2500 We Static Route Probleme mit FW 2.57

Upgrade-Probleme, Bug-Reports, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

2500 We Static Route Probleme mit FW 2.57

Beitragvon earlgrey » Di 25.07.2006 - 18:55

Hallo,

nach einem Update von einer uralten Firmware 2.3.x auf die englische FW 2.5.7 funktioniert die Static Route irgendwie nicht mehr.

Zum System:

3 IP Netze an einem Windows 2003 Server. Jedes Netz auf einer Netzwerkkarte (also alle physikalisch getrennt). RRAS Dienst für IP-Routing auf dem Windows Server aktiviert (ebenso VPN Einwahl, aber das nebenbei). Netz A (192.168.1.0/24) kann über den Server zu Netz B (192.168.2.0/24) zugreifen. Das IP Routing funktioniert also.

Die Clients auf Netz A und Netz B surfen per Standard-Gateway über die IP des Windows Servers, welcher wiederrum sein Standard-Gateway über den DSL Router in Netz C (192.168.3.0/24) hat.

Server IP:

Netz A: 192.168.1.2
Netz B: 192.168.2.2
Netz C: 192.168.3.2

Router: 192.168.3.1


Soweit so gut. Mit der alten (deutschen) FW hatte ich die passenden Rückrouten in den Vigor 2500 We eingestellt:

Netz A:

Zieladresse: 192.168.1.0
Subnetz: 255.255.255.0
Gateway: 192.168.3.2
Netzwerkanschluß: LAN

Netz B:

Zieladresse: 192.168.2.0
Subnetz: 255.255.255.0
Gateway: 192.168.3.2
Netzwerkanschluß: LAN

Das hat soweit mit der alten FW funktioniert. Mit der 2.5.7 gehts nicht mehr. Mit dem "Syslog" Tool kann man zwar erkennen, dass ein Rechner vom Netz A ein Ziel im Internet erreicht und auch von dort die Antwort kommt, aber sie kommt einfach nicht am Server an (Netzwerk Monitor Mittschnitte auf der Netzwerkkarte 3).

Ein Ping vom Netz A zum Router (192.168.3.1) funktioniert einwandfrei. Dahin kommt das Netz also, ebenso stimmt hier die Rückroute, aber alle versuche ins Internet zu kommen scheitern.

Wo ist der Denkfehler oder ist da ein Bug in der FW ?

Ein NAT am RRAS Dienst hilft, soll hier aber eigentlich nicht die Lösung sein, zudem es mit der älteren FW ja funktionierte.

Vielleicht kann jemand ein paar Gedankenspiele äussern oder eine Idee einer Lösung, das ganze mit Routing und ohne NAT vom Windows Server zu bewerkstelligen. Alternativ bleibt nur wieder eine alte FW einzuspielen und zu hoffen, dass es damit dann wieder klappt.

Gruß
Chris
earlgrey
Grünschnabel
 
Beiträge: 3
Registriert: Di 25.07.2006 - 18:37

Beitragvon richtertheo » Mi 26.07.2006 - 09:51

habe diesen Router nicht mehr, ab versuch mal anderen gateway:


Netz A:

Zieladresse: 192.168.1.0
Subnetz: 255.255.255.0
Gateway: 192.168.1.2
Netzwerkanschluß: LAN

Netz B:

Zieladresse: 192.168.2.0
Subnetz: 255.255.255.0
Gateway: 192.168.2.2
Netzwerkanschluß: LAN
richtertheo
Ambitionierter User
 
Beiträge: 69
Registriert: Fr 04.06.2004 - 09:20

Beitragvon earlgrey » Mi 26.07.2006 - 10:12

Gute Idee.

Meine Logik nach, kann aber der Router mit dem Netz C nicht wissen, wie er auf die Netze A und B kommen soll. Sprich:

Wenn ich einem Rechner mit der IP 192.168.3.1 sage, dein Gateway liegt bei 192.168.2.2, dann liegt das Gateway ausserhalb seines Netzes und er braucht dafür schon wieder eine Route, um das Gateway zu finden.

Nach meiner IP Vorstellung ist ein Routen erstmal nur innerhalb des eigenen Netzes möglich. Um andere Netze zu erreichen benötige ich einen Router, der zum einen im eigenen Netz und zum anderen im entfernten Netz "zu Hause" ist. Sollte ins "allgemeine" geroutet werden (also ins unbekannte) benötige ich ein Standard-Gateway auf einen Router, der weitere Netze kennt oder diese durch andere Gateways erreichen kann (Stichwort RIP).

Gruß
Chris
earlgrey
Grünschnabel
 
Beiträge: 3
Registriert: Di 25.07.2006 - 18:37

Beitragvon kdd » Mi 26.07.2006 - 13:47

Moin,
earlgrey hat geschrieben:Wo ist der Denkfehler oder ist da ein Bug in der FW ?
Kein Denkfehler und die Einträge für die statischen Routen sind korrekt. Auch das Gateway ist richtig. Es muss im selben Netz liegen. Solche konstellationen habe ich oft, und laufen auch alle. Ich tippe damit eher auf einen Bug, bin mir aber nicht sicher, ob er im Router zu finden ist.
earlgrey hat geschrieben:Ein Ping vom Netz A zum Router (192.168.3.1) funktioniert einwandfrei.
Was zu beweisen war!
earlgrey hat geschrieben:Ein NAT am RRAS Dienst hilft, soll hier aber eigentlich nicht die Lösung sein, zudem es mit der älteren FW ja funktionierte.
Das weist daraufhin, dass es doch einen Rückweg geben muss :?: :!: :?:
Das ist aber nicht zu erklären, wenn der Router einen Fehler machen würde, und Pakete nicht an das Gateway 192.168.3.2 schicken würde. Warum Du jedoch keine Pakete erhälst, wenn das NAT aus ist, kann ich mir nicht erklären. Sind vielleicht irgendwelche Filter im W2k3-Server aktiv?

Kannst ja mal testen, ob vom Router aus (via telnet) ein "ip ping" 192.168.3.2/2.2/1.2 geht.
3.2 muss gehen (selbes Netz)
2.2 Netz B erreichbar ?
1.2 Netz A erreichbar ?
TelAs: T-ISDN Call & Surf
DSLAs: TDSL Call & Surfl; dn/up = 11300/1000
HW: FBF 7390 mit LCR; FW FRITZ!OS 05.21
als DSL Router mit sipgate VoIP Account

mfG
kdd
Benutzeravatar
kdd
Foren-Ass
 
Beiträge: 716
Registriert: Di 13.11.2001 - 21:21
Wohnort: Hamburg

Beitragvon earlgrey » Mi 26.07.2006 - 17:37

Danke. Auf die Idee mit "telnet" mal nach einem Ping zu suchen kam ich nicht.

Manchmal ist das Brett vorm Kopf doch größer als ein Bildschirm. :wink:

In der Webkonsole war leider kein Ping-Tool und dort suchte ich danach.

Sobald ich wieder bei meinem Kunden bin teste ich das mal.

Da wir nach einem Firmware Update bei einem Vigor 2600We in der Firma nun aber auch ein seltsamtes Phänomen hatten und der Router das VPN nicht mehr durchgeleitet hatte zum Server, hab ich dort heute wieder eine ältere FW aufgespielt. Siehe da: VPN geht wieder.

Ich denke, ich werde beim Kunden das zwar noch testen, aber dennoch auf die letzte deutsche FW zurück gehen und dann mal schauen, ob alles wieder so läuft wie vorher. Die Test mit dem Ping und dem "ip route status" werd ich dennoch vorher und nachher testen und die Ergebnisse mal hier einstellen.

Vielleicht hilft es dann dem einen oder anderen.

Danke nochmal für den "ip ping" Tipp !

Kleiner Edit:

kdd hat geschrieben:
earlgrey hat geschrieben:Ein NAT am RRAS Dienst hilft, soll hier aber eigentlich nicht die Lösung sein, zudem es mit der älteren FW ja funktionierte.
Das weist daraufhin, dass es doch einen Rückweg geben muss :?: :!: :?:


Naja, das muss eigentlich klappen. Die Logik ist ja ein "doppeltes" NAT zum Internet. Die Netze A und B gehen zum Windows Server und von dort per NAT zum DSL-Router, welcher per NAT zum Internet geht.

Nun kommt das ganze zurück: Das Internet zum Router (ISP IP Nummer), der Router zum Windows Server (weil NAT kann er nur dahin schicken) und der Windows Server verteilt zum Netz A oder B.

Da der Windows Server immer im direkten Netz C (Server-Router) ist, brauch es keine "Rückroute", denn die muss der DSL-Router ja haben. Sonst würde gar kein Internetverkehr gehen.

Spannend ist es ja nur, wenn der Windows Server ein normaler IP-Router ist und eben die Netze A und B mit ihrer eigenen IP zum DSL-Router gelangen. Hier ist die Rückroute ja zwingend notwendig, doch irgendwo geht genau hier etwas in der Route "Netz A -> DSL-Router -> Internet" verloren.

Filter dürften eigentlich keine zum tragen gekommen sein, denn zum testen kam nur Onkel Ping zum tragen. Da der Windows Router aber ein ICMP Paket vom Netz A zum Router und auch wieder zurück durchgelassen hat, müsste gleiches auch vom Netz A zum DSL zum Internet funktionieren.

Gruß
Chris
earlgrey
Grünschnabel
 
Beiträge: 3
Registriert: Di 25.07.2006 - 18:37


Zurück zu Firmware + Firmware-Upgrade

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron