Keien Portweiterleitung mehr nach Update auf FW 84.06.51

Wenn das der LAN-seitige Dump ist (die Adressen legen das nahe) und da sollte von extern ein Zugriff auf die Portweiterleitung für Port 80 an die LAN-Adresse 192.168.10.254 stattfinden, dann sieht man dort eigentlich sehr deutlich, daß es keine Antwort von der 192.168.10.254 gibt ... die muß dann wohl irgendeinen anderen Weg nehmen. Es sei denn, der PA funkt da bereits dazwischen ... das würde so einen Packetdump ziemlich wertlos machen, weil man mit Volldampf in die falsche Richtung rennt.

Jedenfalls kommt da auf keinen der externen Request (das sind ja alles nur die ersten SYN-Pakete von verschiedenen externen Ports) irgendein Antwort-Paket in diesem Packetdump vor - zumindest nicht von der Adresse 192.168.10.254 (die habe ich auf der Basis der blauen Kringel mal als Ziel angenommen).

Wenn das so ist, wäre die Suche auf der WAN-Seite ziemlich aussichtslos ... da die Pakete aus der FRITZ!Box in Richtung LAN gehen, muß man nun am Ziel nachsehen, ob sie dort auch ankommen und ob da passenden Antworten entstehen - wenn das so sein sollte, wäre die Frage, wohin diese Antworten gesendet werden.

Ähnliches gilt für die Zugriffe auf 4444 und 3400 ... es kommen keine Antworten und deshalb versuchen es die Absender erneut (die Retransmission-Pakete).

Wenn daran der neue Router etwas ändern sollte, wäre ich mehr als überrascht ... das sieht für mich nach einem Routing-Problem im LAN aus und dem muß man eben jetzt "low level" nachgehen, indem man den Weg des einzelnen Pakets verfolgt. Die Ursache der fehlenden Antwort (Request kommt nicht an, nicht durch irgendeine Firewall, wird nicht beantwortet oder die Antwort nimmt einen falschen Weg - mehr fiele mir aus dem Stand nicht ein) muß man ergründen ... das kann man aber nur vor Ort mit den passenden Werkzeugen und damit kann das niemand anderes machen.

EDIT: Da die anderen Zugriffe (auf 4444 und 3400) ja andere Hosts adressieren, würde ich nicht einmal auf ein isoliertes Problem auf der 192.168.10.254 tippen.

- - - Aktualisiert - - -

Ne, ich habe das gerade mal bei einer 7490 mit 06.55-33539 mitgeschnitten - die SYN-Pakete sind ganz normal sichtbar (also kein blinder Fleck durch den PA) und damit kann man fast sicher davon ausgehen, daß da keine Antwort-Pakete aus dem LAN auf der FRITZ!Box ankommen.

- - - Aktualisiert - - -

Wenn ich so eine Diagnose als erstes lesen würde, wäre meine allererste Frage die nach der LAN-Konfiguration der beiden Clients und die zweite würde schon darauf hinauslaufen, ob da event. noch ein anderes Gerät dieselbe IP-Adresse wie die FRITZ!Box im LAN verwendet. Wenn dieses Gerät sich zuerst auf ARP-Anfragen meldet, wäre es klar, warum die Antwortpakete nie bei der FRITZ!Box ankommen.

Das Argument

knilix schrieb:

Allerdings bekomme ich intern im Lan ja Zugriff auf die HostA+B.

Zum Vergrößern anklicken....

verstehe ich nicht - zumindest nicht im ARP-Kontext.

Wenn da nicht der Zugriff direkt von der FRITZ!Box ausgeht, wäre sie ja in die Kommunikation im LAN gar nicht involviert und eine falsche MAC als Ziel anstelle der FRITZ!Box würde gar nicht auffallen. Wenn ich hier nichts falsch verstanden habe, ist das erst einmal kein Argument gegen die doppelt vorhandene Adresse der FRITZ!Box, wenn da andere Clients mit den fraglichen Hosts kommunizieren können.

Aber warten wir mal ab, was Du nachher feststellst .. ich finde es ja schon gut, wenn/daß Du Dich nicht auf den Tausch des Routers verlassen willst - wobei ich nicht verstehe, was der Inhalt der ARP-Tabelle des Laptops bringen soll.

Wenn der seinerseits über die FRITZ!Box kommunizieren kann ins Internet, wird der ja die passende Zuordnung kennen und das sagt dann wieder noch nichts über die Zustände in den anderen Clients.

Von statischen ARP-Einträgen, die allerdings dann erst mit dem Tausch der Box zum Problem geworden sind, bis zu extralangen Cache-Zeiten oder einem Angreifer, der per "ARP poisoning" den Traffic über sich umleiten will und dabei Fehler macht, kann das alles sein und ich will mal hoffen, daß da unter dem Namen "UTM" nicht irgendein IDS läuft, was unbedingt jedes Paket mitlesen will.

Die TK-Anlage wird man sicherlich nur schwer davon überzeugen können, ihrerseits eine Verbindung ins Internet aufzubauen ... vielleicht noch für einen Update-Check. Der Neustart der TK ist sicherlich auch schon erfolgt ... ich suche mal jetzt nicht rückwärts nach der Antwort auf diese Frage.

Aber wie sieht es denn mit dem zweiten Client aus ... was ist das genau für ein Gerät und ist da die LAN-Konfiguration wirklich genau geprüft? Kommt dieses Gerät seinerseits ins Internet über die FRITZ!Box (Packetdump auf "lan" machen)? Dann wäre das Routing ja schon mal in Ordnung.

Ansonsten hilft es wohl nur, den Laptop mal mit einem Hub an der TK zu verbinden und dabei dann mit Wireshark zu prüfen, an welche MAC-Adresse die TK antwortet ... je nach Modell wird man da nicht an den ARP-Cache kommen.