ComputerBase Menü
Aktuelles

Lancom mit zwei Internetzugängen

M

Mr. Robot

Lieutenant
Registriert
Nov. 2015
Beiträge
932
Hallo!

Wir haben bei uns ein kleines Problem mit der Config von unserem Lancom Router. Ich möchte jetzt natürlich nicht unsere ganze Config und andere Internas posten, aber vielleicht kann trotzdem jemand etwas mit der Problembeschreibung anfangen.
Mir ist klar, dass eine Ferndiagnose ohne vollständige Config etwas schwierig ist. Auf konkrete Nachfragen gehe ich natürlich so weit möglich gerne ein. Aber es geht halt nicht um meine private Fritzbox, da möchte ich nur so wenig konkrete Infos raus rücken wie notwendig...

Der Lancom Router hat zwei Internetzugänge, einmal unser "Hauptnetz" per Glasfaser, und einen DSL-Anschluss, der für das Gäste-WLAN benutzt wird. (Außerdem sind noch ein paar Zweigstellen per VPN verbunden.)

Was nicht funktioniert: man kommt vom Gast-WLAN problemlos ins Internet, aber nicht auf unseren eigenen Mailserver (oder andere öffentliche Ports).
Für echte Gäste ist das zwar irrelevant. Aber ich würde auch gerne mal ein Firmenhandy ins Gastnetz hängen. Es braucht ja nicht jede Handy-App Zugang zu unseren internen Systemen. Aber Email wäre schon praktisch...

Ich konnte das Problem mit Traceroute eingrenzen. Die Pakete vom Gast-WLAN -> Mailserver werden sauber über DSL zum Glasfaserprovider geroutet. Das Problem liegt anscheinend bei den Antwortpaketen.
Ein Traceroute vom Hauptnetz auf die externe IP vom DSL/Gastnetz ist bereits nach einem Hop mit 1 ms am Ziel. Es wird also nicht über das Internet geroutet, sondern der Lancom Router nimmt eine interne Abkürzung. Was offenbar ein Problem ist...

In der Routing-Tabelle finde ich keinen entsprechenden Eintrag. Es scheint wohl mehr ein Seiteneffekt von irgendwas zu sein.
Kommt das vielleicht jemandem bekannt vor?

Der Router wurde von einem Systemhaus eingerichtet. Ich bin also selbst kein Experte für das Gerät. Und der Mitarbeiter von dort hat dafür auch erst mal keine Lösung. Vielleicht würde er eine finden, wenn er lange genug sucht. Aber so wichtig ist mir das Problem bei deren Stundensatz jetzt auch wieder nicht... :D
 
Firewall Regel erstellt?!
 
  • Gefällt mir
Reaktionen: xexex
Mr. Robot schrieb:
Der Router wurde von einem Systemhaus eingerichtet.
Zum Vergrößern anklicken....

Damit (und weil es offensichtlich um ein Gewerbe geht) hat sich dein ganzer Thread eigentlich erledigt. An Unternehmensnetzwerken wird nicht laienhaft herumgedoktort, sondern ein Dienstleister beauftragt. Im besten Falle der gleiche, der das alles eingerichtet hat.

Aber ich würde auch gerne mal ein Firmenhandy ins Gastnetz hängen. Es braucht ja nicht jede Handy-App Zugang zu unseren internen Systemen.
Zum Vergrößern anklicken....

Zumal du ja auch anscheinend der einzige bist, der solch einen Anwendungsfall produziert. Und Firmenhandy sowie Netzwerk eh so eingerichtet sein sollten, dass da kein unbefugter Zugriff möglich ist.
 
  • Gefällt mir
Reaktionen: M-X, Incanus, snakesh1t und eine weitere Person
snakesh1t schrieb:
Firewall Regel erstellt?!
Zum Vergrößern anklicken....
Keine, die irgendetwas mit dem DSL Zugang als Ziel zu tun hat.
Ergänzung ()

Mitaru schrieb:
Damit (und weil es offensichtlich um ein Gewerbe geht) hat sich dein ganzer Thread eigentlich erledigt. An Unternehmensnetzwerken wird nicht laienhaft herumgedoktort, sondern ein Dienstleister beauftragt.
Zum Vergrößern anklicken....
Als Admin möchte ich schon unser eigenes Netzwerk verstehen. :)
 
Mr. Robot schrieb:
Keine, die irgendetwas mit dem DSL Zugang als Ziel zu tun hat.
Zum Vergrößern anklicken....
An dieser Stelle irrelevant, die Absendeadresse steht ja fest und der Router wird die Pakete nicht von einem Provider quer durchs Netz zum anderen schicken, sondern am Ende "intern" am NAT Interface verarbeiten. Anders ausgedrückt, der Router kennt die Quelle und da sie im Gastnetz ist und das Gastnetz kein Zugriff auf das Hauptnetz hat, geht es nicht.

Was du brauchst ist eine "Allow" Regel zum Mailserver von "Any" oder aus dem "Gastnetz". Wenn du es auf das Handy beschränken willst, müsstest du die Hardwareadresse nehmen, da die aber bei allen modernen Geräten ausgewürfelt wird und nicht konstant bleibt, wird es schwieriger.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: eigs
Mr. Robot schrieb:
Dass es ein Firewallproblem ist, und kein Routingproblem, ist zumindest schon mal ein interessanter Ansatz,
Zum Vergrößern anklicken....
Wie soll es denn auch ein Routingproblem sein? Angenommen:

10.0.0.1 - Mailserver Intern
33.0.0.1 - Mailserver extern (Portweiterleitung auf 10.0.0.1)

10.1.0.1 - Telefon

Nun schickt das Telefon die Pakete zum Mailserver.

Absender 10.1.0.1 an Empfänger 33.0.0.1

Wo sollen die Pakete sonst hin, als an der WAN Schnittstelle des Routers ins richtige Netz geleitet zu werden? Geht nur nicht weil Zugriff von Gastnetz auf Hauptnetz nicht erlaubt. Mag sein, dass manche Routerhersteller ein solches Paket dann als WAN Paket klassifizieren würden, ist bei Lancom aber definitiv nicht so.
 
Mr. Robot schrieb:
Dass es ein Firewallproblem ist, und kein Routingproblem, ist zumindest schon mal ein interessanter Ansatz
Zum Vergrößern anklicken....
Wie soll man das ohne Einblick in die Konfiguration sicher sagen?
Mr. Robot schrieb:
Was nicht funktioniert: man kommt vom Gast-WLAN problemlos ins Internet, aber nicht auf unseren eigenen Mailserver (oder andere öffentliche Ports).
Zum Vergrößern anklicken....
Genau das ist doch sicher gewollt und der Sinn eines getrennten Gast-WLANs. Warum muss zudem das Telefon ins Gast- und nicht ins Hauptnetzwerk?
Mr. Robot schrieb:
Als Admin möchte ich schon unser eigenes Netzwerk verstehen.
Zum Vergrößern anklicken....
Hast Du denn nicht die Einrichtung des Netzwerks beim Dienstleiter beauftragt? Was sagt er zu den Möglichkeiten der entsprechenden Konfiguration?
 
Incanus schrieb:
Genau das ist doch sicher gewollt und der Sinn eines getrennten Gast-WLANs. Warum muss zudem das Telefon ins Gast- und nicht ins Hauptnetzwerk?
Zum Vergrößern anklicken....
Wieso sollte sowas gewollt sein und wieso sollte man Smartphones ins Hauptnetz holen? Solche Konfiguration dürfte es millionenfach geben.

Zugriff auf dem Mailserver vom WAN ist erlaubt und die Firma stellt ein Gastnetz für Smartphones zur Verfügung. Im vorliegenden Fall ist ein Zugriff über Mobilfunk problemlos möglich, aus dem Gastnetz ohne eine zusätzliche Firewallregel eben nicht.

Richtig ist, das Systemhaus sollte das innerhalb paar Sekunden lösen können und am besten schon bei der Einrichtung berücksichtigen. Da sich aber jede Klitsche "Systemhaus" nennen darf, muss das nicht zwingend gegeben sein.

@Mr. Robot Einfachstes Routing lernt man übrigens schon in der "Fundamental" Schulung bei Lancom, dann braucht man nicht wegen jeder Kleinigkeit rumzufragen.
https://www.lancom-systems.de/lanacademy

Ansonsten sich selbst etwas Zeit nehmen und lesen! Es gibt keinen anderen Hersteller der eine solche umfangreiche Dokumentation anbietet, wie Lancom.
https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/
 
Zuletzt bearbeitet:
xexex schrieb:
Wieso sollte sowas gewollt sein und wieso sollte man Smartphones ins Hauptnetz holen? Solche Konfiguration dürfte es millionenfach geben.
Zum Vergrößern anklicken....
Weil es der Sinn eines Gast-WLANs ist Zugriff auf das Internet zu geben aber nicht auf das Firmennetzwerk. Und wenn man auf letzteres Zugriff haben soll, bringt man das Endgerät natürlich ins Haupt- und nicht ins Gastnetzwerk. Wüsste nicht, warum man es anders machen sollte. Den Zugang zu anderen Diensten dort, regelt man dann entsprechend.
Vom Gastnetzwerk einen Zugang ins Hauptnetzwerk zu legen halte ich da für den falschen Weg.
 
Incanus schrieb:
Weil es der Sinn eines Gast-WLANs ist Zugriff auf das Internet zu geben aber nicht auf das Firmennetzwerk.
Zum Vergrößern anklicken....
Es soll ja auch kein Zugriff auf das Firmennetz gegeben werden, sondern auf den Mailserver der sich dort befindet.

Incanus schrieb:
Wüsste nicht, warum man es anders machen sollte.
Zum Vergrößern anklicken....
Du wüsstest nicht wieso man Handys nicht ins Firmennetzwerk holen sollte und ihnen Zugriff auf das gesamte Netz geben will? Dürfte heutzutage bei fast allen (größeren) Firmen der Standard sein.

Private Handys haben im Firmennetz nichts verloren, es spricht trotzdem nichts dagegen ihnen den Zugriff auf OWA, Mail oder die firmeneigene Webseite zu geben.
 
Zuletzt bearbeitet:
Ich fürchte, wir reden aneinander vorbei und/oder die Aufgabe ist nicht richtig beschrieben.
Hier geht es meiner Meinung nach nicht um den Abruf von Emails, dazu sollte die Art des Internetzugangs zudem völlig irrelevant sein. Hier geht es auch nicht um private Handies, sondern laut Fragesteller um 'mal ein Firmenhandy'. Und da ist ein Zugriff auf Netzwerkressourcen gewünscht, nicht der Emailabruf. Dafür gehört das Handy meiner Meinung nach in das richtige Netz, damit die Abschottung des anderen nicht aufgebrochen und damit unsicher gemacht wird.
 
Incanus schrieb:
Ich fürchte, wir reden aneinander vorbei und/oder die Aufgabe ist nicht richtig beschrieben.
Zum Vergrößern anklicken....
Die Aufgabe ist richtig beschrieben, du hast die nur nicht verstanden oder hast noch nie einen Lancom Router konfiguriert.

Der Lancom Router hat zwei Internetzugänge, einmal unser "Hauptnetz" per Glasfaser, und einen DSL-Anschluss, der für das Gäste-WLAN benutzt wird.
Zum Vergrößern anklicken....
Es sind also zwei Netze mit zwei WAN Anschlüssen konfiguriert.

Mr. Robot schrieb:
Was nicht funktioniert: man kommt vom Gast-WLAN problemlos ins Internet, aber nicht auf unseren eigenen Mailserver (oder andere öffentliche Ports).
Zum Vergrößern anklicken....
Es sind Geräte in Gastnetz, die Zugriff auf das Internet haben und normalerweise aus dem Internet auf die öffentlichen Dienste (Portweiterleitungen) zugreifen können. Da sie aber im Gastnetz sind, erkennt Lancom die Quelle als Gastnetz und nicht als WAN und lässt den Zugriff nicht zu.

Da gibt es nichts falsch oder anders zu verstehen. Das Gastnetz soll den Geräten einen Internetzugriff ermöglichen, damit sie nicht auf den Mobilfunk zurückgreifen müssen, aber sobald sie im Gastnetz sind, geht der Zugriff auf die öffentlichen Server im Heimnetz nicht mehr. Zig mal konfiguriert, kenne das "Problem".


1663598840381.png

https://www.lancom-systems.de/fileadmin/download/documentation/Techpaper/TP-ARF-DE.pdf

In dem Dokument wird das Thema auch noch gezielter angesprochen.
1663598994629.png
 
Zuletzt bearbeitet:
xexex schrieb:
oder hast noch nie einen Lancom Router konfiguriert.
Zum Vergrößern anklicken....
Habe ich tatsächlich nicht, spielt das hier eine Rolle?

Wenn die Anfagen nicht ins öffentliche Netz geroutet werden, muss der Dienstleister da eben tätig werden. Einen internen Weg um von einem Netzwerk auf das andere zuzugreifen halte ich weiterhin nicht für den richtigen Weg.
 
Incanus schrieb:
Wenn die Anfagen nicht ins öffentliche Netz geroutet werden, muss der Dienstleister da eben tätig werden.
Zum Vergrößern anklicken....
Oh mann... Nimm es mir nicht übel aber lasse es einfach!

Wie und vor allem wieso sollen die Anfragen an die externe Adresse der Routers der sie rausschickt, über die Router des Providers geschickt werden? Soll der Router mit sich selbst sprechen? Es liegen beide WAN Leitungen auf dem gleichen Router, also schickt er die intern von A nach B, was nicht klappt weil die Firewall genau das verbietet.

Das Advanced Routing and Forwarding realisiert an einem zentralen Router vollständig getrennte IP-Netzwerke. Manche Ressourcen in der Infrastruktur sollen aber vielleicht für mehrere oder alle Netzwerke zur Verfügung stehen, z. B. ein Netzwerkdrucker nicht nur für die eigenen Mitarbeiter im Intranet, sondern auch für die Besucher im Public-Netz. Dazu wird zunächst ein eigenes IP-Netzwerk „SHARE“ für die geteilten Ressourcen eingerichtet, das auf die Schnittstelle(n) gebunden ist, über welche die geteilten Ressourcen angeschlossen sind. Dieses Netzwerk wird außerdem als „Intranet“ mit einem
eindeutigen Schnittstellen-Tag konfiguriert (z. B. „99“). Damit ist dieses Netzwerk zunächst gegenüber allen anderen Netzwerke abgeschirmt.
Über eine passende Regel in der Firewall wird dann gezielt der Zugang von allen Stationen in anderen Netzwerken in das gemeinsame Netzwerk SHARE ermöglicht. Diese Firewallregel erhält als Routing-Tag das Schnittstellen-Tag des SHARE-Netzwerks. So werden alle Datenpakete, auf welche diese Firewallregel zutrifft, mit dem Tag „99“ versehen und können so dem IP-Netzwerk SHARE zugeordnet werden. Bei Bedarf können in der Firewallregel zusätzlich die erlaubten Dienste definiert werden, die im Netzwerk SHARE genutzt werden dürfen.
Zum Vergrößern anklicken....

Sorry aber als seit Jahren zertifizierter Lancom Expert behaupte ich das Problem sofort verstanden zu haben, andere hier im Thread scheinbar nicht wirklich.
 
Zuletzt bearbeitet:
Ich vermute auch eher ein Firewall Problem. Ohne config aber alles nicht so einfach zu sagen. Und wenn ein Systemhaus involviert ist würde ich das Thema auch dahin geben. Ggf. würde ich die Mobile Devices eh in ein eigenes Netz hängen und dafür nicht das Gastnetz missbrauchen.
 
bei den von mir administrierten Watchguards lässt sich diese Aufgabe ganz einfach dadurch lösen dass das Gastnetz als Quellnetz in der Firewall Regel für das Mailserverforwarding mit aufgenommen wird.
 
  • Gefällt mir
Reaktionen: eigs und xexex
Vielen Dank für eure Antworten!
Ich lese mich dann nochmal genauer ein, und knöpfe mir mal die Firewall vor. Oder das Systemhaus... :D
 
  • Gefällt mir
Reaktionen: xexex
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

linuxnutzer
FRITZ!OS: DHCP _nicht_ für Gastnetz, nur Hauptnetz
Antworten
15
Aufrufe
931
linuxnutzer
linuxnutzer
StarAce
Gäste-WLAN DHSP-Server
Antworten
11
Aufrufe
574
StarAce
StarAce
Nitschi66
VPN in mein Büro über Lancom Router?
Antworten
17
Aufrufe
3.014
Nitschi66
Nitschi66
Nero Atreides
FritzBox 7590 + TP-Link Omada AX1800 AP (EAP610)
Antworten
11
Aufrufe
563
Engaged
Engaged
vbs_
Quest 3: Ständige WLAN-Abbrüche durch IPv6
Antworten
1
Aufrufe
437
Lee Monade
Lee Monade
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz