Vermutlich Routing Tag Problem...

[Raudi]

Hallo,

ich habe mal wieder ein komisches Problem.

Der 1781EF+ hat 2 WAN Interfaces konfiguriert eines hat das Routing Tag 0 und das andere die 1. Dem entsprechend habe ich in der Firewall Regeln erstellt, welche die Protokolle zwischen beiden Leitungen aufteilt. Klappte bis jetzt wunderbar.

Auf dem Internet Anschluss mit dem Tag 0 habe ich auch diverse Port-Forwardings eingerichtet, auch alles völlig problemlos, klappt wunderbar.

Nun möchte ich aber vom Anschluss mit dem Tag 1 den Port 443 an eine interne IP mappen. Das bekomme ich aber nicht hin.

Im Ethernet Trace sehe ich dass das Paket von extern rein kommt aber dann gleich wieder über DSL-2 raus geschickt wird, das sollte aber eigentlich an LAN-1 gehen:

Code: Alles auswählen

Received 74 byte Ethernet packet via DSL-2:
HW Switch Port      : ETH-3
-->IPv4 Header
Src Address         : 62.63.64.65
Dest Address        : 31.32.33.34
-->TCP Header
Src Port            : 56044
Dest Port           : HTTP/SSL
Sequence Number     : 956636389

Sent 74 byte Ethernet packet via DSL-2:
-->IPv4 Header
Src Address         : 31.32.33.34
Dest Address        : 192.168.11.11
-->TCP Header
Src Port            : 22932
Dest Port           : HTTP/SSL
Sequence Number     : 956636389

Also da ist garantiert irgendwas mit den Tags nicht richtig, aber was? Hat jemand eine Idee wo ich noch mal schauen kann?

Viele Grüße
Stefan

[Dr.Einstein]

Hallo Stefan,

du hast vermutlich eine Firewallregel, die den HTTPs Traffic auf ein Routing Tag (1) packt. In dieser Regel hast du bestimmt als Quell-Netz beliebig gemacht (also auch aus dem Internet -> Portweiterleitung). Füge bei Quell-Netz dein lokales Netzwerk hinzu.

Gruß Dr.Einstein

[Raudi]

Hi,

in der ausgehenden Regel ist als Quellnetz bereits mein internes Netz angegeben, weiter ist auch nicht nur "Accept" als Aktion angegeben, sondern zusätzlich der Haken gesetzt "Nur wenn Default Route", denn sonst funktioniert mein lokales Routing in ein am Router angeschlossenes weiteres Netz nicht.

Schon komisch, mal schauen ob mir der Support helfen kann...

Viele Grüße
Stefan

[Raudi]

Es funktioniert!

Man braucht nur unter Kommunikation/Gegenstellen "WAN-Tag-Erzeugung" von Automatisch auf Manuell umstellen.

Dadurch bekommt das eingehende Paket nicht das Tag 1 sondern das Tag 0 und dann geht das Paket auch auf dem LAN Port aus und nicht über den DSL Port.

Vielen Dank an den Support!

Stefan

[Jirka]

Hallo Stefan,

in den Release-Notes zur 9.20 steht:
"Die Firewall-Paketaktion „Nur wenn Default-Route“ wird wieder korrekt behandelt."

Vielleicht trifft das auch auf Deine Probleme zu.

Viele Grüße,
Jirka

[Raudi]

Hallo Jirka,

auch mit der 9.20 ist das verhalten gleich, wenn die Einstellung auf "Auto" steht kommt nichts durch, das klappt nur wenn auf "Manuell".

Aber die 9.20 das erste mal zu konfigurieren war gar nicht so einfach, das LANconfig hat einige Parameter nicht schreiben können. Ich musste vorher in die WebConfig gehen und an diversen Stellen drei Haken für TLS setzen. (CWMP, Zentrales-Firmware-Management, Public-Spot-Modul, Rollout-Wizard, SSL-Fuer-Aktions-Tabelle)

Viele Grüße
Stefan

[Jirka]

Hallo Stefan,

Ich musste vorher in die WebConfig gehen und an diversen Stellen drei Haken für TLS setzen.

hmm, wenn das nicht von alleine passiert, ist das meiner Ansicht nach ein Bug. Irgendwie scheinen die Werte dann nicht richtig konvertiert zu werden.

SSL-Fuer-Aktions-Tabelle

Wieso hier SSL und nicht TLS? Wo kann man das einstellen?

Viele Grüße,
Jirka

[Dr.Einstein]

Hallo Stefan,

poste mal trotzdem deine ganzen Regeln, die Ursache wird mit hoher Wahrscheinlichkeit da zu suchen sein.

Gruß Dr.Einstein

[Raudi]

SSL-Fuer-Aktions-Tabelle

Wieso hier SSL und nicht TLS? Wo kann man das einstellen?

Das war immer alles unter SSL...

Ich meine hier Z.B.:
LCOS-Menübaum/Setup/CWMP/SSL
LCOS-Menübaum/Setup/WLAN-Management/Zentrales-Firmware-Management/SSL
LCOS-Menübaum/Setup/Public-Spot-Modul/SSL-fuer-Seitentabelle
LCOS-Menübaum/Setup/WAN/SSL-fuer-Aktions-Tabelle

poste mal trotzdem deine ganzen Regeln, die Ursache wird mit hoher Wahrscheinlichkeit da zu suchen sein.

Also der Support meinte das liegt daran, dass das rein kommende Paket automatisch das Tag 1 bekommt, es gibt aber kein internes Netzwerk mit einem Schnittstellen Tag 1, daher geht dass gleich wieder raus. Stellt man die Einstellung von Auto auf Manuell, bekommt das eingehende Paket das Tag 0 und dann kann es über LAN-1 erfolgreich zugestellt werden.

Viele Grüße
Stefan

[Dr.Einstein]

Versteh ich ehrlich gesagt nicht, hab ich in dem Zusammenhang nie gebraucht, außer es hat sich was mit Firewallregeln -> Rtg Tag gebissen.

Aber schön, dass es funktioniert