[Problem] [7490 7.27] Öffentliches IPv4-Subnetz nutzen

odoll

Mitglied
Mitglied seit
10 Apr 2006
Beiträge
619
Punkte für Reaktionen
6
Punkte
18
Ich habe neben einer statischen öffentlichen IPv4 Adresse auf meinem DSL-Anschluss nun auch einen öffentlichen IPv4 Netzbereich, der mir von meinem Provider auch auf den DSL-Anschluss an meiner 7490 geroutet wird.

Trage ich das Prefix in der FB ein, brechen mir alledings die externen VoIP-Verbindingen - zwei sipgate und zwei Delmot - weg und können nicht wieder aufgebaut werden. Eine weitere interne VoIP zu einer 6490 am UM Kabelanschluss - quasi eine unsere ehemaligen drei "ISDN-Festnetz#n" - funktioniert irgendwann wieder.
Zudem "hagelt" es DNS-Fehlermeldungen der Art

MyFRITZ! Fehler: Fehler bei der DNS-Auflösung des MyFRITZ!-Namens
DynDNS-Fehler: Fehler bei der DNS-Auflösung des Domainnamens

wobei aber der Telekom Online-Speicher laut LOg verbunden wird und die 7490 auch intern als DNS-Server funktioniert, egal ob ich den Internetanbieter zugewiesenen DNSv4-Server verwende (empfohlen) oder die FB andere interne DNSv4-Server - z.B: die 6490 - verwendet.

[email protected]:~# dig @194.174.11.1 share.beyenburg.de

; <<>> DiG 9.10.3-P4-Debian <<>> @194.174.11.1 share.beyenburg.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64754
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;share.beyenburg.de. IN A

;; ANSWER SECTION:
share.beyenburg.de. 43200 IN A 194.174.11.130

;; Query time: 41 msec
;; SERVER: 194.174.11.1#53(194.174.11.1)
;; WHEN: Wed Jun 02 19:55:18 CEST 2021
;; MSG SIZE rcvd: 63

Eine Rechner, der die 7490 bereits als Default-GW gesetzt hat, kann normal genutzt werden

Z:\>tracert 212.86.218.14
Routenverfolgung zu core2.tpk2.ilk.net [212.86.218.14] über maximal 30 Hops:
1 <1 ms <1 ms <1 ms fritz.box [194.174.11.1]
2 26 ms 26 ms 26 ms gate.tdsl.ilk.net [212.86.201.32]
3 27 ms 27 ms 27 ms core2.tpk2.ilk.net [212.86.218.14]

Wo könnte das Problem liegen?
 

Anhänge

  • ÖffIPv4.png
    ÖffIPv4.png
    72.3 KB · Aufrufe: 15

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,867
Punkte für Reaktionen
64
Punkte
48
Trage ich das Prefix in der FB ein, brechen mir alledings die externen VoIP-Verbindingen - zwei sipgate und zwei Delmot - weg und können nicht wieder aufgebaut werden.
Wo sind die Nummern denn eingetragen? In der Fritzbox? Gibt es Log Meldungen?

Eine weitere interne VoIP zu einer 6490 am UM Kabelanschluss - quasi eine unsere ehemaligen drei "ISDN-Festnetz#n" - funktioniert irgendwann wieder.
Oha, das hört sich kompliziert an. Zwei Gateways ins Internet, jetzt noch das öffentliche Subnetz, wie sind denn da die privaten Subnetze und Gateways der Clients realisiert? Sind die alle im gleichen Subnetz? Und wie verteilst du die öffentlichen IPs? Muss die interne Verbindung der Beiden Fritzboxen wirklich existieren? Ich denke, das macht es problematisch.

und die 7490 auch intern als DNS-Server funktioniert,
Für Clients mit öffentlicher IP oder mit privater IP? Clients mit öffentlicher IP sollten ja DNS Server des Anbieters nutzen.

Eine Rechner, der die 7490 bereits als Default-GW gesetzt hat, kann normal genutzt werden
Laut AVM Anleitung soll da das Gateway des Anbieters gesetzt werden. Ist das wirklich die IP der Fritzbox?
 

odoll

Mitglied
Mitglied seit
10 Apr 2006
Beiträge
619
Punkte für Reaktionen
6
Punkte
18
Wo sind die Nummern denn eingetragen? In der Fritzbox? Gibt es Log Meldungen?
Ja, in der FB, Die Probleme scheinen ursächlich mit der Namensauflösung im Zusammenhang zu stehen:

Anmeldung der Internetrufnummer <nnnnnnn> war nicht erfolgreich. Ursache: DNS-Fehler

Oha, das hört sich kompliziert an. Zwei Gateways ins Internet, jetzt noch das öffentliche Subnetz, wie sind denn da die privaten Subnetze und Gateways der Clients realisiert? Sind die alle im gleichen Subnetz? Und wie verteilst du die öffentlichen IPs? Muss die interne Verbindung der Beiden Fritzboxen wirklich existieren? Ich denke, das macht es problematisch.
Ein Privates Subnetz gab es bei mir noch nie, da ich schon immer - wenn auch inzwischen geNATet - meinen PI Space statt des "AVM Default" 192.168.178/24) verwendet habe. (Auch wenn ich deswegen schon manchen "Klimmzug" machen musste, z.B. wegen Reverse DNS bzw. DSL Lite am UM Anschluss. BTW: Wegen der Reverse DNS-Problematik machen machen meine FBen auch keine DHCP. Dafür und für das DNS ist ein separater dnsmasq zuständig)

Eigentlich ist das Setup simpel: Bis vor kurzem war die 6490 (.10) alleiniger Router an einem Dual-Stack UM Business Anschluss. Nun ist (wieder) ein ADSL-Anschluss dazu gekommen, diesmal soll der öffentlich IPv4 Space aber "ganz normal" über den Anschluss geroutet werden. (Sehr viel früher war das mal ein Setup mit einer Cisco an einem 128 kbps Lease-Line-Anschluss (NTBA).)

Für Clients mit öffentlicher IP oder mit privater IP? Clients mit öffentlicher IP sollten ja DNS Server des Anbieters nutzen.

Laut AVM Anleitung soll da das Gateway des Anbieters gesetzt werden. Ist das wirklich die IP der Fritzbox?
Die Clients einzurichten ist ja schon der zweite Schritt. Ich habe bis dato nur einem Rechner testweise die Defaut-Route manuell vom dem UM- (.10) auf den DSL-Anschluss (.1) umgebogen, bzw. statt des dnsmasq die .1 als NS eingetragen.

Das eigentliche Problem ist ja, dass mir "die 7490" schon "um die Ohren" fliegt, sobald ich meinen PI Space Präfix dort eintrage. Ich verstehe nicht, warum sie die DNS-Problem bekommt, obwohl die DNS-Server, die vom Provider annonciert werden es sonst problemlos tun. Selbst wenn ich den dnsmasq (.130) bzw. die UM (.10) in der 7490 als NS eintrage verbessert sich die Situation nicht. (sorry, für die jetzige und folgenden späten Antworten)
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,867
Punkte für Reaktionen
64
Punkte
48
Ein Privates Subnetz gab es bei mir noch nie, da ich schon immer - wenn auch inzwischen geNATet - meinen PI Space statt des "AVM Default" 192.168.178/24) verwendet habe.
Jetzt auch noch? Das wird dann ziemlich sicher Probleme machen.

Die Anleitung von AVM beschreibt ja, was von dieser Funktion zu erwarten ist:
- intern ein privates Subnetz für DHCP, DNS und NAT
- manuell verteilte öffentliche IPs für ausgesuchte Endgeräte mit eigenem Gateway und DNS. Eventuell ist das Gateway die Fritzbox, da bin ich mir nicht ganz sicher, aber das könnte sein. Es ist möglich, dass die Fritzbox die IPs dieses Subnetzes vollwertig routet. Aber ganz deutlich wird das nicht aus der Beschreibung.
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,953
Punkte für Reaktionen
26
Punkte
48
Eventuell ist das Gateway die Fritzbox, da bin ich mir nicht ganz sicher, aber das könnte sein. Es ist möglich, dass die Fritzbox die IPs dieses Subnetzes vollwertig routet. Aber ganz deutlich wird das nicht aus der Beschreibung.
Ja, die FritzBox ist das gateway. Das ist der RIP-Modus.
Von VF gibt es eine Anleitung für die Konfiguration der FritzBox (siehe Anhang).
 

Anhänge

  • FB_Client_mit_static-IP_2020.pdf
    1.3 MB · Aufrufe: 13

Theo Tintensich

Aktives Mitglied
Mitglied seit
10 Mrz 2008
Beiträge
1,927
Punkte für Reaktionen
59
Punkte
48
Kommen die FritzBoxen überhaupt mit einem Netz größer /32 für die WAN-Seite zurecht?
Ich habe auch keine Anleitung gefunden, wie man die WAN-IP (und das 'WAN-Netz') einstellen kann, da überall davon ausgegangen wird, dass dieses per DHCP 8und Co) vom Provider gemacht wird.
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,953
Punkte für Reaktionen
26
Punkte
48
Kommen die FritzBoxen überhaupt mit einem Netz größer /32 für die WAN-Seite zurecht?
..., da überall davon ausgegangen wird, dass dieses per DHCP 8und Co) vom Provider gemacht wird.
Ja das geht mit der FritzBox. Ich habe ein /30-iger Netz. Die Zuweisung macht der Provider.
Sehr geehrter Kunde,

wie angekündigt haben wir für Ihren Anschluss (<Kundennummer>) eine neue IP-Zuweisung
vorgenommen.

Ihre neue IP Adresse/ Netz lautet: *109.xxx.xxx.xx2/30*.

Bei Rückfragen erreichen Sie uns unter *0800-9100 300* oder
[email protected] <mailto:[email protected]>.

Mit freundlichen Grüßen
Ihr Vodafone Business Team
 

odoll

Mitglied
Mitglied seit
10 Apr 2006
Beiträge
619
Punkte für Reaktionen
6
Punkte
18
Jetzt auch noch? Das wird dann ziemlich sicher Probleme machen.
Wieso, ob PI oder PA sollte dem Router doch egal sein?! (Das Ganze ist ja eher ein administrativer Tag)
Die Anleitung von AVM beschreibt ja, was von dieser Funktion zu erwarten ist:
- intern ein privates Subnetz für DHCP, DNS und NAT
- manuell verteilte öffentliche IPs für ausgesuchte Endgeräte mit eigenem Gateway und DNS. Eventuell ist das Gateway die Fritzbox, da bin ich mir nicht ganz sicher, aber das könnte sein. Es ist möglich, dass die Fritzbox die IPs dieses Subnetzes vollwertig routet. Aber ganz deutlich wird das nicht aus der Beschreibung.
Yep, genau das ist das Problem. Ob ich die zusätzlichen IPs extern - zweites (Sub)-Netz aufm DSL-Interface - oder intern auf den LAN-Interface verwende müsste meinem Provider GW eigentlich egal sein. IMO ist das kanonische Setup so, dass die externe Seite 'nur' das "Transit"-Netz bekommt, und die Hosts intern aus dem zugewiesenen Netz Adressen zugewiesen bekommen. "Als das Internet noch nicht böse war" brauchte es keine FW-Regeln und der Traffic wurde einfach über die GWs ohne NAT durchgeleitet. Wenn ich mir AVMs Anleitung den Punkt 2 zu "Öffentliches IPv4-Subnetz nutzen" anschaue werden ja die internen Hosts mit den IPs aus dem zugewiesenen Bereich versorgt. Was ja keinen Sinn machen würde, läge das Subnetz parallel auf dem DSL-Interface?!

Was mich aber unabhängig davon aus der Bahn wirft ist, warum verliert die FB ihre VoIP-Session zu den externen Providern, wenn ich das IP Präfix eintrage. Sie müsste doch wie gehabt für den Verbindungsaufbau ihrer eigenen Sessions ihre (statische) öffentliche DSL-IP nutzen? Daran ändert sich doch nichts! Eine Portfreigabe für ihre interne nun öffentliche IP (.1) kann ich nicht anlegen, weil diese angeblich schon verwendet wird.
Bemerkenswerter Weise verschickt sie ihre Pushmails tatsächlich von ihrer internen öffentliche IP:

Received: from fritzbox (gate.beyenburg.de. [194.174.11.1])
by smtp.gmail.com with ESMTPSA id u17sm8079661edx.16.2021.06.07.15.04.48
for <my email address>
(version=TLS1_3 cipher=TLS_AES_128_GCM_SHA256 bits=128/128);
Mon, 07 Jun 2021 15:04:53 -0700 (PDT)

Aber wie gesagt - eigentlich finde ich das "schräg", da IMO "normalerweise" eigentlich die IP des Interfaces als Source IP verwendet wird, über welches die Session initiert / die Pakte versendet werden. Und bei der FB sollte es (weiterhin) ihre statische DSL-IP sein.

Ja, die FritzBox ist das gateway. Das ist der RIP-Modus.
Von VF gibt es eine Anleitung für die Konfiguration der FritzBox (siehe Anhang).
Ja, die Anleitung mach schon Sinn, nur leider gibt es bei meiner 7490 mit 7.27 weder die Option Zugangsart im Bereich Internet, geschweige denn die Portkonfigurationsmöglichkeiten.
 

Theo Tintensich

Aktives Mitglied
Mitglied seit
10 Mrz 2008
Beiträge
1,927
Punkte für Reaktionen
59
Punkte
48
Ja das geht mit der FritzBox. Ich habe ein /30-iger Netz. Die Zuweisung macht der Provider.
Aber nur, wenn er den Router, also hier die F!B, mit den Daten versorgt. Wenn die F!B vom Kunden daraufhin konfiguriert werden soll, ...(?)
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,867
Punkte für Reaktionen
64
Punkte
48
Ob ich die zusätzlichen IPs extern - zweites (Sub)-Netz aufm DSL-Interface - oder intern auf den LAN-Interface verwende müsste meinem Provider GW eigentlich egal sein.
Dem Provider-GW schon. Die Frage ist, ob es der Fritzbox egal ist. Denn die hat plötzlich auf ihrem internen Interface eine öffentliche IP-Adresse. Es könnte sein, dass dieser Zustand die internen Dienste durcheinanderbringt. Wenn die nämlich Algorithmen drin haben, um die vorhandenen Netzwerkinterfaces nach öffentlichen IPs durchsuchen, um geeignete Abgangsinterfaces zu identifizieren, dann landen die plötzlich auf dem LAN Interface, anstatt auf dem WAN. Die potentiellen Auswirkungen: Mails werden mit falscher IP gesendet (!), oder der VoIP Dienst lauscht auf dem LAN anstatt auf dem WAN auf Pakete vom SIP Server. Die AVM daemons implementieren häufig gewisse Funktionen selbst und verlassen sich nicht auf das zugrundeliegende Linux Routing, besonders der voipd gehört dazu, weil der zuweilen mit dedizierten IP Verbindungen für Telefonie konfrontiert wird (eigene PVC für VoIP). Deshalb würde ich mich nicht darauf verlassen, dass dessen Pakete einfach so den Weg ins Internet finden, wenn sie auf dem LAN Interface abgesetzt werden.

Bei der Gelegenheit fällt mir was ein: Hast du den Haken "Anmeldung immer über eine Internetverbindung" in der Rufnummernkonfiguration aktiviert?

Ich würde mich verhältnismäßig präzise an die Anleitung von AVM halten. Heißt: Intern für den DHCP Server ein Netz mit privaten (!) IP-Adressen und die öffentlichen IPs statisch konfigurieren. Zumindest versuchsweise.
 

odoll

Mitglied
Mitglied seit
10 Apr 2006
Beiträge
619
Punkte für Reaktionen
6
Punkte
18
Bei der Gelegenheit fällt mir was ein: Hast du den Haken "Anmeldung immer über eine Internetverbindung" in der Rufnummernkonfiguration aktiviert?
Danke, guter Gedanke, aber ja, ist aktiviert,(Zwei mal Sipgate, ein mal Webcalldirect und einmal VoipCaptain)
Ich würde mich verhältnismäßig präzise an die Anleitung von AVM halten. Heißt: Intern für den DHCP Server ein Netz mit privaten (!) IP-Adressen und die öffentlichen IPs statisch konfigurieren. Zumindest versuchsweise.
Mache ich ja: mein dnsmasq vergibt die IPv4s statisch per MAC-ZUordnung. Aber wie gesagt: Über Probleme mit Clients im lokalen Netz sprechen wir ja noch gar nicht, solang die FB selbst die Probleme hat :)

Ich habe inzwischen ein Ticket eröffnet: Wie zu erwarten - mein Setup ist sicherlich außergewöhnlich - war der MA am Telefon schon reichlich verwirrt und auf meine Support mail, schon mit einigen Hinweisen, Logs. Supportdateien gabs doch erst mal ne Reihe von Rückfragen zum Setup.. Aber schau'n wir mal ...
 

Anhänge

  • ERn.jpg
    ERn.jpg
    64 KB · Aufrufe: 8

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via