Hallo,
wir haben bei einem Kunden folgendes Problem:
Der dort stehende Lancom 1711 mit FW 6.06 übernimmt, sobald ein weiterer Router im Netz in Betrieb geht, dessen MAC-Adresse und antwortet an dessen Stelle auf Anfragen.
Der Kunde ist relativ groß (bzg. seines NEtzes), hat von extern einen eigenen IP-Adressbereich und hat am Provider-Router mehrere Router für seine internen Netze hängen.
Router A ist ein Lancom 1711, welcher zu einem weiteren Lancom 1711 eine VPN-Strecke zwischen einem lokalen Datenbankserver und einem externen Webserver in einem Rechenzentrum aufbaut.
Router B ist eine Checkpoint-Firewall, welche das interne Netz des Kunden absichert
Router C ist ein Zyxel-Router, welcher ein Schulungsnetz ans Internet anbinden soll.
Router C hatte das Problem schon vor einigen Monaten, da dachten wir das liegt am Zyxel und haben einen älteren Lancom 821 hingestellt, mit welchem es funktionierte. Die Konfiguration des Routers ist dummerweise nicht mehr auslesbar, da der Kunde das PW verschlampt hat. Jetzt sollte in der Konfig was verändert werden und ein neuer Router hingestellt werden (Lancom 821+), mit dem tritt aber wieder das PRoblem mit den MAC-Adressen auf.
Hat hier jemand eine Idee, wieso der Lancom 1711 (Router A) auf die MAC-Adressen der anderen hört/antwortet ?
Was kann ich tun ?
Danke im Voraus für eure Hilfe,
Grüße
Dirk
Lancom übernimmt MAC-Adressen anderer Geräte ?!
Moderator: Lancom-Systems Moderatoren
Hi ianeo
also das geschilderte halte ich doch für sehr unwahrscheinlich.
Das LANCOM reagiert *nur* auf seine eigene MAC-Adresse, auf die Broadcast-Adresse, auf bestimmet Multicast-Adresse und bei aktiviertem VRRP auf die MAC-Adresse des/der konfigurierten virtuellen Router (00:00:5E:00:01:XX)
Gruß
Backslash
also das geschilderte halte ich doch für sehr unwahrscheinlich.
Das LANCOM reagiert *nur* auf seine eigene MAC-Adresse, auf die Broadcast-Adresse, auf bestimmet Multicast-Adresse und bei aktiviertem VRRP auf die MAC-Adresse des/der konfigurierten virtuellen Router (00:00:5E:00:01:XX)
Gruß
Backslash
Hallo nochmal,
bevor ich morgen beim Kunden bin hier nochmal eine kurze Schilderung der Problematik nach detaillierter Rückfrage beim Kunden:
Die IP-Adresse des Lancom-Router wird zum einen in der ARP-Tabelle des Provider-Switchs als auch in der ARP-Tabelle der Firewall (Checkpoint auf Win 2000 Server) mit den MAC-Adressen anderer Geräte verknüpft. Wenn der Lancom-Router ausgeschaltet ist, sind die ARP-Tabellen normal und die anderen Geräte können angesprochen werden.
Was könnte ich im Lancom falsch konfiguriert haben, bzw. was könnte vielleicht im Netz des Kunden falsch laufen ? Denn momentan haben wir ein klassisches Patt: Der technische Betreuer des Kunden (Cap Gemini) sagt, bei Ihnen ist alles gecheckt und und geprüft und funktioniert auch ohne den Lancom-Router, und ich sage natürlich bei uns (im Lancom-Router) ist ebenfalls alles geprüft.
Über hilfreiche Ansätze (auch wenn sie evtl. nichts direkt mit dem Router zu tun haben) würde ich mich sehr freuen,
Grüße
Dirk
bevor ich morgen beim Kunden bin hier nochmal eine kurze Schilderung der Problematik nach detaillierter Rückfrage beim Kunden:
Die IP-Adresse des Lancom-Router wird zum einen in der ARP-Tabelle des Provider-Switchs als auch in der ARP-Tabelle der Firewall (Checkpoint auf Win 2000 Server) mit den MAC-Adressen anderer Geräte verknüpft. Wenn der Lancom-Router ausgeschaltet ist, sind die ARP-Tabellen normal und die anderen Geräte können angesprochen werden.
Was könnte ich im Lancom falsch konfiguriert haben, bzw. was könnte vielleicht im Netz des Kunden falsch laufen ? Denn momentan haben wir ein klassisches Patt: Der technische Betreuer des Kunden (Cap Gemini) sagt, bei Ihnen ist alles gecheckt und und geprüft und funktioniert auch ohne den Lancom-Router, und ich sage natürlich bei uns (im Lancom-Router) ist ebenfalls alles geprüft.
Über hilfreiche Ansätze (auch wenn sie evtl. nichts direkt mit dem Router zu tun haben) würde ich mich sehr freuen,
Grüße
Dirk
Hi ianeo
was meinst du mit
Wenn ja, dann ist genau das der Fehler... Die Zuordnung zwischen IP-Adresse und MAC-Adresse muß eindeutig sein...
Gruß
Backslash
was meinst du mit
soll das etwa heißen, daß in der (statischen) ARP-Tabelle der Firewall (und des Switches) für die IP-Adresse des LANCOMs die anderen MAC-Adressen eingetragen sind?Die IP-Adresse des Lancom-Router wird zum einen in der ARP-Tabelle des Provider-Switchs als auch in der ARP-Tabelle der Firewall (Checkpoint auf Win 2000 Server) mit den MAC-Adressen anderer Geräte verknüpft.
Wenn ja, dann ist genau das der Fehler... Die Zuordnung zwischen IP-Adresse und MAC-Adresse muß eindeutig sein...
Gruß
Backslash
Hi,
die sind eben nicht statisch eingetragen, wenn der Lancom-Router ausgeschaltet ist sind die MAC-Adressen der anderen Geräte da ganz normal drin und verweisen auf deren jeweilige IP.
Also z.B. sollte es ja stark vereinfach so in der ARP-Tabelle aussehen:
Mac 111111 und IP 1.1.1.1 (D-Link-Router)
Mac 222222 und IP 2.2.2.2 (Zyxel-Router)
Mac 333333 und IP 3.3.3.3 (Lancom Router)
Es sieht aber scheinbar so aus:
Mac 1111111 mit IP 3.3.3.3 (Lancom)
Mac 2222222 mit IP 3.3.3.3 (Lancom)
Mac 3333333 mit IP 3.3.3.3 (Lancom)
Laut Kunde sind die nicht statisch zugewiesen, sondern dynamisch.
Der Kunde hat folgendes ausprobiert:
Er hat einen zusätzliches Gerät ans Netzwerk gehängt mit MAC 444444 und IP 4.4.4.4 und diesen dann von seiner Firewall aus angepingt.
Der erste Ping wird vom Gerät auch noch beantwortet, die folgenden dann aber schon nicht mehr.
Wenn er dann in die ARP-Tabelle an der Firewall schaut hat er die falschen ARP-Einträge...
Die Firewall ist wie gesagt ein Checkpoint-System auf einem normalen Windows 2000 Server mit 4 Netzwerkkarten (2x DMZ, Intranet unt Internet), der Lancom und die anderen betroffenen Geräte hängen in einer DMZ.
Von Internet-Seite aus gibt es einen Switch des Providers, an dem zum einen direkt der Lancom und die betroffenen Geräte mit jeweils eigener fester externer IP dran hängen.
Von einem Switch-Port des Lancoms geht es dann zur Firewall und von dort ins interne Netz.
Von den Geräten geht es dann auch über deren eingebauten Switche in deren interne Netze (die komplett getrennt vom Rest der Firma sind).
Wie gesagt, an der ARP-Tabelle macht eigentlich niemand Einträge, die kommen irgendwie von alleine ?!? (wie kann das sein ?)
Grüße
Dirk
die sind eben nicht statisch eingetragen, wenn der Lancom-Router ausgeschaltet ist sind die MAC-Adressen der anderen Geräte da ganz normal drin und verweisen auf deren jeweilige IP.
Also z.B. sollte es ja stark vereinfach so in der ARP-Tabelle aussehen:
Mac 111111 und IP 1.1.1.1 (D-Link-Router)
Mac 222222 und IP 2.2.2.2 (Zyxel-Router)
Mac 333333 und IP 3.3.3.3 (Lancom Router)
Es sieht aber scheinbar so aus:
Mac 1111111 mit IP 3.3.3.3 (Lancom)
Mac 2222222 mit IP 3.3.3.3 (Lancom)
Mac 3333333 mit IP 3.3.3.3 (Lancom)
Laut Kunde sind die nicht statisch zugewiesen, sondern dynamisch.
Der Kunde hat folgendes ausprobiert:
Er hat einen zusätzliches Gerät ans Netzwerk gehängt mit MAC 444444 und IP 4.4.4.4 und diesen dann von seiner Firewall aus angepingt.
Der erste Ping wird vom Gerät auch noch beantwortet, die folgenden dann aber schon nicht mehr.
Wenn er dann in die ARP-Tabelle an der Firewall schaut hat er die falschen ARP-Einträge...
Die Firewall ist wie gesagt ein Checkpoint-System auf einem normalen Windows 2000 Server mit 4 Netzwerkkarten (2x DMZ, Intranet unt Internet), der Lancom und die anderen betroffenen Geräte hängen in einer DMZ.
Von Internet-Seite aus gibt es einen Switch des Providers, an dem zum einen direkt der Lancom und die betroffenen Geräte mit jeweils eigener fester externer IP dran hängen.
Von einem Switch-Port des Lancoms geht es dann zur Firewall und von dort ins interne Netz.
Von den Geräten geht es dann auch über deren eingebauten Switche in deren interne Netze (die komplett getrennt vom Rest der Firma sind).
Wie gesagt, an der ARP-Tabelle macht eigentlich niemand Einträge, die kommen irgendwie von alleine ?!? (wie kann das sein ?)
Grüße
Dirk
Hi ianeo
wenn ja, dann ist genau da das Problem:
Das LANCOM macht in diesem Fall auf der WAN.Seite ein Proxy-ARP für alle Adressen, die es auf der LAN-Seite wähnt.
Lösung:
entweder, die betroffenen Geräte vom WAN-seitigen Switch abklemmen und an die LAN-Seite des LANCOMs hängen oder in der Routing-Tabelle des LANCOMs für alle betroffenen Adressen einen Eintrag vornehmen, der dem LANCOM sagt, daß die Adressen auf der WAN-Seite sind...
Gruß
Backslash
hat das LANCOM etwa eine unmaskierte "plain-IP" Verbindung und auf der WAN-Seite das gleiche Netz wie auf der LAN seite (z.B. in der DMZ)?Von Internet-Seite aus gibt es einen Switch des Providers, an dem zum einen direkt der Lancom und die betroffenen Geräte mit jeweils eigener fester externer IP dran hängen.
wenn ja, dann ist genau da das Problem:
Das LANCOM macht in diesem Fall auf der WAN.Seite ein Proxy-ARP für alle Adressen, die es auf der LAN-Seite wähnt.
Lösung:
entweder, die betroffenen Geräte vom WAN-seitigen Switch abklemmen und an die LAN-Seite des LANCOMs hängen oder in der Routing-Tabelle des LANCOMs für alle betroffenen Adressen einen Eintrag vornehmen, der dem LANCOM sagt, daß die Adressen auf der WAN-Seite sind...
Gruß
Backslash
Hi,
richtig, unter Kommunikation IP-Parameter ist die externe IP eingetragen und unter DMZ ebenfalls.
Da der Kunde seine Verkabelung wohl nicht ändern wollen wird werde ich wohl die Routing-Einträge beim Lancom vornehmen müssen.
Annahme: Lancom hat die IP 193.61.27.42 mit Subnetz 255.255.255.240
Das Internet ist eingetragen als IP-Parameter und heisst auf INTERNET
Zyxel hat IP 193.61.27.43
D-Link hat IP 193.61.27.44
Sieht dann der Routing-Eintrag für Zyxel so aus:
193.61.27.43 / 255.255.255.240 / Routing Tag 0 / Aktiv: Ja / Router: INTERNET / Distanz:0 / Maskierung: Aus
Oder habe ich da einen Denkfehler drin (will mich morgen ja nicht blamieren
) ?
Danke für deine Hilfe
Grüße
Dirk
richtig, unter Kommunikation IP-Parameter ist die externe IP eingetragen und unter DMZ ebenfalls.
Da der Kunde seine Verkabelung wohl nicht ändern wollen wird werde ich wohl die Routing-Einträge beim Lancom vornehmen müssen.
Annahme: Lancom hat die IP 193.61.27.42 mit Subnetz 255.255.255.240
Das Internet ist eingetragen als IP-Parameter und heisst auf INTERNET
Zyxel hat IP 193.61.27.43
D-Link hat IP 193.61.27.44
Sieht dann der Routing-Eintrag für Zyxel so aus:
193.61.27.43 / 255.255.255.240 / Routing Tag 0 / Aktiv: Ja / Router: INTERNET / Distanz:0 / Maskierung: Aus
Oder habe ich da einen Denkfehler drin (will mich morgen ja nicht blamieren
) ?Danke für deine Hilfe
Grüße
Dirk
Hi ianeo
also:
193.61.27.43 / 255.255.255.255 / Routing Tag 0 / Aktiv: Ja / Router: INTERNET / Distanz:0 / Maskierung: Aus
193.61.27.44 / 255.255.255.255 / Routing Tag 0 / Aktiv: Ja / Router: INTERNET / Distanz:0 / Maskierung: Aus
Das Maskierungsflag mußt du so setzen, wie es auch in der Default-Route steht.
Gruß
Backslash
fast... du mußt für jede Adresse einen eigenen Eintrag mit der Netzmaske 255.255.255.255 machen, da du die Adressen .43 und .44 nicht mit einer Netzmaske zusammenfassen kannst.Sieht dann der Routing-Eintrag für Zyxel so aus:
193.61.27.43 / 255.255.255.240 / Routing Tag 0 / Aktiv: Ja / Router: INTERNET / Distanz:0 / Maskierung: Aus
also:
193.61.27.43 / 255.255.255.255 / Routing Tag 0 / Aktiv: Ja / Router: INTERNET / Distanz:0 / Maskierung: Aus
193.61.27.44 / 255.255.255.255 / Routing Tag 0 / Aktiv: Ja / Router: INTERNET / Distanz:0 / Maskierung: Aus
Das Maskierungsflag mußt du so setzen, wie es auch in der Default-Route steht.
Gruß
Backslash