NAT/Firewall in der be.ip plus; http gesperrt

[bubblegun]

Hallo Forum!
Heute war Schaltungstermin zum neuen Anbieter easybell, DSL und VOIP.
Die Übersicht im KC bei easybell war immer recht gut, der letzte Punkt hätte schon einen grünen Haken verdient, dann hätt ich das auch begriffen. Aber es synchronisiert, die be wählt sich ein, die Verbindung steht. Ich bekomme von allen möglichen Adressen einen Ping in guter Zeit zurück, hab aber über den Browser keinen Zugriff auf das Netz. Beim Aufruf einer Adresse kommt sofort "nicht erreichbar", ist da irgendein Zugriff auf den DNS-Server gesperrt, obwohl der automatisch eingetragen wurde? Kann mir da jemand einen Tipp geben? Denn die Konfig ganz von vorne beginnen, ist bei dem Gerät schon recht erheblich.

 

[Joe_57]

von allen möglichen Adressen einen Ping in guter Zeit zurück

Dann trag doch einfach mal die IP dieser Ping-Adresse im Browser ein.
Google hat z.B. die 142.250.186.67
Lässt sich die Seite so aufrufen?

 

[weißnix_]

Frage:
Wie hast Du die Firewall konfiguriert?
Setze für den Start die Bridge (br0) in der Firewallkonfig auf "Vertrauenswürdig". Dann verhält sich die be.ip erstmal wie die ein Consumerrouter: Ausgehend ist alles erlaubt. Eingehend nicht.

Für die weitere Diagnose ist es hilfreich, den Loglevel herunter und die maximale Anzahl der Logeinträge auf 1000 zu setzen. Anschließend das Log sofort aiuslesen, nach solch einem Browsertest.

 

[bubblegun]

Die IP von Google probiert, geht nicht.
Bei den Standardfilterregeln sind die BR0 und BR0-1 und LAN_EN1-4 auf vertrauenswürdig gesetzt, trotzdem keine Reaktion. Ich hatte in der be.ip+ ja auch gar nichts geändert, außer den neuen DSL-Provider eingetragen und den alten gelöscht. Und nun ist mein fragiler Aufbau einfach eingestürzt.
Bei den Systemmeldungen kommt alle 30 Sekunden folgender Fehler:
Subsystem WTP; Nachricht (MAC-Adresse) und No "sensor" row found. Damit kann ich nun gar nix anfangen

 

[weißnix_]

Kalle hat ja verschiedentlich immer wieder gesagt, dass solche Eintragungen besser via Assistent gemacht werden sollten. Da werden im Hintergrund diverse Einstellungen direkt passend nachgeführt.
Ich hab mich da aber auch nie dran gehalten.

Den Fehler kenn ich nicht und im Zweifel würde ich mal zu einem Werksreset raten. Ob Du dann die letzte funktionierende Konfig einspielst und die Änderungen nochmal sauber konfigurierst oder die Box von 0 neu aufbaust, hängt wohl vom Umfang Deiner Gesamtkonfig ab.

WTP deutet aber auf ein Problem im Bereich WLAN-Controller/ Slave Acesspoints hin. Funzt denn der Zugriff per LAN?

 

[bubblegun]

ich hab mich auch kaum mal nach irgendwas gerichtet, sondern immer direkt durch die Wand.
Momentan hab ich erst mal alles runtergefahren, bin einfach genervt. Hab aber bei "Routen" noch was gefunden (vermutlich). Da ist mir bei irgendeinem Menü aufgefallen, dass bei Gateway meine öffentliche IP eingetragen ist. Möglicherweise ist da der Hund begraben, denn die FB gibt mir da eine ganz andere Adresse an. Und in der be.ip finde ich diese Gateway-Adresse sonst nirgends.
Ach ja, mit den ganzen Geräten die von außen erreichbar sein sollen ist der Werksreset keine wirkliche Option. Dann kann ich lieber die FB mit einem weiteren Router konfigurieren und an die Wand nageln.

 

[weißnix_]

Das mit der Host Route zum BNG via Deiner externen IP ist richtig. Sollte jedenfalls. Weiöl steht bei mir auch so drin.

 

[bubblegun]

O.K. grad nochmal alles mögliche und unmögliche geändert, keine Reaktion. Meine X320 sagt mir "Problem an der Leitung easybell, kein DNS". Es scheint also tatsächlich ein DNS-Problem zu sein, aber wo kann ich da noch drehen?
Wenn es wirklich nicht weitergeht, komm ich wohl um eine Neu-Konfig nicht rum, denn es existiert keine brauchbare Konfig. Und das Gewerkel mit der Fritzbox hab ich heut den ganzen Tag genießen dürfen, das ist auch nicht das was ich mir wünsche.
Danke erst mal für die Unterstützung, vielleicht fällt Dir ja zum DNS-Problem noch etwas ein.

 

[weißnix_]

Ich pflege in solchen Fällen das Log der be.ip genau durchzusehen.
Dazu läuft das bei mir permanent im Debug-Level auf einen externen syslogserver. Der lässt sich einfach einrichten zum Beispiel auf einem synology-NAS oder mit dem DIME-Manager von bintec.
Wenn ich Dich richtig verstanden habe, geht ja garkein DNS. Folglich würde ich im LOG nach der Browseranfrage suchen und dann in den nächsten Einträgen nach dem Grund.
Hast Du denn betreffenden Rechner mal auf seine Netzwerkkonf geprüft? Passiert es mit allen Geräten (Handy?)?

 

[bubblegun]

Das mit der Rücksetzung auf Werkseinstellungen war gar nix. Einen Assistenten gibt es nur für die Einrichtung "Telekom", also "Vordefiniert" auswählen und den Assi links liegen lassen. Also unter Internet den Provider eingerichtet, der verlangte VLAN mit der ID7, da muss es meinen VLAN-Switch irgendwie erwischt haben, der war dann nicht mehr ansprechbar. Internetprovider hat den grünen Haken, NAT/Firewall ist beim Assi erst mal leer.
Unter Systemverwaltung -> Status sieht es so aus:

Das schaut erst mal ganz gut aus, mein ich. Beim Schnittstellenmodus wird ja die 35-60 nicht benötigt, zu ändern ist da ja auch nichts.

Radius und WLAN ist nicht so wichtig, ebenso die Switch-Konfig bei den Ethernet-Ports, und DSL-Modem ist mit "Automatischer Modus (DSL)" auch korrekt. Bei den LAN-Schnittstellen bin ich mir nicht sicher, ob das so stimmt, ob die ethoa35-5 richtig konfiguriert ist.
Denn unter Netzwerk -> Routen fehlt mir das Gateway in der Standardroute, während bei WAN_ETHOA35-5 als Ziel und Gateway meine öffentliche IP eingetragen ist. Das kann ich nicht recht glauben.
Bei der Routing-Tabelle erscheint mir der Eintrag in der 2. Zeile zutreffend, in der ersten und dritten Zeile fehlerhaft. Bei Rückroute ist nichts eingetragen, bei den NAT-Schnittstellen ist NAT aktiv nur bei WAN_Easybell mit Verwerfen ohne Rückmeldung. Unter Firewall -> Richtlinien sind derzeit nur LAN_EN1-4 und Bridge_BR0 als vertrauenswürdig eingetragen. Die DNS-Server von easybell sind automatisch eingetragen worden, im Cache sind drei Seiten positive Einträge.
Hat jemand eine Idee wo ich da was falsch gemacht hab? Merkwürdig dass meine X320 zwar die Mails abruft, auch eine aktive Registrierung zustande bringt aber kein Telefongespräch möglich ist, während die Auerswald -beide direkt an der be.ip- sich registriert und Telefonate möglich sind.
Sorry, mit dem kleinen Tablett ist das nahezu unmöglich den Beitrag ordentlich zu strukturieren. Das ist aber derzeit die einzige Möglichkeit zu kommunizieren.

 

[bubblegun]

So, gestern stand ich noch vor dem Abgrund, heute bin ich schon einen Schritt weiter!
Das ganze Problem kann in drei Punkte unterteilt werden:

1. Das grundlegende Problem entstand dadurch, dass mein Win8.1 bei Änderung der Netzwerkeinstellungen das vorhandene Netzwerk als öffentlich einstuft, also kein Zugang zum Internet. Hatte ich nicht mehr dran gedacht und deshalb immer tiefer links und rechts in die braune Brühe gegriffen, zuletzt alles auf Werkseinstellungen zurückgesetzt.
2. Aus unerfindlichen Gründen war mein VLAN-Switch dann nicht mehr ansprechbar, also zurück auf Werkseinstellungen.
3. Nachdem jetzt alles ordentlich konfiguriert ist, komme ich mit den Rechnern die an EN1-4 in diesem Subnetz hängen nicht mehr ins Internet. Da fehlt eine Route, eine Schnittstelle was weiß ich.

Über das Netzwerksegment br-0 komme ich ins Internet, die VOIP-Accounts registrieren sich, bei der X320 hab ich allerdings noch ein Konfigurationsproblem. Im Netzwerksegment EN1-4 habe ich Zugriff auf das gesamte lokale LAN, auch br-0, komme aber nicht raus ins Netz. Da mir insgesamt die Zeit ausgeht die Frage, kann daraus jemand sehen wo ich weitermachen muss? Be.ip+ oder VLAN-Switch? Ich hab kein tagged-VLAN, sondern nur portbasiertes.

 

[bubblegun]

Es ist also sicherlich ein Konfigurationsproblem. Die Rechner und die Switches sind wieder alle da. Das ganze Problem hängt an NAT oder Firewall. Kann mir denn jemand sagen wie ich das einstelle, dass ich vom Netzwerksegment EN1-4 auf die WAN-Schnittstelle geroutet werde? Woher diese VDSL3-Fehler kommen, weiß der Teufel, ansonsten ist es aber nur NAT.