Nach DSL Wechsel keine Portweiterleitung mehr 1781EF+

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Stradtmann
Beiträge: 8
Registriert: 29 Dez 2018, 14:10

Nach DSL Wechsel keine Portweiterleitung mehr 1781EF+

Beitrag von Stradtmann »

Hallo zusammen,

eine unserer DSL Leitungen (feste ext. IP) wurde gestern von unserem Provider abgeschaltet, über den der Zugriff auf unser OWA lief.
Die Subdomain wurde auch schon auf die neue IP umgestellt, so dass der Ping auf die Domain auch die richtige neue ext. IP anzeigt.

Im LANCOM habe ich dann die Port-Forwarding-Tabelle auf die neue DSL Leitung umgestellt, so dass diese auch per Telnet erreicht werden kann. Sowohl aus dem Firmennetzwerk als auch von Aussen kann der Port 443 für OWA erreicht werden. Ich bekomme trotzdem aber keine Verbindung zum OWA Portal, so dass ich meine Credentials eingeben kann. Wenn ich mich im internen Netzwerk befinde, dann funktioniert OWA tadellos.

Hat jemand eine Idee woran das liegen kann? Unsere mobile Devices bekommen somit auch keine neuen Emails zugestellt.

Vielen Dank
Stradtmann
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Nach DSL Wechsel keine Portweiterleitung mehr 1781EF+

Beitrag von ua »

Hi,
ist die Portweitereleitung auf die (evtl. neue Gegenstelle) umgestellt?
VG aus OBC
Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
Stradtmann
Beiträge: 8
Registriert: 29 Dez 2018, 14:10

Re: Nach DSL Wechsel keine Portweiterleitung mehr 1781EF+

Beitrag von Stradtmann »

Guten Morgen,

ja, die Portweiterleitung habe ich schon auf die neue Gegenstelle umgestellt und testweise sogar mal ganz weggelassen. Gestern schien das Problem, ohne das etwas verändert wurde, kurzzeitig behoben, jedoch waren die Probleme heute Morgen wieder da. :?
GrandDixence
Beiträge: 1055
Registriert: 19 Aug 2014, 22:41

Re: Nach DSL Wechsel keine Portweiterleitung mehr 1781EF+

Beitrag von GrandDixence »

Packet Capture für den WAN- und LAN-Port anwerfen. Den aufgezeichneten Netzwerkverkehr (*.pcap) mit Wireshark analysieren. Wird das TCP-SYN auf Port 443 mit SYN-ACK bestätigt?
https://de.wikipedia.org/wiki/Transmiss ... ungsaufbau
MaRoediger
Beiträge: 66
Registriert: 23 Jun 2018, 18:37

Re: Nach DSL Wechsel keine Portweiterleitung mehr 1781EF+

Beitrag von MaRoediger »

Hallo
und allen hier zunächst ein gesundes und erfolgreiches neues Jahr!

In der oben geschilderten Angelegenheit ist es noch etwas komplizierter.
Am Lancom hingen 3 SDSL-Anschlüsse und 2x LAN.
Einer ist ein Compyny Connect, wobei die Telekom leider nur Kupfer dort anliegen hat. Der soll wohl demnächst weg.
Dann kam noch ein EWE-Tel-Anschluß hinzu, über den mehrere Tunnel liefen. Die Leitung war allerdings mies in der Qualität, so daß noch ein dritter SDSLer von der Deutschen Glasfaser angeschafft wurde.
Sämtliche Tunnel liefen nun seit Wochen über den DG-Anschluß, der CoCo war quasi ungenutzt, alles andere lief noch über des EWE-Tel (u.a. auch der OWA und ein weiterer Server, jeweils mit Portforwarding). Das hat bisher problemlos geklappt.
Vor wenigen Tagen wurde nun der EWE-Tel-Anschluß abgeschaltet. Die Portweiterleitungen wurden auf den DG-Anschluß umgelegt - und dann fingen die Probleme an.
Mal funktionierte es, mal nicht, mal dauerte der Datentransfer zu beiden Serverb ewig, einen Tag ging es komplett (ohne Änderungen).
Das Problem scheint nun beim TLS-Handshake zu liegen. Der scheint sich permanent zu wiederholen bis der Timeout kommt.
Es hat aber eben - wie oben gesagt - auch mal einen ganzen Tag problemlos funktioniert, womit ich eigentlich Fehlkonfigurationen ausschließe.
Es wurden schon die Anschlüsse gewechselt, der Port 443 mal auf ein anderes Gerät mit Webbrowser gelegt, sämtliche Switche im Netzwerk neu gestartet (im Netzwerk gibt es kein sichtbares Problem, denn intern funktioniert alles) etc. etc.

Zur Frage von GrandDixence:
Ich bin leider im Moment weit weg im Urlaub und habe hier nur eingeschränktes Internet, was die Hilfe exterm erschwert.
Ich habe aber bereits zwei Traces am Lancom aufgezeichnet und dann nach Src.- und Dest.-IP gefiltert.
Der Syn wird gesendet und auch vom Zielserver mit Syn-Ack beantwortet, an der Portweiterleitung schient es also nicht zu liegen.
Dann kommt auch noch das Ack zurück, aber zeitgleich wird schon die nächste Aushandlung versucht, obwohl die andere abgeschlossen schien. Das Ganze geht dann immer so weiter, Irgendwann kommt dann ein RA-Flag und dann ein R und die Sache ist erledigt. :-/

Wie gesagt: Das Ganze lief dann aber auch schon mal problemlos den ganzen Tag.
Kann der Router hinüber sein? Das wäre dann allerdings ein Riesen-Zufall, wenn der sich zeitgleich zur Abschaltung des einen Anschlusses verabschiedet hätte.
MaRoediger
Beiträge: 66
Registriert: 23 Jun 2018, 18:37

Re: Nach DSL Wechsel keine Portweiterleitung mehr 1781EF+

Beitrag von MaRoediger »

Noch eine kurze Ergänzung:
Habe eben mal den Port 80 an ein anderes Gerät im LAN weitergeleitet. Das funktioniert sofort und porblemlos.
Bei https und Port 443 oder 8443 hängt das Ganze bei der TLS-Aushandlung.
Der Lancom selbst ist über einen anderen Port per https von extern erreichbar.
Die Ports wurden nach dem Wegfall der einen SDSL-Verbidnung auch nicht geändert.
GrandDixence
Beiträge: 1055
Registriert: 19 Aug 2014, 22:41

Re: Nach DSL Wechsel keine Portweiterleitung mehr 1781EF+

Beitrag von GrandDixence »

Wenn das Webinterface aus der Ferne erreichbar ist, so sollte auch das Packet Capture möglich sein?! Alles andere ist Fehlersuche "mit Glaskugel"...
Benutzeravatar
ecox
Beiträge: 697
Registriert: 28 Jan 2015, 17:25

Re: Nach DSL Wechsel keine Portweiterleitung mehr 1781EF+

Beitrag von ecox »

Sers,

welche LCOS nutzt du? Hast du evtl. noch Policy-based-routing Geschichten drin? (mal die FW checken ob du da was nicht ueber Rtg X raus haust aber ueber Rtg Y rein lässt, macht sich bei HTTPS doof...siehst du im IP-Router-Trace sachen wie "SACK NO PERMITTED"? Bedenke das wenn du was auf https umleitest, dafür sorgen solltest das es auch immer ausschließlich ueber diese leitung ansprechbar ist und die maschine dahinter auch ausschließlich ueber die leitung surft ueber die sie angesprochen wird...

Grüße
ecox
MÜHSAM ERNÄHRT SICH DAS EICHHÖRNCHEN
MaRoediger
Beiträge: 66
Registriert: 23 Jun 2018, 18:37

Re: Nach DSL Wechsel keine Portweiterleitung mehr 1781EF+

Beitrag von MaRoediger »

Hallo nochmal aus dem Urlaub,

@ GrandDixence:
Wenn Du knapp 10.000 km entfernt sitzt, das Internet zwar sauteuer, aber extrem langsam ist und Du für jeden Klick oft mehrere Sekunden brauchst oder mal mehrere Minuten vergehen, bis überhaupt mal wieder Bewegung in die Sache kommt, dann ist das von Dir Vorgeschlagene leichter gesagt als getan. Die Internet-Katastrophe verschlimmerte sich logischerweise auch noch über die Feiertage.
Ansonsten hast Du natürlich Recht.

@ ecox:
Policy based routing gab es, aber das hatte ich schon am Anfang mal rausgenommen. Ansonsten vermutete ich auch genau das, was Du ansprachst, nämlich daß der Verkehr auf einer Route rein und auf einer anderen wieder raus ging. Aber selbst das meinte ich schon ausgeschlossen zu haben.

Die Traces, die ich einige Tage zuvor angefertigt hatte, zeigten ja ganz klar, daß das Portforwarding klappte und daß auch Syn, Syn-Ack und Ack stattfanden, nur überschnitten sich immer mehrere TLS-Handshake-Versuche und irgendwann kam das Timeout.
Es gab sogar einen Tag, da funktionierte das Ganze über Stunden hinweg, dann wieder nicht, manchmal kurz, dann wieder nicht - womit ich eine generelle Fehlkonfiguration (fast) ausschloß.
Dann habe ich mich mal an die MTU-Ermittlung gemacht, weil ich Zweifel an der SDSL-Leitung bekam (500MBit SDSL DG).
Der Ping 8.8.8.8 -f -l xxxx brachte Erstaunliches zutage. Von 1.500 Bytes bis zu 1.473 Bytes kam der übliche Fragmentierungshinweis, aber bei 1.472 Bytes und darunter kamen nur noch "Zeitüberschreitung". Dasselbe von unten bis zu 1.426, darüber Zeitüberschreitung.
Aus den Traces hatte ich gesehen, daß einige Pakete 1.500 Bytes groß waren. Da aber bei 1.472 Bytes (+28 Bytes = 1.500 Bytes) offenbar gar nichts mehr ging, konnte der TLS-Handshake nie zu Ende geführt werden.

Seit gut einem Tag läuft das Ganze nun ohne wesentliche Änderungen und der "MTU-Test" liefert nun auch bei 1.472 Bytes wieder normale Ergebnisse.

Mal sehen, wie das Ganze weitergeht und ich pinge mich nun nach 4 nervenzehrenden Tagen wieder zurück in die Urlaubsstimmung - hoffentlich! ;-)

Vielen Dank Euch für die Hilfe!

Beste Grüße nochmals zum neuen Jahr

Mario
MaRoediger
Beiträge: 66
Registriert: 23 Jun 2018, 18:37

Re: Nach DSL Wechsel keine Portweiterleitung mehr 1781EF+

Beitrag von MaRoediger »

... noch eine kleine Ergänzung @ ecox:

Sorry, ich hatte einige Deiner Fragen gar nicht beantwortet:
OS: 10.20.0259RU1 / 16.11.2018
Die Option "Sack no permitted" gab es nirgends.
Es gab vorher und auch jetzt wieder das o.g. policy based routing, was sämtliche Clients im LAN (also auch die beiden betreffenden Server) veranlaßt, den normalen Web-Verkehr über eine bestimmte Route abzuwicklen. Das war vorher der nun weggefallene SDSL-Anschluß, später aber der SDSL-Anschluß, über den das Portforwarding auch läuft.
Ich hatte schon überlegt, künftig sämtliche sonstigen Clients über den noch vorhandenen Telekom-CoCo zu leiten und nur die Server über den anderen, aber im Moment lasse ich das Ganze erstmal so, wie es ist.

beste Grüße

Mario
Antworten