Masquerading/Natting scheint nicht zu funktionieren

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Tychen
Beiträge: 26
Registriert: 27 Jul 2017, 12:02

Masquerading/Natting scheint nicht zu funktionieren

Beitrag von Tychen »

Hi zusammen,

ich hab mich bei der Konfiguration unseres neuen Router bis zu einem Punkt vorgekämpft, aber seit 2 Stunden komm ich nicht mehr weiter.
Ich habe für unsere Clients ein Netzwerk 192.168.100.0/24 und ein Netzwerk (10.200.8.0), in dem u.a. auch Internetübergänge (realisiert durch Fritzboxen) stehen (siehe Bild).

Aktuell kommt keiner unserer Clients per ping ins Internet
.
Der Client kann das innere Bein des Lancoms (192.168.100.3) anpingen.
Der Client kann das äußere Bein des Lancoms (10.200.8.34) anpingen.
Der Client kann die Fritzbox (10.200.8.6) nicht anpingen.
Der Client kann damit natürlich auch keinen beliebigen Host im Internet (z.B. 8.8.8.8) nicht anpingen.

Der Lancom erreicht alle Beteiligten, also auch die 8.8.8.8.

Das Netzwerk 192.168.100.0 ist im Netzwerk 10.200.8.0 nicht bekannt.
Daher sollten im Lancom die 192.168er IP-Adressen genattet werden.

Dem 192.168er Netz habe ich den Netzwerk-Typ "Intranet" vergeben. Gateway 192.168.100.3 und IP-Maskierung "DMZ + Intranet".

Eigentlich hatte ich gedacht, dass das reichen müsste.
Wo ist der Denkfehler?

Danke schon im Voraus!

Viele Grüße
Rainer
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Masquerading/Natting scheint nicht zu funktionieren

Beitrag von alf29 »

Moin,

d.h. Du hast in der IP-Routing-Tabelle eine Route auf die 192.168.100.3 stehen und willst auf der maskieren? Das wird nicht funktionieren, weil das LCOS Maskierung nur auf WAN-Routen unterstützt (d.h. in der Spalte 'Peer-or-IP' muß der Name einer WAN-Verbindung stehen). Definiere einen der Ethernet-Ports als WAN-Port, lege darauf eine IPoE- oder DHCPoE-Verbindung an, und trage deren Name in der Routing-Tabelle ein.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
tiptel170
Beiträge: 51
Registriert: 06 Nov 2013, 20:27
Wohnort: Cas Concos

Re: Masquerading/Natting scheint nicht zu funktionieren

Beitrag von tiptel170 »

Hier, so könnte es aussehen:

Schnittstellen:
Lan -> Ethernet-Ports -> ETH1 auf DSL1
Hardware-NAT auslassen!!!!!!! Sonst Ärger!

WAN -> Interface-Einstellungen -> DSL1
DSL-Interface aktiviert - Haken setzen und die Down- und Upstream-Rate eintrage ( Werte vom Anbieter)

Kommunikation:
Allgemein -> Kommunikations-Layer
FRITZBOX Ethernet Transparent Transparent keine ETH

Gegenstellen -> Gegenstellen (DSL)
FRITZBOX 9999 Sekunden 0 0 FRITZBOX Local 00:00:00:00:00:00 1 0 Aus

Protokolle -> IP-Parameter
FRITZBOX 10.200.8.34 255.255.255.0 (Bitte die Subnet anpassen ) 0.0.0.0 10.200.8.6 8.8.8.8 8.8.8.8 0.0.0.0 0.0.0.0

IP-Router -> Routing -> IPv4-Routing-Tabelle
Routing-Tabelle ( Wichtig!!! )

Code: Alles auswählen

P-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment                                                         
===========================================-----------------------------
10.200.8.0     255.255.255.0    0        FRITZBOX          0         on          Semi     Internet Over Fritz

Ich hoffe ich habe nichts vergessen! Aber so habe ich meinen 1781EW eingerichtet und läuft auch.

Gruss tiptel170
Tychen
Beiträge: 26
Registriert: 27 Jul 2017, 12:02

Re: Masquerading/Natting scheint nicht zu funktionieren

Beitrag von Tychen »

Danke Euch. Das hat schon mal funktioniert.

Unser Plan ist ja, die Box als Loadbalancer zu nutzen. Dazu wollten wir eine 2. WAN Strecke definieren, an der eine weitere Fritzbox (FRITZBOX2) hängt.

Gemäß der Anleitung von tiptel170 haben wir folgendes zusätzlich gemacht:

Schnittstellen:
Lan -> Ethernet-Ports -> ETH2 auf DSL2

WAN -> Interface-Einstellungen -> DSL2 (aktiviert + Raten eingetragen)

Gegenstellen -> Gegenstellen (DSL)
FRITZBOX2 9999 Sekunden 0 0 FRITZBOX Local 00:00:00:00:00:00 1 0 Aus

Gehört hier bei "DSL-Ports" die "2" gesetzt?
Ich gehe mal davon aus, dass ich für eine 2. Fritzbox kein neues Kommunikationslayer anlegen muss, oder?


Protokolle -> IP-Parameter
FRITZBOX2 10.200.8.66 255.255.255.0 0.0.0.0 10.200.8.9 8.8.8.8 8.8.8.8 0.0.0.0 0.0.0.0

IP-Router -> Routing -> IPv4-Routing-Tabelle -> Hier haben wir die FRITZBOX2 als Gateway eingetragen.

Jetzt kommt das, was ich gar nicht so recht verstehe: Ein traceroute von einem Client aus zeigt mir immer noch, dass er weiterhin über 10.200.8.6 ins Internet geht (und nicht über die 10.200.8.9). Und das auch noch, wenn man aus den IP-Parametern die ursprüngliche FRITZBOX komplett rauslöscht.

Hängt das mit RIP zusammen? Und wenn ja: Kann ich das irgendwo abstellen und nur statische Routen zulassen?
Edit: Das Thema mit dem ausschließlichem Routing über 10.200.8.6 hat eich erledigt. Siehe nächstes Posting....

Grüße
Rainer
Zuletzt geändert von Tychen am 08 Aug 2017, 13:12, insgesamt 1-mal geändert.
Tychen
Beiträge: 26
Registriert: 27 Jul 2017, 12:02

Re: Masquerading/Natting scheint nicht zu funktionieren

Beitrag von Tychen »

So, neue Erkenntnisse:
Ich hatte den Router ja vorletzte Woche zunächst konfiguriert und offensichtlich vergessen, dass ich in der route noch eine default-route (also für 255.255.255.255/0.0.0.0) auf die 10.200.8.6 gesetzt hatte. Das erklärt warum er, wie in meinem letzten Posting beschrieben, immer über die 10.200.8.6 raus ging. Meine Schuld :)

@tiptel170: Vor einer default route hattest Du nichts geschrieben.
Wenn ich diese Route 255.255.255.255/0.0.0.0 lösche, komme ich aber auch nicht mehr ins Internet.

Aktuell schaut meine Routing-Table so aus:

Code: Alles auswählen

	
10.200.8.0	255.255.248.0	0	An, sticky für RIP	FB008006	0	An	
192.168.0.0	255.255.0.0	0	An, sticky für RIP	0.0.0.0	0	Aus	block private networks: 192.168.x.y
172.16.0.0	255.240.0.0	0	An, sticky für RIP	0.0.0.0	0	Aus	block private networks: 172.16-31.x.y
224.0.0.0	224.0.0.0	0	An, sticky für RIP	0.0.0.0	0	Aus	block multicasts: 224-255.x.y.z
255.255.255.255	0.0.0.0	0	An, sticky für RIP	FB008006	0	An
Meine Überlegung war nun, dass ich für das Loadbalancing einen LoadBalancer (LB) definiere, in dem als Gegenstellen die beiden Fritzboxen FB008009 FB008006 definiert sind und als Route in den Netzen 10.200.8.0 und 255.255.255.255 als Gateway den LB angebe.
Leider komme ich dann aber gar nicht mehr ins Internet.
Über jede Gegenstelle einzeln (FB008009 und FB008006) komme ich ins Internet, nur, wenn ich sie als Loadbalancer verwenden will, ist vom Lancom aus das ganze 10.200.8.0er Netz nicht mehr erreichbar.

Edit: Jetzt hatte ich zwar den Loadbalancer definiert, aber wenn man ihn nicht aktiviert, wird's natürlich auch nix :D
Denke, das Thema hat sich erledigt :)

Vielen Dank nochmal!

Grüße
Rainer
tiptel170
Beiträge: 51
Registriert: 06 Nov 2013, 20:27
Wohnort: Cas Concos

Re: Masquerading/Natting scheint nicht zu funktionieren

Beitrag von tiptel170 »

Du musst den LB in der Routing-Tabelle definieren:

[cdoe]
255.255.255.255 0.0.0.0 1 An, sticky für RIP FB008006 0 An
255.255.255.255 0.0.0.0 2 An, sticky für RIP FB008009 0 An
255.255.255.255 0.0.0.0 0 An, sticky für RIP LOADBALANCER 0 An
[/code]

Beim Routing aufpassen, denn mache Anwendungen sind empfindlich - HTTPS oder VOIP nur über einen Kanal laufen lassen.

Gruß tiptel170
Tychen
Beiträge: 26
Registriert: 27 Jul 2017, 12:02

Re: Masquerading/Natting scheint nicht zu funktionieren

Beitrag von Tychen »

tiptel170 hat geschrieben:Du musst den LB in der Routing-Tabelle definieren:

Code: Alles auswählen

255.255.255.255   0.0.0.0   1   An, sticky für RIP   FB008006   0   An
255.255.255.255   0.0.0.0   2   An, sticky für RIP   FB008009   0   An
255.255.255.255   0.0.0.0   0   An, sticky für RIP   LOADBALANCER   0   An
Beim Routing aufpassen, denn mache Anwendungen sind empfindlich - HTTPS oder VOIP nur über einen Kanal laufen lassen.

Gruß tiptel170
Sorry, dass ich den Thread nochmal hochhole, aber Du Deiner Anmerkung mit dem nur über einen Kanal laufen lassen hab ich jetzt (ja, nach einigen Monaten) doch nochmal eine Frage:
Wenn ich im Menü "Configuration -> IP Router -> Routing -> Loadbalancing" den Parameter "Use client binding" auf "On" stelle, wird dann jeder Client nicht sowieso über den selben Kanal (sprich DSL-Port) geführt?

Falls nein: wie stelle ich ein, dass https nur über einen Kanal läuft?

Grüße
Rainer
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Masquerading/Natting scheint nicht zu funktionieren

Beitrag von Jirka »

Hallo,

nein, nur für die Protokolle, die in der Tabelle unter Konfiguration -> IP-Router -> Routing -> Client-Binding-Protokolle aktiv sind.

Viele Grüße,
Jirka
Tychen
Beiträge: 26
Registriert: 27 Jul 2017, 12:02

Re: Masquerading/Natting scheint nicht zu funktionieren

Beitrag von Tychen »

Vielen Dank für die Info!
Ah, ok. Da steht bei mir bei http und https "on".

Allerdings bin ich mir nicht sicher, ob's wirklich funktioniert.
Habe meinen PC hier auch über den Loadbalancer geroutet. Komischerweise musste ich meine Login-Daten beim login hier im Forum zweimal eingeben. Könnte das ein Hinweis sein, dass der Loadbalancer meine Anfragen über unterschiedliche WANs rausschickt?

Grüße
Rainer
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Masquerading/Natting scheint nicht zu funktionieren

Beitrag von Jirka »

Innerhalb welches Zeitraums musstest Du die Login-Daten zweimal eingeben? Innerhalb von 10 Sekunden oder weniger? Oder nach über einer Stunde oder mehr?
Ggf. musst Du die Balance-Sekunden auf 5 oder noch deutlich weniger, im Zweifel gar auf 0, setzen. Wenn Du innerhalb von 10 Sekunden - der Defaultwert für die Balancing-Sekunden - erneut irgendwo auf die Seite klickst, kannst Du auf der anderen Leitung landen. Von daher ruhig etwas Mut den Defaultwert zu ändern, ich habe den mind. in 10 Routern, insbesondere da, wo viele Clients sind, auf 0. Vielleicht wäre bei Dir 1, 2 oder 3 sinnvoll? Ich kenne das LAN dahinter nicht...
Maurice
Beiträge: 131
Registriert: 18 Sep 2017, 12:38

Re: Masquerading/Natting scheint nicht zu funktionieren

Beitrag von Maurice »

Balance-Sekunden > 0 hat bei uns auch nie funktioniert. Ständige Probleme mit Logouts und einigen komplett unbenutzbaren Websites.
Die Überlegung hinter den 10 Sekunden ist mir schleierhaft, da das mit vielen gängigen Websites nicht funktioniert. Bei Default-Werten erwartet man ja eigentlich "funktioniert zuverlässig, liefert aber eventuell nicht die bestmögliche Performance".
Bei uns war es damals ein wochenlanges hin und her mit dem Support (inkl. Traces etc.), bis der entscheidende Tipp mit "Balance-Sekunden = 0" kam.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Masquerading/Natting scheint nicht zu funktionieren

Beitrag von Dr.Einstein »

Maurice hat geschrieben:Balance-Sekunden > 0 hat bei uns auch nie funktioniert. Ständige Probleme mit Logouts und einigen komplett unbenutzbaren Websites.
Kann ich so unterschreiben. Bei allem über 0 ist die Wahrscheinlichkeit von Supportfällen durch den Kunden sehr hoch. Es gibt auch diverse Webseiten, die direkt nach dem Login Redirecten, gerade Banken mit ihren zig Servern. Binding 0 gefällt mir aber immer noch besser als eine dauerhafte Firewallregel für ein bestimmtes Routing Tag.

Gruß Dr.Einstein
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Masquerading/Natting scheint nicht zu funktionieren

Beitrag von backslash »

Hi Maurice,
Die Überlegung hinter den 10 Sekunden ist mir schleierhaft, da das mit vielen gängigen Websites nicht funktioniert. Bei Default-Werten erwartet man ja eigentlich "funktioniert zuverlässig, liefert aber eventuell nicht die bestmögliche Performance".
Die Idee hinter den 10 Sekunden ist die, daß nach dem Login (und jedem weiteren Klick) ja eine neue Seite mit Bildern & Co geladen wird. Diese Bilder soll der Loadbalancer auf die Kanäle verteilen und erst, wenn der User den nächsten Klick macht, soll die Bindung greifen. Die Frage ist nun: Wann macht der User den nächsten Klick... Liest er sich die Seite erst durch oder weiss er schon blind wo er hinklicken will... bei letzterem wird vermutlich nur Balance 0 helfen - ansonsten sollte ein Wert größer 0 besser für die Performance sein.

Und zur Frage wo der Wert herkommt: Der wurde damals ertmal willkürlich gewählt, mit der Aufforderung an alle, die das Feature nutzen, einen sinnvollen Wert zu ermitteln. Aber auch nach drei Monaten hatte sich niemend gemeldet - also ist es bis heute bei den 10 Sekunden geblieben...

Gruß
Backslash
Maurice
Beiträge: 131
Registriert: 18 Sep 2017, 12:38

Re: Masquerading/Natting scheint nicht zu funktionieren

Beitrag von Maurice »

Hi Backslash,

Theoretisch ist das eine sinnvolle Überlegung, in der Praxis funktioniert es aber oft nicht. Das Konzept "User klickt, statische Seite lädt, Bilder werden nachgeladen, Datenübertragung beendet" funktioniert mit "Web 4.0" (oder sind wir schon bei 5.0?) nicht. Wie Einstein auch schreibt wird auf einigen Websites zudem direkt nach dem Login umgeleitet. Diese sind unbenutzbar, egal, wie lange der User mit dem nächsten Klick wartet. Man fliegt direkt nach dem Login wieder raus. Das betrifft einige große Banken, Webmailer etc. Mit Balance-Sekunden = 0 läuft es absolut zuverlässig.

Damals gingen zwischen dem Support und uns zwei Monate lang E-Mails hin und her, mit Traces, genauer Fehlerbeschreibung, Beispielen reproduzierbar unbenutzbarer Websites, LCOS-Update etc. Erst dann bekam der Kollege intern den entscheidenden Tipp mit den Balance-Sekunden. So bekannt scheint die Problematik daher nicht zu sein. Habe dann abschließend auch vorgeschlagen, den Default auf 0 zu setzen. Dass hätte allen Beteiligten viel Arbeit erspart. Ich kann mir ehrlich gesagt nicht vorstellen, dass das irgendwo mit der Default-Einstellung zuverlässig funktioniert.

Daher nochmal mein Vorschlag: Default = 0. Zuverlässigkeit vor dem letzten Prozent Performance.

Grüße

Maurice
Tychen
Beiträge: 26
Registriert: 27 Jul 2017, 12:02

Re: Masquerading/Natting scheint nicht zu funktionieren

Beitrag von Tychen »

Jirka hat geschrieben:Innerhalb welches Zeitraums musstest Du die Login-Daten zweimal eingeben? Innerhalb von 10 Sekunden oder weniger? Oder nach über einer Stunde oder mehr?
Ich denke, das war < 10 Sekunden.
Ich hab jetzt mal die Balance-Sekunden auf 0 gesetzt.
Leider haben wir nur wenige Clients aktuell drauf, aber sobald wir mehr über den Loadbalancer routen, werden wir sehen, ob's so passt.

Vielen Dank Euch allen für die Tipps!
Grüße
Rainer
Antworten