Kritik am LANCOM - DMZ-Konzept

[Koppelfeld]

Hallo zusammen, ich bekomme zunehmend Gegenwind von Mitbewerbern, Partnern und Kunden.

Vorwurf 1: Das ist die Fritzbox für den Mittelständler, kann vieles, aber nix richtig.

Da kann ich noch gut mit, denn, ja: Das ist ja in der Regel das, was ich brauche und diese ganzen Features wie "CAPWAP" muß man ja nicht nutzen. Mir sind auch Leute suspekt, die mit dem Wort "Mittelstand" Verachtung ausdrücken wollen. Das ist diese abgehoben Studentenklasse, die unbedingt bei VW oder Siemens zu irgendeinem unwichtigen Sachbearbeiter degenerieren, in der Hoffnung, "in einem Konzern kann ich etwas lernen". LERNEN (und gestalten) kann man eher in einem kleinen Laden.
Abgesehen davon: Welche Alternative gibt es ? Da kann mir dann auch keiner eine Antwort drauf geben.


Vorwurf 2, und der geht bis ins Knochenmark:

Sehr gern und oft verwende ich, typischerweise im Zusammenhang mit /29er Netzen, die DMZ-Funktion, die sich ja verhält wie eine Bridge, aber den Traffic DENNOCH über die Firewall leitet.
Irgendetwas Schmutziges muß Lancom dabei machen, sonst wäre Proxy-ARP nicht mit im Spiel.
Nun bekomme ich in Ausarbeitungen von (qualifizierten, sowas gibt es auch) Gutachtern, in denen zum Beispiel steht, Zitate wörtlich:

Code: Alles auswählen

Ich würde gerne vom aktuellen Proxy-ARP-Konzept zu einem saubereren Netzdesign kommen.

Also ist die Verwendung der LANCOM-DMZ unsauberes Netzdesign ?

aus einem Mailwechsel:

Code: Alles auswählen

>> Deine Bedenken, das sei kein "sauberes" Routing (und es wird
>> tatsächlich Proxy-ARP verwendet), sind hiermit registriert.  Nur:
>> Welche faktischen Nachteile ergeben sich dadurch?  
> 
> Zuallererst mal primär eine Debugging-Hölle. Ich freue mich schon
> darauf, am einen Telefon den EDV-Leiter ("mach dass es funktioniert"), am
> zweiten Telefon den Chef und am dritten Dich zu haben. Aber wenn das so
> gewollt is, bitte.
> Und als zweites, wird das spätestens mit der Einführung von IPv6 die
> Hölle einzurichten, weil IPv4 via Proxy-ARP und IPv6 via "normal" nun
> wirklich das absolute Gegenteil von "zueinander verträglich" ist. 

Warum soll das eine Debugging-Hölle sein ? Der LANCOM verhält sich wie
ein Switch, mit Ausnahme, daß er die TTL eines passierenden Paketes dekrementiert.
IPv6 wird sich "im Mittelstand" nicht durchsetzen, mir ist kein Vorteil von IPv6 bekannt, dafür aber ein gutes Dutzend massiver Nachteile. Es wäre wünschenswert, diesen Mist ganz abzuschaffen und beispielweise IPv4 vollkompatibel einfach noch um zwei Oktette zu erweitern (wie ebenfalls die MAC-Adressen). Und vielleicht kommt ein kluger Mensch ja noch auf diesen Gedanken.

Damit ich aber sachkundiger argumentieren kann, vielleicht kann "backslash" etwas dazu sagen:
Was macht LANCOM genau mit einer DMZ, deren Netz kongruent ist mit einer WAN-Verbindung ?

In den Handbüchern steht dazu nichts.

[backslash]

Hi Koppelfeld

Was macht LANCOM genau mit einer DMZ, deren Netz kongruent ist mit einer WAN-Verbindung ?

Also erstmal ist ein als DMZ gekennzeichnetes Netz ein ganz normales Netz. Die Kennzeichnung als DMZ sorgt zum einen dafür, daß das Netz nicht maskiert wird, wenn die Maskierungs-Option der Gegenstelle, über die ein Paket gesendet wir auf "nur Intranet maskieren" steht. Desweiteren hat die DMZ-Markierung Enfluß auf die Sichtbarkeiten im ARF: Eine DMZ ist aus allen Kontexten (Interface-/Routing-Tag) sichtbar, sie selbst sieht aber nur Netze im im eigenen Kontext. Das erleichtert die Firewall-Konfiguration, denn man muß einfach die DMZ in einen anderen Kontext stellen als das eigene Intranet, um das Intranet vor der DMZ abzuschotten. Das war auch schon alles.

Eine DMZ im LANCOM hat nichts mit einer DMZ ala Fritzbox gemein - denn in der Fritzbox ist das ein Exposed-Host (also ein Portforfarding aller Ports auf eine IP-Adresse)

Nun zum Proxy-ARP: Ja, wenn eine DMZ das gleiche Netz hat, wie die WAN-Seite, dann wird auf der WAN-Seite Proxy-ARP gemacht für alle Adressen des Netzes, die nicht auf der WAN-Seite liegen. Sollen Adressen der DMZ auf der WAN-Seite liegen, so müssen für diese entsprechende Hostrouten eingetragen werden (außer für das Gateway, denn das liegt implizit auf der WAN-Seite)...

Das ist ein Feature, das es erlaubt, ein LANCOM direkt hinter den Abschlußrouter des Providers hängen zu können, ohne daß der Provider dort ein Transfernetz einrichten muß. Natürlich kann man das Ganze auch mit einem Transfernetz auf der WAN-Seite lösen, wenn einem das lieber ist - ein LANCOM zwingt niemanden dazu das Proxy-ARP-Feature zu nutzen.

Spätestens, wenn man zwei öffentliche Netze hat, muß man den Provider eh bitten, Hand an den (Provider-)Router zu legen, um eine Route zum zweiten Netz einzutragen, die auf dem LANCOM terminiert.


Zm Thema IPv6: In IPv6 wird zum einen nicht maskiert und zum anderen, bekommt man da immer ein /56 oder gar /48-Prefix. Dabei ist es normal, daß *alle* LAN-seitigen Netze (sei es nun das Intranet oder eine DMZ) in anderes /64-Prefix haben, als das WAN-seitige Netz. Es gibt nunmal mehr IPv6-Adressen als Atome im Unversum. Daher muß man da auch keine Klimmzüge machen, wie das Proxy-ARP im IPv4...


Gruß
Backslash

[Maurice]

> Und als zweites, wird das spätestens mit der Einführung von IPv6 die
> Hölle einzurichten, weil IPv4 via Proxy-ARP und IPv6 via "normal" nun
> wirklich das absolute Gegenteil von "zueinander verträglich" ist.

Das ist der entscheidende Punkt.

IPv6 wird sich "im Mittelstand" nicht durchsetzen

Genau. 640K ought to be enough for anybody, there is a world market for maybe five computers und das Internet wird spätestens 1996 kollabieren.

mir ist kein Vorteil von IPv6 bekannt

Sag das mal den ISPs, die schon seit Jahren IPv6-only an Millionen Kunden ausrollen (mit etwas Legacy-IP über irgendwelche Tunnelmechanismen).

Es wäre wünschenswert, diesen Mist ganz abzuschaffen und beispielweise IPv4 vollkompatibel einfach noch um zwei Oktette zu erweitern (wie ebenfalls die MAC-Adressen).

Kannst ja mal ein RFC schreiben.

(Hier übrigens "Mittelstand", der seit Jahren durchgehend Dual Stack fährt.)

[Koppelfeld]

> Und als zweites, wird das spätestens mit der Einführung von IPv6 die
> Hölle einzurichten, weil IPv4 via Proxy-ARP und IPv6 via "normal" nun
> wirklich das absolute Gegenteil von "zueinander verträglich" ist.

Das ist der entscheidende Punkt.

Nicht, wenn ich IPv6 ignoriere.
Den "Stockebrandt" habe ich schon vor 10 Jahren gelesen, und er liegt mir immernoch wie ein Wackerstein im Magen.

IPv6 wird sich "im Mittelstand" nicht durchsetzen

Genau. 640K ought to be enough for anybody, there is a world market for maybe five computers und das Internet wird spätestens 1996 kollabieren.

Mach' 'mal 640KB mit Assembler voll, Du wirst staunen, was da 'reinpaßt. Guck' Dir doch das LCOS an, das ist KOMPLETT kleiner als eine Mini-Applikation für Windows. Das wird noch drastischer, wenn Du die Firmwares herausnimmst, die LANCOM mitliefert.
Übrigens habe ich nix gegen Fortschritt, bloß ist nicht alles fortschrittlich, was tausende von "Gremien" und "Ausschüsse" ausgeschieden haben. Das siehst Du schon beim OSI/ISO-Schichtenmodell, das komplett nicht auf TCP/IP paßt.

Sag das mal den ISPs, die schon seit Jahren IPv6-only an Millionen Kunden ausrollen (mit etwas Legacy-IP über irgendwelche Tunnelmechanismen).

... und den Kunden damit jede Menge Ärger bescheren?
Ich sage nur "DSLite".
Ich sprach auch nicht von PROVIDERN, sondern von Endkunden.

Kannst ja mal ein RFC schreiben.
(Hier übrigens "Mittelstand", der seit Jahren durchgehend Dual Stack fährt.)

Die RFCs schreiben sich ganz von allein, wie oft ist denn IPv6 grundlegend verändert worden in den letzten 15 Jahren?

Aber ich bin sehr neugierig zu hören, was Euch v6 gebracht hat.
Wäre für mich sehr wichtig. Ich werde nämlich oft gefragt, komischerweise von eher kleineren Kunden, ob sie nicht umstellen sollten. Ich sage dann gern, "solange Eure IP-Telephone und jede Menge anderer wichtige Dinge noch kein v6 können, tut euch das nicht an".
Die Großen, so mit 10.000 Mitarbeitern und vielen internationalen Standorten, sagen, "Machen wir nicht". Was ich auch für sehr sportlich halte.

Also, an einem Erfahrungsbericht bin ich sehr interessiert.

[Koppelfeld]

Nachtrag:
Was mich noch wundert:
Gerade Unternehmen, die fortgesetzt NICHTS auf die Kette kriegen, zum Beispiel die Bahn, diverse Bundesbehörden und verschiedene GARANTEN für Vollversagen, setzen auf IPv6.

Un Microsoft beherrscht das Protokoll seit Jahren richtig gut.

Schon das schreckt mich ab.

Mindestens ein halbes Leben halte ich mich an Robert Frost,

"two roads diverged in a yellow wood, and I
I took the road less travelled by
and all that made the difference".

[MariusP]

Hi,
Ein LCOS ist anders designed als ein Windows. Das ist wie ein Motorrad mit einem Auto zu vergleichen: "Siehst du das Motorrad kommt auch mit 2 Rädern aus!"
Vom Dateimanagement über User/Kernel-Space-Design.

Auserdem ist auch da LCOS in der Menge an Speicherverbrauch auch gestiegen. Schaut euch einfach die Menge an Ram mit denen die verschiedenen Geräte ausgeliefert werden.

Ich verwende Privat kein IPv6, aber irgendwann wird man später wohl wenn das Internet "intern" nur noch IPv6 verwendet, wird man irgendwann auch nativ angebunden sein wollen.
Gruß

[Maurice]

Den "Stockebrandt" habe ich schon vor 10 Jahren gelesen, und er liegt mir immernoch wie ein Wackerstein im Magen.

Ich empfehle seine Videos (auf YouTube). Wenig beachtet, aber sehenswert!

Also, an einem Erfahrungsbericht bin ich sehr interessiert.

Gerne doch, zumindest in Kurzfassung, so wie ich es in Erinnerung habe:

• Anfang 2013 6in4-Tunnel eingerichtet (WAN war damals noch IPv4-only) und RAs im Intranet eingeschaltet. Die Clients hatten nun Dual-Stack-Internet, alles andere blieb zunächst IPv4-only.
• Gut zwei Jahre so laufen gelassen, niemand hat geschrien.
• Dann, Mitte 2015, im Rahmen einer ohnehin erforderlichen IT-Umstrukturierung:
  • DHCPv6 eingeführt (auf Windows-Servern). So landen die Clients automatisch im internen DNS und man kann für Geräte wie Drucker etc. Adressreservierungen anlegen.
  • Auf internen Servern, Druckern etc. IPv6 angeschaltet. Überwiegend DHCPv6 mit Reservierung, einige wenige statisch.
  • Firewallregeln auf dem Lancom erstellt, um bestimmte Dienste (VPN, interne Webserver) auch aus dem IPv6-Internet erreichbar zu machen.
  • AAAA-Records für diese Dienste im öffentlichen DNS angelegt.
  • Seitdem ist (fast) alles Dual Stack und es werden keine neuen IPv4-only-Geräte / -Dienste mehr ausgerollt.
• Zuletzt kam Anfang 2017 die Umstellung vom 6in4-Tunnel auf natives Dual Stack WAN-seitig. Dadurch änderte sich natürlich das Präfix, dank DHCPv6 hielt sich der Renumbering-Aufwand aber in Grenzen.

Zwischendrin dann noch so Dinge wie IPv6 im Gästenetz und Prefix Delegation. Und bestimmt habe ich etwas vergessen.

Wo es leider, leider im Detail am ehesten geklemmt hat ist beim Lancom-Router (sonst wäre ich wohl gar nicht hier im Forum). Der Rest läuft einfach. Wie Du schon sagst ist die Microsoft-Implementierung ziemlich ordentlich.

Was noch IPv4-only ist sind in der Tat die Telefone (die PBX kann IPv6, die Systemtelefone aber nicht und da wird wohl auch kein Update mehr kommen). Ansonsten spricht von den Domain Controllern, File- und Webservern über die Switches und WLAN-APs bis zu den Druckern alles IPv6.

Aber ich bin sehr neugierig zu hören, was Euch v6 gebracht hat.

Neben dem Unausweichlichen (IPv4 stirbt, jeder muss irgendwann IPv6 ausrollen, dann doch besser so früh wie möglich Erfahrungen sammeln) beispielhaft ein ganz praktischer Vorteil:
Dienste auf internen Servern, die auch aus dem Internet erreichbar sein müssen, laufen ohne murksiges Split-DNS. Die werden einfach immer über das öffentliche DNS aufgelöst, dort gibt es für alles AAAA- und A-Records. Intern verwenden die Clients automatisch die IPv6-Adresse, von extern je nachdem IPv6 (geroutet) oder IPv4 (Port-Forwarding).
Mit IPv4-only musste man für alles noch Einträge im internen DNS mit den privaten IPv4-Adressen anlegen, damit beim Zugriff aus dem Intranet nicht alles durch das NAT läuft. Das funktioniert aber auch nur, wenn die Clients wirklich die internen DNS-Server verwenden. Und durch DNS-Caching knirschte es gelegentlich beim Wechsel zwischen Intranet und Internet. Alles in allem ein großer Murks, der nun Geschichte ist.

[alf29]

Übrigens habe ich nix gegen Fortschritt, bloß ist nicht alles fortschrittlich, was tausende von "Gremien" und "Ausschüsse" ausgeschieden haben.

"Ein Kamel ist ein Pferd, das von einem Gremium definiert wurde". Je mehr Köche in einer Sache rumrühren, desto mehr ist es ein Kompromiss aus den Wünschen aller. Geht ab einer gewissen Größe aber halt nicht anders...

Das siehst Du schon beim OSI/ISO-Schichtenmodell, das komplett nicht auf TCP/IP paßt.

Das ist knapp vor der Zeit, wo ich mit Netzwerken angefangen habe, aber ich glaube, da hat seinerzeit keine der beiden Seiten drauf geachtet, auf das andere Modell abbildbar zu sein. Beide Seiten haben gehofft, sich durchzusetzen, geklappt hat's nur bei einem ...

Schönes Wochenende

Alfred

[Koppelfeld]

Hallo,

Ein LCOS ist anders designed als ein Windows. Das ist wie ein Motorrad mit einem Auto zu vergleichen:

Der Vergleich ist gut. Es gibt aber viele Fälle, da braucht man nur ein Motorrad. Und das gilt für eigentlich alle "Privatanwendungen".
Wenn man das LCOS mit dem LANCONFIG vergleicht, dann wird offensichtlich, wie grottenschlecht Plattform und API sind: Während LCOS von der Hardware her im Nachteil ist (x86-Code baut aus genau den 'historischen' Gründen unglaublich kompakt, die auch dessen eledige Beschränktheit verursachen), Stichwort VLIW, ist es um den Faktor zehn bis hundert effizienter in Bezug auf Speicherplatzverbrauch. Booten in 20 Sekunden. Wenn ich mir dagegen ansehe, wie lange es dauert, bis ein aktueller Hochleistungsserver endlich einsatzklar ist, kommt mir die Galle hoch.

Da ist aber leider die "Generation Y" auf beiden Augen blind. Wenn ich mir angucke, was die für "Webanwendungen" zusammenstoppeln, an deren Gegenstelle ein verfettete, degenerierter Apache wartet, der nix anderes zu tun hat, als bei JEDER Benutzerinteraktion erstmal in einer kompletten Instanz wegzuforken -- das kostet Hunderte Millionen von Taktzyklen. Eine anständige Anwendung dagegen hält die Verbindung zum Applikationsserver permanent aufrecht und kann individuell auf jedes eingegeebenes Zeichen reagieren - beispielsweise, wenn bestimmte "Damen" 'mal wieder Umlaute in Mailadressen schreiben. Ich mache au 'ö' 'oe' und so weiter.
Out-of-band - Signalisierung: Bei "Webapplikationen" Fehlanzeige. Und was für einen Hoppetitz die machen mit dem Session Management. Braucht man mit einer 3270-Sitzung alles nicht. Und deswegen kannst Du auch noch heute 2.500 User auf eine einzige zSeries koslassen, nicht stundenweise, sondern als Tagesarbeitsplatz. 200 solcher User behommt man mit insgesamt 4 MBit/s angebunden.

Heute ?