Moderator: Lancom-Systems Moderatoren
hier hat die Regel aber offenbar nicht gegriffen, denn sonst stünde in der zweiten Zeile "IP-Router Rx (LAN-2, SERVER, RtgTag: 0):", was i.Ü. durch deinen späteren Post bestätigt wird, da greift immer noch die ALLOW-VPN-ROUTING-Regel. Gib mal ein "show filter" auf der Konsole ein und prüfe ob die Regel einerseits angelegt wurde und ob sie über der ALLOW-VPN-ROUTING-Regel steht:Habe die entsprechende Regel in der Firewall eingepflegt, aber das Ergebnis ist unverändert
[IP-Router] 2013/10/28 12:40:45,600 Devicetime: 2013/10/28 12:40:39,886
IP-Router Rx (LAN-2, SERVER, RtgTag: 1):
DstIP: 192.168.1.1, SrcIP: 192.168.2.88, Len: 328, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 67, SrcPort: 67
Network unreachable (no route) => Discard
Code: Alles auswählen
Filter 00000001 from Rule ALLOW-DHCP-REPLY:
Protocol: 17
Src: 00:00:00:00:00:00 192.168.2.88/255.255.255.255 67-67
Dst: 00:00:00:00:00:00 192.168.1.1/255.255.255.255 67-67
use routing tag 65535
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
Filter 00000002 from Rule ALLOW-VPN-ROUTING:
Protocol: 0
(...)
da ist der Initiator auch im LAN und ist nicht das LANCOM selbst. Das Problem ist, daß die Firewall im LANCOM nur den Forwarding-Zweig besitzt und daher keine Outbound-Session für das weitergeleitete DHCP-Paket angelegt wird. Für die Firewall ist die DHCP-Antwort das erste Paket einer UDP-Session, die von LAN-2 nach LAN-1 geht - und da LAN-2 keinen Zugriff auf LAN-1 haben darf, wird es verworfen.bei der VOIP Regel brauchte ich das Routing Tag 1 auch nicht umbiegen, obwohl der VOIP Server im LAN2 und die Telefone in LAN1 stehen:
[IP-Router] 2013/10/28 12:43:42,375 Devicetime: 2013/10/28 12:43:36,789
IP-Router Rx (LAN-2, SERVER, RtgTag: 0):
DstIP: 192.168.1.200, SrcIP: 192.168.2.47, Len: 305, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 5060, SrcPort: 5060
Route: LAN-1 Tx (CLIENTS):
Entweder ich habe es noch nicht richtig verstanden, oder an der Konfig stimmt dann etwas nicht. Bei 2 getrennten Physikalischen netzen, wo nur der Lancom Router das Bindeglied ist, dürfen die Clients nicht vom anderen Netz eine IP bekommen. Und das Schnittstellen Tag völlig egal und bleibt auf Null.setze ich für den LAN2 das Schnittstellentag von 1 auf 0, bekommen die Clients per DHCP sofort eine IP aus dem richtigen Segment.
Mensch, danke, hätt ich auch drauf kommen können. Die Prio wars. Jetzt gehts. Mal sehen, ob das auch für die Anbindung ans AD funzt.backslash hat geschrieben:hier hat die Regel aber offenbar nicht gegriffen, denn sonst stünde in der zweiten Zeile "IP-Router Rx (LAN-2, SERVER, RtgTag: 0):", was i.Ü. durch deinen späteren Post bestätigt wird, da greift immer noch die ALLOW-VPN-ROUTING-Regel. Gib mal ein "show filter" auf der Konsole ein und prüfe ob die Regel einerseits angelegt wurde und ob sie über der ALLOW-VPN-ROUTING-Regel steht.
Lancom 1781AW mit neuester FirmwareBernie137 hat geschrieben:Entweder ich habe es noch nicht richtig verstanden, oder an der Konfig stimmt dann etwas nicht. Bei 2 getrennten Physikalischen netzen, wo nur der Lancom Router das Bindeglied ist, dürfen die Clients nicht vom anderen Netz eine IP bekommen. Und das Schnittstellen Tag völlig egal und bleibt auf Null.
Sind vielleicht die ETH-1 und ETH-2 auf der gleichen Bridge Gruppe konfiguriert? Dann kommt das daher...
Benennen doch bitte mal das Lancom Router Modell.