Moin Moin!
Bin immer noch auf der Suche warum die Regel zum tagging für HTML nicht funktioniert. Komischerweise zieht nur diese eine nicht und wird so von der Firewall bearbeitet:
[Firewall] 2009/10/07 11:29:54,830
Packet matched rule TAG-UM_HMTL
DstIP: 82.165.101.5, SrcIP: 192.168.168.100, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 1334, Flags: S
Seq: 3834701142, Ack: 0, Win: 65535, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: Window scale = 1 (multiply by 2)
Option: NOP
Option: NOP
Option: 08 = 00 00 00 00 00 00 00 00
Option: NOP
Option: NOP
Option: SACK permitted
test next filter (no matching route)
Was bedeutet 'no matching route'? Die Regel ist eine und dreien, die bestimmte Protokolle (hier HTTP, HTTPS etc.) mit Hilfe des Routing-Tags auf eine bestimmte Default-Route umleitet. Dies klappt bei allen Regeln, auch mit dieser Gegenstelle, und mit diversen Varianten (Einschränkung bzgl. Port oder Zieladresse) einwandfrei nur bei dieser nicht???
Danke für jeden Tipp,
Pauli
Blick nicht mehr durch: DMZ, Tags und zwei Default Routen ..
Moderator: Lancom-Systems Moderatoren
So habe jetzt noch mal alle möglichen Sachen probiert und ähnlich wie weiter oben mit der Default-Route gibt es scheinbar mit den Objekten der Firewall massive Bugs in der aktuellen FW.
Wenn ich statt dem Objekt HTTP oder WEB (bei beiden ist TCP Port 80 logischerweise hinterlegt), einen manuellen Eintrag TCP Port 80 eingebe funktioniert die Regel!!!
Im Fall der Regel mit Objekte wird die Regel zwar auch angesprochen (siehe oben) aber mit der Bemerkung 'no matching route' zur nächsten Regel gesprungen. Da ist wohl eindeutig etwas im Busch!
Werden solche Infos eigentlich von Lancom mitgelesen oder muss man Bugs separat irgendwo melden?
Danke und Gruß, Steffen
Wenn ich statt dem Objekt HTTP oder WEB (bei beiden ist TCP Port 80 logischerweise hinterlegt), einen manuellen Eintrag TCP Port 80 eingebe funktioniert die Regel!!!
Im Fall der Regel mit Objekte wird die Regel zwar auch angesprochen (siehe oben) aber mit der Bemerkung 'no matching route' zur nächsten Regel gesprungen. Da ist wohl eindeutig etwas im Busch!
Werden solche Infos eigentlich von Lancom mitgelesen oder muss man Bugs separat irgendwo melden?
Danke und Gruß, Steffen
Hi Pauli
'no matching route' bedeutet, daß die Regel zwar von den Adressen her gepaßt hat, im Ziel aber eine Gegenstelle/ein ARF-Netz vorgeschrieben wurde, an die/das das Paket aber aufgrund seines Interface/Routing-Tags nicht gesendet wird
Gruß
Backslash
das ist erstaunlich... Denn es macht überhaupt keinen Unterschied. Scheu dir doch mal dier ausgabe von "show filter" in beiden Fällen an - sie wird/sollte sich nicht unterscheiden. Und das einzige, was für die Firewall wirklich wichtig ist sind die aus den Regeln erzeugten Filter. Diese werden "von oben nach unten" abgearbeitet bis zum erstane MatchWenn ich statt dem Objekt HTTP oder WEB (bei beiden ist TCP Port 80 logischerweise hinterlegt), einen manuellen Eintrag TCP Port 80 eingebe funktioniert die Regel!!!
ja, aber in deinem Regelsatz...Im Fall der Regel mit Objekte wird die Regel zwar auch angesprochen (siehe oben) aber mit der Bemerkung 'no matching route' zur nächsten Regel gesprungen. Da ist wohl eindeutig etwas im Busch!
'no matching route' bedeutet, daß die Regel zwar von den Adressen her gepaßt hat, im Ziel aber eine Gegenstelle/ein ARF-Netz vorgeschrieben wurde, an die/das das Paket aber aufgrund seines Interface/Routing-Tags nicht gesendet wird
Gruß
Backslash
So nun dann:
Filter mit manueller Porteingabe:
Filter 001e from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 192.168.168.0 255.255.255.0 0-0 (LAN ifc INTRANET)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 443-443 (WAN ifc UNITYMEDIA)
use routing tag 0004
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Filter 001f from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 10.0.0.0 255.255.255.0 0-0 (LAN ifc DMZ)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 443-443 (WAN ifc UNITYMEDIA)
use routing tag 0004
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Filter 0020 from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 192.168.168.0 255.255.255.0 0-0 (LAN ifc INTRANET)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 80-80 (WAN ifc UNITYMEDIA)
use routing tag 0004
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Filter 0021 from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 10.0.0.0 255.255.255.0 0-0 (LAN ifc DMZ)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 80-80 (WAN ifc UNITYMEDIA)
use routing tag 0004
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Trace dazu:
[Firewall] 2009/10/07 14:53:49,970
Packet matched rule TAG-UM_HMTL
DstIP: 82.165.101.xxx, SrcIP: 192.168.168.100, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 1927, Flags: S
Seq: 3986725713, Ack: 0, Win: 65535, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: Window scale = 1 (multiply by 2)
Option: NOP
Option: NOP
Option: 08 = 00 00 00 00 00 00 00 00
Option: NOP
Option: NOP
Option: SACK permitted
send syslog message
packet accepted
[IP-Router] 2009/10/07 14:53:49,970
IP-Router Rx (LAN-1, INTRANET, RtgTag: 4):
DstIP: 82.165.101.xxx, SrcIP: 192.168.168.100, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 1927, Flags: S
Seq: 3986725713, Ack: 0, Win: 65535, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: Window scale = 1 (multiply by 2)
Option: NOP
Option: NOP
Option: 08 = 00 00 00 00 00 00 00 00
Option: NOP
Option: NOP
Option: SACK permitted
Route: WAN Tx (UNITYMEDIA)
[IP-Router] 2009/10/07 14:53:49,990
IP-Router Rx (UNITYMEDIA, RtgTag: 4):
DstIP: 192.168.168.100, SrcIP: 82.165.101.xxx, Len: 48, DSCP/TOS: 0x28
Prot.: TCP (6), DstPort: 1927, SrcPort: 80, Flags: SA
Seq: 3298274282, Ack: 3986725714, Win: 5840, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 7 (multiply by 128)
Route: LAN-1 Tx (INTRANET):
Nun die Filter wenn ich die selbe Regel mit dem Objekt Web erstelle (sonst alles gleich gelassen nur den Dienst geändert):
Filter 001e from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 192.168.168.0 255.255.255.0 0-0 (LAN ifc INTRANET)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 443-443 (WAN ifc T-ONLINE)
use routing tag 0004
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Filter 001f from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 10.0.0.0 255.255.255.0 0-0 (LAN ifc DMZ)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 443-443 (WAN ifc T-ONLINE)
use routing tag 0004
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Filter 0020 from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 192.168.168.0 255.255.255.0 0-0 (LAN ifc INTRANET)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 80-80 (WAN ifc T-ONLINE)
use routing tag 0004
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Filter 0021 from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 10.0.0.0 255.255.255.0 0-0 (LAN ifc DMZ)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 80-80 (WAN ifc T-ONLINE)
use routing tag 0004
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Und den Trace dazu:
[Firewall] 2009/10/07 14:55:57,550
Packet matched rule TAG-UM_HMTL
DstIP: 82.165.101.xxx, SrcIP: 192.168.168.100, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 1950, Flags: S
Seq: 1253714417, Ack: 0, Win: 65535, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: Window scale = 1 (multiply by 2)
Option: NOP
Option: NOP
Option: 08 = 00 00 00 00 00 00 00 00
Option: NOP
Option: NOP
Option: SACK permitted
test next filter (no matching route)
[Firewall] 2009/10/07 14:55:57,550
Packet matched rule DEFAULT (ACCEPT-ALL)
DstIP: 82.165.101.xxx, SrcIP: 192.168.168.100, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 1950, Flags: S
Seq: 1253714417, Ack: 0, Win: 65535, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: Window scale = 1 (multiply by 2)
Option: NOP
Option: NOP
Option: 08 = 00 00 00 00 00 00 00 00
Option: NOP
Option: NOP
Option: SACK permitted
packet accepted
[IP-Router] 2009/10/07 14:55:57,550
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 82.165.101.xxx, SrcIP: 192.168.168.100, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 1950, Flags: S
Seq: 1253714417, Ack: 0, Win: 65535, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: Window scale = 1 (multiply by 2)
Option: NOP
Option: NOP
Option: 08 = 00 00 00 00 00 00 00 00
Option: NOP
Option: NOP
Option: SACK permitted
Route: WAN Tx (UNITYMEDIA)
[IP-Router] 2009/10/07 14:55:57,570
IP-Router Rx (UNITYMEDIA, RtgTag: 0):
DstIP: 192.168.168.100, SrcIP: 82.165.101.xxx, Len: 48, DSCP/TOS: 0x28
Prot.: TCP (6), DstPort: 1950, SrcPort: 80, Flags: SA
Seq: 1020883848, Ack: 1253714418, Win: 5840, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 7 (multiply by 128)
Route: LAN-1 Tx (INTRANET):
Seltsamer Weise erscheint bei den Filtern der 'Limit per conn' Bereich zweimal?
Das Hauptproblem ist jedoch der '(WAN ifc' Teil der oben zufällig auf der richtigen Gegenstelle steht und unten auf der falschen (daher wie Du schon richtig vermutet hattes der 'no matching route' Fehler. Warum einmal die eine Gegenstelle und das andere mal die andere Gegenstelle im Filter steht kapiere ich nicht, da in der Regel BEIDE ausgewählt wurden!
Gruß, Pauli
Filter mit manueller Porteingabe:
Filter 001e from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 192.168.168.0 255.255.255.0 0-0 (LAN ifc INTRANET)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 443-443 (WAN ifc UNITYMEDIA)
use routing tag 0004
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Filter 001f from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 10.0.0.0 255.255.255.0 0-0 (LAN ifc DMZ)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 443-443 (WAN ifc UNITYMEDIA)
use routing tag 0004
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Filter 0020 from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 192.168.168.0 255.255.255.0 0-0 (LAN ifc INTRANET)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 80-80 (WAN ifc UNITYMEDIA)
use routing tag 0004
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Filter 0021 from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 10.0.0.0 255.255.255.0 0-0 (LAN ifc DMZ)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 80-80 (WAN ifc UNITYMEDIA)
use routing tag 0004
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Trace dazu:
[Firewall] 2009/10/07 14:53:49,970
Packet matched rule TAG-UM_HMTL
DstIP: 82.165.101.xxx, SrcIP: 192.168.168.100, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 1927, Flags: S
Seq: 3986725713, Ack: 0, Win: 65535, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: Window scale = 1 (multiply by 2)
Option: NOP
Option: NOP
Option: 08 = 00 00 00 00 00 00 00 00
Option: NOP
Option: NOP
Option: SACK permitted
send syslog message
packet accepted
[IP-Router] 2009/10/07 14:53:49,970
IP-Router Rx (LAN-1, INTRANET, RtgTag: 4):
DstIP: 82.165.101.xxx, SrcIP: 192.168.168.100, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 1927, Flags: S
Seq: 3986725713, Ack: 0, Win: 65535, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: Window scale = 1 (multiply by 2)
Option: NOP
Option: NOP
Option: 08 = 00 00 00 00 00 00 00 00
Option: NOP
Option: NOP
Option: SACK permitted
Route: WAN Tx (UNITYMEDIA)
[IP-Router] 2009/10/07 14:53:49,990
IP-Router Rx (UNITYMEDIA, RtgTag: 4):
DstIP: 192.168.168.100, SrcIP: 82.165.101.xxx, Len: 48, DSCP/TOS: 0x28
Prot.: TCP (6), DstPort: 1927, SrcPort: 80, Flags: SA
Seq: 3298274282, Ack: 3986725714, Win: 5840, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 7 (multiply by 128)
Route: LAN-1 Tx (INTRANET):
Nun die Filter wenn ich die selbe Regel mit dem Objekt Web erstelle (sonst alles gleich gelassen nur den Dienst geändert):
Filter 001e from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 192.168.168.0 255.255.255.0 0-0 (LAN ifc INTRANET)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 443-443 (WAN ifc T-ONLINE)
use routing tag 0004
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Filter 001f from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 10.0.0.0 255.255.255.0 0-0 (LAN ifc DMZ)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 443-443 (WAN ifc T-ONLINE)
use routing tag 0004
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Filter 0020 from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 192.168.168.0 255.255.255.0 0-0 (LAN ifc INTRANET)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 80-80 (WAN ifc T-ONLINE)
use routing tag 0004
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Filter 0021 from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 10.0.0.0 255.255.255.0 0-0 (LAN ifc DMZ)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 80-80 (WAN ifc T-ONLINE)
use routing tag 0004
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Und den Trace dazu:
[Firewall] 2009/10/07 14:55:57,550
Packet matched rule TAG-UM_HMTL
DstIP: 82.165.101.xxx, SrcIP: 192.168.168.100, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 1950, Flags: S
Seq: 1253714417, Ack: 0, Win: 65535, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: Window scale = 1 (multiply by 2)
Option: NOP
Option: NOP
Option: 08 = 00 00 00 00 00 00 00 00
Option: NOP
Option: NOP
Option: SACK permitted
test next filter (no matching route)
[Firewall] 2009/10/07 14:55:57,550
Packet matched rule DEFAULT (ACCEPT-ALL)
DstIP: 82.165.101.xxx, SrcIP: 192.168.168.100, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 1950, Flags: S
Seq: 1253714417, Ack: 0, Win: 65535, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: Window scale = 1 (multiply by 2)
Option: NOP
Option: NOP
Option: 08 = 00 00 00 00 00 00 00 00
Option: NOP
Option: NOP
Option: SACK permitted
packet accepted
[IP-Router] 2009/10/07 14:55:57,550
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 82.165.101.xxx, SrcIP: 192.168.168.100, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 1950, Flags: S
Seq: 1253714417, Ack: 0, Win: 65535, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: Window scale = 1 (multiply by 2)
Option: NOP
Option: NOP
Option: 08 = 00 00 00 00 00 00 00 00
Option: NOP
Option: NOP
Option: SACK permitted
Route: WAN Tx (UNITYMEDIA)
[IP-Router] 2009/10/07 14:55:57,570
IP-Router Rx (UNITYMEDIA, RtgTag: 0):
DstIP: 192.168.168.100, SrcIP: 82.165.101.xxx, Len: 48, DSCP/TOS: 0x28
Prot.: TCP (6), DstPort: 1950, SrcPort: 80, Flags: SA
Seq: 1020883848, Ack: 1253714418, Win: 5840, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 7 (multiply by 128)
Route: LAN-1 Tx (INTRANET):
Seltsamer Weise erscheint bei den Filtern der 'Limit per conn' Bereich zweimal?
Das Hauptproblem ist jedoch der '(WAN ifc' Teil der oben zufällig auf der richtigen Gegenstelle steht und unten auf der falschen (daher wie Du schon richtig vermutet hattes der 'no matching route' Fehler. Warum einmal die eine Gegenstelle und das andere mal die andere Gegenstelle im Filter steht kapiere ich nicht, da in der Regel BEIDE ausgewählt wurden!
Gruß, Pauli
Hi Pauli,
dann poste doch mal die komplette Firewall-Konfig (also nichr nur die Regeln, sonmdern auch Objekte und Aktionen) und die daraus erzeugten Filter (show filter).
Die Firewall-Konfig kannst du mit LANconfig als Script aus dem Gerät laden. Gib dabei im Datei-Dialog unter "Nur ausgewählte Sektionen herunterladen" /setup/ip-router/firewall an
Gruß
Backslash
dann poste doch mal die komplette Firewall-Konfig (also nichr nur die Regeln, sonmdern auch Objekte und Aktionen) und die daraus erzeugten Filter (show filter).
Die Firewall-Konfig kannst du mit LANconfig als Script aus dem Gerät laden. Gib dabei im Datei-Dialog unter "Nur ausgewählte Sektionen herunterladen" /setup/ip-router/firewall an
Gruß
Backslash
Hallo,
das Problem liegt an dem Eintrag der Gegenstellen. Wenn ich statt der beiden Gegenstellen die Bedingte Übertragung (nur via Default Route) auswähle funktioniert es einwandfrei. Wenn ich die Gegenstellen eintrage und bei der Aktion den Haken 'nur über default ...' raus nehme passt es nicht, da bei den Filtern nur Einträge für das erste ausgewählte Stations-Objekt angelegt wird!
Habe das nun in verschiedenen Varianten gegengecheckt.
Gruß und nochmal vielen Dank für Deine Unterstützung,
Pauli
das Problem liegt an dem Eintrag der Gegenstellen. Wenn ich statt der beiden Gegenstellen die Bedingte Übertragung (nur via Default Route) auswähle funktioniert es einwandfrei. Wenn ich die Gegenstellen eintrage und bei der Aktion den Haken 'nur über default ...' raus nehme passt es nicht, da bei den Filtern nur Einträge für das erste ausgewählte Stations-Objekt angelegt wird!
Habe das nun in verschiedenen Varianten gegengecheckt.
Gruß und nochmal vielen Dank für Deine Unterstützung,
Pauli