LANCOM als VDSL-Modem

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: LANCOM als VDSL-Modem

Beitrag von alf29 »

Hallo Jürgen,

ja, da kommt ein PADI von Deiner Firewall, und es antwortet auch jemand darauf mit einem PADO:

Code: Alles auswählen

[Ethernet] 2020/04/15 10:49:08,460
Received 60 byte Ethernet packet via LAN-1:
HW Switch Port      : ETH-1
-->IEEE 802.3 Header
Dest                : ff:ff:ff:ff:ff:ff (Broadcast)
Source              : 00:0c:29:c8:c2:7f (VMWare c8:c2:7f)
Type                : 802.1p/q VLAN
-->802.1p/q VLAN Header
VLAN Id             : 7
VLAN Prio           : 0
VLAN CFI            : 0
Type                : PPPoE Discovery
-->PPPoE Discovery Packet
Version             : 1
Type                : 1
Code                : Active Discovery Indication (PADI)
Session-ID          : 0
Payload Length      : 12
Service-Name        :
Host-Uniq           : c5 12 00 00             ....
Packet Trailer      : 00 00 00 00 00 00 00 00 ........
                      00 00 00 00 00 00 00 00 ........
                      00 00 00 00 00 00 00 00 ........


[Ethernet] 2020/04/15 10:49:08,571
Sent 66 byte Ethernet packet via LAN-1:
HW Switch Port      : ETH-1
-->IEEE 802.3 Header
Dest                : 00:0c:29:c8:c2:7f (VMWare c8:c2:7f)
Source              : 88:a2:5e:bb:1f:15
Type                : 802.1p/q VLAN
-->802.1p/q VLAN Header
VLAN Id             : 7
VLAN Prio           : 6
VLAN CFI            : 0
Type                : PPPoE Discovery
-->PPPoE Discovery Packet
Version             : 1
Type                : 1
Code                : Active Discovery Offer (PADO)
Session-ID          : 0
Payload Length      : 42
AC-Name             : WEZJ02
Host-Uniq           : c5 12 00 00             ....
Service-Name        :
AC-Cookie           : 62 c9 c8 1f b0 47 78 3c b....Gx<
                      e4 74 cb c4 b2 73 ae a6 .t...s..

Das Bridging vom/zum VDSL tut also, und jetzt müßte Deine Firewall auf das PADO vom DSLAM den nächsten Schritt im PPPoE-Verbindungsaufbau machen. Das tut sie aber nicht, sie fängt nach ein paar Sekunden wieder von vorne mit einem PADI an.

Irgend etwas gefällt Deiner Firewall also an dem PADO nicht. Du könntest das PADO mit dem PADO vergleichen, das aus dem ZyXEL-Modem herauspurzelt. Mir fällt spontan nur die Prio-Angabe im VLAN-Header auf, Deine Firewall schickt das PADI mit Prio 0 (Best Effort), das PADO kommt mit Prio 6 (Voice), vermutlich weil der DSLAM vom Provider das auch schon so geschickt hat. Vielleicht stört sich Deine Firewall ja an der Prio-Angabe und mit dem ZyXEL-Modem geht es gut, weil es so eine Prio-Angabe beim Bridging entfernt?

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
jueRgenB
Beiträge: 97
Registriert: 08 Apr 2019, 12:01

Re: LANCOM als VDSL-Modem

Beitrag von jueRgenB »

Hallo Alfred,

ich habe das ganze jetzt nochmal mit einem Debian 9 hinter dem LANCOM probiert.

Ebenso habe ich ein LANCOM Ticket erstellt.
Hier hat man sich meine Config schon angeschaut und eine Änderung empfohlen.
Aber das hat auch noch nichts gebracht.

Hat aber beides nichts gebracht.
Debian (pppoe) meint, es erhalte kein PADO vom MODEM/VDSL Provider.

Könnte es sein, das es am VMware liegt und die LAN Ports im Bridge Mode irgendwie beeinflusst werden?

Gruß

Jürgen
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: LANCOM als VDSL-Modem

Beitrag von alf29 »

Moin,
ich habe das ganze jetzt nochmal mit einem Debian 9 hinter dem LANCOM probiert.
Aber immer noch "Debian auf VMware auf echter Hardware" statt "Debian direkt auf echter Hardware"? Da bleibt immer noch der Hypervisor mit seinem virtuellen Switch als Fragezeichen.
Ebenso habe ich ein LANCOM Ticket erstellt.
Hier hat man sich meine Config schon angeschaut und eine Änderung empfohlen.
Aber das hat auch noch nichts gebracht.
Hätte mich jetzt auch gewundert, was das bringen soll, der Ethernet-Trace ist quasi die letzte Instanz bevor das Paket aus dem Gerät rausgeht. Damit ist das LANCOM für mich jetzt erstmal "raus", bis mir jemand per externem Sniffer zwischen LANCOM und seiner direkten Ethernet-Gegenstelle nachweist, daß das Paket nicht herausgeht...
Könnte es sein, das es am VMware liegt und die LAN Ports im Bridge Mode irgendwie beeinflusst werden?
Wenn Du in der VM keine reinkommenden Pakete siehst, dann hätte ich den virtuellen Switch des Hypervisors als nächsten in Verdacht gehabt. Mit denen kenne ich mich aber wenig aus, ich weiß nicht ob man da auf Host-Seite am physischen Ethernet-Interface capturen kann. Ist da sei ESXi oder oder einfach ein Player, der auf einem "normalen" Betriebssystem läuft, wo man den Wireshark einfach mal direkt auf eth0 ansetzen kann?

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
jueRgenB
Beiträge: 97
Registriert: 08 Apr 2019, 12:01

Re: LANCOM als VDSL-Modem

Beitrag von jueRgenB »

Hallo Alfred,

das ist aktuell ein VMware Workstation 15.5.2 Pro.

Ich versuche das ganze am Wochenende mal an einer Sophos XG210 Hardware zu testen.
Da braucht niemand den zweiten ISP, da habe ich ja ein Zyxel Modem dranhängen.

Aber für mein Lab wäres super wenn das funktionieren (mmh, vielleicht erstmal in Hardware erfolgreich testen).

Kann der LANCOM den VDSL 7 Tag eigentlich selbst einfügen?

Bei dem Zyxel Modem geht das und dann kann ich mit Windows 10 eine PPPoE Einwahl in Hardware machen.
Brauche dann aber das Tag im LANCOM.

Gruß

Jürgen
jueRgenB
Beiträge: 97
Registriert: 08 Apr 2019, 12:01

Re: LANCOM als VDSL-Modem

Beitrag von jueRgenB »

Hallo ich nochmal,

ich habe also den LANCOM nach den Wünschen vom LANCOM Support und nach dem KB Artikel konfiguriert.

Ich war dann heute mal im Büro, dort habe ich eine Hardware Firewall (Sophos XG) mit einem Zyxel VMG1312 in Betrieb.
Das Zyxel Modem läuft im Bridge Mode als Backup WAN Verbindung.

Dort habe ich dann den Zyxel gegen den LANCOM Router (im Bridge Mode) getauscht.

Was soll ich sagen... :?

Da passiert auch nichts, es kommt keine Verbindung zustande.
Genauso wie die Sophos XG unter VMWare als auch die Hardware Firewall melden mir im Sophos Log ...

PADO Packet timeout no response from server.Please verify service name & ISP link status on modem. Restarting session.

Also muss doch entweder der LANCOM R883VAW nicht Bridge Fähig sein oder die Doku / LANCOM Support liegen falsch.

Schönes Wochenende

Jürgen
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: LANCOM als VDSL-Modem

Beitrag von alf29 »

Moin,
Also muss doch entweder der LANCOM R883VAW nicht Bridge Fähig sein oder die Doku / LANCOM Support liegen falsch.
Bridge-fähig ist es definitiv, im Trace hat man ja gesehen, daß das PADO Richtung Ethernet-Port vom LANCOM geht. Irgendwo dazwischen und Deiner Firewall geht's verloren. Wenn ich davor sitzen würde, würde ich das vermutlich schnell eingekreist bekommen, aber remote ist das halt alles etwas schwieriger. Ich versuche kommende Woche wenigstens mal die LANCOM-Seite nachzubauen.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
jueRgenB
Beiträge: 97
Registriert: 08 Apr 2019, 12:01

Re: LANCOM als VDSL-Modem

Beitrag von jueRgenB »

Hallo Alfred,

ich habe jetzt nochmal einen tcpdump auf der Hardware und der VM gemacht.

Firewall-Hardware + Zyxel VMG1312
hier sendet die Firewall kein VLAN TAG 7 mit, da hier das Tagging im Zyxel gemacht wird.
Man sieht das PADI der Firewall, dann PADO vom Zyxel , PADR, PADS ... bis zum connect.

Firewall-VM + LANCOM
hier sendet die Firewall das VLAN TAG 7 mit und packt das daher auch mit in den PADI.
So und jetzt kommt der PADO vom LANCOM, hier fehlt dann das VLAN TAG 7 und
die Firewall nimmt das dann offenbar nicht mehr an.
Es folgt wieder ein PADI der Firewall-VM

Also muss doch der LANCOM Router das VLAN Tag entfernen, also keine Kommunikation?

PADI der Firewall-VM

Frame 13: 36 bytes on wire (288 bits), 36 bytes captured (288 bits)
Ethernet II, Src: VMware_c8:c2:7f (00:0c:29:c8:c2:7f), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Destination: Broadcast (ff:ff:ff:ff:ff:ff)
Address: Broadcast (ff:ff:ff:ff:ff:ff)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
Source: VMware_c8:c2:7f (00:0c:29:c8:c2:7f)
Address: VMware_c8:c2:7f (00:0c:29:c8:c2:7f)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 0, DEI: 0, ID: 7
000. .... .... .... = Priority: Best Effort (default) (0)
...0 .... .... .... = DEI: Ineligible
.... 0000 0000 0111 = ID: 7
Type: PPPoE Discovery (0x8863)
PPP-over-Ethernet Discovery
0001 .... = Version: 1
.... 0001 = Type: 1
Code: Active Discovery Initiation (PADI) (0x09)
Session ID: 0x0000
Payload Length: 12
PPPoE Tags
Host-Uniq: f82d0000

PADO des LANCOM
Frame 14: 62 bytes on wire (496 bits), 62 bytes captured (496 bits)
Ethernet II, Src: JuniperN_bb:1f:15 (88:a2:5e:bb:1f:15), Dst: VMware_c8:c2:7f (00:0c:29:c8:c2:7f)
Destination: VMware_c8:c2:7f (00:0c:29:c8:c2:7f)
Address: VMware_c8:c2:7f (00:0c:29:c8:c2:7f)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Source: JuniperN_bb:1f:15 (88:a2:5e:bb:1f:15)
Address: JuniperN_bb:1f:15 (88:a2:5e:bb:1f:15)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: PPPoE Discovery (0x8863)
PPP-over-Ethernet Discovery
0001 .... = Version: 1
.... 0001 = Type: 1
Code: Active Discovery Offer (PADO) (0x07)
Session ID: 0x0000
Payload Length: 42
PPPoE Tags
AC-Name: WEZJ02
Host-Uniq: f82d0000
AC-Cookie: 62c9c81fb047783ce474cbc4b273aea6
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: LANCOM als VDSL-Modem

Beitrag von alf29 »

Hallo Jürgen,
Firewall-VM + LANCOM
hier sendet die Firewall das VLAN TAG 7 mit und packt das daher auch mit in den PADI.
So und jetzt kommt der PADO vom LANCOM, hier fehlt dann das VLAN TAG 7 und
die Firewall nimmt das dann offenbar nicht mehr an.
Es folgt wieder ein PADI der Firewall-VM
Ich werde es wie gesagt versuchen, nächste Woche nachzustellen, aber ich bin sehr sicher, daß es im LCOS zwischen der Sende-Meldung im Ethernet-Trace und dem physischen Ethernet-Port nichts mehr gibt, was ein VLAN-Tag entfernen könnte. Ist zwischen der Firewall und dem LANCOM noch ein Switch geschaltet?

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
jueRgenB
Beiträge: 97
Registriert: 08 Apr 2019, 12:01

Re: LANCOM als VDSL-Modem

Beitrag von jueRgenB »

Hallo Alfred,

so, jetzt habe ich zumindest zum LANCOM klarheit erlangt.

Ich habe mir jetzt einen Dell PC mit QUAD NIC und der Firewall neu aufgesetzt und alles in Hardware verkabelt.

Zwischen Firewall und LANCOM ist jetzt nur das gelbe LAN Kabel ...

Nach wenigen Sekunden erhalte ich dann eine Verbindung per VDSL-Bridge
Sieht dann auch so aus (vereinfacht)

Hardware -> LANCOM - (PADI)

Frame 99: 36 bytes on wire (288 bits), 36 bytes captured (288 bits)
Ethernet II, Src: IntelCor_1c:e9:ad (a0:36:9f:1c:e9:ad), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
802.1Q Virtual LAN, PRI: 0, DEI: 0, ID: 7
PPP-over-Ethernet Discovery

LANCOM -> Hardware - (PADO)

Frame 100: 66 bytes on wire (528 bits), 66 bytes captured (528 bits)
Ethernet II, Src: JuniperN_bb:1f:15 (88:a2:5e:bb:1f:15), Dst: IntelCor_1c:e9:ad (a0:36:9f:1c:e9:ad)
802.1Q Virtual LAN, PRI: 6, DEI: 0, ID: 7
PPP-over-Ethernet Discovery

PADR
PADS
...

Connect

und in der VMWare sieht der PADO von LANCOM also so aus....

LANCOM -> VMWare

Frame 20: 62 bytes on wire (496 bits), 62 bytes captured (496 bits)
Ethernet II, Src: JuniperN_bb:1f:15 (88:a2:5e:bb:1f:15), Dst: VMware_c8:c2:7f (00:0c:29:c8:c2:7f)
PPP-over-Ethernet Discovery

Ergo: VMWare entfernt offenbar das VLAN Tag 7 ...

Zumindest kann ich mit der Hardware weitermachen und ggfs. im VMWare Bereich weiter suchen.

Trotzdem vielen, vielen Dank ans Forum und an Dich Alfred. :M

Ein schönes Wochenende!
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: LANCOM als VDSL-Modem

Beitrag von alf29 »

Hallo Jürgen,

freut mich zu hören, daß es jetzt geklappt hat. Das beruhigt auch mich ein bißchen 8-)
Ergo: VMWare entfernt offenbar das VLAN Tag 7 ...
Das bekäme man ihr sicher abgewöhnt, auch wenn ich im dem Bereich kein Experte bin. Es ist halt nur für VMs ein eher seltenes Szenario, daß das Gastsystem über getaggte Frames kommuniziert.

Um auf eine frühere Frage zurück zu kommen: Man bekäme das Tag 7 auch von der Bridge des LANCOM eingesetzt, im Prinzip macht sie das bei LCOS-basierten APs ja auch, wenn mehrere SSIDs auf einen VLAN-Trunk gebündelt werden. Grob gesprochen: das VLAN-Modul einschalten, VLAN 7 in der Netzwerktabelle anlegen und beide Ports als Member deklarieren, das LAN-1 als Access Port mit Port-VLAN 7, den XDSL-Port als Trunk-Port. Solltest Du aber in einer ruhigen Stunde machen und wenn Du ansonsten noch Zugang zum Gerät hast, am besten per Outband. Mit dem Einschalten des VLAN-Modul beeinflußt Du ja nicht nur den durchgeleiteten PPPoE-Traffic, sondern auch die LAN-seitigen Management-Netze. Die meisten Kunden, die zum ersten Mal mit dem VLAN-Modul arbeiten, sperren sich bei der Gegegenheit erstmal aus dem Gerät aus, weil sie erstmal nur das VLAN-Modul einschalten und vergessen, den ARF-Netzen im gleichen Schritt eine passende VLAN-Id zu geben (ungleich Null, das VLAN Null gleich ungetaggt gibt's nicht mehr, sobald das VLAN-Modul an ist). Also besser in einer ruhigen Stunde und erstmal an einem Spiel-System...

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
jueRgenB
Beiträge: 97
Registriert: 08 Apr 2019, 12:01

Re: LANCOM als VDSL-Modem

Beitrag von jueRgenB »

Hi,

zur Ergänzung.

Ich bin mir nicht mehr ganz sicher ob VMWare das VLAN Tag entfernt oder der Intel Treiber der i219-V.
Wenn ich alles in Hardware konfiguriere, muss die Firewall beim PPPoE das VLAN TAG mitsenden.
Unter VMWare habe ich jetzt folgende Lösung eingerichtet.

Unter Windows 10 1909 habe ich im NIC Treiber der i219-V ein VLAN 7 eingerichtet.
Das führt dazu, das ich eine virtuelle NIC unter Windows bekomme z.B. 'Intel(R) Ethernet Connection (2) I219-V - VLAN : 7'
Unter VMWare muss ich dann nur noch diese vLAN NIC auf VNnet0 binden und für das WAN Interface einrichten.

ABER in der Firewall darf ich DANN kein VLAN Tag 7 bei der PPPoE Einwahl angeben.
Das macht dann die Intel vLAN NIC, ähnlich dem Zyxel Modem.

Manchmal kann es wohl doch so einfach sein...

Und ja, ich hab mich im LANCOM auch schon ausgesperrt (beim VLAN konfigurieren)...

Gruß

Jürgen
Benutzeravatar
Djar
Beiträge: 67
Registriert: 22 Aug 2006, 14:09
Wohnort: Hamburg

Re: LANCOM als VDSL-Modem

Beitrag von Djar »

Für alle die hier genauso verzweifelt suchen: Im KB Artikel fehlt der Hinweis, dass man den ETH Port auch auf das LAN, welches man bridged schalten muss. Das übersieht man gerne mal. Ich fand die Anleitung jetzt auch nichts so dolle.

So funktioniert es:

- Factory reset
- Den Port ETH4 zuweisen zu LAN-4
- LAN4 und xDSL der Bridge-Gruppe BRG4 zuweisen
- XDSL Modem Operation -> Bridge Mode
- DHCP aus
Antworten