T-Com Speedport W 500V: world-routable IP auf Ethernet-Seite (wie DSL-Modem) ?

[TEN]

Aufgrund unterirdischer Servicequalität war ein Wechsel vom Kabelmodem mit nachgeschaltetem Software-Router/Firewall (könnte falls nötig auch PPPoE) zu DSL nötig.

Das zum Start eingesetzte T-Com Speedport W 500V (selbstverständlich mit vor dem ersten Anschluss auf v1.35 aktualisierter Firmware) lässt sich zwar in einen Bridge-Modus schalten (WLAN wird nicht benötigt), besteht dann aber immer noch darauf, Ethernet-seitig eine Adresse aus dem lokalen Netblock 192.168.2.x per DHCP zu vergeben.

Es nimmt dann also nur die Umsetzung von PPPoE in normale Ethernet-Pakete vor (ohne daß aber hinreichend dokumentiert wäre, ob aus dem LAN dann eine MTU von 1500 oder doch nur 1492 verwendet werden sollte) - präsentiert am Ethernet-Port aber anders als ein Kabel- oder DSL-Modem (letzteres umständlicher mit PPPoE) nicht die externe (world-routable) sondern eine "private" Adresse - und lässt auch keine DHCP-Anfragen Richtung Telekom durch, selbst wenn der lokale DHCP-Server im Speedport 500V abgeschaltet wird.

Das LAN verwendet statische IP-Adressen aus einem anderen lokalen (non-world-routable) Netblock.

Man ahnt, welche Effekte das haben kann: Pakete aus dem Internet sehen entweder evtl. zu harmlos aus, weil sie aus einem privaten Subnet (192.168.2.x) zu kommen scheinen, oder aber sie werden bei Weiterleitungsversuchen an interne Server im LAN (VoIP, Fernwartung) vom NAT verworfen, da durch die schon im Speedport W 500V unnötig vorgenommene erste Adressübersetzung scheinbar aus dem "falschen" privaten Subnet statt aus dem Internet kommend.

Wie bringe ich das Speedport 500V mit offizieller oder alternativer Firmware dazu, mir wie ein "dummes" Modem die Internet-seitige IP-Adresse am Ethernet-Port zu präsentieren?

 

[frank_m24]

Hallo,

irgendwie ist deine Schilderung sehr verwirrend. Wie betreibst du deine Konfiguration? Hast du eine Doppel-NAT Struktur aufgebaut? Es deutet alles darauf hin, richtig gesagt hast du es aber nicht.

Das zum Start eingesetzte T-Com Speedport W 500V (selbstverständlich mit vor dem ersten Anschluss auf v1.35 aktualisierter Firmware) lässt sich zwar in einen Bridge-Modus schalten (WLAN wird nicht benötigt), besteht dann aber immer noch darauf, Ethernet-seitig eine Adresse aus dem lokalen Netblock 192.168.2.x per DHCP zu vergeben.

Was macht dieser "Bridge Modus" denn? Bedeutet der nicht, dass der W500v eh nur noch als DSL Modem arbeitet, aber nicht als Router?
Jedenfalls betreibst du ihn als Router momentan, das ist relativ offensichtlich.

Es nimmt dann also nur die Umsetzung von PPPoE in normale Ethernet-Pakete vor (ohne daß aber hinreichend dokumentiert wäre, ob aus dem LAN dann eine MTU von 1500 oder doch nur 1492 verwendet werden sollte) - präsentiert am Ethernet-Port aber anders als ein Kabel- oder DSL-Modem (letzteres umständlicher mit PPPoE) nicht die externe (world-routable) sondern eine "private" Adresse

Natürlich. Er terminiert die PPPOE Verbindung und hat die öffentliche IP. Intern verteilt er private IPs, denn er ist ein NAT Router. Genau das ist seine Aufgabe, und anders kann man es auch nicht realisieren.
Du müsstest die PPPOE woanders terminieren, wenn du die öffentliche IP woanders haben willst. Also den W500v nur als Modem und nicht als Router betreiben.

und lässt auch keine DHCP-Anfragen Richtung Telekom durch, selbst wenn der lokale DHCP-Server im Speedport 500V abgeschaltet wird.

DHCP gibts bei DSL eh nicht. Die IP-Adressen werden per LCP während der PPP Konfiguration verteilt.

Man ahnt, welche Effekte das haben kann: Pakete aus dem Internet sehen entweder evtl. zu harmlos aus, weil sie aus einem privaten Subnet (192.168.2.x) zu kommen scheinen, oder aber sie werden bei Weiterleitungsversuchen an interne Server im LAN (VoIP, Fernwartung) vom NAT verworfen, da durch die schon im Speedport W 500V unnötig vorgenommene erste Adressübersetzung scheinbar aus dem "falschen" privaten Subnet statt aus dem Internet kommend.

Das sind typische Effekte, wenn man eine Doppel-NAT Struktur aufgebaut hat, ohne sich über die Konsequenzen im Klaren zu sein. Natürlich müssen sämtliche Portweiterleitungen etc. jetzt in zwei Stufen vorgenommen werden. Das alles erhöht den Administrationsaufwand deutlich.

Wie bringe ich das Speedport 500V mit offizieller oder alternativer Firmware dazu, mir wie ein "dummes" Modem die Internet-seitige IP-Adresse am Ethernet-Port zu präsentieren?

Gar nicht, da die öffentliche IP Adressen am PPPOE Device anliegt. Du musst die PPPOE Verbindung im anderen Router einrichten.

Generell würde ich dir empfehlen, dich mit den Grundlagen von Routing, NAT, DHCP, PPP/LCP und PPPOE zu beschäftigen. Irgendwie klaffen Anspruch und Wirklichkeit bei dir noch ein wenig auseinander. DSL arbeitet nicht, wie ein Kabelmodem, direkt auf Ethernet als Schicht 2, sondern legt eine PPP Schicht darüber, die in einem virtuellen Device mündet. Das musst du verlagern, wenn du die öffentliche IP verlagern willst.

 

[TEN]

Wie betreibst du deine Konfiguration? Hast du eine Doppel-NAT Struktur aufgebaut? Es deutet alles darauf hin, richtig gesagt hast du es aber nicht.

Was macht dieser "Bridge Modus" denn? Bedeutet der nicht, dass der W500v eh nur noch als DSL Modem arbeitet, aber nicht als Router?
Jedenfalls betreibst du ihn als Router momentan, das ist relativ offensichtlich.

Leider arbeitet der W 500V im "Bridge-Modus" als Bridge mit einer ersten Adressübersetzung, macht also ein erstes NAT von öffentlicher IP auf eine dem angeschlossenen PC/Router vom W 500V per DHCP zugewiesene, z.B. 192.168.2.x.

Im LAN dahinter läuft ein NAT-Router mit fixen IP-Adressen, der bislang über eine dedizierte 2. Netzwerkkarte (jetzt mit dem W 500V verbunden) direkt mit diversen Powerline- und Kabelmodems (inkl. DHCP) kommunizierte, und davor auch die PPP-Einwahl über Analogmodem und ISDN zuverlässig erledigte (in glasfaserverseuchter Gegend ist der Fortschritt etwas langsamer - wobei mir natürlich klar ist, daß dies an Firmenpolitik und nicht am Medium liegt).

Du müsstest die PPPOE woanders terminieren, wenn du die öffentliche IP woanders haben willst. Also den W500v nur als Modem und nicht als Router betreiben.

Das sind typische Effekte, wenn man eine Doppel-NAT Struktur aufgebaut hat, ohne sich über die Konsequenzen im Klaren zu sein. Natürlich müssen sämtliche Portweiterleitungen etc. jetzt in zwei Stufen vorgenommen werden. Das alles erhöht den Administrationsaufwand deutlich.

Daher wundert es mich ja, daß als angeblich "wie ein Modem" funktionierenden Betrieb der W 500V diese unnötige Komplexität vorsieht.
Die Konsequenzen aus zwei NATs hintereinander sind nicht unerwartet, und auch in meinem ersten Post schon beschrieben.
Verwirrung wollte ich damit nicht auslösen: die ergibt sich, wenn man das einfach mit den von der Dokumentation verwendeten Begriffen zusammenfasst (http://www.t-online.de/vision/downloads/BA_Speedport_W_500V_05.09.2005.pdf ab PDF-Seite 44 = Druckseite 36), um zumindest die bekannten Fakten gleich eingangs im Thread zu präsentieren. (P.S.: Sie stellte sich übrigens auch bei Netz-Urgestein und dem Telekom-eigenen Support ein, http://groups.google.de/group/de.comm.technik.dsl/browse_thread/thread/d5427b7eba9d6409, http://foren.t-online.de/foren/read.php?544,3277081,fid=8b58d36, so daß es mir hoffentlich verziehen sei, hier mein Verständnis durch Nachfrage zu mehren).

Daß und warum ich mich mit PPPoE und LCP bislang nicht näher auskenne, hatte ich ja schon im ersten Satz klargestellt, und hoffe, dass dies einen als Einstiegsfrage von jemandem, der eben erst zum Jahreswechsel 2009 zu DSL gekommen ist, einigermaßen akzeptablen Kenntnisstand darstellt...

Mein nächster Versuch wäre nun, wenn das W 500V unbedingt auch als Bridge noch ein bißchen Router sein und eine zweite NAT-Ebene einziehen will (obwohl ausdrücklich "NAT & Portregeln: Aus" geschaltet sind!), ihm diesen Spaß zu lassen, aber zu versuchen, das W 500V vom eigentlichen NAT-Router per PPPoE-Pass-Through wie ein schlichtes DSL-Modem ansprechen zu lassen.

Der Vorteile wären wohl, daß der VoIP-zu-a/b-Adapter (sowie der DynDNS-Client) im W 500V weiter nutzbar bliebe, und bei Bedarf sogar ein WLAN als eigenes Subnetz aufgezogen werden könnte.

Die Frage ist aber, ob es T-Home (ohne Aufpreis) ermöglicht, daß W 500V und der NAT-Router gleichzeitig per PPPoE ins Netz gehen.

(Wie man das W 500V weniger umständlich dazu bekommen könnte, auch Ethernet-seitig die Internet-IP zu verwenden, sollte durch den Threadstart ja in Erfahrung gebracht werden - geht also nicht?)

 

[TEN]

Öffentliche IP-Adresse am Ethernet-Port des Speedport W 500V

Mein nächster Versuch wäre nun, wenn das W 500V unbedingt auch als Bridge noch ein bißchen Router sein und eine zweite NAT-Ebene einziehen will (obwohl ausdrücklich "NAT & Portregeln: Aus" geschaltet sind!), ihm diesen Spaß zu lassen, aber zu versuchen, das W 500V vom eigentlichen NAT-Router per PPPoE-Pass-Through wie ein schlichtes DSL-Modem ansprechen zu lassen.

Die Vorteile wären wohl, daß der VoIP-zu-a/b-Adapter (sowie der DynDNS-Client) im W 500V weiter nutzbar bliebe, und bei Bedarf sogar ein WLAN als eigenes Subnetz aufgezogen werden könnte.

Die Frage ist aber, ob es T-Home (ohne Aufpreis) ermöglicht, daß W 500V und der NAT-Router gleichzeitig per PPPoE ins Netz gehen.

(Wie man das W 500V weniger umständlich dazu bekommen könnte, auch Ethernet-seitig die Internet-IP zu verwenden, sollte durch den Threadstart ja in Erfahrung gebracht werden - geht also nicht?)

Experimentell ist die Antwort grundsätzlich "nein": Wird PPPoE-Pass-Through geschaltet, so können die mitgeteilten "Einwahldaten" vom externen NAT-Router (typischerweise in der aus Anschluss-, T-Online- und Mitbenutzerkennung zusammengesetzten Form [email protected]) nur dann verwendet werden, wenn der T-Online-Account mit denselben Daten im W 500V gelöscht (und dieses rebooted) wurde - dieses also offline und damit ohne die o.g. Funktionalitäten (VoIP, ntp, DynDNS) bleibt.

Ansonsten wird zwar die PPPoE-Verbindung zum Konzentrator aufgebaut, aber PAP mit einem "authentication error" abgebrochen - d.h. die Telekom wittert und unterbindet offenbar die doppelte Verwendung derselben Kennungen (möglicherweise ist dies durch Einrichtung eines weiteren Mitbenutzers zu beheben; Kostenpunkt wäre noch zu klären - man liest von nicht ungefährlichen Minutenpreisen à 1,59 Eurocent!), ohne zu bemerken, daß W 500V und NAT-PC denselben DSL-Port verwenden, und daher den laut Handbuch eigentlich für bis zu 10 PCs vorgesehenen PPPoE-Pass-Through zuzulassen.

Nachteil: Sie könnten mit den vorhandenen Zugangsdaten nicht mit beiden Rechnern gleichzeitig ins Netz. Wenn sie unterschiedliche Zugangsdaten nutzen würden, könnten Sie auch gleichzeitg ins Internet, aber für die zusätzlichen Zugangsdaten und deren Nutzung entstünden zusätzliche Kosten.

Naturgemäß ist, so lange eine PPPoE-Verbindung besteht und damit die Ethernet-Karte des die "Einwahl" vornehmenden NAT-PCs an eine world-routable-IP-Adresse gebunden ist, auch die http-Administration des W 500V hierüber ohne besondere Vorkehrungen nicht mehr möglich, da 192.168.2.1 ja in einem lokalen Netblock liegt.

 

[TEN]

Gleiche (routable) IP-Adresse LAN- und DSL-seitig

Wie bringe ich das Speedport 500V mit offizieller oder alternativer Firmware dazu, mir wie ein "dummes" Modem die Internet-seitige IP-Adresse am Ethernet-Port zu präsentieren?

Gar nicht, da die öffentliche IP Adressen am PPPOE Device anliegt.

Technisch unrealisierbar erscheint das aber nicht:
Natürlich könnte ein Gerät wie das W 500V die Pakete zum jeweils anderen Interface durchreichen und damit auch im Ethernet die externe IP-Adresse verwenden - jedenfalls sofern es dort eben nur eine einzige präsentieren und nicht auch noch für weitere DHCP-Server sowie NAT spielen muß.
LAN- wie DSL-seitig wäre die IP-Adresse dann ja weiterhin einmalig, so daß hieraus kein Problem entstehen könnte.
Bei Powerline- und Kabelmodems ist das m.W. sogar die übliche Lösung (wo eben keine historisch gewachsene Komplexität z.T. noch aus Btx-Zeiten mitgeschleppt werden muß - dafür hat man damit andere Probleme).

 

[TEN]

T-Com Speedport W 500V (Firmware 1.37, zwecks DMTv8-Kompatibilität in der mod500-Version) [...] besteht dann aber immer noch darauf, Ethernet-seitig eine Adresse aus dem lokalen Netblock 192.168.2.x per DHCP zu vergeben.

Es nimmt dann also nur die Umsetzung von PPPoE in normale Ethernet-Pakete vor [...] - weist einem PC (bzw. Router) am Ethernet-Port aber anders als ein Kabel- oder DSL-Modem (letzteres umständlicher mit PPPoE) nicht die externe (world-routable) sondern eine "private" Adresse - und lässt auch keine DHCP-Anfragen Richtung Telekom durch, selbst wenn der lokale DHCP-Server im Speedport 500V abgeschaltet wird.

Das LAN verwendet statische IP-Adressen aus einem anderen lokalen (non-world-routable) Netblock.

Man ahnt, welche Effekte das haben kann: Pakete aus dem Internet sehen entweder evtl. zu harmlos aus, weil sie aus einem privaten Subnet (192.168.2.x) zu kommen scheinen, oder aber sie werden bei Weiterleitungsversuchen an interne Server im LAN (VoIP, Fernwartung) vom NAT verworfen, da durch die schon im Speedport W 500V unnötig vorgenommene erste Adressübersetzung scheinbar aus dem "falschen" privaten Subnet statt aus dem Internet kommend.

Einen Teil der Kopfzerbrechen kann man sich zumindest dadurch ersparen, dass man das Speedport W 500V (entgegen seiner nur in einer JavaScript-FlyOver-Erläuterung beschriebenen, zum Verwerfen führenden Standardkonfiguration) für sämtliche Ports alle Pakete, mit denen es nichts anzufangen weiß, an einen hierfür zu registrierenden PC/Router am Ethernet-Port durchreichen lässt:

Netzwerk / NAT & Portregeln
PC Liste für Portregeln
>> PCs Übernehmen & Freigeben (http://192.168.2.1/secclient.cmd?action=view)
die MAC-Adresse des PCs/Routers "Übern."

und dann unter

Netzwerk / NAT & Portregeln
NAT
>> NAT Einstellungen (http://192.168.2.1/hcti_netzwerk_n_ausein.htm)

die so festgeklopfte interne IP-Adresse des PCs/Routers festlegen als:

Standardserver
Server verwenden: Ein

(Damit ist freilich auch nicht garantiert, daß jede Software allen scheinbar von 192.168.2.* kommenden Paketen das gegenüber dem Internet nötige Mißtrauen entgegenbringt.)

HTH den nächsten Suchenden...

 

[frank_m24]

Hallo,

Technisch unrealisierbar erscheint das aber nicht:
Natürlich könnte ein Gerät wie das W 500V die Pakete zum jeweils anderen Interface durchreichen und damit auch im Ethernet die externe IP-Adresse verwenden - jedenfalls sofern es dort eben nur eine einzige präsentieren und nicht auch noch für weitere DHCP-Server sowie NAT spielen muß.

Wie soll das gehen? Entweder müsste der PC dann auch eine öffentliche IP-Adresse benutzen, weil er könnte mit dem Modem nicht kommunizieren, wenn er keine Adresse im gleichen Subnetz hat. Einfach eine weitere öffentliche IP gibt es aber nicht. Oder er dürfte gar keine eigene IP haben. Das geht aber natürlich auch nicht. Oder er bekommt die öffentliche IP für die Kommunikation, dann aber dürfte das Modem sie nicht haben. Genau das ist bei PPPOE Passthrough der Fall.

Einen Teil der Kopfzerbrechen kann man sich zumindest dadurch ersparen, dass man das Speedport W 500V (entgegen seiner nur in einer JavaScript-FlyOver-Erläuterung beschriebenen, zum Verwerfen führenden Standardkonfiguration) für sämtliche Ports alle Pakete, mit denen es nichts anzufangen weiß, an einen hierfür zu registrierenden PC/Router am Ethernet-Port durchreichen lässt:

Das ganze nennt man "Exposed Host".

 

[TEN]

müsste der PC dann auch eine öffentliche IP-Adresse benutzen, weil er könnte mit dem Modem nicht kommunizieren, wenn er keine Adresse im gleichen Subnetz hat

Nehme mal an, bei Kabelmodems udgl. wird dann "WAN-seitig" eine andere (öffentliche oder private) IP-Adresse verwendet?

Lösung für Speedport W 500V

Das ganze nennt man "Exposed Host".

Schön, aber das weiß man nicht auf Anhieb. Außerdem: This ain't no Cisco...
In der Anleitung finden weder "Exposed Host" noch die Beschreibung einer DMZ Erwähnung.
Druckseite 47 (PDF-Seite 55) gibt dann immerhin den Hinweis (gefolgt von Erläuterungen weiterer Konfigurationsmöglichkeiten, mit denen man sich den Rest zusammenreimen kann):

Zusätzlich zu Servern für bestimmte Dienste und Ports, unterstützt NAT einen Standardserver, den Sie selbst definieren.
Der Standardserver empfängt die Pakete von denjenigen Ports, die nicht definiert worden sind.
Wenn Sie keine IP-Adresse für den Standardserver festlegen, werden alle Pakete abgewiesen, die nicht explizit für definierte Ports bestimmt sind.

Das Problem der offenbar DSL-üblichen Konfiguration bleibt, daß die Pakete am Ethernet-Port von einer privaten Adresse zu kommen scheinen, so daß dort IMHO bei Verwendung dieser Konfiguration eben kein ganzes LAN, sondern allenfalls eine "multi-homed"-Firewall hängen sollte.

 

[frank_m24]

Hallo,

Nehme mal an, bei Kabelmodems udgl. wird dann "WAN-seitig" eine andere (öffentliche oder private) IP-Adresse verwendet?

Ein Modem hat überhaupt keine eigene IP.

Noch mal: Bei Kabelmodems geschieht die Kommunikation zwischen Modem und PC (oder Router) nur auf Schicht 2, also Ethernet. Das Kabelmodem nimmt die IP Pakete vom PC und schickt sie über das Kabel, ohne sie zu verändern.

Warum macht man das mit einem DSL Modem nicht auch so? Antwort: Man macht es genau so. Aber bei DSL ist nun mal noch eine PPP Verbindung erforderlich, deshalb heißt es PPPOE, PPP over Ethernet. Reicht das Modem also einfach die Pakete vom Physical Layer an den PC (oder Router) weiter, dann kommen dort die PPP Pakete an. Dort terminiert die PPP Verbindung, dort liegt die öffentliche IP an.

Das Problem der offenbar DSL-üblichen Konfiguration bleibt, daß die Pakete am Ethernet-Port von einer privaten Adresse zu kommen scheinen, so daß dort IMHO bei Verwendung dieser Konfiguration eben kein ganzes LAN, sondern allenfalls eine "multi-homed"-Firewall hängen sollte.

Ich verstehe überhaupt nicht, was du damit überhaupt für ein Problem hast.

Erstens arbeitet der W500v dann schon als NAT Router. Pakete von außen kommen also schon mal nicht durch, es sei denn, es existiert eine Portweiterleitung oder eine zugehörige ausgehende Verbindung.
Und absolut jede Firewall hat einen WAN Port und ein LAN. Mit Regeln wird festgelegt, welche Pakete auf welche Weise vom LAN zum WAN dürfen und umgekehrt. Das ist absolut unabhängig von den vergebenen Adressen. Pakete am WAN Port "sehen nie ungefährlich aus". Jedes Produkt, was ich diesbezüglich kennen, arbeitet auch hinter einem NAT Router absolut uneingeschränkt.