xDSL.at

[wagsoul]

Meine Phantasie endet beim Singleuser-Betrieb.

Dabei haben sich bei mir meine Speedtouchs aber schon als Mist herausgestellt, bei denen die Einwahl nicht immer beim 1. Versuch auf Anhieb funktioniert. Nicht unter Windows, und von einem dahinterliegenden Router (mit Linux darauf) schon gar nicht.

Ein anderes Modem nehme ich nicht. Warum auch?

Ich stelle das Gerät hin, das mir mein Provider zur Verfügung stellt, ändere dabei so wenig wie nur irgendwie möglich, und gut ists.

[jutta]

> Warum auch?

weil es genau das kann, was ich will?

[wagsoul]

Na ja, ich zumindest will keinen Aufwand.

Das heißt, ich möchte mein Netzwerk nicht an das Internet-Endgerät anpassen, sondern habe dafür eine Schnittstelle, das Linksys-Kasterl.

Architektonisch ist das auch nicht unbedingt weniger sinnvoll.

--edit:
Wenn ich den Beitrag vom Themenstarter hier durchlese, dann scheint er mir auch gerade so jemand zu sein, der an seiner Strktur hängt, und sich sein Netzwerk nicht von einem Provider-Modem umstellen lassen möchte.

Genau eben wie ich. Und bei mir war es eben so, dass sich die Variante mit dem doppelten NAT als am Stabilsten und Zuverlässigsten erwiesen hat. Das ist einfach so. Und so lange sich Leute hier deswegen vielleicht zwar auf den Kopf greifen mögen, gleichzeitig aber nicht eine bessere Idee zur Lösung haben, wird sich das auch nicht so schnell ändern

[jutta]

> Was soll denn an doppeltem NAT so schrecklich sein, oder was geht dabei nicht?

2mal ports forwarden, path mtu discovery funktioniert mit sicherheit nicht, die jeweils passende mtu kann man also nur mit tuefteln rausfinden, die meisten dyndns-loesungen werden nicht funktionieren, dns-aufloesung dauert laenger und ist fehleranfaelliger.

doppeltes nat kommt imo nur ernsthaft in frage, wenn man einen teil des lans ganz vom rest trennen will, aber selbst da gibt es bessere loesungen. und es ist halt ein ausweg in jenen faellen, wo man vom provider einen nat-router ohne konfigurationsmoeglichkeit hingestellt bekommt (alte inode-mehrplatzloesung, alte sil-loesung). ansonsten zu test-zwecken oder fuer masochisten

ich hatte mal einen router, der sofort crashte, wenn er mit einem ppp-irgendwas-paeckchen konfrontiert wurde, mit dhcp funktionierte er.

[fleptin]

sind das tellnet-commands? oder einstellungen die ich irgendwo in der user.ini einfügen muss? soll ich ein firmware-update machen?

brauch ich PPTP, kann man dem ding nicht auch PPPoE beibringen?

[jutta]

> sind das tellnet-commands?

du meinst wahrscheinlich die antleitung von bully - ja. das sind telnet-commands. einfach mit telnet 10.0.0.138 einloggen und dann ein bisschen umschauen. das "help" command ist wirklich hilfreich.

> brauch ich PPTP, kann man dem ding nicht auch PPPoE beibringen?

das speedtouch kann pppoe, aber das hilft dir nichts, weil es keinen ta-server gibt, der mit ihm pppoe spricht. wenn du single-user willst, muss dein client im lan also mit pptp einwaehlen.

[wagsoul]

Bist du dir wirklich sicher, dass bei doppeltem NAT diese mtu path discovery nicht funktioniert?

Andere ICMP-Pakete, die irgendwo im Internet aufgrund einer Anfrage eines Rechners im eigenen LAN entstehen, kommen ja auch durch und erreichen wieder den Ursprungs-Host im LAN (zB ein Echo Reply, eine Port-Closed-Meldung, oder auch andere Sachen)

Ich übrigens habe alles was mit MTU zu tun hat, völlig außer acht gelassen. Heißt bei mir gibts grundsätzlich nur Standard-Einstellungen.

Wo NAT bei DNS-Abfragen ins Spiel kommt, das muss mir auch erst jemand erklären
Denn im LAN nutzen die Hosts grundsätzlich nur den Linksys-Router als DNS-Server. Denn nur dieser kennt die lokalen Hosts beim Namen und kann diese auflösen.
Anstatt die DNS-Anfragen an die DNS-Server im Internet weiterzuleiten, schickt dieser sie an das Speedtouch-Modem, und erst dort wird an die Internet-Server weitergeleitet, falls die Namen nicht im Cache sind.

NAT gibts dabei nirgendwo, da jeder anfragende Host seinen ihm bekannten DNS-Server ganz direkt und ohne einen NAT-Router dazwischen erreicht.

Dyndns ist beim Linksys auch überhaupt kein Problem, da das Kasterl vor einem Update default-mäßig immer die externe IP ermittelt. (So wie das diverse Programme mit eingebautem Server ja auch können um sich selbst der Welt bekannt zu machen, wie zB eine Xbox 360)

Konfiguriert hab ich das dyndns aber am Speedtouch selbst, denn schließlich ist es ja dieses Gerät, das mit der öffentlichen Provider-IP letztendlich sichtbar ist im Internet. Von da her hab ich ein reines Gewissen bei dieser Einstellung.

Im Großen und Ganzen also nicht der geringste Nachteil, den mir das doppelte NAT bringt.


Eine wirklich bessere Lösung schwebt mir zwar als Therorie im Kopf vor, umsetzbar ist das aber nicht für mich.

Meiner Meinung nach kann man bei so einem Best-Effort-Anschluss erst bei Leitungsproblemen zu rechnen beginnen, ob ein anderes Modem mehr Stabilität aus den Drähten holt als das Speedtouch.
Wenn sich so was wirklich rechnet, dann könnte mein neues Modem auch das was man sonst noch so braucht, und das doppelte NAT wäre dann Geschichte. Derzeit aber nicht.

PPPoE geht übrigens nicht, weil hier die Frage aufgekommen ist.
Will man seinen eigenen Router verwenden und dabei nicht das Telekom-Modem ersetzen bleiben unter den schönen Lösungen meiner Meinung nach nur PPTP/SingleUser (was nicht stabil ist) oder eben doppeltes NAT.

Zwar gibts eine schwindelige Möglichkeit, seinem Netzwerk-Interface im LAN (in diesem Fall dem WAN-Port am Linksys) die externe Provider-IP zuzuweisen, und diesen Port dann mit einem seltsamen Ini-File irgendwie auf das Speedtouch zu spiegeln - wenn man mich fragt ist es aber das, wo es einem die Haare aufstellen sollte. So ein Trick nennt sich DHCP-Spoofing (siehe http://www.petri.co.il/configure_alcate ... oofing.htm ) und funktioniert übrigens nur bei einer statischen Provider-IP.

[bully]

sind das tellnet-commands? oder einstellungen die ich irgendwo in der user.ini einfügen muss? soll ich ein firmware-update machen?

Ich bin bei diesen Befehlen von der Standardeinstellung der Firmware 8.2.1.5 ausgegangen. Die gre-Probleme des Thomson sind aber mit der FW nicht behoben. Wenn du es so machen willst, vergewissere dich, ob die atm-Schnittstelle auch wirklich bei 7.4.3.2 so heisst. Das weiß ich jetzt nicht auswendig. Dann brauchst kein FW-Update.

lg
bully

[jutta]

>Bist du dir wirklich sicher, dass bei doppeltem NAT diese mtu path discovery nicht funktioniert?

es haengt von den beteiligten geraeten ab, in den meisten faellen funktioniert es nicht. (genau deshalb wird zb auf der tele2-homepage bei darauf hingewiesen, dass man beim router die mtu kleiner als ueblich einstellen muss http://www.tele2.at/ds?pagename=TELE2/S ... faqc113913 )

> Wo NAT bei DNS-Abfragen ins Spiel kommt, das muss mir auch erst jemand erklären

nat nicht, aber 2 langsame soho-geraete.

> Denn im LAN nutzen die Hosts grundsätzlich nur den Linksys-Router als DNS-Server. Denn nur dieser kennt die lokalen Hosts beim Namen und kann diese auflösen.
Anstatt die DNS-Anfragen an die DNS-Server im Internet weiterzuleiten, schickt dieser sie an das Speedtouch-Modem, und erst dort wird an die Internet-Server weitergeleitet, falls die Namen nicht im Cache sind.

dadurch dauert es unnoetig lange und wird fehleranfaellig.

> Dyndns ist beim Linksys auch überhaupt kein Problem, da das Kasterl vor einem Update default-mäßig immer die externe IP ermittelt.

welche firmware verwendest du? wir hatten hier im forum schon hunderte anfragen, weil genau das nicht funktioniert, sondern der router die 10.0.0.140 an den dyndns-server uebermittelt hat.

> (So wie das diverse Programme mit eingebautem Server ja auch können um sich selbst der Welt bekannt zu machen, wie zB eine Xbox 360)

die sind ja auch dafuer gebaut, dass sie im lan funktionieren, soho-router sind nicht dafuer gebaut.

> Konfiguriert hab ich das dyndns aber am Speedtouch selbst, denn schließlich ist es ja dieses Gerät, das mit der öffentlichen Provider-IP letztendlich sichtbar ist im Internet.

aehem: und was macht dann das dyndns am linksys genau?

> Im Großen und Ganzen also nicht der geringste Nachteil, den mir das doppelte NAT bringt.

du hast anscheinend sehr viel glueck.

> Meiner Meinung nach kann man bei so einem Best-Effort-Anschluss erst bei Leitungsproblemen zu rechnen beginnen, ob ein anderes Modem mehr Stabilität aus den Drähten holt als das Speedtouch.

das ist genau die situation, in der ich *kein* fremdmodem verwenden wuerde. erstens sind die meisten dsl-maessig nicht so gut wie die speedtouch und zweitens wird sich der support immer auf mein privates modem ausreden, wenn ich leitungsprobleme geltend mache.

aber solange es keine gravierenden leitungsprobleme gibt, spricht imo wenig dagegen. man erspart sich geld, konfigurationsaufwand und probleme beim debugging (zumindest im soho-bereich, im profi-bereich sieht das wieder anders aus). eine ausnahme waere zb, wenn das modem im keller steht und man im wohnbereich einen wlan-router verwenden will.

[_RoB_]

http://modem.x001.at -> dort ist ein singleuserfile fürs neue

[wagsoul]

hm...

Also das Dyndns am Linksys ist ausgschalten, da ich es nicht brauche. Wird ja vom Modem erledigt.

Probleme bei der DNS-Auflösung mit meiner Lösung hätte ich noch nicht bemerkt. Funktioniert absolut fehlerfrei.

Der letzte mir aufgefallene Fehler (konnte nicht mehr alle Anfragen auflösen) war vor ca. einem Jahr mit meinem Kombipaket und lag an den DNS-Servern der TA. Die waren ausgefallen. Dazu dürfte es von mir hier auch einen Beitrag geben.

Dass sich die Performance der DNS-Auflösungen durch den zusätzlichen Speedtouch-DNS-Server verschlechtert hätte ich mir anfangs auch gedacht, dann aber nichts davon bemerkt.

Auch wenn man das rechnet, siehts nicht so schlimm aus: Von meinem Anschluss zum DNS-Server meines Providers brauche ich 18 ms.

Das passiert nun ja nicht direkt, sondern der Linksys sendet nur zum Speedtouch über das 15 cm lange Netzwerkkabel.

Sagen wir dieser zusätzliche Weg zum Senden bis zum Speedtouch und Weiterleiten dauert 0,1 ms.

Die Gesamtzeit einer Anfrage ab dem Linksys-Router ist somit 18,1 ms anstatt 18 ms.

Selbst wenn meine Rechnung um den Faktor 10 daneben liegt, und der Mehraufwand deshalb 10 x so hoch ist, dauert eine DNS-Abfrage deshalb auch nur 19 ms.

Insgesamt siehts pessimistisch geschätzt deshalb so aus:

1 ms vom Client im LAN bis zur Abarbeitung durch den Linksys, 20 ms von mir bis zum Provider-DNS, und wegen meines "komplizierten" Setups eben nochmal 1 ms bis zur Abarbeitung vom Speedtouch.

Das macht 21 ms bei meinem Setup gegen 20 ms pro Abfrage ohne den 2. DNS-Server.

Wenn man mich fragt ist das völlig vernachlässigbar - ganz im Gegenteil zu manchen Tipps die hier im Forum kursieren, man solle doch providerunabhängige DNS-Server eintragen die zB in Deutschland stehen, um so einen Provider-DNS-Ausfall zu überbrücken. Das kostet nämlich wirklich Performance und würde sich deutlich in der Rechnung oben bemerkbar machen.

Stabil ist es wie gesagt auch, denn der Speedtouch-DNS-Server funktioniert ja hervorragend, wenn die Rechner im LAN direkt am Speedtouch hängen. Wieso sollte er gerade dann nicht funktionieren, wenn sein einziger Client der Linksys-Router ist?

Und wenn es doch mal von heute auf morgen gerade wegen dem DNS-Server im Speedtouch unangenehm langsam werden sollte (was ich mir aber nicht vorstellen kann), dann kann ich ja immer noch vom Linksys direkt die Nameserver meines ISPs ansprechen.


Vielleicht hab ich ja wirklich nur Glück.
Ich aber meine, ich habe ohne Zusatzkosten mit den Providervorgaben ein Setup geschaffen, bei dem ich ohne Auswirkungen auf mein Netzwerk jederzeit die vom Provider erhaltene Hardware austauschen kann.


Als Firmware beim Linksys verwende ich übrigens Tomato.

[jjknw]

Ich verstehe die große Aufregung um "zweifaches/doppeltes NAT" auch nicht ganz. Was soll denn daran so "verwerflich" sein? Bitte um Aufklärung bzw. Verbesserungsvorschläge, wie folgendes Setup "besser" - also ohne doppeltes NAT - zu verwirklichen wäre:

Code: Alles auswählen

          Router vom Provider
                  +---+
                  |   |(WLAN)<--->Gast-Clients
Internet<--->(WAN)|NAT|               +--------+
                  |   |(LAN)<--->(WAN)|  NAT   |
                  +---+               |Firewall|(LAN)<--->Server, Clients, Printer,...
                                      |  VPN   |
                                      +--------+
                                        Zywall


1. Router vom Provider macht NAT, DynDNS und Portforwarding auf Zywall (nur für VPN/IPsec, also UDP 500).
2. Zywall macht den ganzen Rest wie z.B. Firewall, NAT, VPN-Endpunkt,...

Okay - auf das zweite NAT der Zywall könnte ich eventuell verzichten, wenn ich die Firewall im "Bridging-Modus" betreiben würde. Ob dann allerdings noch die VPN-Tunnel funktionieren, habe ich noch nicht probiert bzw. nachgelesen.

Vorteil: Bei einem Providerwechsel (so wie er gerade eben bei mir ansteht) brauche ich am neuen Provider-Router "nur" DynDNS und Portforwarding konfigurieren (NAT ist meist ohnehin standardmäßig aktiviert) und kann das übrige Netzwerk einfach belassen...

Ausserdem könnte ich in dieser Konstellation zu Redundanz-Zwecken (Failover/Backup) noch einen weiteren Router von einem zweiten Provider WAN-seitig an die Zywall anschließen. Ich glaube nicht, das so ein Failover-Setup funktionieren würde, wenn die Provider-Router "nur" als Bridges fungieren würden und sich somit die Zywall per PPTP oder PPPoE um die Einwahl kümmern müsste...

[jutta]

> Was soll denn daran so "verwerflich" sein?

verwerflich ist gar nichts. es ist nur sehr fehlertraechtig und das debuggen wird dadurch extrem muehsam.

> Bitte um Aufklärung bzw. Verbesserungsvorschläge, wie folgendes Setup "besser" - also ohne doppeltes NAT - zu verwirklichen wäre:

a) mit singleuser und einem router, bei dem man eine dmz (getrennter port) konfigurieren kann. zywall, draytek, lancom usw usw.

b) mit einem modem mit integriertem router, bei dem man eine dmz konfigurieren kann: zyxel p662, cisco, draytek, lancom, manche speedtouch

c) mit einem businessanschluss mit oeffentlichem netz, von dem ein teil der ip adressen fuer die dmz / fuer das gaestenetz und ein teil fuer die firewall verwendet wird.

d) eventuell auch mit vlan

[_RoB_]

beim tg kann es probleme mit dyndns geben

[wagsoul]

verwerflich ist gar nichts. es ist nur sehr fehlertraechtig und das debuggen wird dadurch extrem muehsam

Was genau soll denn fehlerträchtig sein?

Bei mir ist es so, dass das Speedtoch-Modem im Singleuser-Betrieb nicht immer die Einwahl beim 1. Versuch schafft (bei Linux-Clients wie einem Router dahinter passieren dabei öfters Fehler als bei Windows-Clients)

Seit es im Multiuser-Betrieb von mir genutzt wird (weiter mit dem Linksys dahinter --> also doppeltes NAT) gibts überhaupt keine Probleme mehr.

Durch den Wegstieg vom fehlerträchtigen Singleuser-Modus hin zum doppelten NAT haben sich all meine Verbindungsprobleme von einen Moment auf den anderen aufgelöst.

Hinsichtlich der auftretenden Fehler und des Aufwands für Debugging war doppeltes NAT das Beste was ich je in die Hand genommen habe.

Ein Problem mit dem Begriff 2-fach-NAT hab ich auch nicht - aber vielleicht bin ich ja einfach nur jemand, der der Realität mit ihren Fakten den Vorzug gegenüber ideologischen Vorurteilen gibt

Wenn ich übrigens in meiner Arbeit über den Browser eine Seite im Internet ansurfe, dann wird die Verbindung übrigens mind. 3x geNATet (eventuell auch öfters, so genau weiß ich das nicht). Nach diesen mind. 3x NAT erreicht die Connection dann schlussendlich den internen Proxy-Server, ders dann irgendwie ins Internet schafft.

Dort gilt das auch nicht als fehleranfällig, sondern ist Teil der Gesamtarchitektur und soll neben vielen anderen umgesetzten Dingen sogar einen kleinen Teil zur Sicherheit beitragen.