ARP-Probleme mit UDM/Hyper-V

Es gibt 11 Antworten in diesem Thema, welches 809 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

    Hallo zusammen, direkt noch ein zweites Problem hinterher... Im eigenen Thread, für die Ordnung und für Google.


    Vorab: Ich habe keine Vorstellung, inwiefern mein Problem von der UDM verursacht werden kann - da diese die einzige Änderung im Netzwerk seit Monaten ist, deutet halt viel darauf hin.


    Zum Aufbau: Wir nutzen seit kurzem eine Dream Machine SE hinter einer Fritzbox 7490 - da die Telekom laut AVM kein PPPoE-Passthrough unterstützt, ist die Fritzbox als Router installiert und verwaltet das Netzwerk 192.168.178.0/24. Die UDM verwaltet die meisten physischen Geräte und das WiFi im Netzwerk 192.168.1.0/24.


    Da aus diversen Gründen (noch) jeweils einige Geräte in den beiden Netzen sind und wir (noch) nicht überall statische IPs vergeben können, sind aktuell beide DHCP-Server aktiv - jeweils nur für ihre eigenen Ranges / Subnetze. Betrifft mein Problem (hoffentlich) nicht, wollte das aber erwähnt haben weil ja allgemein davon abgeraten wird, mehrere DHCPs einzusetzen.


    Im Fritzbox-Netzwerk gibt es einen Hyper-V-Host (nennen wir ihn 192.168.178.2) und darauf einen Hyper-V-Client (192.168.178.3), beide Windows Server 2016. Leider hat der Client die Verbindung zur Fritzbox (192.168.178.1) verloren - die Fritte ist bei "arp -a -v" als "invalid" mit der Mac 00-00-00-... hinterlegt. Wireshark zeigt regelmäßige ARP-Queries ("Who is 192.168.178.1, tell 192.168.178.3") - die Antworten scheinen aber nicht anzukommen. Anderen Geräten antwortet die Fritzbox ihre Mac-Adresse auf ARP-Anfrage. Alle Geräte können sich gegenseitig pingen (mit Ausnahme Client -> Fritzbox).


    Irgendwelche Ideen? Vielen Dank im Voraus.

    Ohh My .... also auch dieses Problem ist so nicht zu handeln. Irgendwas an eurem "Bestandsnetzwerk" ist wohl nicht ok. Ziemlich viel Lücken was Netzwerkkenntnisse angeht wenn ich die Aussage zum DHCP lese ... ja man soll auf keinen Fall zwei verschieden DHCP Server in einem L2 Netz betreiben (außer speziell konfigurierte für HA) Das sind aber bei euch 2 getrennte Netze, außer da ist was falsch gepatcht. Also am besten nicht mit Wireshark rummachen und mal die Umgebung korrekt beschreiben (siehe Threat mit Problem 3).


    Was heißt die UDM verwaltet die meisten Geräte? Prinzipiell scheint auch der Netzwerkaufbau nicht besonders sicher ... Hyper-V-Host und darauf gehostete VM alles in einem LAN. Im Moment würde ein Hacker sich vermutlich nur am nicht laufenden Netzwerk die Zähne ausbeißen :winking_face_with_tongue:

    Hallo DoPe , danke für die Rückmeldung. Ich bin immer bereit zu lernen, wo Wissenslücken bestehen :smiling_face: Der Aufbau (Thema Sicherheit) kommt nicht von uns, ist aber glaube ich grundsätzlich nicht verkehrt - der Hypervisor ist genau das: Stellt die Hyper-V-Umgebung bereit und mehr nicht. Glaube den in ein separates Netz auszulagern würde keinen Gewinn bringen.


    Zurück zum Thema - der aktuelle (unbefriedigende) Aufbau - siehe anderer Thread für den Grund der aktuellen Überbrückungslösung - sieht wie folgt aus:

    Fritzbox 192.168.178.0/24-> Netgear unmanaged Switch
    		-> Hyper-V-Host-> Hyper-V-Client
    -> RFID-Krempel etc.

    		-> ...
    -> UDM 192.168.1.0/24 und 192.168.2.0/24 (Guest)-> Client PCs 1/2
    -> Unifi APs + WiFi
    -> Unmanaged Switch 2 -> Client PCs 3/4/...

    Einmal editiert, zuletzt von ennvee ()

    Sind die Clients und Accesspoints direkt auf die UDM gepatcht oder existiert da auch ein Switch? Am besten mal auf einen Threat konzentrieren. Ich denke die beiden Threats hängen zusammen und das mit der Telefonie sollte ja geklärt sein.

    Die APs sind direkt auf die UDM gepatcht, die Clients teils direkt und teils über einen weiteren unmanaged Switch (der fehlte bis gerade im Aufbau oben, sorry).


    Ich bin nicht sicher ob beide Probleme zusammenhängen - für mich ist die einzige Gemeinsamkeit, dass beide für mich so keinen Sinn ergeben und beide weg sind, sobald ich die UDM rausnehme.


    Dieses hier ist das akutere Problem und der aktuelle Aufbau. Ich bedanke mich also vorab für alle Ideen, was das oben beschriebene Verhalten im oben beschriebenen Aufbau bewirken könnte...


    EDIT: Nur um das noch mal zu betonen - der Hypervisor, auf dem die Hyper-V-Instanz ohne Verbindung zur Fritzbox läuft, ist NICHT im Netz der UDM sondern über den Unmanaged Switch im Netz der Fritzbox.

    Du hast ein FB Netz 192.168.1.0/24 mit einem Switch. Da Hängt dein HyperV drann der nicht mher will und die UDM.

    Es geht sobald du die UDM entfernst ?


    Puhhh:

    MacAdresse Close schweinerein auf auf dem WAN interface ?

    Doofe "Zufalls" MAC auf den dem hyperV der was mit den UDM MAC zu tun hat ?

    Auf dem Netgear Switch irgendwas geändert ?

    Hallo ennvee ,

    dass Deine UDM-SE etwas mit den Problemen zu tun hat, ist so gut wie ausgeschlossen, wenn alles sauber verkabelt ist. Sie ist aus Sicht der Fritzbox lediglich ein weiterer Client, der Internetanfragen stellt. Was im Unifi-Netz passiert, kann die Fritzbox nicht wissen und es interessiert sie auch nicht.


    WLAN in der Fritzbox ist hoffentlich abgeschaltet?

    Der HyperV-Client kann keinerlei Geräte in seinem Netzwerk erreichen, auch nicht per Ping? Oder was soll bedeuten, er hätte "die Verbindung zur Fritzbox verloren"?

    Wie ist denn die Netzwerkkonfiguration Eurer Server 2016 konkret?



    Grundsätzliche, nicht persönlich gemeinte, Kritik: Ich kann nicht begreifen, warum in einem gewerblich genutzten Netzwerk derart rumstochert. Zwei Wege wären sinnvoll gewesen:


    1. Man lässt alles wie es ist und lebt mit den Einschränkungen eines Fritzbox-Netzwerkes

    2. Man stellt um auf professionellere Netzwerkkomponenten, investiert dann aber auch noch die zusätzlichen 100 € für ein VDSL-Modem und schmeißt die Fritzbox raus (ODER migriert zumindest ALLE Endgeräte in das neue Netz und hört nicht bei der Hälfte auf)

    Danke euch für alle Ideen. Das Rätsel ist gelöst.


    *Trommelwirbel*


    In der Fritzbox ( :face_with_symbols_on_mouth: Consumer Zeugs!!!!!) gab es einen VPN User. Wenn diesem eine feste IP zugewiesen ist - dann aber der IP-Adressbereich der Fritzbox geändert wird, wie bei der Installation der UDM geschehen - weist die Fritzbox scheinbar automatisch eine neue feste IP zu. In unserem Fall die 192.168.178.3, die gleichzeitig auch die IP vom Server ist.


    Das führt dann dazu, dass die ARP-Anfragen von der Fritzbox nicht mehr beantwortet werden. Es gibt im Netzwerk aber auch keine doppelten IPs, weil die ja nur von der FB theoretisch reserviert ist, nicht aber tatsächlich vergeben. Keine Kollisionen, nichts was man messen oder finden könnte. Nur fehlende ARP Replys.


    Networker ich teile deine Kritik vollumfänglich. Dummerweise decken Fritzboxen so unglaublich viele Features auf einmal ab (zumindest auf den ersten Blick), dass es mit einem VDSL-Modem nicht getan ist - dazu kommt dann eine Telefonanlage, DECT-Repeater, etc pp. Und wenn der Kunde fragt "was bringt mir das, das alles neu zu kaufen" - schwierig hier Argumente zu finden wenn bisher alles lief. Wir hätten die Chance mit dem neuen WiFi nutzen sollen, um direkt alles auszutauschen ("geht nicht ohne..." :winking_face: )

    Und was die Migration ins neue Netz angeht: Das ist der Plan, aber da gab es noch ein anderes Problem, das jetzt möglicherweise gleich mit gelöst ist, siehe Scheinbare Paketverluste / falsch geroutete Pakete?


    Vielen Dank für eure Bemühungen! Tut mir Leid, dass es am Ende doch ein völlig triviales Problem war, das (wie eigentlich erwartet) nichts mit der UDM zu tun hatte, sondern nur bei der Einrichtung der UDM mit aufgebrochen ist. Als wir die UDM testweise entfernt und alle Devices inkl. FB und Server neu gestartet hatten, war tatsächlich (zumindest kurzzeitig?!) die korrekte Adresse der FB im ARP-Cache des Servers hinterlegt. Daher die Annahme, dass die UDM hier aktiv etwas mit zu tun haben muss. Sorry! :face_with_rolling_eyes:

  • ennvee

    Hat das Label von offen auf erledigt geändert.

    Entschuldigung angenommen und schön, dass Du eine Lösung finden konntest! :winking_face:


    Zitat von ennvee

    Und wenn der Kunde fragt "was bringt mir das, das alles neu zu kaufen" - schwierig hier Argumente zu finden wenn bisher alles lief.

    Kann ich absolut nachvollziehen, aber dafür gibt es Argumentation-Strategien. Zum Beispiel könnte man VDSL-Modem und Router im Angebot für den Kunden als quasi untrennbare Einheit aufführen.

    Unabhängig davon: Wenn eine Fritzbox als Telefonanlage im Projekt gut funktioniert, kann man sie durchaus weiterbetreiben, dann aber umgestellt als IP-Client und nicht als Router.


    In Sachen Hardwarekosten sind viele Menschen übrigens ziemlich irrational, besonders deutlich wird dies, wenn sie ihre IT von externen Dienstleistern managen lassen. Wenn ich bei einem Gerät 100 € spare, deswegen aber einen Dienstleister 2 Stunden mehr bezahlen muss, habe ich unter dem Strich schon mehr Geld ausgegeben und zusätzlich noch für die nächsten Jahre das schlechtere Gerät.

    Zitat von Networker

    In Sachen Hardwarekosten sind viele Menschen übrigens ziemlich irrational, besonders deutlich wird dies, wenn sie ihre IT von externen Dienstleistern managen lassen. Wenn ich bei einem Gerät 100 € spare, deswegen aber einen Dienstleister 2 Stunden mehr bezahlen muss, habe ich unter dem Strich schon mehr Geld ausgegeben und zusätzlich noch für die nächsten Jahre das schlechtere Gerät.

    Das ist wahr.


    Welche Modems würdet ihr für einen Einsatz im Telekom-Kupfernetz empfehlen? Draytek Vigor 167? Irgendwas von Zyxel? Von mir aus so stumpf wie möglich, aber die Telekom ist ja leider auch dafür bekannt sich nicht an alle Specs zu halten und deswegen immer wieder Probleme mit manchen internationalen Hardware-Anbietern zu haben.

    Zitat von ennvee

    aber die Telekom ist ja leider auch dafür bekannt sich nicht an alle Specs zu halten und deswegen immer wieder Probleme mit manchen internationalen Hardware-Anbietern zu haben.

    Ich finde das die Telekom sich ZU genau an Spezifikationen hält und es daher von dan und wann mal Probleme gint

    mit Hardware die es Lokerer nimmt.. das Ergebnis ist aber das gleiche.


    Draytek passt schon gut das funktioniert. Zyxel kenne ich nicht weiter (das Letze Zyxel war ein V32 Modem in meinen Händen)