Trace-Ausgabe erstellen über WAN-Verbindung

[Hagen2000]

Ich würde gerne eine Trace-Ausgabe eines Routers erstellen, mit dem ich über WAN (VPN) verbunden bin.
WEBconfig lässt sich problemlos aufrufen, ebenso funktionieren SSH, LANconfig und LANmonitor.
Die Trace-Ausgabe aus LANconfig heraus startet jedoch nicht, das Fenster bleibt leer bzw. im Zustand "Verbinde...".

Die Zugriffs-Rechte für eine WAN-Schnittstellen sind:
SSH: nur über VPN
SNMPv3: nur über VPN
HTTPS: nur über VPN
Alle anderen Protokolle sind nicht erlaubt.

Was fehlt?

[PappaBaer]

Moin,

aktiviere mal bitte Telnet und gib es für VPN frei.

Grüße,
Torsten

[Hagen2000]

Das funktioniert leider auch nicht.

Gebe ich TELNET für VPN frei, so schließt sich das Fenster für die Trace-Ausgabe nach einigen Sekunden wieder.
Gebe ich TELNET über SSL für VPN frei, so ändert sich nichts am bisherigen Verhalten ("Verbinde...").
Versuchshalber habe ich auch schon TFTP freigegeben, aber auch das führt nicht zum Erfolg.

Für Zugriffe aus dem LAN ist TELNET übrigens gesperrt und dennoch funktioniert die Trace-Ausgabe beim Zugriff aus dem LAN.

Lt. diesem Thread fragen-zur-lancom-systems-routern-und-g ... 19559.html soll ja angeblich SSH verwendet werden.

[Dr.Einstein]

MTU Problem? Der LanTracer läd am Anfang alle möglichen trace und CLI Pfade rein. Passt die MTU im Tunnel nicht, so werden Datenpakete verloren gehen sodass der LanTracer nicht zustande kommt.

LanTracer : SSH, TCP 22 (Im Default)

Wenn du zufällig Wireshark auf deinem Rechner installierst hast, solltest du schnell rausfinden können, ob dein LanTracer eine Antwort vom Router bekommt oder nicht.

Weitere Idee: Hast du die SSH Parameter im Router bearbeitet und deutlich sicherer gemacht? Vielleicht liegt dann hier die Ursache.

[Jirka]

LANtracer kann kein SSH. Nur Telnet oder Telnet-SSL.
Anmerkung: Diese Aussage ist falsch. (Siehe die beiden nachfolgenden Postings.)

[Dr.Einstein]

Ach Jirka, nur weil du wieder LanTracer aus 2015 weiterverwendest ... Das hat sich doch schon soooooo lange geändert.

[Jirka]

Ok, danke für den Hinweis! Damit ich nichts falsches sage, habe ich zur Sicherheit noch mal in der neuesten Doku nachgeschaut, und da steht Telnet! Warum aktualisiert man das dann bitteschön nicht?! Das ist doch eine Katastrophe.

Aber ich gebe zu, ein "who" auf der Konsole wäre nicht nur schneller, sondern auch eindeutiger gewesen. Und ja, man sieht's! Und ja, auch bei mir. Der Grund ist nämlich, dass ich schon noch so arbeite, wie Du beschrieben hast, aber das macht an dieser Stelle keinen Unterschied, denn LANtracer installiert sich sowohl mit LANconfig, als auch mit LANmonitor. Und da ich LANmonitor normal installiere, geht auch mein LANtracer mit SSH. Habe ich aber gar nicht gewusst.

Zumal es seinerzeit hieß LANtracer sei fertig und werde nicht mehr weiterentwickelt. Und das kam immer wieder, somit habe ich nicht damit gerechnet, dass man nun doch auf SSH gegangen ist. Ist Telnet(-SSL) damit gar nicht mehr möglich? Test: Doch, wenn SSH abgeschaltet ist, geht LANtracer auf Telnet über. Vermutlich ist die Reihenfolge SSH, Telnet-SSL, Telnet.

Also ich korrigiere mich, LANtracer geht auch per SSH.

[Jirka]

Weitere Idee: Hast du die SSH Parameter im Router bearbeitet und deutlich sicherer gemacht? Vielleicht liegt dann hier die Ursache.

Das könnte man mit dem folgenden Befehl auf der Konsole mal prüfen:
ls set/conf/ssh

[Dr.Einstein]

*Memo an mich: Jirka nur noch bei LanConfig Themen ärgern*

[Hagen2000]

MTU Problem? Der LanTracer läd am Anfang alle möglichen trace und CLI Pfade rein. Passt die MTU im Tunnel nicht, so werden Datenpakete verloren gehen sodass der LanTracer nicht zustande kommt.

Das sollte ja wohl TCP/IP vernünftig regeln.

Wenn du zufällig Wireshark auf deinem Rechner installierst hast, solltest du schnell rausfinden können, ob dein LanTracer eine Antwort vom Router bekommt oder nicht.

Ja, bekomme ich, mehr dazu weiter unten.

Weitere Idee: Hast du die SSH Parameter im Router bearbeitet und deutlich sicherer gemacht? Vielleicht liegt dann hier die Ursache.

Da habe ich nichts verstellt. Außerdem funktioniert es ja aus dem LAN heraus.

Starte ich die Trace-Ausgabe aus dem LAN heraus, so erfolgt keine Abfrage der Zugangsdaten, da ich diese in LANconfig bzw. LANmonitor gespeichert habe. Beim Zugriff über das WAN (mit VPN) wird jedoch jedesmal der Dialog zur Abfrage der Zugangsdaten geöffnet. Hier scheint schon irgendetwas anders zu laufen. Auch hier sind die Zugangsdaten im LANconfig hinterlegt und der Konfigurationsdialog lässt sich ohne Abfrage der Zugangsdaten öffnen.
Prinzipiell kann der Tracer mit dem Router kommunizieren, Wireshark zeigt zumindest einiges an SSHv2 Traffic. Dann allerdings reagiert der Client nicht mehr und der Server (Router) schickt alle 60 Sekunden eine Anfrage an den Client (Tracer).

[Dr.Einstein]

Klingt für mich nach einem MTU Problem, bleib ich bei. Wäre wünschenswert, wenn TCP/IP das jedes Mal hinbekäme. Dem ist aber bei weitem nicht so. Dieses hängenbleiben spricht auch dafür.

Haben denn beide Seiten Internetzugänge mit 1500 Byte? Oder hat eine der beiden Seiten etwas vorgeschaltetes wie ein Modem?

[Hagen2000]

Firma: LANCOM 1784 VA an VDSL-Anschluss:
ping an Ziel im Internet fragmentiert nicht bei Paketgröße <= 1464 Bytes
Homeoffice: FB 7530 AX an Glasfaser (externes Modem):
ping an Ziel im Internet fragmentiert nicht bei Paketgröße <= 1464 Bytes
==> Soweit also gleiches Verhalten.

Jetzt hängt ja der VPN-Tunnel dazwischen.
ping von Firma an Homeoffice fragmentiert nicht bei Paketgröße <= 1390 Bytes
(Gilt sowohl für ping von einem PC aus als auch für ping aus der LANCOM-Router-Konsole heraus).
ping von Homeoffice an Firma verhält sich unterschiedlich:
ping an LANCOM-Router fragmentiert nicht bei Paketgröße <= 1394 Bytes.
ping an LAN-Teilnehmer hinter LANCOM-Router fragmentiert nicht bei Paketgröße <= 1390 Bytes.
Das ist doch schon mal etwas merkwürdig, warum funktioniert das Anpingen des LANCOM-Routers mit einer höheren Paketgröße als das Anpingen anderer LAN-Teilnehmer?

[Dr.Einstein]

Schalt mal bitte testweise SSH via WAN (nicht nur VPN) frei und probiere ohne VPN direkt die WAN IP zu erreichen via LanTracer.

Der VPN, benutzt du IKEv2 über die Fritzbox, oder hast du ein VPN Client aufm PC?

[Hagen2000]

Okay - über WAN funktioniert es, aber natürlich will ich SSH nicht dauerhaft über WAN freigeben.

VPN: Das ist ein Site-To-Site Tunnel IKEv1.
Eigentlich wollte ich mich genau damit beschäftigen, ältere VPN-Tunnel auf IKEv2 umzustellen, stolpere aber immer wieder über den nicht funktionierenden Tracer

Ich glaube eigentlich immer noch nicht an ein Problem mit der MTU:
Stellt man in Windows die MTU mal deutlich herunter - auf beispielsweise 1300 - funktioniert der Tracer trotzdem nicht.
Es wäre mal interessant zu wissen, ob überhaupt jemand den Tracer über eine VPN-Verbindung zum Laufen bekommt.

[Dr.Einstein]

Es wäre mal interessant zu wissen, ob überhaupt jemand den Tracer über eine VPN-Verbindung zum Laufen bekommt.

Tag täglich, keine Probleme.