Zugriff auf externes Modem nicht mehr möglich mit LCOS 10.42

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Dr.Zett
Beiträge: 89
Registriert: 02 Apr 2019, 11:04

Zugriff auf externes Modem nicht mehr möglich mit LCOS 10.42

Beitrag von Dr.Zett »

Moin allerseits,

ich habe auf meinem 1793VA vor geraumer Zeit anhand dieser Anleitung...
http://www.lancom-forum.de/lancom-syste ... tml#p66552

...eine Verbindung zum externen VDSL-Modem für Diagnosezwecke angelegt.

Unter LCOS 10.34.0305-SU4 und den Vorgängerversionen funktioniert dies vollkommen problemlos. Nach dem Update auf LCOS 10.42 ist jedoch kein Zugriff auf das Webinterface des VDSL-Modems mehr möglich. Habe schon alle Versionen der 10.42 durchprobiert, die zusätzliche IPoE-Verbindung gelöscht und neu angelegt - ohne Erfolg.

Hat zufällig jemand eine Ahnung, was hier in 10.42 geändert wurde im Vergleich zu 10.34?


Viele Grüße

Dr. Zett
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Zugriff auf externes Modem nicht mehr möglich mit LCOS 10.42

Beitrag von backslash »

Hi Dr.Zett,

das sollte immer noch genau so funktionieren. Der große Unterschied zwichen 10.4x und den früheren Versionen ist, daß mit der 10.40 die Routing-Engine ausgetauscht wurde und daher so manche Fehlkonfiguration, die früher "durchgerutscht" ist, nun deutlicher hervortritt. Ein Beispiel wäre da z.B. wenn man zwei Interfaces gleich benamt - das hat früher funktioniert, ab der 10.40 ist das allerdings nicht mehr möglich. Ebenso ist die Trennung der Routing-Tags strikter geworden.

Letztendlich müßtest du dir die Routing-Tabellen anschauen (show ipv4-fib) und mal einen ip-router-Trace machen - ggf. auch noch einen Ethernet-Trace (aber nur passend gefiltert, weil du sonst einen "Teilchenbescheuniger" baust), um zu sehen, wo die Pakete langlaufen...

Gruß
Backslash
Dr.Zett
Beiträge: 89
Registriert: 02 Apr 2019, 11:04

Re: Zugriff auf externes Modem nicht mehr möglich mit LCOS 10.42

Beitrag von Dr.Zett »

Hi Backslash,

schonmal danke für Deine Mühe - dann arbeiten wir uns da mal durch, auf der Suche nach der eventuellen Fehlkonfiguration.

Hier das Ergebnis von "show ipv4-fib", fällt Dir eventuell was auf?

Code: Alles auswählen

Rtg-Tag 10

 Prefix             Next-Hop        Interface                 ID         Redistribution Type
 -------------------------------------------------------------------------------------------
 0.0.0.0/0          0.0.0.0         INTERNET                  5          Redistribute   Static
 10.150.20.181/32   0.0.0.0         VPN_01                    8          Redistribute   Static
 10.150.20.182/32   0.0.0.0         VPN_02                    11         Down           Static Ifc Down
 10.150.20.183/32   0.0.0.0         VPN_03                    10         Down           Static Ifc Down
 10.150.20.184/32   0.0.0.0         VPN_04                    9          Down           Static Ifc Down
 80.XXX.XXX.XXX/32  0.0.0.0         #Loopback                 1          Redistribute   Local WAN
 127.0.0.0/8        0.0.0.0         #Loopback                 1          Never          Loopback
 127.0.0.1/32       0.0.0.0         #Loopback                 1          Never          Loopback
 169.254.2.0/24     0.0.0.0         MODEM                     7          Redistribute   Connected WAN
 169.254.2.1/32     0.0.0.0         MODEM                     7          Redistribute   Static
 169.254.2.5/32     0.0.0.0         #Loopback                 1          Redistribute   Local WAN
 172.20.61.0/24     0.0.0.0         GASTNETZ                  3          Redistribute   Connected LAN
 172.20.61.1/32     0.0.0.0         #Loopback                 1          Redistribute   Local LAN
 224.0.0.0/3        0.0.0.0         #Null                     0          Never          Static

Es geht um die Verbindung namens MODEM. Das Webinterface des Speedport ist auf 169.254.2.1 erreichbar, lässt sich leider nicht ändern.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Zugriff auf externes Modem nicht mehr möglich mit LCOS 10.42

Beitrag von backslash »

Hi Dr.Zett,

es fällt schon mal das Routing-Tag 10 auf... Hat dein LAN auch dieses Tag? Falls nein: Hast du eine Firewall-Regel, die den Traffic zum Modem umtaggt? (obwohl... ohne hätte das auch in einer 10.34 nicht funktioniert)

Ansonsten sieht die FIB für das Tag 10 schonmal gut aus (das LANCOM hat die 169.254.2.5, das Modem die 169.254.2.1 udn auf dem Interface hast du eine /24er Netzmaske)...
Hast du auf der Verbindung "MODEM" auch die Maskierung aktiviert? Dann sollte das eigentlich problemlos funktionieren... Da bleibt dann wohl nur der Trace...

Bleibt höchstens noch, daß das GASTNETZ offnebar Zugriff auf das MODEM hat... willst du das wirklich?

Gruß
Backslash
Dr.Zett
Beiträge: 89
Registriert: 02 Apr 2019, 11:04

Re: Zugriff auf externes Modem nicht mehr möglich mit LCOS 10.42

Beitrag von Dr.Zett »

Servus nochmal,
backslash hat geschrieben:
es fällt schon mal das Routing-Tag 10 auf... Hat dein LAN auch dieses Tag?
Das GASTNETZ hat Routing-Tag 10, INTRANET und DMZ jeweils 0.
backslash hat geschrieben: Falls nein: Hast du eine Firewall-Regel, die den Traffic zum Modem umtaggt? (obwohl... ohne hätte das auch in einer 10.34 nicht funktioniert)
Nein. :wink:
backslash hat geschrieben: Ansonsten sieht die FIB für das Tag 10 schonmal gut aus (das LANCOM hat die 169.254.2.5, das Modem die 169.254.2.1 udn auf dem Interface hast du eine /24er Netzmaske)...
Hast du auf der Verbindung "MODEM" auch die Maskierung aktiviert?
Ja, hab ich. Es funktioniert ja auch alles problemlos unter 10.34.
backslash hat geschrieben: Dann sollte das eigentlich problemlos funktionieren... Da bleibt dann wohl nur der Trace...
Ja, "eigentlich". :) Dem Trace werde ich mich baldmöglichst annehmen.
backslash hat geschrieben: Bleibt höchstens noch, daß das GASTNETZ offnebar Zugriff auf das MODEM hat... willst du das wirklich?
Nun, es tut niemandem weh - aber guter Einwand. Werde ich mir anschauen und ggfs. abstellen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Zugriff auf externes Modem nicht mehr möglich mit LCOS 10.42

Beitrag von backslash »

Hi Dr.Zett,

also, wenn du mehrere Routing-Tags verwendest, dann solltest du dir auch die komplette FIB anschauen und nicht nur die für Tag 10... Kannst du denn das Modem aus dem GASTNETZ erreichen?

Gruß
Backslash
Dr.Zett
Beiträge: 89
Registriert: 02 Apr 2019, 11:04

Re: Zugriff auf externes Modem nicht mehr möglich mit LCOS 10.42

Beitrag von Dr.Zett »

Sorry, der erste Teil ist mir vorhin durch die Lappen gegangen - Terminal und Smartphone sind manchmal keine Freunde...

Code: Alles auswählen

IPv4 Unicast FIB

 Rtg-Tag 0

  Prefix             Next-Hop        Interface                 ID         Redistribution Type
  -------------------------------------------------------------------------------------------
  0.0.0.0/0          0.0.0.0         INTERNET                  5          Redistribute   Static
  10.150.20.0/24     0.0.0.0         INTRANET                  4          Redistribute   Connected LAN
  10.150.20.1/32     0.0.0.0         #Loopback                 1          Redistribute   Local LAN
  10.150.20.181/32   0.0.0.0         VPN_01                    8          Redistribute   Static
  10.150.20.182/32   0.0.0.0         VPN_02                    11         Down           Static Ifc Down
  10.150.20.183/32   0.0.0.0         VPN_03                    10         Down           Static Ifc Down
  10.150.20.184/32   0.0.0.0         VPN_04                    9          Down           Static Ifc Down
  80.XXX.XXX.XXX/32  0.0.0.0         #Loopback                 1          Redistribute   Local WAN
  127.0.0.0/8        0.0.0.0         #Loopback                 1          Never          Loopback
  127.0.0.1/32       0.0.0.0         #Loopback                 1          Never          Loopback
  169.254.2.0/24     0.0.0.0         MODEM                     7          Redistribute   Connected WAN
  169.254.2.1/32     0.0.0.0         MODEM                     7          Redistribute   Static
  169.254.2.5/32     0.0.0.0         #Loopback                 1          Redistribute   Local WAN
  172.20.61.0/24     0.0.0.0         GASTNETZ                  3          Redistribute   Connected LAN
  172.20.61.1/32     0.0.0.0         #Loopback                 1          Redistribute   Local LAN
  224.0.0.0/3        0.0.0.0         #Null                     0          Never          Static

Rtg-Tag 10

 Prefix             Next-Hop        Interface                 ID         Redistribution Type
 -------------------------------------------------------------------------------------------
 0.0.0.0/0          0.0.0.0         INTERNET                  5          Redistribute   Static
 10.150.20.181/32   0.0.0.0         VPN_01                    8          Redistribute   Static
 10.150.20.182/32   0.0.0.0         VPN_02                    11         Down           Static Ifc Down
 10.150.20.183/32   0.0.0.0         VPN_03                    10         Down           Static Ifc Down
 10.150.20.184/32   0.0.0.0         VPN_04                    9          Down           Static Ifc Down
 80.XXX.XXX.XXX/32  0.0.0.0         #Loopback                 1          Redistribute   Local WAN
 127.0.0.0/8        0.0.0.0         #Loopback                 1          Never          Loopback
 127.0.0.1/32       0.0.0.0         #Loopback                 1          Never          Loopback
 169.254.2.0/24     0.0.0.0         MODEM                     7          Redistribute   Connected WAN
 169.254.2.1/32     0.0.0.0         MODEM                     7          Redistribute   Static
 169.254.2.5/32     0.0.0.0         #Loopback                 1          Redistribute   Local WAN
 172.20.61.0/24     0.0.0.0         GASTNETZ                  3          Redistribute   Connected LAN
 172.20.61.1/32     0.0.0.0         #Loopback                 1          Redistribute   Local LAN
 224.0.0.0/3        0.0.0.0         #Null                     0          Never          Static


MODEM <-> GASTNETZ schau ich mir später an, wenn ich zuhause bin.



Edit: Zugriff von GASTNETZ nach MODEM war tatsächlich möglich, habe ich nun mit einer entsprechenden Firewallregel unterbunden.
Danke schonmal hierfür.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Zugriff auf externes Modem nicht mehr möglich mit LCOS 10.42

Beitrag von backslash »

Hi Dr.Zett,

auch die FIB für das Tag 0 ist in Ordnung, daher muß das eigentlich funktionieren... Vor allem, wenn es aus dem GASTNETZ schon funktioniert hat, spricht nichts dagegen, daß es auch dem INTRANET funktioniert... Es sei denn, es wird z.B. durch irgendeine Firewallregel geblockt. Das kannst du aber nur mit den Traces feststellen...

Gruß
Backslash
Dr.Zett
Beiträge: 89
Registriert: 02 Apr 2019, 11:04

Re: Zugriff auf externes Modem nicht mehr möglich mit LCOS 10.42

Beitrag von Dr.Zett »

Super, dann werd ich die Ursache vermutlich finden.

Vielen Dank Dir, lieber Backslash, für die Hilfestellung. :)
Dr.Zett
Beiträge: 89
Registriert: 02 Apr 2019, 11:04

Re: Zugriff auf externes Modem nicht mehr möglich mit LCOS 10.42

Beitrag von Dr.Zett »

Hallo liebes Forum,

sorry, nun muss ich doch nochmals um Hilfe bitten. Ich bekomme das Routing unter LCOS 10.42 einfach nicht hin. :?

Entgegen meiner Annahme funktioniert das Routing weder aus dem GASTNETZ (Seite war im Browser-Cache) noch aus dem INTRANET.
Ohne Konfigurationsänderung zurück auf 10.34 und alles ist in Butter. Zum Verzweifeln.

Der IP-Router-Trace war insofern nicht aussagekräftig, als dass das LANCOM unter 10.42 sämtliche Anfragen an die IP 169.254.2.1 einfach zu ignorieren scheint. Der Tracelog ist jedenfalls leer.

Es existieren keinerlei Firewallregeln, die den Traffic unterbinden. Auch ein testweises Löschen aller Regeln bzw. Deaktivieren der Firewall hat nichts gebracht.

Hat vielleicht noch jemand eine Idee, was ich noch tun könnte? Mittelfristig möchte ich schon Richtung 10.42 gehen...


Danke & viele Grüße

Dr. Zett
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Zugriff auf externes Modem nicht mehr möglich mit LCOS 10.42

Beitrag von backslash »

Hi Dr.Zet
Der IP-Router-Trace war insofern nicht aussagekräftig, als dass das LANCOM unter 10.42 sämtliche Anfragen an die IP 169.254.2.1 einfach zu ignorieren scheint. Der Tracelog ist jedenfalls leer.
also wenn der Router-Trace leer bleibt, dann liegt das Problem nicht am LANCOM, sondern an deinem PC... Der schickt die Pakete erst gar nicht ans LANCOM - und wenn da nichts ankommt, dann kann das LACOM auch nichts an das Modem routen...

Aber wenn ich mir das Adresse anschaue, dann ist das eine APIPA-Adresse... Kann es sein, daß dein PC gar keine (echte) IP-Adresse hat und sich selbst auch eine APIPA-Adresse gegeben hat und deshalb das Paket nicht ans LANCOM sendet, weil ja alle APIPA-Adressen in einem Netz liegen... Dann kommt dein PC aber vermutlich auch nicht in Internet...

Oder der PC hat seine IP-Adresse gar nicht vom LANCOM bezogen und das LANCOM ist daher nicht sein Default-Gateway... Dann kannst du das Modem natürlich auch nicht erreichen - es sei denn, du setzt auf dem PC eine Route zum Modem, mit dem LANCOM als Gateway - unter Windows wäre das

Code: Alles auswählen

route add 169.254.2.0 MASK 255.255.255.0 10.150.20.1
Auf jeden Fall mußt du den Fehler aber wohl außerhalb des LANCOMs suchen

Gruß
Backslash
Dr.Zett
Beiträge: 89
Registriert: 02 Apr 2019, 11:04

Re: Zugriff auf externes Modem nicht mehr möglich mit LCOS 10.42

Beitrag von Dr.Zett »

Hi Backslash,

der PC ist ein Mac. :wink: Und der bezieht ganz sauber seine IP vom LANCOM.

Unter LCOS 10.34 sieht es so aus, wenn man die 169.254.2.1 aufruft:

Code: Alles auswählen

[IP-Router] 2021/07/05 21:00:15,145  Devicetime: 2021/07/05 21:00:15,637
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0): 
DstIP: 169.254.2.1, SrcIP: 10.150.20.11, Len: 64, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 80, SrcPort: 64974, Flags: S
Seq: 2081251658, Ack: 0, Win: 65535, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 6 (multiply  by 64)
Option: NOP
Option: NOP
Option: 08 = ae c3 b5 88 00 00 00 00
Option: SACK permitted
Option: END
Route: WAN Tx (MODEM)

[IP-Router] 2021/07/05 21:00:15,146  Devicetime: 2021/07/05 21:00:15,639
IP-Router Rx (MODEM, RtgTag: 0): 
DstIP: 10.150.20.11, SrcIP: 169.254.2.1, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 64974, SrcPort: 80, Flags: SA
Seq: 349977806, Ack: 2081251659, Win: 28960, Len: 0
Option: Maximum segment size = 1460
Option: SACK permitted
Option: 08 = 48 c9 5d d2 ae c3 b5 88
Option: NOP
Option: Window scale = 7 (multiply  by 128)
Route: LAN-1 Tx (INTRANET): 

[IP-Router] 2021/07/05 21:00:15,146  Devicetime: 2021/07/05 21:00:15,643
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0): 
DstIP: 169.254.2.1, SrcIP: 10.150.20.11, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 80, SrcPort: 64974, Flags: A
Seq: 2081251659, Ack: 349977807, Win: 2058, Len: 0
Option: NOP
Option: NOP
Option: 08 = ae c3 b5 90 48 c9 5d d2
Route: WAN Tx (MODEM)

[IP-Router] 2021/07/05 21:00:15,179  Devicetime: 2021/07/05 21:00:15,670
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0): 
DstIP: 169.254.2.1, SrcIP: 10.150.20.11, Len: 422, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 80, SrcPort: 64974, Flags: PA
Seq: 2081251659, Ack: 349977807, Win: 2058, Len: 370
Option: NOP
Option: NOP
Option: 08 = ae c3 b5 a9 48 c9 5d d2
Route: WAN Tx (MODEM)

Unter 10.42 passiert nichts dergleichen.

Und dass die IP-Adresse des Speedport Murks ist (APIPA), weiß ich - nur ändern kann ich den Sachverhalt nicht.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Zugriff auf externes Modem nicht mehr möglich mit LCOS 10.42

Beitrag von Dr.Einstein »

Ich tippe auf einen Bug oder eine Anpassung im Proxy ARP:

10.34

Code: Alles auswählen

Received 60 byte Ethernet packet via LAN-2:
HW Switch Port      : ETH-2
-->IEEE 802.3 Header
Dest                : ff:ff:ff:ff:ff:ff (Broadcast)
Source              : ch:an:ge:d0:12:34
Type                : ARP
-->ARP packet:
Hardware Type       : Ethernet
Type                : ARP request
Sender HA           : ch:an:ge:d0:12:34
Sender IA           : 192.168.100.56
Receiver HA         : 00:00:00:00:00:00
Receiver IA         : 169.254.2.1

[Ethernet] 1900/01/01 00:01:07,622
Sent 42 byte Ethernet packet via LAN-2:
HW Switch Port      : ETH-2
-->IEEE 802.3 Header
Dest                : ch:an:ge:d0:12:34
Source              : 00:a0:57:00:11:22 (LANCOM 00:11:22)
Type                : ARP
-->ARP packet:
Hardware Type       : Ethernet
Type                : ARP reply
Sender HA           : 00:a0:57:00:11:22 (LANCOM 00:11:22)
Sender IA           : 169.254.2.1
Receiver HA         : ch:an:ge:d0:12:34
Receiver IA         : 192.168.100.56
10.42

Code: Alles auswählen

[Ethernet] 1900/01/01 00:00:29,657
Received 60 byte Ethernet packet via LAN-2:
HW Switch Port      : ETH-2
-->IEEE 802.3 Header
Dest                : ff:ff:ff:ff:ff:ff (Broadcast)
Source              : ch:an:ge:d0:12:34
Type                : ARP
-->ARP packet:
Hardware Type       : Ethernet
Type                : ARP request
Sender HA           : ch:an:ge:d0:12:34
Sender IA           : 192.168.100.56
Receiver HA         : 00:00:00:00:00:00
Receiver IA         : 169.254.2.1

[ARP] 1900/01/01 00:00:51,654
ARP RX (LAN-2, I-NET): ARP-REQ
  SrcIp=192.168.100.56 @ ch:an:ge:d0:12:34 (ch:an:ge:d0:12:34)
  DstIp=169.254.2.1 @ 00:00:00_00:00:00 (00:00:00:00:00:00)

[ARP] 1900/01/01 00:00:51,655
target address 169.254.2.1 not local, Response discarded
Ich sehe zumindest an der Konfig nicht, was nicht zu den Routing Tags passt.

Gruß Dr.Einstein
Dr.Zett
Beiträge: 89
Registriert: 02 Apr 2019, 11:04

Re: Zugriff auf externes Modem nicht mehr möglich mit LCOS 10.42

Beitrag von Dr.Zett »

Hallo Dr. Einstein,

danke für Deinen Input. Sehr interessant, dass Du das nachstellen kannst (und die Ursache tatsächlich nicht mein persönliches Unvermögen zu sein scheint :D).

Nun stellt sich für mich die Frage, wie man in so einem Fall weiter macht. Einen Workaround finden? Oder auf einen Bugfix seitens LANCOM hoffen? Falls denn überhaupt ein Bug vorliegt.

Viele Grüße

Dr. Zett
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Zugriff auf externes Modem nicht mehr möglich mit LCOS 10.42

Beitrag von backslash »

Hi Dr.Zett

und es ist doch ein Fehler deines PC... bzw. ein Bug in der 10.34, wenn die darauf tatsächlich eine Proxy-ARP-Antwort schickt...

Dein MAC schickt einen ARP-Request für die 169.254.2.1

Code: Alles auswählen

Received 60 byte Ethernet packet via LAN-2:
HW Switch Port      : ETH-2
-->IEEE 802.3 Header
Dest                : ff:ff:ff:ff:ff:ff (Broadcast)
Source              : ch:an:ge:d0:12:34
Type                : ARP
-->ARP packet:
Hardware Type       : Ethernet
Type                : ARP request
Sender HA           : ch:an:ge:d0:12:34
Sender IA           : 192.168.100.56
Receiver HA         : 00:00:00:00:00:00
Receiver IA         : 169.254.2.1
Das darf er aber gar nicht, denn die 169.254.2.1 ist nicht im 192.168.100.0/24 Netz... Der MAC müßte einen ARP-Request auf die IP des LANCOMs stellen, denn das LANCOM sollte ja sein Default-Router sein.

Vielleicht dreht das Apple irgendeine Sonderlocke, weil die Ziel-IP eine APIPA-Adresse ist. Dann wirst du nicht umhin kommen dem Modem eine andere IP-Adersse zu geben. Vielleicht schaffst du es auch den MAC zu überlisten, indem du ihm eine explizite Route zur Adresse des Modems mit dem LANCOM als Gateway verpaßt.

Besser ist es aber in jedem Fall, dem Modem eine andere Adresse aus einem "nicht APIPA" Netz zu geben.

Gruß
Backslash
Antworten