IPv4-Maskierung. Die Beiden hätte ich gerne in einer virtuellen Load-Balancing Gegenstelle verwendet.

Da gibt es zwar im Konfigurationsdialog 'IP-Router--->Routing--->Load-Balancing' das Feld 'IPv4-Maskierung' mit den Optionen:

Code: Alles auswählen

Automatisch
Übernimmt die Maskierungsoption jeder einzelnen Leitung aus der Routing-Tabelle.
Ein
Aktiviert NAT auf allen Gegenstellen im Loadbalancer.
Nein
Deaktiviert NAT auf allen Gegenstellen im Loadbalancer.
Nur Intranet
Aktiviert NAT für Netze vom Typ INTRANET. Die DMZ wird nicht maskiert.
von denen 'Automatisch' ja ganz vielversprechend klingt. Allerdings muss man ja die Default Route auf die virtuelle Load-Balancing Gegenstelle setzen, so dass gar keine physischen Gegenstellen mehr in der Routing-Tabelle auftauchen. Ergo kann man hier auch nur 'An' oder 'Aus' für die Markierung in der Route wählen.

Was ist denn mit
Maskierungsoption jeder einzelnen Leitung aus der Routing-Tabelle
gemeint? War hier vielleicht mal beabsichtigt die Möglichkeit einer unterschiedlichen Behandlung der Gegenstellen zu implementieren oder ist das einfach nur blöd ausgedrückt und 'Leitung' meint 'Route'?
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Unterschiedliche IPv4-Maskierung beim Load-Balancing

Beitrag von Dr.Einstein »

Wie solln das funktionieren? Ohne NAT/PAT müsste ja das Gateway von O2 Kabel dein lokales Netzwerk auf deine WAN (Lite) IP-Adresse routen... In deinem Fall müssen doch auch beide Leitungen v4-maskiert werden, damit du ins Internet kommst.

Gruß Dr.Einstein
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Unterschiedliche IPv4-Maskierung beim Load-Balancing

Beitrag von backslash »

Hi geppi

"automatisch" bedeutet, daß für die *ERSTE* Leitung die Maskierungsoption genommen wird, die an der Route auf den Loadbalancer steht und alle weiteren Leitungen "vollständig" maskiert werden - es sei denn du würdest auch für die anderen Leitungen expilzite (Default-) Routen (mit unterschiedlichen Routung-Tags) anlegen, die die jeweils zu nutzende Maskierungs-Option angeben.

Wenn alle Leitungen gleich behandelt werden sollen mußt du die jeweils passende Option in der Loadbalanmcer-Tabelle nehmen nehmen ("ein", "nein", "nur Intranet"), wobei "nein" und "nur intranet" maximal auf einem Loadbalancer mit VPN-Leitungen Sinn machen.

"automatisch" dient letztlich dazu, eine DMZ mit öffentlichen Adressen hinter einem Loadbalancer betreiben zu können. Dazu stellst du in der Routung-Tabelle die Maskierungsoption der Loadbalancer-Route auf "nur Intranet maskieren" und trägst als erste Leitung die ein, die die öffentlichen Adressen bietet. Alle anderen Leitrungen werden dann "komplett" maskiert. Und genau das will "automatisch" aussagen...

Gruß
Backslash
geppi
Beiträge: 149
Registriert: 05 Mär 2009, 18:05

Re: Unterschiedliche IPv4-Maskierung beim Load-Balancing

Beitrag von geppi »

Dr.Einstein hat geschrieben: 26 Jan 2023, 16:26 Wie solln das funktionieren? Ohne NAT/PAT müsste ja das Gateway von O2 Kabel dein lokales Netzwerk auf deine WAN (Lite) IP-Adresse routen... In deinem Fall müssen doch auch beide Leitungen v4-maskiert werden, damit du ins Internet kommst.
Jetzt bin ich mal gespannt ob ich das falsch verstanden habe. Ich denke die Maskierung macht O2 auf seiner Seite, denn DS-Lite beinhaltet ja CG-NAT, oder?

Ich hab' das zumindest so konfiguriert und es funktioniert auch:

Unter 'IPv6--->Tunnel--->DS-Lite-Tunnel' einen Tunnel 'O2-DSLITE' angelegt und das AFTR-Gateway von O2 eingetragen.
Unter 'IP-Router--->Routing--->IPv4-Routing-Tabelle' eine Default Route auf den angelegten Tunnel 'O2-DSLITE' setzen und für diese Route die Maskierung auf 'Aus'.

Warum soll das nicht funktionieren?
Der Lancom schickt die IPv4-Pakete schön verpackt in IPv6-Pakete an den O2 AFTR. Der macht das NAT und schickt mir genauso die Pakete an meine privaten IPv4-Adressen zurück über den Tunnel. Warum sollte ich auf meiner Seite noch maskieren?

Wenn ich da auf dem Holzweg sein sollte wundert's mich auf jeden Fall warum's funktioniert.
Frühstücksdirektor
Beiträge: 70
Registriert: 08 Jul 2022, 12:53
Wohnort: Aachen

Re: Unterschiedliche IPv4-Maskierung beim Load-Balancing

Beitrag von Frühstücksdirektor »

Das ist vollkommen korrekt und RFC-konform wie Du es bzgl. der IPv4-Maskierung bei DS-Lite konfiguriert hast. Bei DS-Lite wird auf dem CPE kein NAT gemacht, da dies beim Provider passiert.

Ein Tipp: Du musst nicht den AFTR manuell konfigurieren, der kann aus dem DHCPv6-Client gelernt werden. Einfach in der DS-Lite Tabelle den AFTR auf :: setzen und anschließend im LANmonitor oder auf der CLI per "show dhcpv6-client" kontrollieren.
Mit dem DHCPv6-Client bist du auf der sicheren Seite, falls der Provider mal den AFTR ändert.
geppi
Beiträge: 149
Registriert: 05 Mär 2009, 18:05

Re: Unterschiedliche IPv4-Maskierung beim Load-Balancing

Beitrag von geppi »

Hallo backslash,

wenn ich Dich richtig verstanden habe sollte ich mein Ziel also damit erreichen könne, dass ich die O2 Gegenstelle (welche das DS-Lite macht) als erste und die T-DSL Gegenstelle (welche den full DS macht) als zweite in den Load-Balancer eintrage. Dann in der IPv4-Routing-Tabelle die Default Route auf den Load-Balancer setze und als Maskierung 'Aus' einstelle. Damit sollte diese Einstellung auf den DS-Lite Tunnel angewendet werden und die T-DSL Gegenstelle würde andererseits voll maskiert. Stimmt das so ?

Was ich nicht ganz verstehe ist folgender Teil Deiner Ausführungen:
es sei denn du würdest auch für die anderen Leitungen expilzite (Default-) Routen (mit unterschiedlichen Routung-Tags) anlegen, die die jeweils zu nutzende Maskierungs-Option angeben
Wenn ich in der Routing-Tabelle explizite Routen für die einzelnen Gegenstellen anlege werden diese doch eigentlich nur angewendet wenn deren Routing-Tag zutrifft. Wenn das Routing-Tag eines Pakets aber auf die Default-Route mit dem Load-Balancer passt kann ich ja nicht parallel dazu auch noch eine Default-Route mit dem selben Routing-Tag auf eine physische Gegenstelle haben, oder?
geppi
Beiträge: 149
Registriert: 05 Mär 2009, 18:05

Re: Unterschiedliche IPv4-Maskierung beim Load-Balancing

Beitrag von geppi »

Frühstücksdirektor hat geschrieben: 26 Jan 2023, 19:22 Das ist vollkommen korrekt und RFC-konform wie Du es bzgl. der IPv4-Maskierung bei DS-Lite konfiguriert hast. Bei DS-Lite wird auf dem CPE kein NAT gemacht, da dies beim Provider passiert.
Danke, ich dachte schon ich versteh gar nix mehr von Netzwerken. :wink:
Ein Tipp: Du musst nicht den AFTR manuell konfigurieren, der kann aus dem DHCPv6-Client gelernt werden. Einfach in der DS-Lite Tabelle den AFTR auf :: setzen und anschließend im LANmonitor oder auf der CLI per "show dhcpv6-client" kontrollieren.
Mit dem DHCPv6-Client bist du auf der sicheren Seite, falls der Provider mal den AFTR ändert.
Hatte ich schon probiert, geht aber nicht weil da so 'ne blöde Fritte dazwischen sitzt. Es ist ja ein Kabel Internet-Anschluss und reine Euro-DOCSIS 3.1 Modems sind momentan in D nicht lieferbar. (Wenn jemand 'ne Quelle kennt wär' ich dankbar :) ) Also muss Wohl oder Übel 'ne Kabel FritzBox vom Provider den Modem-Teil übernehmen. Leider kann man die Dinger nicht ohne viel Verrenkungen ohne den eingebauten eDOCSIS eRouter betreiben. Deswegen ist der Lancom in der Fritte als 'exposed host' eingetragen und benutzt diese eigentlich nur noch als IPv6-Gateway und natürlich initial für die Prefix Delegation. Leider reicht der AVM DHCPv6 Server die AFTR Adresse nicht durch. Deswegen musste ich sie "per Hand" eintragen.

Der ganze DOCSIS Kabel-Kram ist eigentlich nur.... wo ist gleich nochmal der Kotz-Smiley ? Da hat sich AVM ein nettes Monopol erarbeitet. Bin mal gespannt ob ich doch noch ein reines Kabel-Modem bekomme bevor hier Glasfaser gelegt wird. Nachdem hier überall Breitbandkabel liegt dürfte der zeitliche Horizont dafür allerdings bei irgendwas um die 5 - 10 Jahre liegen. :(
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Unterschiedliche IPv4-Maskierung beim Load-Balancing

Beitrag von Dr.Einstein »

Ich hatte nichts von einem DS-Lite Tunnel gelesen, sondern nur von DS-Lite was typischerweise für private IPV4 + öffentliche IPv6-Adresse steht. Wenn du natürlich einen Tunnel für DS hast, dann vergiss meine Aussage.
geppi
Beiträge: 149
Registriert: 05 Mär 2009, 18:05

Re: Unterschiedliche IPv4-Maskierung beim Load-Balancing

Beitrag von geppi »

Hallo backslash,

was ich auch noch nicht ganz verstehe ist, wenn ich es wie 3 Beiträge weiter oben beschrieben konfiguriere, taucht der konfigurierte DS-Lite Tunnel niergendwo mehr in den Routing-Tabellen auf.

Ohne Load-Balancing zeigt die IPv6-Default-Route auf die O2-Kabel Gegenstelle und die IPv4-Default-Route auf den konfigurierten DS-Lite Tunnel.
Für's Load-Balancing stehen die O2-Kabel und die T-DSL Gegenstelle in der Load-Balancer Konfiguration und sowohl die IPv6- als auch die IPv4-Default-Route zeigen auf den Load-Balancer. Der DS-Lite Tunnel taucht da dann explizit nicht mehr auf.

Wird das vom LCOS implizit gemacht, d.h. benutzt er den DS-Lite Tunnel wenn er IPv4-Pakete über die O2-Kabel Gegenstelle schickt?
Wenn dem so ist, was ich hoffe, ist es zumindest ein wenig inkonsitent bezüglich der Konfiguration, da ich bei der Konfiguration ohne Load-Balancing ja explizit den DS-Lite Tunnel in der IPv4-Routing-Tabelle angeben muss und nicht die O2-Kabel Gegenstelle, aus der das LCOS ja dann eigentlich auch auf den konfigurierten DS-Lite Tunnel schließen könnte.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Unterschiedliche IPv4-Maskierung beim Load-Balancing

Beitrag von backslash »

Hi geppi
enn ich Dich richtig verstanden habe sollte ich mein Ziel also damit erreichen könne, dass ich die O2 Gegenstelle (welche das DS-Lite macht) als erste und die T-DSL Gegenstelle (welche den full DS macht) als zweite in den Load-Balancer eintrage. Dann in der IPv4-Routing-Tabelle die Default Route auf den Load-Balancer setze und als Maskierung 'Aus' einstelle. Damit sollte diese Einstellung auf den DS-Lite Tunnel angewendet werden und die T-DSL Gegenstelle würde andererseits voll maskiert. Stimmt das so ?
ja das reicht... Aber um ganz sicher zu gehen, richtest für beide Leitungen explizit Default-Routen mit Routimg-Tags Routen ein, an denen du genau sgast, ob maskiert werden soll...

BTW: ob du bei DS-Liste maskierst oder nicht ist eigentlich egal... wenn du nicht maskierst, dann sieht dein Provider wieviele Rechner du in deinem Netz hast. Wenn du maskierst, dann sieht der Provider nur eine Adresse. man kann schließlich beliebig viele NATs hinterenanderschalten... Daher kann du es dir auch einfach machen und an der Route zum Loadbalancer die Maskierungsoption auf "Ein" stellen - so wie bei jede anderen Default-Route auch ...
was ich auch noch nicht ganz verstehe ist, wenn ich es wie 3 Beiträge weiter oben beschrieben konfiguriere, taucht der konfigurierte DS-Lite Tunnel niergendwo mehr in den Routing-Tabellen auf.
Wenn du einen Loadbalancer einrichtest, dann siehst du im CLI in den Status-Tabellen (/Status/IPv6/Act.-IP-Routing-Tab., bzw. :/Status/IP-Router/Act.-IPv4-Routing-Tab.) tatsächlich nur die erste Gegenstelle. Alle Gegenstellen siehst du nur wenn du dir die jeweiligen FIBs (Forwarding-Information-Bases) augeben läßt: show ipv4-fib bzw. show ipv6-fib.


Gruß
Backslash
geppi
Beiträge: 149
Registriert: 05 Mär 2009, 18:05

Re: Unterschiedliche IPv4-Maskierung beim Load-Balancing

Beitrag von geppi »

Danke backslash. Eins ist mir noch unklar. Welches Routing-Tag soll ich den expliziten Default-Routen, die ich zur Sicherheit einrichten soll geben?

Die können ja nicht das gleiche Routing-Tag wie die Default-Route, die auf den Load-Balancer zeigt haben, oder?
Soll ich da irgendwelche Routing-Tags nehmen die sonst niergends benutzt werden? :shock:
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Unterschiedliche IPv4-Maskierung beim Load-Balancing

Beitrag von backslash »

Hi geppi
Welches Routing-Tag soll ich den expliziten Default-Routen, die ich zur Sicherheit einrichten soll geben?
irgendeins, daß du sonst nicht verwendest. Es ist nur wichtig, daß die Maskierungsoption in der ERSTEN Route auftaucht, die auf die jeweilige Gegenstelle verweist.
Die Maskierungsoption ist nämlich keine Eigenschaft der Route sondern der Gegenstelle - auch wenn sie in der Routing-Tabelle auftaucht. Die steht nur dort, weil sie sonst man sonst zu schnell vergißt...

Gruß
Backslash
geppi
Beiträge: 149
Registriert: 05 Mär 2009, 18:05

Re: Unterschiedliche IPv4-Maskierung beim Load-Balancing

Beitrag von geppi »

Hallo backslash,
Die Maskierungsoption ist nämlich keine Eigenschaft der Route sondern der Gegenstelle - auch wenn sie in der Routing-Tabelle auftaucht
Ahh, jetzt verstehe ich's.

Noch ein kleines Detail. :wink: Für welche Gegenstelle muss ich denn diese "Dummy-Default-Route" zur Maskierungsverhinderung beim DS-Lite Tunnel eintragen? Die Gegenstelle 'O2-Kabel', konfiguriert unter 'Kommunikation--->Gegenstt.(Movilfunk/seriell)--->Gegenstellen(DSL)' oder die 'virtuelle' Gegenstelle 'O2-DSLITE', konfiguriert unter 'IPv6--->Tunnel--->DS-Lite_Tunnel'?

Ich tippe ja mal auf letztere, bin mir aber nicht sicher, da in der Load-Balancer Konfiguration das 'O2-DSLITE' gar nicht auftaucht. :G)
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Unterschiedliche IPv4-Maskierung beim Load-Balancing

Beitrag von backslash »

Hi geppi
Ich tippe ja mal auf letztere
immer das, was der Router sehen würde, wenn du nur die eine Verbindung nutzt. In deinem Fall also die DSLite-Verbindung
da in der Load-Balancer Konfiguration das 'O2-DSLITE' gar nicht auftaucht.
das wundert mich jetzt aber, denn du hast ja geagt, daß die DS-Lite Verbindung im Loadbalancer steckt... Obwohl ich hab gerade nochmal nachgeschaut und am Anfang hast du gesgt:
Ich hab' das zumindest so konfiguriert und es funktioniert auch:

Unter 'IPv6--->Tunnel--->DS-Lite-Tunnel' einen Tunnel 'O2-DSLITE' angelegt und das AFTR-Gateway von O2 eingetragen.
Unter 'IP-Router--->Routing--->IPv4-Routing-Tabelle' eine Default Route auf den angelegten Tunnel 'O2-DSLITE' setzen und für diese Route die Maskierung auf 'Aus'.
Damit hats du natürlich KEINEN Loadbalancer... Du mußt "O2-DSLITE" noch in den Loadbalancer aufnehmen (zusammen mit der Telekom-Leitung) und eine Default-Route auf den Loadbalancer anlegen, damit du das Gewünschte hast. Und dazu dann noch die Routen zu den einzlenen Gegenstellen, mit den frei gewählten Routing-Tags, die sonst niurgendwo verwendet werden, um die Maskierungsoption für die Leitungen festzulegen...

Aber wie ich schon schrieb: stell doch einfach in der Loadbalancer-Konfiguration die Maskierungsoption aun "Ein" - den Servern im Internet ist es egal, ob du Richtung AFTR maskierst und der AFTR das dann nochmal macht... Oder frei nach dem Motto eines Forumsusers: vor ein NAT und hinter ein NAT paßt immer noch ein NAT...

Gruß
Backslash
geppi
Beiträge: 149
Registriert: 05 Mär 2009, 18:05

Re: Unterschiedliche IPv4-Maskierung beim Load-Balancing

Beitrag von geppi »

Du mußt "O2-DSLITE" noch in den Loadbalancer aufnehmen (zusammen mit der Telekom-Leitung)
Ooops, nee hatte ich tatsächlich nicht, da in der Auswahlliste des Webconfig dort nur die Gegenstellen 'T-DSL' und 'O2-Kabel' auftauchen, aber nicht 'O2-DSLITE'. Ich dachte wohl für IPv4 würde der Load-Balancer dann automatisch den konfigurierten Tunnel nehmen. :(

Heisst das, dass dann im Load-Balancer sogar 3 Gegenstellen eingetragen werden müssen, damit er für IPv4 und IPv6 funktioniert?
D.h. 'T-DSL', 'O2-DSLITE' und 'O2-Kabel' ? :G)
Antworten