Der in der c't 2005/02 Seite 200 beschriebene Trick funktioniert mit meinem LANCOM 1821b, 4.02.0003.
Ich hatte zuserst Bedenken, ob das gehen würde, weil im LCOS Referenz-Manual steht, daß der Router keine Broadcasts routet. Habe ein inverses Mapping WAN-Adresse/UDP/Port x auf interne Broadcastadresse/Port 9 eingerichtet und siehe da: Der Router broadcastet ins interne Netz.
Mein alter T-Sinus 130 war sogar so doof per ARP nachzufragen, wem die 192.168.0.255 denn nun gehört. War besonders tragisch: Das Magic-Packet für WakeOnLAN war sozusagen schon im Haus, aber die Kiste hats einfach nicht aufs Kabel gegeben ohne die MAC-Adresse zu kennen.
Andreas
WakeOnLAN: Broadcasts per inversem Mapping
Moderator: Lancom-Systems Moderatoren
-
AndreasMarx
- Beiträge: 131
- Registriert: 31 Jan 2005, 19:10
- Wohnort: München
Hallo Andreas,
Und falls es funktioniert, ist das ziemlich riskant. Jeder Idiot könnte mit einem UDP Broadcast über alle High Ports Dein Netz fluten.
Übrigens halte ich das Freischalten von Ports für inverses Maskieren aus Sicherheitsgründen sowieso für keine glückliche Lösung. Das machen eigentlich nur jene, die unbedingt Dienste im Internet anbieten wollen und sich nicht den Aufwand für eine DMZ mit öffentlichen IP-Adressen leisten wollen oder können.
Wenn es nach mir ginge, würde ich die Unterstützung für inverses Maskieren sofort aus den Lancoms rausnehmen. Aber da ist bestimmt die Marketing-Abteilung von Lancom dagegen.
Gruß
Mario
hmm - hab gerade mal versucht, das nachzuvollziehen. Ergebnis: funktioniert nicht. Du hast nicht zufällig das IDS deaktiviert?Ich hatte zuserst Bedenken, ob das gehen würde, weil im LCOS Referenz-Manual steht, daß der Router keine Broadcasts routet. Habe ein inverses Mapping WAN-Adresse/UDP/Port x auf interne Broadcastadresse/Port 9 eingerichtet und siehe da: Der Router broadcastet ins interne Netz.
Und falls es funktioniert, ist das ziemlich riskant. Jeder Idiot könnte mit einem UDP Broadcast über alle High Ports Dein Netz fluten.
Übrigens halte ich das Freischalten von Ports für inverses Maskieren aus Sicherheitsgründen sowieso für keine glückliche Lösung. Das machen eigentlich nur jene, die unbedingt Dienste im Internet anbieten wollen und sich nicht den Aufwand für eine DMZ mit öffentlichen IP-Adressen leisten wollen oder können.
Wenn es nach mir ginge, würde ich die Unterstützung für inverses Maskieren sofort aus den Lancoms rausnehmen. Aber da ist bestimmt die Marketing-Abteilung von Lancom dagegen.
Gruß
Mario
-
AndreasMarx
- Beiträge: 131
- Registriert: 31 Jan 2005, 19:10
- Wohnort: München
Hi Mario,
IDS ist bei mir an. Ich hab natürlich einen Trigger (mehr als 1 Paket pro Stunde absolut), der eine Flutung des LANS verhindert. Die Payload des Pakets kann ich leider nicht beeinflussen, damit muß ich leben, daß da jeder reinschreiben kann was er will.
Ich will das WakeOnLAN aber demnächst auf VPN umstellen. Da gibts aber noch ein anderes Problem im Moment ...
Daß das bei Dir nicht funktioniert wird am ehesten wohl mit den Routen ins interne Netz zusammenhängen. Bei mir gibt's da nämlich nur eine, DMZ ist keine eingerichtet. Ach ja, VLAN und private-mode sind natürlich auch aus.
Gruß,
Andreas
IDS ist bei mir an. Ich hab natürlich einen Trigger (mehr als 1 Paket pro Stunde absolut), der eine Flutung des LANS verhindert. Die Payload des Pakets kann ich leider nicht beeinflussen, damit muß ich leben, daß da jeder reinschreiben kann was er will.
Ich will das WakeOnLAN aber demnächst auf VPN umstellen. Da gibts aber noch ein anderes Problem im Moment ...
Daß das bei Dir nicht funktioniert wird am ehesten wohl mit den Routen ins interne Netz zusammenhängen. Bei mir gibt's da nämlich nur eine, DMZ ist keine eingerichtet. Ach ja, VLAN und private-mode sind natürlich auch aus.
Gruß,
Andreas