xDSL.at

[Darkguy]

Hallo zusammen!

Gleich Mal vorneweg Sorry für den etwas längeren Beitrag, ich versuche nur Mal so detailiert wie möglich zu sein, und zu schreiben was ich eigentlich will - vielleicht gibt's ja einen ganz alternativen Weg, der mir nicht einfällt.

In a nutshell:

Code: Alles auswählen

[Internet] --- [Speedtouch 510i] --- [CompuShack SR-103] --- [LAN (1 PC, ab und an 1 Notebook)]

Der eine PC im LAN soll per WoL geweckt und dann per RDP und VPN drauf zugegriffen werden können.

Probleme: Jepp, einige.

Die größten: Kein WoL (Magic Packet) von anderen PCs als eben dem der geweckt werden soll kommt an, der Speedtouch-DynDNS-Client tut nur dann was, wenn man die öffentliche IP nicht dem CompuShack Router zuweist, andererseits kommen aber nur in diesem Fall überhaupt Verbindungen per NAT an den TCP-Ports 1723 (VPN) und 3389 (Remote Desktop) durch.

Hardwaretausch möchte ich möglichst vermeiden, der eigenständige Router sollte auch da bleiben, da eben ab und zu ein Mitarbeiter mit seinem Notebook ins LAN soll, um neben Internet auch auf Drucker und Dateien zuzugreifen. Falls AON kostenlos oder günstig auf zB ein SpeedTouch 546 wechselt, und das gewünschte Szenario dort problemlos läuft würde ich es aber durchaus in Betracht ziehen.

Langfassung:

Im Büro meiner Eltern, dass ich EDV-mäßig betreue (ich schreibe das deshalb, damit klar ist dass ich evtl. gegebene Tipps nicht immer sofort ausprobieren können werde) gibt es einen DSL-Zugang (AON speed).

Modem ist das Speedtouch 510 (ISDN-Version, falls es denn hardwaremäßig einen Unterschied gibt - früher, als das Ganze noch mein privater Heimanschluss mit anderem Modem war, gab es den soweit ich weiß noch). Dahinter hängt ein älterer Router (CompuShack SR-103, die Firma gibt's in der Form nimmer).

Bisher hat der Router die Einwahl per PPTP übernommen und das 510er war einfach nur als Modem tätig. Nun soll es aber so sein, dass man der dahinterstehende PC ab und an per Wake-on-LAN geweckt werden soll, um sich dann per VPN und/oder ggf. RDP (Remote Desktop) an den Daten zu bedienen.

Also hab ich mich heute Mal dran gemacht, das Modem für den Routerbetrieb umzurüsten (per AON Modemkonfigurator). Die user.ini für Dauerbetrieb umgebaut... soweit, so gut. Problem natürlich: der 8h-Disconnect, von dem der DynDNS-Client im CompuShack-Router nix mitbekommt. Always-On schön und gut, aber die IP ist trotzdem nicht bekannt.

Also weitergesucht und das Update auf v4.3.2.6 gemacht, weil dort ein DynDNS-Client direkt im Modem steckt. Gut (oder weniger gut, da es wohl bei der Passwortvergabe ein wenig beim hashen pfuscht, aber nach 3 Resets war auch diese Hürde genommen).

Neues Problem: Durch Speedtouch und CompuShack ließen sich partout keine Verbindungen von außen aufbauen (RDP 3389, VPN 1723, korrekt per Port Forwarding im CompuShack eingerichtet, war vorher kein Problem - auch "doppeltes Forwarding" via SpeedTouch und CompuShack half nix, ebenso diverse UPnP-Spielereien). Hat vorher tadellos geklappt, ich hab's also Mal auf das Speedtouch geschoben.

Dann herausgefunden, dass das Speedtouch mit v4.3.2.6 quasi völlig NAT-transparent arbeiten kann, und die öffentliche IP an den Router durchreicht. Und dann funktioniert auch der TCP-Zugriff problemlos. Na bitte, einige Probleme gelöst, dachte ich - denn sicherlich wird das Speedtouch trotzdem brav alle 8 Stunden seine IP an DynDNS melden.

Nur leider: Geht nicht. DynDNS bekommt nur ein bockiges 0.0.0.0 vom Speedtouch geliefert. Der DynDNS-Client im CompuShack meldet zwar brav die erste (öffentliche) IP die er (per "Assign Public IP to Device" vom Speedtouch) bekommt, holt sich aber natürlich nicht jedes Mal, wenn das Modem neu connectet per DHCP einen neuen Lease (wie denn auch, für ihn ist die Welt ja weiterhin in Ordnung, das Speedtouch ist ja für ihn nach wie vor erreichbar).

Weiteres (und zugegebenermaßen extrem merkwürdiges) Problem - ungeachtet der Konfiguration: Wake-on-LAN funktioniert nur sehr halbherzig. In der "alten" Konfiguration klappte es, natürlich nur solange die IP bekannt war, problemlos. Magic Packet an UDP 2304 (ja, den verwend ich dafür halt), per Port Forwarding an die interne IP des Rechners (der CompuShack kann leider kein Subnet-Broadcast) und die Kiste wachte auf.

Also Mal mit einem WoL-Tool und Sniffer hingesetzt (beide von www.depicus.com), und Pakte abgefeuert. Kommt auch an. Allerdings NUR wenns vom entsprechenden PC selbst kommt (also schon übers Internet, nicht übers Subnetz). Auch "Datenmüll" den ich testweise via NMAP auf den Port gescickt habe kommt an. Sobald aber von einem anderen Rechner aus (habs vom PDA mit dem entsprechenden Depicus-Tool und von mehreren Internetdiensten aus probiert) das Magic Packet abgeschickt wird ist tote Hose. Aus irgendeinem Grund "schluckt" in dem Fall wohl das Speedtouch irgendwas, den mit dem Router und dem Speedtouch als reinem Modem vorher hat es tadellos geklappt.

Hab eine user.ini gefunden, die dem Speedtouch einen fixen ARP-Eintrag die IP und MAC-Adresse des dranhängenden Clients (in dem Fall, der Router) unterschiebt, da ging dann aber gar nix mehr. Ist aber möglicherweise auch für eine ältere Firmware-Version gedacht gewesen.

Wenn man dem Router einen fingierten PC mit der (Broadcast-)MAC-Adresse FF:FF:FF:FF:FF:FF unterjubelt, und WoL dann darauf per Port Forwarding umbiegt passiert leider auch nix.

Ideal wäre es, wenn das Speedtouch nicht mehr täte als es vorher, als "reines" Modem, getan hat, außer sich automatisch neu zu connecten und die erhaltene IP brav an DynDNS weiterzugeben. Eigentlich hab ich ja ganz gut Ahnung von Netzwerken, und kann mir hier einiges nicht so recht erklären.

Deshalb hoffe ich immer noch das jemand einen Tipp für mich hat, und sich das Ganze als Layer-8 Problem herausstellt (nachdem ich neben der trivialen Netzwerkspielerei eigentlich auch als Krankheitvertretng in der Firma war und deshlab zwischendurch des Öfteren durch "echte" Arbeit abgelenkt wurde).

Bin also für alle Tipps, Vorschläge und gerne auch Fummeleien an der user.ini (wenn sie denn was helfen) offen und dankbar, und würde der erkrankten Mitarbeiterin gerne bald eine einfache Möglichkeit bieten können, auch von daheim ein wenig besser arbeiten zu können - auch um meinetwillen, diese EDV-fremde Arbeit die ich dort verrichten muss ist so gar nicht mein Ding.

MfG,
Markus

[zid]

>"...Nur leider: Geht nicht. DynDNS bekommt nur ein bockiges 0.0.0.0 vom Speedtouch geliefert..."
das ist klar, wenn du dhcp-spoofing machst, wird d. ppp-link am st in d. unnumbered mode versetzt (na, net), kriegt also d. ip 0.0.0.0- und die wird dann auch vom ddns-client verwendet.

>"...Aus irgendeinem Grund "schluckt" in dem Fall wohl das Speedtouch irgendwas, den mit dem Router und dem Speedtouch als reinem Modem vorher hat es tadellos geklappt..."
das st kann 'ne ganze menge schlucken, gsd. hängt vor allem ab, wie du firewall [s]u. ids[/s] konfiguriert hast. am besten nachschauen mit:
=> ip debug traceconfig input=-telnet output=-telnet forward=-telnet drop=-telnet arp=all mode=line

>"...Hab eine user.ini gefunden, die dem Speedtouch einen fixen ARP-Eintrag die IP und MAC-Adresse des dranhängenden Clients (in dem Fall, der Router) unterschiebt..."
das ist proxy-arp, geht sehr gut, aber was soll das bei dir bringen? du verküpfst d. hw-addr. d. lan-links mit der public-ip? der ddns-client nimmt d. ip d. ppp-links u. ganz nebenbei hast du dadurch ein u. dieselbe adresse 2x auf einem segment liegen. verstehe deine idee da nicht.

>"...Ideal wäre es, wenn das Speedtouch nicht mehr täte als es vorher, als "reines" Modem, getan hat, außer sich automatisch neu zu connecten und die erhaltene IP brav an DynDNS weiterzugeben..."
würd' das ganze möglichst einfach halten, also compushack als switch. wenn'st routen mußt, dann single-na(p)t.

//edit: s.u.

[wicked_one]

Falls AON kostenlos oder günstig auf zB ein SpeedTouch 546 wechselt

131 .- würd ich noch als günstig bezeichnen

[zid]

//edit:
oops, das 510er mit r4.3 hat gar kein ids, damit fällt ein potentieller problemkreis weg.

habe d. wake-on-wan auf d. depicus seite ausprobiert- funkt.

mein setup ist ähnlich wie deins:
internet <--> st608 <--> zyxel 324 als switch <--> schläfer
sicherheitseinstellungen am st etwas restriktiver als normal, ids läuft (das hat eins ).
anwendung "wol" über webgui definiert: udp/p7 --> udp/p40000 und d. laptop zugeordnet.

d. trace am st sieht so aus:

d. magic packet kommt übers internet von depicus auf udp p7 rein...
[IN]Intern-> : 82.110.108.30 62.47.142.126 0130 UDP 2473->7

...wird übersetzt und weitergeleitet, ein drop würde hier stattfinden...
[FW]Intern->lan1 : 82.110.108.30 10.0.0.140 0130 UDP 2473->40000

...und verläßt d. st in richtung schlafmütze, die dann wachgerüttelt wird.
[UT]Intern->lan1 : 82.110.108.30 10.0.0.140 0130 UDP 2473->40000

für die firewall ist alles o.k.:
<84> Aug 22 10:47:12 FIREWALL rule (1 of 1) : Protocol: UDP Src ip: 82.110.108.30 Src port: 2473 Dst ip: 10.0.0.140 Dst port: 40000 Chain: forward_host_service Rule Id: 2 Action: accept

so sollte es ca. bei dir ausschauen. weiß nicht, was bei dir schiefgeht.
versuch einmal d. schläfer direkt ans st auzuschließen, dann switch-variante, dann geroutet...

hth

[Darkguy]

Danke für die Antworten bisher! Bin vermutlich morgen wieder vor Ort, werde dann Mal versuchen den CompuShack als Switch zu betreiben, und das Speedtouch als alleinigen Router und hoffe, dass das alles dann auch klappt wie gewünscht.

MfG,
Markus

[roberto]

Hallo,

ich habe ein ähnliches Problem wie hier beschrieben.

Speedtouch als Router (FW 4.3.2.6 wegen dyndns) & Linksys als switch.

Neues Problem: Durch Speedtouch und CompuShack ließen sich partout keine Verbindungen von außen aufbauen (RDP 3389, VPN 1723, korrekt per Port Forwarding im CompuShack eingerichtet, war vorher kein Problem - auch "doppeltes Forwarding" via SpeedTouch und CompuShack half nix, ebenso diverse UPnP-Spielereien). Hat vorher tadellos geklappt, ich hab's also Mal auf das Speedtouch geschoben.

Genau das Problem hab ich auch (auch wenns andere Ports betrifft.
Irgendwie scheint das ganze Port-forwarding bei mir nicht zu funktionieren.
Habe auch schon meinen Provider gefragt ob von deren Seite Ports geblockt werden. Antwort: Nein (Provider: eTel, aker kein ADSL-Talk).

Hat wer ähnliche Probleme oder eine Lösung?

Roberto

[Darkguy]

Sorry für die späte Antwort, hatte leider ziemlich viel Stress in letzter Zeit, komme erst jetzt zum posten.

Konnte das hier vorgeschlagene Szenario Anfang der Woche ausprobieren, der CompuShack dient jetzt nur noch als Switch, das SpeedTouch 510 erledigt den Rest.

Wake-on-LAN funktioniert jetzt, das Paket wird an die Broadcastadresse (192.168.1.255) weitergeleitet und weckt den PC zuverlässig auf. RDP auf 3389 ist auch kein Problem mehr. Aber mit VPN gibt es leider massive Probleme.

Ein wenig googlen hat ergeben dass die 4.3.2.6er Firmware Probleme mit GRE (sprich VPN-pass-through) hat, und es dafür wohl leider kein Workaround gibt (weder per Weboberfläche oder CLI). Es wird vorgeschlagen auf 4.2.7 downzugraden, wo die GRE-Weiterleitung per CLI aktiviert werden kann und dann auch zuverlässig funktioniert. Leider kommt das für mich aber nicht in Frage, da ich ja den eingebauten DynDNS-Client der 4.3.2.6 brauche, um den Router nach dem 8h-Rauswurf von AON wieder zu erreichen.

Wie's aussieht ist DynDNS, WoL und VPN/PPTP mit dem 510 gleichzeitig also mit keiner derzeitigen Firmware möglich. Weiß jemand wie es mit dem 546er aussieht - gibt es da eine Firmware sowohl mit DynDNS als auch funktionierendem VPN-Pass-Through? Mit Wake-on-LAN und RDP ist uns zwar auch schon sehr geholfen, aber für ein paar Kleinigkeiten die ich mir noch überlegt habe wäre VPN schon sehr nett.

Danke,
Markus