Lancom Neuling 1781VAW brauche Hilfe Gelöst!

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Chris517
Beiträge: 4
Registriert: 26 Sep 2019, 23:50

Lancom Neuling 1781VAW brauche Hilfe Gelöst!

Beitrag von Chris517 »

Hallo liebe ExpertInnen und Erfahrene (ErfahrInnen?)

Als Netzwerk - Interessent auf Hobby Basis habe ich mir nach Jahren des Benutzens einer Fritzbox erstmals einen gebrauchten 1781VAW zugelegt, aus reiner Neugier, zum Schnuppern und Probieren. Szenario ist zuhause, es soll eine PS4 Konsole per LAN, ein Multifunktionsdrucker und Laptop/Handy sowie zwei Repeater per Wlan eingebunden werden.

Zugang per Linux Mint Laptop über webconfig. Als erster Schritt wurde die aktuelle Firmware 10.32 REL aufgespielt. Habe soweit alles zum Laufen gebracht, WAN, WLAN, LAN. Stabile Gigabit Lan Verbindung zur Konsole steht stabil, was vorher aus mir unbekannten Gründen unmöglich war. Wlan funktioniert. Internet läuft. Soweit, so gut. Alles in den Standardeinstellungen natürlich, habe nur Interfaces DSL Modem, ISDN und V24 Mobilfunk deaktiviert. Wlan im 2.4 Ghz Netz. Vergebene IP für den Router 192.168.0.1

1. Ziel:
Ich möchte der Konsole eine feste IP Adresse vergeben und sie in die DMZ legen, damit sie von der Firewall unbehindert kommunizieren sowie alle ports selbstständig bedienen kann.

Problem:
Mit meiner gewollten IP 192.168.0.50 gab es irgendwelche Konflikte. Hat nicht funktioniert. Habe daraufhin die vorgegebene IP 192.168.0.108 genommen und über IPv4 -> BOOTP -> Stationen vergeben: MAC Adresse, Netzwerkname DMZ, IP Adresse 192.168.0.108, Stationsname PS4 vergeben.

Interzugriff läuft wieder, keine Konfilktmeldungen mehr im Syslog, aber:

LOCAL3 Alarm Dst: 91.248.72.36:58520 {Lancom1781VAW.intern}, Src: 192.168.0.108:9308 {ps4} (UDP): connection refused

Demzufolge liegt die PS4 nicht in der DMZ, oder die DMZ ist so konfiguriert, dass Stationen nicht auf alles zugreifen dürfen.

DHCPTabelle: 192.168.0.108 bc60a7fa2251 452 dyn. LAN-1 ETH-1 0 INTRANET

Frage: Wie ändere ich das? Warum wird Local3 angezeigt? Muss ich überhaupt eine feste IP vergeben um etwas in die DMZ zu legen?

Zusatzfrage: UDP connections werden sehr oft blockiert, zB:
LOCAL3 Alarm Dst: 91.248.72.36:8888 {Lancom1781VAW.intern}, Src: 80.82.77.212:38883 (UDP): connection refused
LOCAL3 Alarm Dst: 91.248.72.36:5060 {Lancom1781VAW.intern}, Src: 183.2.202.41:5078 (UDP): connection refused
LOCAL3 Alarm Dst: 91.248.72.36:626 {Lancom1781VAW.intern}, Src: 120.52.152.17:58914 (UDP): connection refused

Das Ziel ist offenbar mein Provider, die Quelle erschliesst sich mir nicht. Warum werden die blockiert, was ist die Quelle, wie stelle ich das ab.


2. Ziel (bitte nicht lachen)
Ich möchte die Systemzeit immer automatisch synchronisieren lassen.

Problem:
Warum wird die Systemzeit jetzt, um 14:09h als "System-Zeit: 01.10.2019 13:46:56" angezeigt? Vorhin war es noch schlimmer, da wurde der gestrige Tag angezeigt.
Meldung: Domänen-Name ptbtime1.ptb.de, Absende-Adr. EWE, Authentifizierung Aus, Schlüsselnummer 1
Ansonsten nichts verändert in den Einstellungen.


3. Ziel
Der Multifunktionsdrucker soll per Wlan drucken und scannen (wie vorher auch)

Problem und Kuriosität: Kein Scanzugriff möglich, Drucken funktioniert. Simplescan findet zwar das Gerät, kann aber keine Verbindung herstellen.

Meldung: LOCAL3 Alarm Dst: 192.168.0.255:8612, Src: 192.168.0.24:8612 {skywalker-n650du} (UDP): connection refused

Ja und hier bin ich mit meinem Laien Latein absolut am Ende! Die 192.168.0.255 ist gar nicht vergeben laut DHCP Tabelle!
Der Drucker läuft auf der 192.168.0.49
Ich sitze jetzt 4 Stunden hiervor und weiß gefühlt gar nichts mehr. :-(
Kann mir bitte jemand helfen!
Zuletzt geändert von Chris517 am 04 Okt 2019, 17:34, insgesamt 1-mal geändert.
"Haben Sie's schon mit aus- und wiedereinschalten probiert?"
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Lancom Neuling 1781VAW brauche Hilfe

Beitrag von backslash »

Hi Chris517,
(...) sie in die DMZ legen, damit sie von der Firewall unbehindert kommunizieren sowie alle ports selbstständig bedienen kann.
eine DMZ im LANCOM unterscheidet sich deutlich von dem, was AVM so als "DMZ" bezeichnet.... Das ist genau genommen nur ein "exposed Host" und *KEINE* DMZ!

Eine DMZ ist erstmal nur ein ganz normales LAN-Netz mit zwei besonderen Eigenschaften: Sie kann "unmaskiert" im Internet erreichbar sein (wenn die Maskierungsoption der Defaultroute auf "nur Intranet maskieren" steht) und sie ist in allen Routing-Kontexten (Stichwort: ARF) sichtbar. Auch für die DMZ ist die Firewall *IMMER* aktiv (es sei denn man schaltet sie ganz ab)
Ich möchte der Konsole eine feste IP Adresse vergeben (...) Mit meiner gewollten IP 192.168.0.50 gab es irgendwelche Konflikte. Hat nicht funktioniert.
tra, was soll man dazu sagen... das ist eindeutig zu wenig, daher bleibt nur der Standardspruch: Wenn du eine Adresse nicht doppelt vergibst, git es auch keinen Konflikt...
LOCAL3 Alarm Dst: 91.248.72.36:58520 {Lancom1781VAW.intern}, Src: 192.168.0.108:9308 {ps4} (UDP): connection refused
da versucht offenbar deine PS4 auf die WAN-Adresse des LANCOMs und UDP-Port 58520 zuzugreifen. Da es dafür keinen Listener gibt und auch kein Portforarding und auch keine offene Session in der Maskierung, wird das halt abgelehnt...
Demzufolge liegt die PS4 nicht in der DMZ, oder die DMZ ist so konfiguriert,
Siehe oben: eine DMZ ist ein eigenes Netz, daß Adreßmässig vom Intranet getrennt ist - da die PS4 aber offenbar eine Adresse aus dem Intranet hat, steht sie auch im Intranet und nicht in der DMZ...
Etwas, wie das, was AVM als "DMZ" bezeichnet, kannst du im LANCOM realisieren, wenn ein Portforwarding für alle Ports auf die PS4 einrichtest - doch damit erkaufst du dir massive Einschränkungen beim normalen Internetverkehr - Da die PS4 offenbar UDP sprechen will, könnte es ausreichen, das Portforwarding nur für UDP einzurichten... Zusätzlich zu dem Portforwarding mußt du möglichen eingehenden Traffic auch noch in der Firewall erlauben...
DHCPTabelle: 192.168.0.108 bc60a7fa2251 452 dyn. LAN-1 ETH-1 0 INTRANET
das zeigt eindeutig, daß deine PS4 nicht in der DMZ liegt...
Zusatzfrage: UDP connections werden sehr oft blockiert, zB:
LOCAL3 Alarm Dst: 91.248.72.36:8888 {Lancom1781VAW.intern}, Src: 80.82.77.212:38883 (UDP): connection refused
LOCAL3 Alarm Dst: 91.248.72.36:5060 {Lancom1781VAW.intern}, Src: 183.2.202.41:5078 (UDP): connection refused
LOCAL3 Alarm Dst: 91.248.72.36:626 {Lancom1781VAW.intern}, Src: 120.52.152.17:58914 (UDP): connection refused
siehe oben: für die UDP-Ports gibt es auf dem LANCOM keinen Listener, keine Portforwardings und keine offenen Sessions in der Maskierung - deher werden die Pakeet abgelehnt
Das Ziel ist offenbar mein Provider,
nein, das Ziel ist das LANCOM...
die Quelle erschliesst sich mir nicht.
das sind irgendwelche Versuche von möglichenn Angreifern, einen offenen Port zu finden
Warum werden die blockiert,
weil es das beste ist.... (bzw. was soll sonst damit passieren?)
was ist die Quelle,
irgendlweche "Angreifer" im Internet...
wie stelle ich das ab.
indem du Router-Alarme im Syslog abschaltest oder die Meldungen einfach ignorierst...

Problem:
Warum wird die Systemzeit jetzt, um 14:09h als "System-Zeit: 01.10.2019 13:46:56" angezeigt? Vorhin war es noch schlimmer, da wurde der gestrige Tag angezeigt.
Meldung: Domänen-Name ptbtime1.ptb.de, Absende-Adr. EWE, Authentifizierung Aus, Schlüsselnummer 1
Ansonsten nichts verändert in den Einstellungen.
wo wird dir das angezeigt? Wenn die Synchronisation erfolgreich war, dann zeigt das LANCOM die richtige Zeit an...
3. Ziel
Der Multifunktionsdrucker soll per Wlan drucken und scannen (wie vorher auch)

Problem und Kuriosität: Kein Scanzugriff möglich, Drucken funktioniert. Simplescan findet zwar das Gerät, kann aber keine Verbindung herstellen.

Meldung: LOCAL3 Alarm Dst: 192.168.0.255:8612, Src: 192.168.0.24:8612 {skywalker-n650du} (UDP): connection refused

Ja und hier bin ich mit meinem Laien Latein absolut am Ende! Die 192.168.0.255 ist gar nicht vergeben laut DHCP Tabelle!
Die 192.168.0.255 ist die Broadcastadresse in einem Intranet - und da sollte erstmal keine solche Meldung kommen... Zu dem was das ansonsten mit dem WLAN nicht funktioniert, kann ich dir leider nicht weiterhelfen...

Gruß
Backslash
Chris517
Beiträge: 4
Registriert: 26 Sep 2019, 23:50

Re: Lancom Neuling 1781VAW brauche Hilfe

Beitrag von Chris517 »

Moin backslash!
Soviel input und Erklärung, ich danke dir sehr herzlich :-)

Hab auch schon wieder selber etwas lösen können: das Wlan scan problem. Hatte das Gerät vor geraumer Zeit eingerichtet und vergessen, dass der scanner treiber bei Einrichtung eine ip adresse zugewiesen bekommen musste, und schwupps, die lautete 192.168.0.50
Jetzt funktioniert drucken UND scannen wie es soll! :-)

Zu den Routeralarmen: natürlich stelle ich keine Alarme einfach ab. Dafür weiß ich viel zu wenig, wie du sicher schon erahnen konntest.
Ich habe nun aber soweit verstanden, dass diese Meldungen nicht von meinen Geräten stammen und insofern keine Behinderung im Datenfluß darstellen.

"Angreifer" weckt natürlich Sorge, aber was soll ich hier weiter tun. Ich werde deinen Rat befolgen und sie gnorieren.

Vielen Dank für die Aufklärung zum Thema DMZ, hier muss ich offenbar erheblich Basiswissen nachschaufeln. Überhaupt finde ich es höchst beeindruckend, wie unfassbar viel input allein mein Router liefert und fordert. Am liebsten würde ich einen mehrtägigen Lernkurs buchen, soviele Fragen habe ich!

Trotzdem verstehe ich nicht, warum sich nach aus- und wieder einschalten von Drucker und Konsole folgende doppelte Stationseinträge finden:
Bild

Wenn ich die PS4 eine falsche Adresse gegeben habe, könnte ich den doppelten Eintrag von DMZ und Intranet verstehen, aber warum zeigt es sich beim Drucker?

Dann setze ich für die Konsole ein anderes Ziel: ich möchte, dass der Internetverkehr der Konsole routerseitig nicht geblockt wird, sie soll ungehindert alle benötigten ports bedienen können. Unter wechem Menupunkt richte ich das wie ein?


Deine Frage nach dem Ort der Zeitanzeige: unter Systeminformation -> Gerätestatus, es wird jetzt 18:03h folgendes angezeigt:
Bild
"Haben Sie's schon mit aus- und wiedereinschalten probiert?"
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Lancom Neuling 1781VAW brauche Hilfe

Beitrag von ua »

Hi,
Am liebsten würde ich einen mehrtägigen Lernkurs buchen, soviele Fragen habe ich!
Guggst Du hier:
https://www.lancom-systems.de/training- ... -workshop/
Und zum Rest:
Der Drucker hat dieselbe Adressen (MAC und IP) im LAN-1 und im WLAN. Jedoch einmal im INTRANET und in der DMZ.
Je nach Umfang der Konfiguration würde ich die Kiste blondieren und mittels Wizard erst einmal eine sauber Grundkonfiguration erstellen.
Diese dann speichern und als Fallback (rechte Maustaste im LanConfig auf "dem Geräte" -> Quickrollback) nutzen.
VG
Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Lancom Neuling 1781VAW brauche Hilfe

Beitrag von backslash »

Hi Chris517

zu deiner DHCP-Tabelle: Du hast offenbar LAN-1 und WLAN-1 in einer Bridgruppe (BRG1) zusammengefaßt und ausserdem die Netze "DMZ" und "INTRANET" auch beide auf LAN-1 bzw. BRG-1 gebunden. In dem Fall darfst du den DHCP-Server nur auf einem der Netze laufen lassen - das wäre bevorzugt "INTRANET", da sich in einer DMZ normalerweise Geräte mit fester IP-Adresse befinden, die von aussen (also aus dem Intrernet) erreichbar sein sollen.

Damit die DMZ richtig funktionioert - und vor allem, damit du aus dem INTRANET darauf zugreifen kannst, mußt du der DMZ ein eigenes IP-Netz geben, z.B. 192.168.1.x. Und um die Sicherheit zu erhöhen solltest du die DMZ auch an ein physikalisch getrenntes LAN-Interface hängen (z.B. LAN-2), da sonst ein gehackter Rechner in der DMZ sofort Zugriff auf dein ganzes Netz hat (ganz nebenbei könntest du dann auch den DHCP-Server wieder in der DMZ aktivieren)

Deine Frage nach dem Ort der Zeitanzeige: unter Systeminformation -> Gerätestatus, es wird jetzt 18:03h folgendes angezeigt:
Das ist nicht die Systemzeit... Das ist ein Auszug aus den letzten Firewall-Meldungen und da hat das letzte Erignis um 16:07:58 stattgefunden - da hat das IDS der Firewall angeschlagen... Offenbar hat da jemand aus dem Internet heraus versucht, mit einer privaten Absenderadresse (192.168.11.252) auf die WAN-Adresse des LANCOM zuzugreifen...

Auch hier: einfach ignoriereren. Solche Versuche passieren ständig und man wird sie auch nicht los - solange sie gemeldet werden, sind sie harmlos.... Problematisch wird ein Angriff erst, wenn er nicht erkannt wird...

Gruß
Backslash
Chris517
Beiträge: 4
Registriert: 26 Sep 2019, 23:50

Re: Lancom Neuling 1781VAW brauche Hilfe

Beitrag von Chris517 »

Oh wie peinlich.... :oops: jetzt erkenne ich erst den Aufbau der Übersicht :oops:
Die Uhrzeit wird völlig korrekt angezeigt. Entschuldigung. Und Danke.

Ganz ehrlich: Ich weiß nicht, was ich da zusammengefasst und hingebunden habe.
Aber bei längerem Anstarren in Kombination von repetativen Lesen eurer Antworten (danke auch, Udo) leuchtet langsam die Lampe.
Seht her:
Bild

Bild

Bild



Sieht das soweit korrekt aus? Habe den DHCP Server in der DMZ nun auch wieder aktiviert. Es funktioniert alles und sieht sauber aus.
Zwei letzte Fragen für heute seien mir noch gestattet:

Warum wird in der Netzwerkübersicht bei INTRANET als Schnittstelle 65535 angezeigt, obwohl beim draufklicken LAN-01 als Schnittstelle zugeordnet ist? Ich habe hier nichts verändert, trau mich aber nicht, erneut auf LAN-01 zu klicken, weil der Wert 65535 nicht zur Auswahl steht. :?:

Beim Einrichten des ETH1 Ports steht zur Auswahl des Taktgebers Master oder Slave - ist mit Master hier der Lancom gemeint, folglich als Slave die Konsole zB?

Ganz ganz herzlichen Dank für die Zeit die geopfert wurde mir zu helfen!
"Haben Sie's schon mit aus- und wiedereinschalten probiert?"
Carsten1972
Beiträge: 188
Registriert: 04 Jul 2016, 19:37
Wohnort: Im schönen Sauerland

Re: Lancom Neuling 1781VAW brauche Hilfe

Beitrag von Carsten1972 »

Hallo,

vielleicht lädst du dir einmal das Programm Lanconfig herunter ftp://ftp.lancom.de/LANCOM-Releases/LANtools/

Viele Neulinge kommen damit besser zurecht als mit der Web-Konfiguration!
Chris517
Beiträge: 4
Registriert: 26 Sep 2019, 23:50

Re: Lancom Neuling 1781VAW brauche Hilfe

Beitrag von Chris517 »

Danke für den Tip, aber ich nutze Linux. Wine benutze ich nicht. Ist ausserdem schon okay mich Stück für Stück näher einzupfriemeln :-)
Aber trotzdem 10000 Fragen offen
"Haben Sie's schon mit aus- und wiedereinschalten probiert?"
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Lancom Neuling 1781VAW brauche Hilfe Gelöst!

Beitrag von GrandDixence »

Das LCOS Referenzhandbuch:
https://www.lancom-systems.de/docs/config/de/refmanual/

und die LCOS-Menüreferenz sind Pflichtlektüre für Lancom-Neulinge.
https://www.lancom-systems.de/docs/LCOS/menuereferenz/
Beim Einrichten des ETH1 Ports steht zur Auswahl des Taktgebers Master oder Slave - ist mit Master hier der Lancom gemeint, folglich als Slave die Konsole zB?
Siehe LCOS-Menüreferenz:

Setup > Schnittstellen > Ethernet-Ports > Takt-Rolle

Diese Menüstruktur ist im Webinterface/Webconfig/Webkonfiguration unter LCOS-Menübaum ersichtlich.
Antworten