[GELÖST] Routing über Gateway: Pakete ins LAN werden nicht…

[hintze]

Hallo liebe Leute,

da mir beim letzten mal schon schnell und zielgerichtet geholfen wurde, muss ich mich nun mit einem weiteren für mich sehr seltsamen Problem herumschlagen.

Folgende Situation (wie im anderen Thread auch schon):

Mein Ziel: In einem Firmennetzwerk mit statischen (Internet-) IPs ein eigenes (W)LAN aufspannen, um IPs zu sparen und mobile Geräte mit Internet zu versorgen.

Meine Wahl: Für drei Standorte je einen Lancom L-322agn dual wireless (R2), neueste Firmware vom Dezember

Meine Testumgebung (aus diversen Gründen): Lancom-Router im privaten Netzwerk hinter Fritzbox[...]

Beide Fälle sehen in etwa so aus, letzterer entspricht dem: https://drive.google.com/file/d/0B6-Qqn ... w4c3c/view

Mein neues Problem: Eine WAN-Verbindung mit IPoE-Typ als Gegenstelle mit statischer IP in einem Fritzbox-Netzwerk eingerichtet, Defaultroute im Lancom so konfiguriert, dass diese WAN-Verbindung genutzt wird. Klappt so prima, DNS ging auch direkt, keine weiteren Probleme.

Jetzt kommt das seltsame: Dieselbe Konfiguration im Firmennetzwerk auf zwei baugleichen Lancom-Routern mit derselben Firmware aufgespielt. Statische IP natürlich vom Fritzbox-Netzwerk aufs Firmennetzwerk umgestellt. IP-Paramter vollständig bekannt. Das Ganze sieht in etwa so aus: XXX.XXX.110.0 mit Subnetzmaske 255.255.254.0. XXX.XXX.110.1 ist das Gateway dieses Netzwerks. Der Lancom kriegt ne feste IP XXX.XXX.111.YYY, die von diversen Desktoprechnern so anstandslos jahrelang verwendet wurde. Ein Ping aus dem Lancom-LAN an das andere Gateway geht. Ein Ping an bspw. 8.8.8.8 schlaegt fehl. Wireshark zeigt: Der ICMP Request geht von der externen Lancom-IP XXX.XXX.111.YYY raus an 8.8.8.8, eine ICMP Antwort kommt von 8.8.8.8 an die Lancom-IP XXX.XXX.111.YYY. Da verliert sich die Spur. Das wars. Das Paket wird nicht an den Host im Lancom-LAN durchgereicht, der den Ping ursprünglich gestartet hatte.

Was könnte unsere IT an LAN-Fu draufhaben, dass der Lancom externe Pakete nichtmehr ins eigene LAN durchrouten mag? Könnten da auch Lancoms mit Routingtags im Spiel sein? Was kann ich tun, um im Lancom die Spur des Pakets nachzuverfolgen? Trace habe ich noch nie benutzt. Gibts ne Dokumentation dazu, mit der ich in der Lage wäre, das Problem anzuschauen?

Vielen lieben Dank schon im Voraus an jeden Antwortenden
der hintze

[MariusP]

Hi,
ich habe das mit den Traces in einem anderen Zusammenhang schon mal neulich ausgeführt:
http://www.lancom-forum.de/fragen-zum-t ... 14929.html
Dort solltest du einiges an Infos finden.
Fragen dann gerne hier im Thread.
Gruß

[Bernie137]

Hallo Hintze,

so wie MariusP schon schrieb, kann man mit den Traces gut nachverfolgen, wie und wo Pakete nicht weiter kommen.
Aber ich kann auch Deiner Aufbaubeschreibung nicht ganz folgen. Es handelt sich doch um private IP Adressen im LAN, oder? Diese könntest Du bitte mal konkret benennen. Den Link zu Google Drive kann ich nicht benutzen, da ich da kein Login habe.

Dieselbe Konfiguration im Firmennetzwerk auf zwei baugleichen Lancom-Routern mit derselben Firmware aufgespielt.

Beschreibe mal bitte den Netzaufbau ganz konkret und welche IP welches Gerät (Modell) ist.

Da ich Deinen Aufbau nur halb verstanden habe, vermute ich das es sich um ein Routing Problem innerhalb eines LAN dreht. Prüfe auch, ob in den Lancom Geräten noch die Blocking Routen im Spiel sind, ggf entfernen.

Blocking-Routen.jpg

vg Bernie

[hintze]

Hallo Bernie und MariusP,

vielen Dank für eure Anmerkungen!

Aber ich kann auch Deiner Aufbaubeschreibung nicht ganz folgen. Es handelt sich doch um private IP Adressen im LAN, oder? Diese könntest Du bitte mal konkret benennen. Den Link zu Google Drive kann ich nicht benutzen, da ich da kein Login habe.

Tut mir leid, ich ging davon aus das sei öffentlich. Ists nicht. Ich hängs hier an. Ich versuch nochmal die Topologie zu beschreiben:

INTERNET - Firmengateway (IP XXX.XXX.110.1) - Firmen-LAN (XXX.XXX.110.0 mit Netzmaske 255.255.254.0) - Lancom-Router (IP XXX.XXX.111.65) - Büro-LAN (192.168.23/24) - Testrechner (IP 192.168.23.23)

Ich habe ausschließlich die Kontrolle über den Lancom-Router, nicht über Firmen-LAN usw.

Ping ans Gateway vom Testrechner: 192.168.23.23 an 134.34.110.1 - Funktioniert
Ping an Adressen außerhalb des Firmen-LAN vom Testrechner: 192.168.23.23 an bspw. 8.8.8.8 - Funktioniert nicht

Befunde dazu: Den Ethernetport des Lancoms an einen Switch mit Monitoring gehangen und den Switch ans Firmen-LAN. Mit wireshark und einem anderen Rechner mitgeschnitten. Bei Ping an IPs im Firmen-LAN alles wie erwartet. Bei Pings an externe sieht Wireshark am Monitoringport einen Ping rausgehen vom Lancom-Router (XXX.XXX.111.65) an das Ziel (bspw. 8.8.8.8 ). Dieses antwortet auch ordnungsgemäß zurück an den Lancom.

Ein Mitschnitt mit dem Webconfig vom Lancom erstellt, dieser behauptet "no response found" für exakt diesen Ping-Request, für den aber von außerhalb ein Ping-Reply an den Lancom zurückkam! Ein seltsames Ergebnis ergibt ein trace + IP-Router, er listet auf dass der Lancom korrekt rausroutet, aber im Fall von IPs außerhalb des Firmen-LANs nicht wieder zurückroutet.

Das identische Setup daheim (bis auf die IPs) mit einer Fritzbox funktioniert tadellos und wie erwartet. Routing geht. Es sind also keine der Blocking Routen im Spiel..

Ich weiss nicht weiter und auch nicht wo ich noch gucken / nachlesen kann was mir weiterhelfen würde. Wäre also weiterhin für Vorschläge dankbar!

[Bernie137]

Hallo Hintze,

ich glaube, so langsam verstehe ich, was Du vorhast.

Im Lancom 322agn ist nur ein IP-Netzwerk unter IPv4 -> IP-Netzwerke definiert, also nur das Büro-LAN mit 192.168.23.0/24?
Das Firmen-LAN darf nicht unter IPv4 angelegt sein.

Prüfe weiterhin mal, was unter Schnittstellen -> WAN -> Interface -> DSLoL eingestellt ist. Gut wäre Exklusiv und bei LAN-Interface jenes, welches mit dem Firmen-LAN verbunden ist.

vg Bernie

[hintze]

Hallo Bernie137

Danke für deine Unterstützung! Das Firmen-LAN ist nicht als ipv4 Netzwerk angelegt sondern als Gegenstelle. Ich kann dir gerade nicht sagen, was unter DSLoL eingestellt ist. Wenn das was du sagst nicht default ist, habe ich es so nicht eingestellt. Denn dort habe ich alles default belassen nachdem es ja wie gesagt im Heimnetz wie gewünscht funktionierte. Ich überprüfe das morgen gleich mal.

Kann es denn irgendeine Möglichkeit geben, dass das Firmengateway externe Paket irgendwie so markiert, dass sie der Lancom verwirft? Denn normale Arbeitsplatzrechner sind direkt über statische Firmen-LAN IPs im Netz, ohne weiteren Firlefanz. Nur das Routing scheint ausgehebelt.

Liebe Grüße
der hintze

//EDIT: Es war tatsächlich das LAN-Interface vom DSLoL, war beliebig, jetzt LAN2. Nun gehts. Verstehe zwar nach wie vor nicht, wieso es dann mit ner Fritzbox ging, aber das Problem ist gelöst. Vielen Dank