Probleme mit dem DSL-Anschluss der DTAG

mike69

Nabend allerseits.

Habe leichte Probleme mit der Konfiguration Passthrough der DSL- Modem-Router oder der Konfiguration dieser als Bridged-Modem.

Die FritzBox 7490, konfiguriert durch das "EasySupport" funktioniert auf Anhieb. Geräte, wie hier beschrieben als Bridged-Modem konfiguriert, verlieren innerhalb von paar Tagen sie Synchronisation und kommen mit der Bitrate nicht mehr hoch. Nachdem das 4te Ticket eröffnet wurde, sagte mir der Hotline-Mitarbeiter der DTAG, daß das switchen der Routermodems am Anschluß kontraproduktiv sei.

Nun gut, die FB7490 wieder einrichten lassen und mal wieder selber zu blöd, den Fehler zu finden, warum die Sense mit Doppel NAT nicht looft.

Zurück zum Thema.
Wie kriege ich die Bude zum laufen?
Braucht die Gegenstelle bei jedem neuen Modemrouter ein Reset?
Würde gerne die Vigor 130, FB7412 oder what ever als Bridged-modem laufen lassen, ohne irgendwelche resyncs oder Tips von hochkompetenten MA der DTAG, die mich laufen fragen "Neuste FW drauf? Reset schon gemacht? ...Ich resette mal die Line..."

Habe langsam keine Lust mehr....

root32

Hallo,

ist etwas auf den Statistiken der Fritz!Box ersichtlich?
Z.B. schwankende Störabstandsmargen zu einer gewissen Uhrzeit

mike69

@root32 said in Probleme mit dem DSL-Anschluss der DTAG:

Hallo,

ist etwas auf den Statistiken der Fritz!Box ersichtlich?
Z.B. schwankende Störabstandsmargen zu einer gewissen Uhrzeit

Nein, absolut willkürlich die Resyncs, im Log der Fritze eben nur die Training Meldung und danach die ermittelte unterirdische Bandbreite. In den Statistiken war nichts auffälliges.
Seit 2 Tagen scheint die DTAG jetzt noch dran zu sein, gestern nachmittag hat ein Techniker angerufen zwecks Line resetten und die FB vom Strom trennen. Seitdem looft es...

Der letzte Techniker hat sich da richtig reingeklemmt, Respekt. Meinte, den Fehler auch gefunden zu haben, werden wir sehen.

mike69

Moin.

Die Odyssee geht weiter.
Nach 12 Tagen wieder die ersten resyncs, 4 Tickets, knapp ein dutzend Hotline Mitarbeiter und 5 Techniker weiter ist kein Ende in Sicht.
Die letzte Möglichkeit ist die, die Fritze komplett in die Hand der Telekom zu legen und mit Doppel-NAT erst mal zu leben bis der Fehler gefunden wird. Leider funzt Doppel-NAT nicht mit VPN und einigen Diensten wie CalDAV oder CardDAV, die hier @Home laufen. Habe von aussen kein Zugriff darauf. Gibt es eine Möglichkeit dass es funktioniert?
Habe mal was von einem Routingeintrag in der Fritze aufgeschnappt, finde leider diesen Hint nicht mehr.

Mike

JeGr

@mike69 said in Probleme mit dem DSL-Anschluss der DTAG:

Leider funzt Doppel-NAT nicht mit VPN und einigen Diensten wie CalDAV oder CardDAV, die hier @Home laufen. Habe von aussen kein Zugriff darauf. Gibt es eine Möglichkeit dass es funktioniert?

Warum sollte das nicht funktionieren? Bis ich den Bridge Punkt in der KabelFritte entdeckt habe vor kurze hatte ich jahrelang nichts anderes als Dual-NAT und hatte keinerlei Nachteile egal ob VPN oder externe Dienste. Exposed Host in der FB eingetragen und Ende Diskurs. Verstehe da das Problem nicht, zumal CardDAV und CalDAV doch saubere TCP Dienste sind.

mike69

@JeGr said in Probleme mit dem DSL-Anschluss der DTAG:

Warum sollte das nicht funktionieren?

Wenn ich das wüsste. :)
Die Smartphones synchronisierten die Kalender nicht und kamen per VPN nicht ins LAN zu Hause. Musste eine alte Config wieder einspielen, um die Sense wieder klassisch zum einwählen zu bewegen, also ISP -> Bridged Modem -> pfSense. Normales rekonfigurieren funzte nicht, sah nach einer zerschossenen Config aus.

Also auf der Fritzbox Exposed Host von der WAN-IP der Sense und auf der pfSense ein Gateway zur Fritze einrichten reicht? Kein Routingeintrag in der Fritzbox?

Werde es in den nächsten Tagen ausprobieren...

JeGr

@mike69 said in Probleme mit dem DSL-Anschluss der DTAG:

Also auf der Fritzbox Exposed Host von der WAN-IP der Sense und auf der pfSense ein Gateway zur Fritze einrichten reicht? Kein Routingeintrag in der Fritzbox?

Nö:

1. Transfernetz zwischen FritzBox und pfSense, irgendwas (weit) anderes als dein LAN. Beispiel 192.168.178.0/24 Transfernetz, LAN: 10.11.12.0/24

2. FB hat 192.168.178.1, pfSense bekommt statisch 192.168.178.2/24

3. FB konfigurieren, dass der DHCP Bereich nicht von 2-254 geht, sondern bspw. von 100-254, damit die IP der Sense nicht vergeben wird. Außerdem für die pfSense sowohl ein IPv4/IPv6 exposed Host einrichten, dass alles auf die 192.168.178.2 weitergeleitet wird (bzw. auf deren IPv6 UUID wenn überhaupt vorhanden/relevant).

3a) FB kann(!), muss aber nicht, eine Route bekommen für 10.11.12.0/24 -> 192.168.178.2 damit man ohne NAT direkt auf die Box kann. Wie gesagt, muss aber nicht.

4. Solange deine pfSense Regeln eingehend bzw. das Port Forwarding und die Outbound NAT mit "WAN_address" oder "This Firewall" konfiguriert sind, müsste einfach alles weiter gehen.

5. Outbound NAT auf Hybrid oder Manuell und nachsehen, dass dein LAN Netz sauber auf die WAN Adresse geNATtet wird. Dann kann man hier noch (wenn bei #3a Route angelegt) hergehen und sagen: "Wenn von LAN network (10.11.12.0/24) nach 192.168.178.0/24, mache NO NAT!". Damit schaltest du NATting ab um die FB direkt via Routing zu erreichen. An der FB kommt dein Client dann wenn du die Box Oberfläche aufrufst direkt mit seiner 10er IP an, statt mit der WAN IP der pfSense. Wie gesagt, das muss nicht, aber kann. Wenn man aus dem LAN aber wegen VoIP Gedöns direkt an die FB will, damit bspw. eben die FritzApp zum Telefonieren geht oder man intern SIP Clients benutzen möchte, die sich mit der FB als Anlage verbinden, macht das Sinn.

6. Für ein paar Sachen wie SIP oder IPsec sollte man Outbound static port NAT Regeln machen (wie die Default udp/500).

Solang das alles halbwegs korrekt konfiguriert ist, sollte danach die pfSense im Log einiges an externem IP Spam abbekommen weil sie durch exposed Host alles abbekommt. Dann sollten auch OpenVPN und Co eigentlich kein Problem mehr darstellen. Bei dem Setup wichtig ist eigentlich nur, dass man v4 mäßig kein DHCP auf WAN der pfSense macht, sondern statisch konfiguriert, damit die nicht durch irgendwas dummes plötzlich eine andere WAN IP bekommt und der exposed Host nicht mehr stimmt. Zusätzlich kann man dadurch an der FB problemlos zur Diagnose auch mal nen Rechner oder Lappy oder Raspi anschließen und testen.

mike69

@JeGr said in Probleme mit dem DSL-Anschluss der DTAG:

Nö:

Toll :(

@JeGr said in Probleme mit dem DSL-Anschluss der DTAG:

Transfernetz zwischen FritzBox und pfSense, irgendwas (weit) anderes als dein LAN. Beispiel 192.168.178.0/24 Transfernetz, LAN: 10.11.12.0/24

FB hat 192.168.178.1, pfSense bekommt statisch 192.168.178.2/24

Genauso hatte ich es, brauchte nur noch ein Gateway mit 192.168.178.1 auf der pfSense erstellen und dem WAN Interface zuordnen. Zuvor bekam WAN ihre IP per DHCP von der FritzBox zugeteilt und wurde da auf eine statische IP festgenagelt.

@JeGr said in Probleme mit dem DSL-Anschluss der DTAG:

3a) FB kann(!), muss aber nicht, eine Route bekommen für 10.11.12.0/24 -> 192.168.178.2 damit man ohne NAT direkt auf die Box kann. Wie gesagt, muss aber nicht.

Entfällt dadurch quasi das DoppeNAT? Macht doch Sinn, oder? Ein Schritt weniger zum Ziel.
Da sich hier mehrere Subnetze tummeln wäre das hier: 10.0.0.0/16 -> 192.168.178.2

@JeGr said in Probleme mit dem DSL-Anschluss der DTAG:

Outbound NAT auf Hybrid oder Manuell und nachsehen, dass dein LAN Netz sauber auf die WAN Adresse geNATtet wird.

Ist auf Hybrid, alleine wegen VoIP und den Konsolen. Hatte bis vor kurzen noch eine FritzBox als DECT Basisstation, ist gegen eine von gigaset getauscht worden.

@JeGr said in Probleme mit dem DSL-Anschluss der DTAG:

Für ein paar Sachen wie SIP oder IPsec sollte man Outbound static port NAT Regeln machen (wie die Default udp/500).

Siehe oben. Gilt das nur für SIP und IPsec, oder um jeden Dienst der nach draussen lauscht? Den Static Port für OpenVPN und/oder Cal- und CardDAV hatte ich nicht gesetzt.

Danke Jens, werde ich mal so anwenden. Vorgestern 3 Resyncs, heute vormittag wieder 2, langsam habe ich keine Lust mehr. :)
Da kann die Telekom endlich machen was Es will, Hauptsache die Bude läuft stabil.

JeGr

@mike69 said in Probleme mit dem DSL-Anschluss der DTAG:

Entfällt dadurch quasi das DoppeNAT? Macht doch Sinn, oder? Ein Schritt weniger zum Ziel.

Nein entfällt nicht, entfällt NUR zur FB hin und sonst nirgends. Du kannst der FB nicht abgewöhnen NAT zu machen, das muss sie ja. Und ganz ehrlich sehe ich den Grund nicht, das NAT auf der pfSense abzustellen und unnötig Information an die FB durchsickern zu lassen. Zumal das Ganze so auch schnellstens wieder läuft, wenn mal die FB ausgetauscht werden muss ohne dass man Routen hinzufügt oder sonstwas.

Man könnte es so umgehen, indem man die FB DHCP machen lässt und das NAT an der pfSense abschaltet etc. etc. aber wie gesagt, würde ich das lassen.

Da sich hier mehrere Subnetze tummeln wäre das hier: 10.0.0.0/16 -> 192.168.178.2

Genau, ist bei mir auch der Fall gewesen, nur aus dem 172er Bereich mit /16 auf die .2. Route rein ist nett, schadet nicht, NAT auf der Sense würde ich aber trotzdem anlassen.

Siehe oben. Gilt das nur für SIP und IPsec, oder um jeden Dienst der nach draussen lauscht? Den Static Port für OpenVPN und/oder Cal- und CardDAV hatte ich nicht gesetzt.

Für Dienste gilt das gar nicht, da geht es NUR darum, dass wenn Verbindungen abgehend aufgebaut werden der Client Port nicht gewechselt wird. Und das ist nur für relativ wenige Protokolle kriegsentscheidend, bekanntermaßen eben IPsec und VOIP/SIP

Den Static Port für OpenVPN und/oder Cal- und CardDAV hatte ich nicht gesetzt.

Das sind doch entweder Dienste direkt auf der pfSense oder auf einem Server dahinter? Das betrifft outbound NAT doch gar nicht, da es um eingehende Verbindungen geht :)

mike69

@JeGr said in Probleme mit dem DSL-Anschluss der DTAG:

Man könnte es so umgehen, indem man die FB DHCP machen lässt und das NAT an der pfSense abschaltet etc. etc. aber wie gesagt, würde ich das lassen.

Oke, hatte es auch nicht vor. Sooo schlimm fand ich persönlich das Doppel-NAT auch nicht, etwas höherer Ping beim Zocken auf der Konsole zwar aber im Normalfall nicht zu merken.

@JeGr said in Probleme mit dem DSL-Anschluss der DTAG:

Das sind doch entweder Dienste direkt auf der pfSense oder auf einem Server dahinter? Das betrifft outbound NAT doch gar nicht, da es um eingehende Verbindungen geht :)

Dein Satz Post 8 hatte mich ein bissl verwirrt. Brauchte ich vorher auch nicht, deswegen.
Ja, ist ne alte APU hinter der Sense, die macht Kalender, Adressbuch SMTP-Relayserver, Unifi Controller usw...

Mike

JeGr

@mike69 said in Probleme mit dem DSL-Anschluss der DTAG:

Ja, ist ne alte APU hinter der Sense, die macht Kalender, Adressbuch SMTP-Relayserver, Unifi Controller usw...

OK also wenn die - von OVPN abgesehen - den Rest macht, dann ist da nichts mit static port weil kein outbound, sondern inbound. Wenn da was nicht ankommt, dann die Forwardings und Regeln checken und ob überhaupt was durch exposed Host an der Sense ankommt.